Datenfluss: Aktivieren eines BlackBerry 10-Geräts
BlackBerry 10
-Geräts
- Führen Sie die folgenden Schritte aus:
- Fügen SieBlackBerry UEMeinen Benutzer als lokales Benutzerkonto hinzu, oder verwenden Sie die Kontoinformationen aus dem Unternehmensverzeichnis.
- Weisen Sie dem Benutzer ein Aktivierungsprofil zu.
- Es gibt folgende Möglichkeiten, Aktivierungsdetails für Benutzer bereitzustellen:
- Automatisches Generieren eines Geräteaktivierungskennworts und Senden einer E-Mail mit Aktivierungsanweisungen für den Benutzer
- Einrichten eines Geräteaktivierungskennworts und Informieren des Benutzers über Benutzername und Kennwort direkt oder per E-Mail
- Weiterleiten derBlackBerry UEM Self-Service-Adresse an den Benutzer, damit dieser ein eigenes Aktivierungskennwort festlegen kann
- Der Benutzer führt die folgenden Aktionen aus:
- Herstellen der Verbindung zu Ihrem geschäftlichenWi-Fi-Netzwerk
- Eingeben des Benutzernamens und des Aktivierungskennworts auf dem Gerät
- Im Fall einer Aktivierung vom Typ „Geschäftlich und persönlich – Reguliert“ oder „Nur geschäftlicher Bereich“ akzeptiert er die Geschäftsbedingungen des Unternehmens, denen der Benutzer zustimmen muss
- Wenn es sich um eine Aktivierung vom Typ „Nur geschäftlicher Bereich“ handelt, werden auf dem Gerät alle bestehenden Daten gelöscht, und das Gerät wird neu gestartet.
- Das Gerät führt die folgenden Aktionen aus:
- Stellt eine Verbindung mitBlackBerry UEMher.
- Generiert einen gemeinsam genutzten symmetrischen Schlüssel, um die CSR-Datei und die Antwort anBlackBerry UEMmithilfe des Aktivierungskennworts und EC-SPEKE zu schützen.
- Erstellt wie folgt eine verschlüsselte CSR und einen HMAC:
- Generiert ein Schlüsselpaar für das Zertifikat
- Erstellt eine PKCS#10 CSR, die den öffentlichen Schlüssel des Schlüsselpaars umfasst
- Verschlüsselt die CSR mithilfe des gemeinsamen symmetrischen Schlüssels und AES-256 im CBC-Modus mit PKCS#5-Padding
- Berechnet den HMAC der verschlüsselten CSR mithilfe von SHA-256 und hängt ihn an die CSR an
- Sendet die verschlüsselte CSR und den HMAC an denBlackBerry UEM
- BlackBerry UEMführt die folgenden Aktionen aus:
- Verifiziert den HMAC der verschlüsselten CSR und entschlüsselt die CSR mithilfe des gemeinsamen symmetrischen Schlüssels
- Ruft den Benutzernamen, die ID des geschäftlichen Bereichs sowie den Namen Ihres Unternehmens aus derBlackBerry UEM-Datenbank ab
- Verpackt das Client-Zertifikat mit den empfangenen Informationen und der vom Gerät gesendeten CSR
- Signiert das Client-Zertifikat mit dem Verwaltungsstammzertifikat des Unternehmens
- Verschlüsselt das Client-Zertifikat, das Verwaltungsstammzertifikat des Unternehmens und dieBlackBerry UEM-URL mithilfe des gemeinsamen symmetrischen Schlüssels und AES-256 im CBC-Modus mit PKCS#5-Padding
- Berechnet einen HMAC des verschlüsselten Client-Zertifikats, des Verwaltungsstammzertifikats des Unternehmens und derBlackBerry UEM-URL und hängt ihn an die verschlüsselten Daten an
- Sendet die verschlüsselten Daten und den HMAC an das Gerät
- Das Gerät führt die folgenden Aktionen aus:
- Verifiziert den HMAC
- Entschlüsselt die vonBlackBerry UEMempfangenen Daten
- Speichert das Client-Zertifikat und das Verwaltungsstammzertifikat des Unternehmens in seinem Schlüsselspeicher
- BlackBerry UEMführt die folgenden Aktionen aus:
- Weist das neue Gerät einerBlackBerry UEM-Instanz in der Domäne zu
- Sendet Konfigurationsinformationen, einschließlich Enterprise-Konnektivitätseinstellungen, an das Gerät
- Das Gerät sendet eine Bestätigung über TLS anBlackBerry UEM, die angibt, dass es die IT-Richtlinie und die anderen Daten empfangen und angewendet hat und dass es den geschäftlichen Bereich erstellt hat. Der Aktivierungsprozess ist abgeschlossen.
Die im Aktivierungsprozess herangezogenen Protokolle auf Basis elliptischer Kurven verwenden die von NIST empfohlene 521-Bit-Kurve.