Ein Zertifikat von einer Microsoft-Zertifizierungsstelle anfordern

In diesem Artikel erfahren Sie, wie Sie mittels DCE/RPC und der Profil-Payload des Active Directory-Zertifikats ein Zertifikat anfordern können.

Unter OS X Mountain Lion und neuer können Sie das DCE/RPC-Protokoll verwenden. Mit DCE/RPC benötigen Sie keine internetfähige Zertifizierungsstelle (ZS). DCE/RPC bietet außerdem mehr Flexibilität bei der Auswahl der Vorlage zur Erstellung des Zertifikats.

OS X Mountain Lion und neuer unterstützt Active Directory (AD)-Zertifikatsprofile in der Weboberfläche des Profile-Managers. Sie können Client-Geräten AD-Zertifikatsprofile für Computer oder Benutzer automatisch oder über einen manuellen Download bereitstellen.

Weitere Informationen über die profilbasierte Zertifikatserneuerung in macOS.

Netzwerk- und Systemvoraussetzungen

  • Eine gültige AD-Domain
  • Eine funktionierende ZS für Microsoft AD-Zertifikatdienste
  • Ein an AD angebundenes Client-System mit OS X Mountain Lion oder neuer

Profilbereitstellung

OS X Mountain Lion und neuer unterstützt Konfigurationsprofile. Mit Profilen können Sie viele System- und Accounteinstellungen definieren.

Sie können macOS-Clients auf verschiedene Weise Profile bereitstellen. Die gängigste Bereitstellungsmethode erfolgt über den Profil-Manager von macOS Server. Unter OS X Mountain Lion oder neuer können Sie auch einige andere Methoden verwenden. Sie können im Finder auf eine Datei namens ".mobileconfig" doppelklicken oder einen MDM-Server von einem Drittanbieter verwenden.

Payload-Details

Die Profil-Manager-Oberfläche, auf der Sie eine AD-Zertifikats-Payload definieren können, enthält die im Folgenden gezeigten Felder.

  • Beschreibung: Geben Sie eine kurze Beschreibung der Profil-Payload ein.
  • Zertifikat-Server: Geben Sie den vollständig qualifizierten Namen Ihrer ZS an. Geben Sie vor dem Hostnamen nicht "http://" ein.
  • Zertifizierungsstelle: Geben Sie den "Kurznamen" Ihrer ZS an. Dieser Wert kann von der CN des Active Directory-Eintrags bestimmt werden – CN=<Ihr ZS-Name>, CN=Zertifizierungsstellen, CN=Öffentlicher Schlüsseldienst, CN=Dienste, CN=Konfiguration, <Ihre Basis-DN>
  • Zertifikatsvorlage: Geben Sie die Zertifikatsvorlage ein, die Sie für Ihre Umgebung nutzen möchten. Der Standard-Benutzerzertifikatwert lautet "Benutzer". Der Standard-Computerzertifikatwert lautet "Computer".
  • Schwellenwert Benachrichtigung Zertifikatsablauf: Dies ist ein ganzzahliger Wert, der festlegt, wie viele Tage vor Zertifikatsablauf in macOS eine entsprechende Meldung angezeigt wird. Der Wert muss höher sein als 14 und geringer als die maximale Lebensdauer des Zertifikats in Tagen.
  • RSA-Schlüsselgröße: Dies ist ein ganzzahliger Wert für die Größe des privaten Schlüssels, mit dem die CSR-Anforderung (Certificate Signing Request) signiert wird. Mögliche Werte sind etwa 1024, 2048, 4096 usw. Die ausgewählte Vorlage, die von Ihrer Zertifizierungsstelle definiert wird, hilft Ihnen beim Bestimmen des zu verwendenden Größenwerts.
  • Anmeldedaten verlangen: Für Computerzertifikate können Sie diese Option ignorieren. Für Benutzerzertifikate gilt diese Einstellung nur, wenn Sie für die Bereitstellung des Profils die Option "Manueller Download" auswählen. Nach der Installation des Profils wird der Benutzer nach seinen Anmeldedaten gefragt.
  • Benutzername: Für Computerzertifikate können Sie dieses Feld ignorieren. Bei Benutzerzertifikaten ist es optional. Ggf. können Sie einen AD-Benutzernamen als Grundlage für das angeforderte Zertifikat eingeben.
  • Passwort: Für Computerzertifikate können Sie dieses Feld ignorieren. Bei Benutzerzertifikaten geben Sie ggf. das Kennwort für den entsprechenden AD-Benutzernamen ein.

