DISA Purebred 对 Workspace ONE Boxer 的支持

Purebred 是由美国国防信息系统局 (Defense Information Systems Agency, DISA) 开发和管理的一个移动应用程序。它提供了一种安全且可扩展的方式，用于在兼容的移动设备上分发证书。

对于 Android 上的 Workspace ONE Boxer，Purebred Registration 应用程序充当证书交付源。Purebred Registration 应用程序有助于 Workspace ONEBoxer 使用 Purebred PIV-D 证书进行身份验证和 S/MIME 功能（签名或/和加密）。此应用程序将其证书存储在 Android KeyStore 中，并与 Workspace ONE Boxer 共享证书的别名信息。

使用 Purebred 作为 Workspace ONE Boxer 的证书源时，您可以在以下身份验证模式下配置 Workspace ONE Boxer：

• 基于证书的身份验证 (CBA)
• 使用现代身份验证进行基于证书的身份验证
• 双因素身份验证 (DCBA)

在适用于 iOS 的 Workspace ONE Boxer 上将 PIV-D 设置为派生的凭据提供程序

适用于 iOS 的 Workspace ONE Boxer 对派生凭据证书支持 Workspace ONE PIV-D Manager，而不是 Purebred Registration 应用程序。您必须在 iOS 设备上设置 DISA Purebred 应用程序，并将 PIV-D 设置为将 Purebred 应用程序用作证书提供程序。稍后，您必须在 UEM Console 中将 PIV-D 设置为凭据提供程序，以便 Workspace ONE Boxer 支持 Purebred 作为证书源。

有关如何在 PIV-D Manager 应用程序中配置 DISA Purebred 的详细信息，请参阅在 PIV-D Manager 应用程序中配置 DISA Purebred。

还支持 S/MIME 证书。

将 Workspace ONE Boxer 配置为使用 PIV-D Manager 应用程序作为派生凭据证书源的方法取决于使用的 Workspace ONE UEM Console 版本。

如果使用 Workspace ONE UEM console 版本 2003 或更低版本，请配置以下键-值对：

• PolicyDerivedCredentials - 启用此键可将 PIV-D Manager 应用程序用作基于证书的身份验证 (CBA) 的证书源。
• PolicyDerivedCredentials SMIME - 启用此密钥可将 PIV-D Manager 应用程序用作 S/MIME 证书（签名或加密）的证书源。

有关键值对的详细信息，请参阅适用于 Workspace ONE Boxer 的应用程序配置。

如果使用 Workspace ONE UEM console 版本 2004 或更高版本，则必须执行以下步骤以配置 Workspace ONE Boxer：

1. 为基于证书的身份验证启用 PIV-D。

   a. 在“Boxer 分配”屏幕中，导航到电子邮件设置 > 身份验证。

   b. 将身份验证类型设置为证书。

   c. 选择 PIV-D 作为派生凭据。

2. 为 S/MIME 证书启用 PIV-D。

   a. 导航到电子邮件设置 > S/MIME，然后将证书源添加为派生凭证。

   b. 选择 PIV-D 作为颁发者名称。

在适用于 Android 的 Workspace ONE Boxer 上将 Purebred 设置为派生的凭据提供程序

将 Workspace ONE Boxer 配置为支持 Purebred 作为受管 Android 设备的证书源。

除了将 Purebred 设置为派生凭据提供程序外，还必须验证 Purebred Registration 应用程序，并向 DISA Purebred 注册适用于 Android 的 Workspace ONE Boxer。

要使 Workspace ONE Boxer 使用 PIV-D Manager 应用作为派生凭据证书的源，您必须使用以下键值对配置 Workspace ONE UEM Console 版本 2003 或更低版本：

• PolicyDerivedCredentials - 启用此键可将 Purebred Registration 应用程序用作基于证书的身份验证 (CBA) 的证书源。
• PolicyDerivedCredentialsSMIME - 启用此键可将 Purebred Registration 应用程序用作 S/MIME 证书（签名或加密）的证书源。

如果要使用 Workspace ONE UEM console 版本 2004 或更高版本部署 Boxer，则必须应用以下步骤：

1. 为 Purebred 启用基于证书的身份验证。

   a. 在“Boxer 分配”屏幕中，导航到电子邮件设置 > 身份验证 > 高级。

   b. 将身份验证类型设置为证书。

   c. 选择 Purebred 作为派生凭证。

2. 为 Purebred 启用 S/MIME 证书。

   a. 导航到电子邮件设置 > S/MIME，然后将证书源添加为派生凭证。

   b. 选择 Purebred 作为颁发者名称。

验证 Purebred Registration 应用程序

Android 能够通过旁加载来安装应用程序，这种简单方法让任何未经授权的应用程序都可充当 Purebred 并安装到设备上。为缓解此类安全风险，您可以将 Workspace ONE Boxer 配置为使用 Purebred 公共签名密钥对 Purebred Registration 应用程序进行身份验证。为此，您必须在 Workspace ONE UEM console 中启用 AppPurebredPublicKey KVP。启用后，此键可以轻松替代签名密钥，因为 Purebred 不是 Play Store 应用程序。

向 DISA Purebred 注册 Android Boxer

用户必须配置 Workspace ONE Boxer 以访问 Purebred Registration 应用程序，并授予对使用 Purebred 在设备上安装的每个证书的访问权限。Purebred Registration 应用程序直接在设备信任存储中安装派生的凭据证书。

确保您的设备已向 Purebred Registration 应用程序注册，并且所有证书均安装在您的设备上。

1. 启动 Boxer 应用程序时，点击确定以允许 Boxer 访问 Purebred Registration 应用程序来提取所有与证书相关的数据。点击后，您可以查看 Boxer 所需的证书的列表。

2. 对于每个证书，点击授予访问权限。您必须授予对列出的所有证书的访问权限。
   
   授予对列出的所有证书的访问权限后，将弹出一个 Android 驱动的对话框，其中显示了预先选择的证书。如果您看不到任何预先选择的证书，则意味着发生了以下任一情况：

   • Android 设备的信任存储中缺少证书。
   • 证书名称不一致。
   • 原始设备制造商 (OEM) 已截断证书的别名。这种情况在 Samsung 设备中很常见，在这种情况下，设备会将证书别名长度截断为 50 个字符，并将其保存在设备信任存储中。
   • 如果启用了 Knox 容器并将证书安装到容器中，则 Knox 会将 Knox 附加到证书的名称。

3. 要查看证书详细信息，请点击查看证书。

4. 要选择要用于身份验证的证书，请点击下一步。如果您的管理员已将 Boxer 配置为对 S/MIME 使用 Purebred，您只需授予对证书的访问权限，在授予对所有证书的访问权限后，屏幕会自动关闭。

5. 在身份验证证书选择器屏幕上，如果您不想使用预先选择的证书，可以选择使用其他证书对帐户进行身份验证。

6. 要继续执行 Boxer 载入过程的其余部分，请点击下一步。
   
   注意：

   • 如果您选择了错误的证书，则可以返回到“身份验证证书选择器”屏幕，并通过错误处理过程选择正确的证书。但是，如果为 Boxer 配置了现代身份验证，您可以点击返回，然后选择正确的证书。
   • Android 可以撤销对证书的访问权限。此撤销可能是由于以下原因造成的：
     • 设备信任存储中缺少证书。
     • 您重新安装了已删除的证书。
     • Android 撤销权限。
       当 Boxer 应用程序无法访问设备信任存储中的证书时，会通知您。您可以点击通知，向 Boxer 授予对证书的访问权限。