证书续订
06/26/2017
本文内容
注册的客户端证书将在使用期后过期。 证书的到期日期由服务器指定。 为确保持续访问企业应用程序,Windows 支持用户触发的证书续订过程。 系统将提示用户输入企业帐户的当前密码,注册客户端将从注册服务器获取新的客户端证书并删除旧证书。 客户端生成新的私钥/公钥对,生成 PKCS#7 请求,然后使用现有证书对 PKCS#7 请求进行签名。 在 Windows 中,也支持自动 MDM 客户端证书续订。
备注
在触发证书续订请求之前,请确保已设置 DMClient 配置服务提供程序中的 EntDMID。
本主题内容
自动证书续订请求
除了手动证书续订之外,Windows 还支持自动证书续订(也称为代表 (续订 ROBO) ,这不需要任何用户交互。 对于自动续订,注册客户端使用现有 MDM 客户端证书执行 TLS (客户端) 。 SOAP 标头中不需要用户安全令牌。 因此,MDM 证书注册服务器需要支持用于自动证书续订的基于证书的客户端身份验证的客户端 TLS。
备注
仅 Microsoft PKI 支持通过 ROBO 续订注册证书。
自动证书续订是使用 WAB 身份验证注册的设备唯一受支持的 MDM 客户端证书续订方法 (这意味着 AuthPolicy 设置为联合身份验证) 。 它还意味着,如果服务器支持 WAB 身份验证,MDM 证书注册服务器还必须支持客户端 TLS 才能续订 MDM 客户端证书。
对于使用 OnPremise 身份验证方法注册的设备,为了向后兼容,默认续订方法是用户手动证书续订。 但是,对于 Windows 设备,在 MDM 客户端证书注册阶段或 MDM 管理部分,注册服务器或 MDM 服务器可