Установка цифровых сертификатов в Windows 10 Mobile

  • Статья

Цифровые сертификаты привязывают удостоверение пользователя или компьютера к паре ключей, которую можно использовать для шифрования и подписания цифровой информации. Сертификаты выдаются центром сертификации (ЦС), подтверждающим удостоверение владельца сертификата, и обеспечивают безопасную связь клиента с веб-сайтами и службами.

В Windows 10 Mobile сертификаты применяются преимущественно для следующих целей:

  • Создание безопасного канала между телефоном и веб-сервером или службой с использованием протокола SSL.
  • Проверка подлинности пользователя на обратном прокси-сервере, используемом для включения Microsoft Exchange ActiveSync (EAS) для электронной почты.
  • Установка и лицензирование приложений (из Магазина Windows Phone или настраиваемого сайта распространения организации).

Установка сертификатов с помощью Internet Explorer

Сертификат можно разместить на веб-сайте и сделать доступным для пользователей посредством URL-адреса, перейдя по которому на устройстве, они смогут скачать сертификат. Когда пользователь заходит на страницу и касается сертификата, сертификат открывается на устройстве. Пользователь может проверить сертификат, и в случает подтверждения сертификат устанавливается на устройство с Windows 10 Mobile.

Установка сертификатов с помощью электронной почты

Установщик сертификатов Windows 10 Mobile поддерживает файлы CER, P7B, PEM и PFX. Для установки сертификатов с помощью электронной почты убедитесь, что ваши почтовые фильтры не блокируют CER-файлы. Сертификаты, отправляемые по электронной почте, отображаются в виде вложений сообщения. После получения сертификата пользователь может коснуться один раз для просмотра содержимого и еще раз — для установки сертификата. Как правило, после установки сертификата удостоверения пользователю предлагается ввести пароль (или парольную фразу), который используется для его защиты.

Установка сертификатов с помощью системы управления мобильными устройствами (MDM)

Windows 10 Mobile поддерживает настройку через систему MDM корневых и клиентских сертификатов, а также сертификатов ЦС. С помощью MDM администратор может напрямую добавлять, удалять или запрашивать корневые сертификаты и сертификаты ЦС, а также настроить устройство для регистрации клиентского сертификата на сервере регистрации сертификатов, поддерживающем протокол SCEP. Зарегистрированные SCEP сертификаты клиента используются Wi-Fi, VPN, электронной почтой и браузером для проверки подлинности клиента на основе сертификатов. Сервер MDM также может запрашивать и удалять зарегистрированные SCEP сертификаты клиента (включая установленные пользователем) и инициировать новый запрос на регистрацию до истечения срока действия текущего сертификата.

Предупреждение  

Не используйте SCEP для сертификатов шифрования для S/MIME. Для поддержки S/MIME в Windows 10 Mobile необходимо использовать профиль сертификата PFX. Инструкции по созданию профиля сертификат PFX в Microsoft Intune см. в разделе Разрешение доступа к ресурсам компании с помощью Microsoft Intune.

 

Mt679135.wedge(ru-ru,VS.85).gifПроцесс установки сертификатов с помощью MDM

  1. Сервер MDM создает первоначальный запрос на регистрацию сертификата, который содержит пароль вызова, URL-адрес сервера SCEP и другие связанные с регистрацией параметры.

  2. Политика преобразовывается в запрос OMA DM и отправляется на устройство.

  3. Сертификат доверенного ЦС устанавливается непосредственно во время запроса MDM.

  4. Устройство принимает запрос на регистрацию сертификата.

  5. Устройство создает пару из закрытого и открытого ключей.

  6. Устройство подключается к предоставленной MDM-сервером точке доступа в Интернете.

  7. Сервер MDM создает сертификат, подписанный соответствующим ЦС, и возвращает его на устройство.

    Примечание  

    Устройство поддерживает функцию ожидания, которая позволяет провести на стороне сервера дополнительную проверку перед выдачей сертификата. В этом случае на устройство отправляется состояние "ожидание". Устройство периодически связывается с сервером с учетом заданных параметров количества и периода повторений. Повторные попытки прекращаются в любом из следующих случаев:

    Сертификат успешно получен от сервера

    Сервер возвращает ошибку

    Число повторных попыток достигло предварительно настроенного ограничения

     

  8. Сертификат установлен на устройство. Браузер, Wi-Fi, VPN, электронная почта и другие основные приложения имеют доступ к этому сертификату.

    Примечание  

    Если MDM запрашивает сохранение закрытого ключа в доверенном платформенном модуле (TPM) (настраивается в ходе запроса на регистрацию), закрытый ключ будет сохранен в TPM. Обратите внимание, что зарегистрированные SCEP сертификаты, защищенные TPM, не защищаются ПИН-кодом. При этом сертификаты, импортированные в поставщик хранилища ключей (KSP) службы Passport for Work, защищены ПИН-кодом Passport.

     

Связанные разделы

Настройка S/MIME