Ein Computerzertifikat anfordern

Vergewissern Sie sich, dass Sie macOS Server mit AD-Anbindung verwenden und der Profil-Manager-Dienst für die Geräteverwaltung aktiviert ist.

Verwenden Sie eine unterstützte Kombination von AD-Zertifikatsprofilen.

  • Nur Computerzertifikate werden automatisch an einen Client mit OS X Mountain Lion oder neuer geliefert.
  • In ein Netzwerkprofil integriertes Zertifikat zur EAP-TLS 802.1x-Authentifizierung
  • Ein in ein VPN-Profil integriertes Zertifikat zur computergestützten Zertifikatsauthentifizierung
  • Ein in das Netzwerk/EAP-TLS-Profil und das VPN-Profil integriertes Zertifikat

Eine Profil-Manager-Payload bereitstellen

  1. Binden Sie den Client mit OS X Mountain Lion an AD an. Sie können die Anbindung des Client über ein Profil, die Benutzeroberfläche des Client oder die Befehlszeilenschnittstelle des Client durchführen.
  2. Installieren Sie das Zertifikat der ausstellenden Zertifizierungsstelle oder ein anderes ZS-Zertifikat auf dem Client, um sicherzustellen, dass dieser über eine vollständige Vertrauenskette verfügt. Sie können es auch über ein Profil installieren.
  3. Stellen Sie das AD-Zertifikatsprofil für das Geräte- oder Gerätegruppenprofil über automatischen Push oder über manuellen Download bereit.

  4. Wenn Sie sich für den automatischen Push entscheiden, können Sie den Client über die Geräteverwaltung des Profil-Managers von macOS Server registrieren.
  5. Definieren Sie die Payload des AD-Zertifikats für ein angemeldetes Gerät oder eine Gerätegruppe. Die Beschreibungen der Payload-Felder finden Sie oben im Abschnitt "Payload-Details".

  6. Sie können für dasselbe Geräte- oder Gerätegruppenprofil eine Netzwerk-Payload für kabelgebundene oder kabellose TLS definieren. Als Anmeldedaten verwenden Sie die konfigurierte AD-Zertifikats-Payload. Sie können eine Payload für entweder WLAN oder Ethernet definieren.

  7. Definieren Sie über ein Gerät oder eine Gerätegruppe ein IPSec (Cisco)-VPN-Profil. Als Anmeldedaten verwenden Sie die konfigurierte AD-Zertifikats-Payload.


    • Zertifikatsbasierte Computerauthentifizierung wird nur für IPSec-VPN-Tunnel unterstützt. Andere VPN-Arten erfordern andere Authentifizierungsmethoden.
    • Sie können das Feld für den Accountnamen mit Platzhaltern ausfüllen.
  8. Sichern Sie das Profil. Bei automatischem Push wird das Profil über das Netzwerk auf dem angemeldeten Computer bereitgestellt. Das AD-Zertifikat greift beim Ausfüllen der CSR-Anfrage auf die AD-Anmeldedaten des Computers zurück.
  9. Wenn Sie den manuellen Download verwenden, stellen Sie vom Client aus eine Verbindung zum Benutzerportal des Profil-Managers her.
  10. Installieren Sie das verfügbare Geräte- oder das Gerätegruppenprofil.
  11. Vergewissern Sie sich, dass der neue private Schlüssel und das Zertifikat sich auf dem Client nun im System-Schlüsselbund befinden.

