طلب شهادة من Microsoft Certificate Authority

تعرّف على كيفية استخدام DCE/RPC وحمولة ملف تعريف شهادة Active Directory لطلب شهادة.

مع نظام التشغيل OS X Mountain Lion والإصدارات الأحدث، يمكنك استخدام بروتكول DCE/RPC. مع DCE/RPC، لا تحتاج لمرجع مصدّق (CA) يعمل عبر الويب. تقدم DCE/RPC أيضًا مرونة أكبر عندما تختار القالب الذي ينشئ الشهادة.

نظام التشغيل OS X Mountain Lion والإصدارات الأحدث تدعم ملفات تعريف شهادة Active Directory (AD) في واجهة مستخدم الويب لمدير ملف التعريف (Profile Manager). يمكنك نشر ملفات تعريف شهادة AD للكمبيوتر أو المستخدم إلى أجهزة العميل تلقائيًا أو عن طريق التنزيل اليدوي.

تعرّف على المزيد حول تجديد الشهادة القائم على ملف التعريف في نظام التشغيلmacOS.

متطلبات الشبكة والنظام

  • نطاق AD صالح
  • مرجع مصدّق (CA) ساري لخدمات شهادة Microsoft AD
  • نظام العميل OS X Mountain Lion أو إصدار أحدث مرتبط بـ AD

نشر ملف التعريف

نظام التشغيل OS X Mountain Lion والإصدارات الأحدث يدعم ملفات تعريف التكوين. يمكنك استخدام ملفات التعريف لتحديد العديد من إعدادات النظام والحساب.

يمكنك تقديم ملفات التعريف لعملاء macOS بعدة طرق. تكون طريقة التقديم الرئيسية هي مدير ملف تعريف macOS Server. في نظام التشغيل OS X Mountain Lion أو الإصدار الأحدث، يمكنك استخدام بعض الطرق الأخرى. يمكنك النقر المزدوج على ملف .mobileconfig في Finder، أو استخدام خادم لإدارة الجهاز المحمول (MDM) تابع لجهة خارجية.

تفاصيل الحمولة

تحتوي واجهة مدير ملف التعريف التي تتيح لك تحديد حمولة شهادة AD الحقول المبينة أدناه.

  • الوصف: أدخل وصفًا موجزًا لحمولة ملف التعريف.
  • خادم الشهادة: اكتب اسم المضيف المؤهل بالكامل للمرجع المصدّق (CA) لديك. لا تكتب “http://“ قبل اسم المضيف.
  • المرجع المصدّق: أدخل الاسم المختصر للمرجع المصدّق (CA) الخاص بك. يمكنك تحديد هذه القيمة من الاسم العام (CN) لإدخال AD: الاسم العام =<اسم المرجع المصدّق الخاص بك،> الاسم العام = المراجع المصدّقة، الاسم العام = الخدمات الرئيسية العامة، الاسم العام = الخدمات، الاسم العام = التكوين، <DN الأساسية لديك>
  • قالب الشهادة: أدخل قالب الشهادة التي تريدها في البيئة لديك. قيمة شهادة المستخدم الافتراضية هي User. قيمة شهادة الكمبيوتر الافتراضية هي Machine.
  • حد الإخطار بانتهاء صلاحية الشهادة: هو العدد الصحيح الذي يحدد عدد الأيام المتبقية قبل انتهاء صلاحية الشهادة وحينئذ يعرض نظام macOS إخطارًا بانتهاء الصلاحية. يجب أن تكون القيمة أكبر من 14، وأقل من أقصى عمر للشهادة بالأيام.
  • حجم مفتاح RSA: هو العدد الصحيح لحجم المفتاح الخاص الذي يوقّع على طلب توقيع الشهادة (CSR). القيم المحتملة تشمل 1024، و2048، و4096، وهكذا. يساعد القالب المختار، المحدد على المرجع المصدّق الخاص بك، في تحديد قيمة حجم المفتاح الذي سيتم استخدامه.
  • طلب بيانات الاعتماد: لشهادات الكمبيوتر، تجاهل هذا الخيار. فيما يتعلق بشهادات المستخدم، لا ينطبق هذا الإعداد سوى إذا اخترت التنزيل اليدوي لتقديم ملف التعريف. عند تثبيت ملف التعريف، يُطلب من المستخدم تقديم بيانات الاعتماد.
  • اسم المستخدم: فيما يتعلق بشهادات الكمبيوتر، تجاهل هذا الحقل. فيما يتعلق بشهادات المستخدم، يكون الحقل اختياريًا. يمكنك إدخال اسم مستخدم AD باعتباره أساسًا للشهادة المطلوبة.
  • كلمة المرور: فيما يتعلق بشهادات الكمبيوتر، تجاهل هذا الحقل. فيما يتعلق بشهادات المستخدم، اكتب كلمة المرور المرتبطة باسم مستخدم AD، إذا كنت قد أدخلت واحدًا.

اطلب شهادة كمبيوتر

تأكد من أنك تستخدم macOS Server يشمل تمكين خدمة مدير ملف التعريف لإدارة الجهاز ومرتبط بـ AD.

استخدم مجموعة ملف تعريف شهادة AD مدعومة

  • شهادة الكمبيوتر/الجهاز فقط، يتم التسليم تلقائيًا إلى نظام التشغيل OS X Mountain Lion أو نظام عميل أحدث
  • يتم دمج الشهادة في ملف تعريف شبكة لمصادقة EAP-TLS 802.1x
  • يتم دمج الشهادة في ملف تعريف VPN لمصادقة الشهادة القائمة على الجهاز
  • يتم دمج الشهادة في كل من الشبكة/ملفات تعريف EAP-TLS وVPN

نشر حمولة مدير ملف التعريف

  1. ربط نظام التشغيل OS X Mountain Lion أو نظام عميل أحدث بـ AD. يمكنك استخدام ملف تعريف، أو GUI على العميل، أو CLI على العميل لربط العميل.
  2. ثبّت المرجع المصدّق القائم بالإصدار أو شهادة أخرى للمرجع المصدّق على العميل حتى يكون له سلسلة ثقة كاملة. يمكنك أيضًا استخدام ملف تعريف لتثبيته.
  3. اختر تقديم ملف تعريف شهادة AD عن طريق الدفع التلقائي أو التنزيل اليدوي لملف التعريف الجهاز أو لملف تعريف مجموعة الأجهزة.

  4. إذا اخترت الدفع التلقائي، يمكنك استخدام إدارة جهاز مدير ملف تعريف macOS Server لتسجيل العميل.
  5. حدد حمولة شهادة AD لجهاز مسجل أو لمجموعة أجهزة. للتعرف على أوصاف حقل الحمولة، راجع قسم "تفاصيل الحمولة" أعلاه.

  6. يمكنك تحديد حمولة شبكة لـ TLS السلكي أو اللاسلكي لملف تعريف الجهاز ذاته أو مجموعة الأجهزة ذاتها. حدد حمولة شهادة AD التي تم تكوينها باعتبارها بيانات الاعتماد. يمكنك تحديد حمولة إما لشبكة Wi-Fi أو إيثرنت.

  7. حدد ملف تعريف IPSec (Cisco) VPN عن طريق جهاز أو مجموعة أجهزة. حدد حمولة شهادة AD التي تم تكوينها باعتبارها بيانات الاعتماد.


    • تكون مصادقة الجهاز القائمة على الشهادة مدعومة فقط لقنوات IPSec VPN. تتطلب أنواع VPN الأخرى طرق مصادقة مختلفة.
    • يمكنك تعبئة حقل اسم الحساب بسلسلة عنصر نائب.
  8. احفظ ملف التعريف. باستخدام الدفع التلقائي، يتم نشر ملف التعريف إلى الكمبيوتر المسجل على الشبكة. تستخدم شهادة AD بيانات اعتماد AD للكمبيوتر من أجل تعبئة CSR.
  9. إذا كنت تستخدم التنزيل اليدوي، اتصل ببوابة المستخدم لمدير ملف التعريف من العميل.
  10. ثبّت ملف تعريف الجهاز المتوفر أو مجموعة الأجهزة المتوفرة.
  11. تأكد من أن المفتاح الخاص الجديد والشهادة موجودان الآن في سلسلة مفاتيح النظام على العميل.

