您可以配置 MVE 来自动管理打印机证书,然后通过配置执行将它们安装到打印机上。下图描述了自动证书管理特性的端到端流程。
证书颁发机构端点(如 CA 服务器和服务器地址)必须在 MVE 中定义。
支持以下 CA 服务器:
OpenXPKI CA-如需更多信息,请参阅使用 OpenXPKI 证书颁发机构管理证书。
Microsoft CA 企业版-用户可以使用下面的任一协议
安全证书加密协议 (SCEP)
Microsoft 证书注册 Web 服务 (MSCEWS)
如需更多信息,请参阅以下主题:
必须验证 MVE 和 CA 服务器之间的连接。在验证期间,MVE 与 CA 服务器通信以下载证书链和证书吊销列表 (CRL)。还生成注册代理证书或测试证书。此证书使 CA 服务器能够信任 MVE。
如需有关定义端点和验证的更多信息,请参阅为自动证书管理配置 MVE。
必须将设置为使用 Markvision 管理设备证书的配置分配给打印机并强制执行。
如需更多信息,请参阅以下主题:
在执行期间,MVE 检查打印机的一致性。
对于默认设备证书
根据从 CA 服务器下载的证书链验证证书。
如果打印机不符合,则会为打印机引发“证书签名请求 (CSR)”。
对于 命名设备证书
根据从 CA 服务器下载的证书链验证证书。
MVE 在设备上创建自签名的命名设备证书。
如果打印机不符合,则会为打印机引发 CSR。
注意:
在页面的右上角,单击 。
单击证书颁发机构 > 使用证书颁发机构服务器。
配置服务器端点。
CA 服务器-生成打印机证书的证书颁发机构 (CA) 服务器。您可以选择 OpenXPKI CA 或 Microsoft CA 企业版。
CA 服务器地址-CA 服务器的 IP 地址或主机名。包括完整的 URL。
质询密码-向 CA 服务器声明 MVE 身份需要质询密码。只有 OpenXPKI CA 需要此密码。Microsoft CA 企业版不支持。
从 CA 服务器协议菜单,如果选择 MSCEWS 协议,则必须配置服务器身份验证模式。从 CA 服务器身份验证模式菜单中,选择下面的任何选项:
用户名和密码身份验证
客户端证书身份验证
Windows 集成身份验证
单击保存更改并验证 > 确定。
导览回到系统配置页面,然后查看 CA 证书。
在以下部署场景中,所有权限都基于在域控制器中发布的证书模板上设置的权限。发送到 CA 的证书请求基于证书模板。
对于此设置,请确保您具有以下条件:
托管从属 CA 的机器
托管 NDES 服务的机器
域控制器
在域控制器中创建以下用户:
服务管理员
命名为 SCEPAdmin
必须是本地管理和企业管理组的成员
在触发 NDES 角色安装时必须在本地登录
具有证书模板的注册权限
在 CA 上具有添加模板权限
服务帐户
命名为 SCEPSvc
必须是本地 IIS_IUSRS 组的成员
必须是一个域用户,并在已配置模板上具有读和注册权限
在 CA 上具有请求权限
企业 CA 管理员
命名为 CAAdmin
企业管理组的成员
必须是本地管理组的一部分