Skip Navigation
  1. BlackBerry Docs
  2. 12.17
  3. Verwaltung
  4. Sichern von Verbindungen mit PKI
  5. Senden von Clientzertifikaten an Geräte und Apps mithilfe von Profilen
  6. Senden von Clientzertifikaten an Geräte und Apps mithilfe von SCEP
  7. SCEP-Profileinstellungen
  8. Android: SCEP-Profileinstellungen

Android
: SCEP-Profileinstellungen

Ein Beispiel eines SCEP-Profils für
Android
-Geräte finden Sie in Artikel 38248 unter support.blackberry.com/community.
Android
: SCEP-Profileinstellung
Beschreibung
BlackBerry UEM
 als Proxy für SCEP-Anforderungen verwenden
Diese Einstellung legt fest, ob alle SCEP-Anforderungen von Geräten per
BlackBerry UEM
 gesendet werden. Wenn sich die Zertifizierungsstelle hinter Ihrer Firewall befindet, können Sie mithilfe dieser Einstellung Clientzertifikate auf Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen.
Ausblenden des Zertifikats auf
Android Enterprise
-Geräten
Diese Einstellung legt fest, ob das Zertifikat für Benutzer ab
Android
 Version 9.0 auf
Android Enterprise
-Geräten sichtbar ist. Wenn das Zertifikat ausgeblendet ist, können Benutzer das Zertifikat nicht für zusätzliche Zwecke auswählen.
BlackBerry Connectivity Node
 für CA-Konnektivität verwenden
Diese Einstellung gibt an, ob SCEP-Anforderungen per
BlackBerry Connectivity Node
 weitergeleitet werden sollen. Diese Einstellung wird nur in
BlackBerry UEM Cloud
 angezeigt.
Verschlüsselungsalgorithmus
Diese Einstellung legt den Verschlüsselungsalgorithmus fest, den
Android
-Geräte für die Zertifikatsanmeldungsanforderung verwenden.
Mögliche Werte:
  • Keine
  • Triple DES
  • AES (128-Bit)
  • AES (196-Bit)
  • AES (256-Bit)
Der Standardwert ist „Triple DES“.
Hashfunktion
Diese Einstellung legt die Hashfunktion fest, die
Android
-Geräte für die Zertifikatsanmeldungsanforderung verwenden.
Mögliche Werte:
  • Keine
  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512
Der Standardwert ist „SHA-1“.
Fingerabdruck des Zertifikats
Diese Einstellung legt den hexadezimal-codierten Hash des Stammzertifikats für die Zertifizierungsstelle fest. Sie können folgende Algorithmen verwenden, um den Fingerabdruck festzulegen: SHA-1, SHA-224, SHA-256, SHA-384 und SHA-512. Sie müssen einen Wert für diese Einstellung festlegen, um
Android Enterprise
- oder
Samsung Knox
-Geräte zu aktivieren.
Automatische Erneuerung
Diese Einstellung legt fest, wie viele Tage vor Ablauf eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll.
Mögliche Werte sind 1 bis 365.
Der Standardwert ist „30“.
Android Enterprise/Samsung KNOX
Empfänger
Diese Einstellung legt den Betreff für das Zertifikat fest, falls dieser für die SCEP-Konfiguration Ihrer Organisation erforderlich ist. Geben Sie den Betreff in folgendem Format ein: „/CN=
<common_name>
/O=
<domain_name>
“. Wenn das Profil für mehrere Benutzer eingerichtet wird, empfiehlt sich das Verwenden einer Variable wie „%UserDistinguishedName%“.
SAN-Typ
Diese Einstellung legt ggf. den Alternativnamen des Zertifikatempfängers für das Zertifikat fest.
Mögliche Werte:
  • RFC 822-Name
  • Uniform Resource Identifier
  • NT-Prinzipalname
  • DNS-Name
Der Standardwert ist „RFC 822-Name“.
SAN-Wert
Diese Einstellung legt die alternative Darstellung des Antragstellers fest. Der Wert muss eine E-Mail-Adresse, der DNS-Name des Servers der Zertifizierungsstelle, die vollqualifizierte URL des Servers oder ein Prinzipalname sein.
Die Einstellung „SAN-Typ“ bestimmt den Typ des geeigneten Werts, der angegeben werden muss. Wenn „RFC 822-Name“ festgelegt ist, muss der Wert eine gültige E-Mail-Adresse sein. Wenn „URI“ festgelegt ist, muss der Wert eine gültige URL sein, die das Protokoll und den FQDN oder die IP-Adresse enthält. Wenn „NT-Prinzipalname“ festgelegt ist, muss der Wert ein gültiger Prinzipalname sein. Wenn „DNS-Name“ festgelegt ist, muss der Wert ein gültiger FQDN sein.
Schlüsselalgorithmus
Diese Einstellung legt den Algorithmus fest, mit dem
Android Enterprise
- und
Samsung Knox
-Geräte das Client-Schlüsselpaar generieren. Sie müssen einen Algorithmus auswählen, der von Ihrer Zertifizierungsstelle unterstützt wird.
Mögliche Werte:
  • Keine
  • RSA
  • ECC
Der Standardwert ist „
RSA
“.
RSA
-Stärke
Diese Einstellung legt die
RSA
-Stärke fest, die
Android Enterprise
- und
Samsung Knox
-Geräte verwenden, um das Client-Schlüsselpaar zu generieren. Sie müssen eine Schlüsselstärke eingeben, die von Ihrer Zertifizierungsstelle unterstützt wird.
Diese Einstellung ist nur dann gültig, wenn die Einstellung „Schlüsselalgorithmus“ auf „
RSA
“ gesetzt ist.
Mögliche Werte:
  • 1024
  • 2048
  • 4096
  • 8192
  • 16384
Der Standardwert ist „1024“.
Schlüsselnutzung
Diese Einstellung gibt die kryptografischen Vorgänge an, die mithilfe des im Zertifikat enthaltenen öffentlichen Schlüssels ausgeführt werden können.
Mögliche Auswahlen:
  • Digitale Signatur
  • Nichtabstreitbarkeit
  • Schlüsselverschlüsselung
  • Datenverschlüsselung
  • Schlüsselvereinbarung
  • Schlüsselzertifikat-Signierung
  • CRL-Signierung
  • Nur verschlüsseln
  • Nur entschlüsseln
Die Standardauswahlen lauten „Digital Signatur“, „Schlüsselverschlüsselung“ und „Schlüsselvereinbarung“.
Erweiterte Schlüsselnutzung
Diese Einstellung gibt den Zweck des im Zertifikat enthaltenen Schlüssels an.
Mögliche Auswahlen:
  • Server-Authentifizierung
  • Client-Authentifizierung
  • Codesignierung
  • E-Mail-Schutz
  • Zeitstempel
  • OCSP-Signierung
  • Secure Shell Client
  • Secure Shell Server
Die Standardauswahl lautet „Client-Authentifizierung“.