يمكنك نشر ملف تعريف جهاز يحتوي على حمولات الشهادة والدليل وشهادة AD والشبكة (TLS) وVPN. يعالج العميل الحمولات بترتيب ملائم بحيث يكون كل إجراء حمولة ناجحًا.

اطلب شهادة مستخدم

تأكد من أنك تستخدم macOS Server يشمل تمكين خدمة مدير ملف التعريف لإدارة الجهاز ومرتبط بـ AD.

استخدم مجموعة ملف تعريف شهادة AD مدعومة

  • شهادة المستخدم فقط، يتم تسليمها تلقائيًا للعملاء في نظام التشغيل OS X Mountain Lion أو إصدار أحدث
  • يتم دمج الشهادة في ملف تعريف الشبكة لمصادقة EAP-TLS 802.1x

نشر حمولة مدير ملف التعريف

  1. ربط العميل بـ AD. يمكنك استخدام ملف تعريف، أو GUI على العميل، أو CLI على العميل لربط العميل.
  2. قم بتشغيل إنشاء حساب محمول في AD على العميل، وفقًا لسياسة البيئة لديك. يمكنك تمكين هذه الميزة باستخدام ملف تعريف (التنقل)، أو GUI على العميل، أو سطر الأوامر للعميل مثل:
    sudo dsconfigad -mobile enable
    
  3. ثبّت المرجع المصدّق القائم بالإصدار أو شهادة أخرى للمرجع المصدّق على العميل حتى يكون له سلسلة ثقة كاملة. يمكنك أيضًا استخدام ملف تعريف لتثبيته.
  4. اختر تقديم ملف تعريف شهادة AD عن طريق الدفع التلقائي أو التنزيل اليدوي لملف تعريف مستخدم AD أو ملف تعريف مجموعة مستخدم. يجب أن تمنح خدمة مدير ملف التعريف الوصول إلى المستخدم أو المجموعة.


  5. إذا اخترت الدفع التلقائي، يمكنك استخدام إدارة الجهاز لمدير ملف التعريف في macOS Server لتسجيل العميل. اربط كمبيوتر العميل بمستخدم AD سالف الذكر.
  6. حدد حمولة شهادة AD لملف تعريف مستخدم AD ذاته أو لملف تعريف المجموعة ذاته. فيما يتعلق بأوصاف حقل الحمولة، راجع تفاصيل الحمولة.

  7. يمكنك تحديد حمولة شبكة لـ TLS سلكي أو لاسلكي لملف تعريف مستخدم AD ذاته أو ملف تعريف المجموعة ذاته. حدد حمولة شهادة AD التي تم تكوينها باعتبارها بيانات الاعتماد. يمكنك تحديد الحمولة إما لشبكة Wi-Fi أو إيثرنت.


  8. قم بتسجيل الدخول إلى العميل باستخدام حساب مستخدم AD الذي يملك إمكانية الوصول إلى خدمة مدير ملف التعريف. باستخدام الدفع التلقائي، يمكنك من خلال تسجيل الدخول الحصول على تذكرة منح التذكرة (TGT) الضرورية من Kerberos. تعمل TGT باعتبارها قالب الهوية لشهادة المستخدم المطلوبة.
  9. إذا كنت تستخدم التنزيل اليدوي، قم بالاتصل ببوابة مستخدم مدير ملف التعريف.
  10. ثبّت ملف تعريف المستخدم أو المجموعة المتوفرة.
  11. إذا تطلّب الأمر، أدخل اسم المستخدم وكلمة المرور.
  12. قم بتشغيل الوصول لسلسلة المفاتيح. تأكد من أن سلسلة مفاتيح تسجيل الدخول تحتوي على مفتاح خاص وشهادة مستخدم صادرة من Microsoft CA.

يمكنك نشر ملف تعريف مستخدم يشمل شهادة، وشهادة AD، وشبكة (TLS). يعالج العملاء في نظام التشغيل OS X Mountain Lion أو في إصدار أحدث الحمولات بالترتيب الملائم بحيث يتم تنفيذ كل إجراء حمولة بنجاح.

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: