设置 MVE 来自动管理证书

理解自动证书管理特性

您可以配置 MVE 来自动管理打印机证书，然后通过配置执行将它们安装到打印机上。下图描述了自动证书管理特性的端到端流程。

证书颁发机构端点（如 CA 服务器和服务器地址）必须在 MVE 中定义。

支持以下 CA 服务器：

OpenXPKI CA-如需更多信息，请参阅使用 OpenXPKI 证书颁发机构管理证书。
Microsoft CA 企业版-用户可以使用下面的任一协议
- 安全证书加密协议 (SCEP)
- Microsoft 证书注册 Web 服务 (MSCEWS)
  注意： MSCEWS 是连接 Microsoft CA 企业版服务器的推荐方式。

如需更多信息，请参阅以下主题：

必须验证 MVE 和 CA 服务器之间的连接。在验证期间，MVE 与 CA 服务器通信以下载证书链和证书吊销列表 (CRL)。还生成注册代理证书或测试证书。此证书使 CA 服务器能够信任 MVE。

如需有关定义端点和验证的更多信息，请参阅为自动证书管理配置 MVE。

必须将设置为使用 Markvision 管理设备证书的配置分配给打印机并强制执行。

如需更多信息，请参阅以下主题：

在执行期间，MVE 检查打印机的一致性。

对于默认设备证书

根据从 CA 服务器下载的证书链验证证书。
如果打印机不符合，则会为打印机引发“证书签名请求 (CSR)”。

对于 命名设备证书

根据从 CA 服务器下载的证书链验证证书。
MVE 在设备上创建自签名的命名设备证书。
如果打印机不符合，则会为打印机引发 CSR。

注意：

MVE 使用支持的协议与 CA 服务器通信。
CA 服务器生成新证书，然后 MVE 将证书发送给打印机。
如果打印机中存在命名证书，则不会创建新的命名证书，但会为打印机引发 CSR。

为自动证书管理配置 MVE

在页面的右上角，单击。
单击证书颁发机构 > 使用证书颁发机构服务器。
注意：使用证书颁发机构服务器按钮仅在第一次配置证书颁发机构，或在删除证书时出现。
配置服务器端点。
- CA 服务器-生成打印机证书的证书颁发机构 (CA) 服务器。您可以选择 OpenXPKI CA 或 Microsoft CA 企业版。
- CA 服务器地址-CA 服务器的 IP 地址或主机名。包括完整的 URL。
- 质询密码-向 CA 服务器声明 MVE 身份需要质询密码。只有 OpenXPKI CA 需要此密码。Microsoft CA 企业版不支持。
从 CA 服务器协议菜单，如果选择 MSCEWS 协议，则必须配置服务器身份验证模式。从 CA 服务器身份验证模式菜单中，选择下面的任何选项：
- 用户名和密码身份验证
- 客户端证书身份验证
- Windows 集成身份验证
注意：根据您的 CA 服务器，请参阅使用 OpenXPKI 证书颁发机构管理证书，通过 SCEP 使用 Microsoft 证书颁发机构管理证书或通过 MSCEWS 使用 Microsoft 证书颁发机构管理证书。
单击保存更改并验证 > 确定。
注意：必须验证 MVE 和 CA 服务器之间的连接。在验证期间，MVE 与 CA 服务器通信以下载证书链和证书吊销列表 (CRL)。还生成注册代理证书或测试证书。此证书使 CA 服务器能够信任 MVE。
导览回到系统配置页面，然后查看 CA 证书。
注意：您还可以下载或删除 CA 证书。

使用 NDES 配置 Microsoft 企业 CA

概述

在以下部署场景中，所有权限都基于在域控制器中发布的证书模板上设置的权限。发送到 CA 的证书请求基于证书模板。

对于此设置，请确保您具有以下条件：

托管从属 CA 的机器
托管 NDES 服务的机器
域控制器

所需用户

在域控制器中创建以下用户：

服务管理员
- 命名为 SCEPAdmin
- 必须是本地管理和企业管理组的成员
- 在触发 NDES 角色安装时必须在本地登录
- 具有证书模板的注册权限
- 在 CA 上具有添加模板权限
服务帐户
- 命名为 SCEPSvc
- 必须是本地 IIS_IUSRS 组的成员
- 必须是一个域用户，并在已配置模板上具有读和注册权限
- 在 CA 上具有请求权限
企业 CA 管理员
- 命名为 CAAdmin
- 企业管理组的成员
- 必须是本地管理组的一部分