Sie können ein Geräteprofil bereitstellen, das Zertifikats-, Verzeichnis-, AD-Zertifikats-, Netzwerk (TLS)- und VPN-Payloads kombiniert. Der Client verarbeitet die Payloads in der richtigen Reihenfolge, um sicherzustellen, dass jede Payload-Aktion erfolgreich ausgeführt wird.

Ein Benutzerzertifikat anfordern

Vergewissern Sie sich, dass Sie macOS Server mit AD-Anbindung verwenden und der Profil-Manager-Dienst für die Geräteverwaltung aktiviert ist.

Verwenden Sie eine unterstützte Kombination von AD-Zertifikatsprofilen.

  • In OS X Mountain Lion werden ausschließlich Benutzerzertifikate automatisch an Clients geliefert.
  • In das Netzwerkprofil integriertes Zertifikat zur EAP-TLS 802.1x-Authentifizierung

Eine Profil-Manager-Payload bereitstellen

  1. Binden Sie den Client an AD an. Sie können die Anbindung des Client über ein Profil, die Benutzeroberfläche des Client oder die Befehlszeilenschnittstelle des Client durchführen.
  2. Aktivieren Sie die mobile AD-Accounterstellung auf dem Client gemäß der Richtlinie Ihrer Umgebung. Sie können diese Funktion über ein Profil (Mobility), die Benutzeroberfläche auf dem Client oder die Befehlszeile des Client aktivieren, z. B.:
    sudo dsconfigad -mobile enable
    
  3. Installieren Sie das Zertifikat der ausstellenden Zertifizierungsstelle oder ein anderes ZS-Zertifikat auf dem Client, um sicherzustellen, dass dieser über eine vollständige Vertrauenskette verfügt. Sie können es auch über ein Profil installieren.
  4. Stellen Sie das AD-Zertifikatsprofil für das AD-Benutzer- oder das Benutzergruppenprofil über automatischen Push oder über manuellen Download bereit. Sie müssen dem Profil-Manager Dienstzugriff auf den Benutzer oder die Gruppe gewähren.


  5. Wenn Sie automatischen Push wählen, können Sie den Client über die Geräteverwaltung des Profil-Managers von macOS Server anmelden. Verknüpfen Sie den Client-Computer mit dem oben genannten AD-Benutzer.
  6. Definieren Sie die AD-Zertifikats-Payload für das gleiche AD-Benutzer- oder Benutzergruppenprofil. Die Beschreibungen der Payload-Felder finden Sie unter Payload-Details.

  7. Sie können für dasselbe AD-Benutzer- oder Benutzergruppenprofil eine Netzwerk-Payload für kabelgebundene oder kabellose TLS definieren. Als Anmeldedaten verwenden Sie die konfigurierte AD-Zertifikats-Payload. Sie können die Payload für entweder WLAN oder Ethernet definieren.


  8. Melden Sie sich über den AD-Benutzeraccount am Client an, der Zugriff auf den Dienst "Profil-Manager" bietet. Mit automatischem Push erhalten Sie bei Anmeldung das notwendige Kerberos Ticket Granting Ticket (TGT). Das TGT dient als Identitätsvorlage für das angeforderte Benutzerzertifikat.
  9. Wenn Sie den manuellen Download verwenden, stellen Sie eine Verbindung zum Benutzerportal des Profil-Managers her.
  10. Installieren Sie das verfügbare Benutzer- oder Benutzergruppenprofil.
  11. Geben Sie bei entsprechender Aufforderung den Benutzernamen und das zugehörige Passwort ein.
  12. Starten Sie die Schlüsselbundverwaltung. Vergewissern Sie sich, dass der Anmeldeschlüsselbund einen privaten Schlüssel und das von der Microsoft ZS ausgestellte Benutzerzertifikat enthält.

Sie können ein Benutzerzertifikat bereitstellen, das Zertifikat, AD-Zertifikat und Netzwerk (TLS) kombiniert. Clients unter OS X Mountain Lion oder neuer verarbeiten die Payloads in der richtigen Reihenfolge, um sicherzustellen, dass jede Payload-Aktion erfolgreich ausgeführt wird.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: