Purebred 是由美国国防信息系统局 (Defense Information Systems Agency, DISA) 开发和管理的一个移动应用程序。它提供了一种安全且可扩展的方式,用于在兼容的移动设备上分发 PIV-D 证书。

Purebred Registration 应用程序充当 Workspace ONE Boxer 的证书交付源。它有助于 Boxer 使用 Purebred PIV-D 证书进行身份验证和 S/MIME 功能(签名或/和加密)。此应用程序将其证书存储在 Android 密钥库中,并与 Boxer 共享证书的别名信息。

当 Purebred 充当证书源时,您可以为以下身份验证模式配置 Boxer:

  • 基于证书的身份验证 (CBA)
  • 使用现代身份验证进行基于证书的身份验证
  • 双因素身份验证 (DCBA)

将 Purebred 设置为您的派生凭据提供程序

作为管理员,请将 Workspace ONE Boxer 配置为支持将 Purebred 用作受管 Android 设备的证书源。

您可以确定 Workspace ONE Boxer 如何使用 Purebred Registration 应用程序作为派生凭据证书的源。为此,您必须使用具有以下键值对的 Workspace ONE UEM console 版本 2003 或更低版本配置 Boxer。

  • PolicyDerivedCredentials - 启用此键可将 Purebred Registration 应用程序用作基于证书的身份验证 (CBA) 的证书源。
  • PolicyDerivedCredentialsSMIME - 启用此键可将 Purebred Registration 应用程序用作 S/MIME 证书(签名或加密)的证书源。

如果要使用 Workspace ONE UEM console 版本 2004 或更高版本部署 Boxer,则必须应用以下步骤:

  1. 为 Purebred 启用基于证书的身份验证。

    a. 在“Boxer 分配”屏幕中,导航到电子邮件设置 > 身份验证 > 高级

    b. 将身份验证类型设置为证书

    c. 选择 Purebred 作为派生凭证。

  2. 为 Purebred 启用 S/MIME 证书。

    a. 导航到电子邮件设置 > S/MIME,然后将证书源添加为派生凭证

    b. 选择 Purebred 作为颁发者名称。

**注意:**iOS 对派生凭证证书支持 Workspace ONE PIV-D Manager,而不是 Purebred Registration 应用程序。作为管理员,您必须使用 Workspace ONE UEM console 将证书推送到 VMware PIV-D Manager 应用程序。

验证 Purebred Registration 应用程序

Android 能够通过旁加载来安装应用程序,这种简单方法让任何未经授权的应用程序都可充当 Purebred 并安装到设备上。为缓解此类安全风险,您可以将 Workspace ONE Boxer 配置为使用 Purebred 公共签名密钥对 Purebred Registration 应用程序进行身份验证。为此,您必须在 Workspace ONE UEM console 中启用 AppPurebredPublicKey KVP。启用后,此键可以轻松替代签名密钥,因为 Purebred 不是 Play Store 应用程序。

向 DISA Purebred 注册 Android Boxer

作为用户,您必须配置 Workspace ONE Boxer 以访问 Purebred Registration 应用程序,并授予对使用 Purebred 在设备上安装的每个证书的访问权限。Purebred Registration 应用程序直接在设备信任存储中安装派生的凭据证书。

确保您的设备已向 Purebred Registration 应用程序注册,并且所有证书均安装在您的设备上。

  1. 启动 Boxer 应用程序时,点击确定以允许 Boxer 访问 Purebred Registration 应用程序来提取所有与证书相关的数据。点击后,您可以查看 Boxer 所需的证书的列表。

  2. 对于每个证书,点击授予访问权限。您必须授予对列出的所有证书的访问权限。

    授予对列出的所有证书的访问权限后,将弹出一个 Android 驱动的对话框,其中显示了预先选择的证书。如果您看不到任何预先选择的证书,则意味着发生了以下任一情况:

    • Android 设备的信任存储中缺少证书。
    • 证书名称不一致。
    • 原始设备制造商 (OEM) 已截断证书的别名。这种情况在 Samsung 设备中很常见,在这种情况下,设备会将证书别名长度截断为 50 个字符,并将其保存在设备信任存储中。
    • 如果启用了 Knox 容器并将证书安装到容器中,则 Knox 会将 Knox 附加到证书的名称。
  3. 要查看证书详细信息,请点击查看证书

  4. 要选择要用于身份验证的证书,请点击下一步。如果您的管理员已将 Boxer 配置为对 S/MIME 使用 Purebred,您只需授予对证书的访问权限,在授予对所有证书的访问权限后,屏幕会自动关闭。

  5. 身份验证证书选择器屏幕上,如果您不想使用预先选择的证书,可以选择使用其他证书对帐户进行身份验证。

  6. 要继续执行 Boxer 载入过程的其余部分,请点击下一步

    注:

    • 如果您选择了错误的证书,则可以返回到“身份验证证书选择器”屏幕,并通过错误处理过程选择正确的证书。但是,如果为 Boxer 配置了现代身份验证,您可以点击返回,然后选择正确的证书。

    • Android 可以撤销对证书的访问权限。此撤销可能是由于以下原因造成的:

      • 设备信任存储中缺少证书。
      • 您重新安装了已删除的证书。
      • Android 撤销权限。

      当 Boxer 应用程序无法访问设备信任存储中的证书时,会通知您。您可以点击通知,向 Boxer 授予对证书的访问权限。

check-circle-line exclamation-circle-line close-line
Scroll to top icon