Tanúsítvány igénylése egy Microsoft tanúsítványkiadó hatóságtól

A cikk ismerteti a tanúsítvány igénylésének menetét a DCE/RPC és az Active Directory tanúsítványprofil-adatcsomag segítségével.

Az OS X Mountain Lion és újabb rendszerekben használhatja a DCE/RPC protokollt. A DCE/RPC esetén nincs szükség webes tanúsítványkiadó hatóságra (CA). A DCE/RPC továbbá több rugalmasságot is biztosít a tanúsítványt létrehozó sablon kiválasztása során.

Az OS X Mountain Lion és az újabb rendszerek támogatják az Active Directory (AD) tanúsítványprofilokat a Profile Manager webes felületén. A számítógépes és felhasználói AD-tanúsítványprofilok automatikus és manuális letöltéssel telepíthetők a klienskészülékekre.

Ezzel kapcsolatban bővebb tájékoztatást a Profilalapú tanúsítványmegújítás a macOS rendszerben c. cikkben talál.

Hálózati és rendszerkövetelmények

  • Érvényes AD-tartomány
  • Működő Microsoft AD-tanúsítványszolgáltatási CA
  • OS X Mountain Lion vagy újabb kliensrendszer, amely AD szolgáltatáshoz kapcsolódik

A profil telepítése

Az OS X Mountain Lion és az újabb rendszerek támogatják a konfigurációs profilokat. Ezekkel a profilokkal meghatározhatja a rendszer és a fiók számos beállítását.

Számos módon továbbíthatja a profilokat a macOS-kliensekhez. Az elsődleges módszer a macOS Server Profile Manager használata. Az OS X Mountain Lion és újabb rendszerekben más módszerekkel is próbálkozhat. Például kattintson duplán a Finderben a .mobileconfig fájlra, illetve használhat külső fejlesztésű MDM (Mobile Device Management)-kiszolgálót is.

Az adatcsomag részletes adatai

Az AD tanúsítvány-adatcsomagot a Profile Manager felületén határozhatja meg, amely az alábbi mezőket tartalmazza.

  • Description (Leírás): Itt megadhat egy rövid leírást a profiladatcsomaghoz.
  • Certificate Server (Tanúsítványkiszolgáló): Adja meg a CA teljesen minősített állomásnevét. Az állomásnév elé ne írja be a „http://” tagot.
  • Certificate Authority (Tanúsítványkiadó hatóság): Adja meg a CA rövid nevét. Az érték az AD-bejegyzésben található CN alapján állapítható meg: CN=<a tanúsítványkiadó neve>, CN=Tanúsítványkiadók, CN=Nyilvánoskulcs-szolgáltatások, CN=Szolgáltatások, CN=Konfiguráció, <alap megkülönböztető név>
  • Certificate Template (Tanúsítványsablon): Adja meg az adott környezetben használni kívánt tanúsítványsablont. A felhasználói tanúsítvány alapértelmezett értéke a „User” (Felhasználó). A számítógépes tanúsítvány alapértelmezett értéke a Machine (Gép).
  • Certificate Expiration Notification Threshold (A tanúsítvány lejáratáról szóló értesítés időpontja): Ez az érték csak egész szám lehet, és azt határozza meg, hogy a macOS a tanúsítvány lejárata előtt hány nappal jelenítsen meg erre vonatkozó értesítést. Az értéknek 14-nél többnek kell lennie, illetve a tanúsítvány napokban kifejezett teljes hosszánál kevesebbnek kell lennie.
  • RSA Key Size (RSA kulcs mérete): Annak a magánkulcsnak az egész számban kifejezett értéke, amely a tanúsítvány-aláírási kérés (CSR) aláírására szolgál. Lehetséges értékek: 1024, 2048, 4096 stb. A CA által meghatározott, kiválasztott sablon segít meghatározni a kulcs méretét.
  • Prompt for credentials (Hitelesítő adatok kérése): A számítógépes tanúsítványok esetén figyelmen kívül hagyhatja ezt a beállítást. A felhasználói tanúsítványok esetén a beállítás csak akkor érvényesül, ha a Manual Download (Manuális letöltés) módszert választotta ki a profiltovábbításhoz. Ez esetben a felhasználó felszólítást kap a hitelesítő adatok megadására a profil telepítésekor.
  • Username (Felhasználónév): A számítógépes tanúsítványok esetén figyelmen kívül hagyhatja ezt a beállítást. A felhasználói tanúsítványok esetén a mező kitöltése opcionális. Megadhat egy AD-felhasználónevet, amely a kért tanúsítvány alapjául szolgál.
  • Password (Jelszó): A számítógépes tanúsítványok esetén figyelmen kívül hagyhatja ezt a beállítást. A felhasználói tanúsítványok esetén adja meg az AD-felhasználónévhez esetlegesen megadott jelszót.

Számítógépes tanúsítvány igénylése

Győződjön meg arról, hogy olyan macOS Servert használ, amelyben a Profile Manager szolgáltatás esetén aktiválva van a Device Management, és amely csatlakozik az AD szolgáltatáshoz.

Az AD-tanúsítvány támogatott profilkombinációját használja

  • Kizárólag számítógépes/gépi tanúsítvány, amelyet a rendszer automatikusan továbbít az OS X Mountain Lion vagy újabb rendszert futtató kliensekre
  • Hálózati profilba integrált tanúsítvány EAP-TLS 802.1x hitelesítéshez
  • VPN-profilba integrált tanúsítvány gépalapú tanúsítványhitelesítéshez
  • Hálózati/EAP-TLS- és VPN-profilokba integrált tanúsítvány

Adatcsomag telepítése a Profile Manager segítségével

  1. Csatlakoztassa az OS X Mountain Lion vagy újabb rendszert futtató klienst az AD-hez. A kliens csatlakoztatását a profil, a kliensen megtalálható GUI, vagy a kliensen megtalálható CLI segítségével hajthatja végre.
  2. Telepítse a kiállító CA tanúsítványát vagy egyéb CA tanúsítványt a kliensre annak biztosítása érdekében, hogy teljes megbízhatósági lánccal rendelkezzen. A telepítéshez használhat egy profilt is.
  3. Válassza ki, hogy a rendszer az Automatic Push (Automatikus push továbbítás) vagy a Manual Download (Manuális letöltés) módszerrel továbbítsa az AD-tanúsítványprofilt a készülék- vagy készülékcsoport-profilra.

  4. Ha az Automatic Push lehetőséget választja, a kliens regisztrációjához használhatja a macOS Server Profile Manager Device Management szolgáltatását.
  5. Határozza meg az AD tanúsítvány-adatcsomagot a regisztrált készülék vagy készülékcsoport esetén. Az adatcsomag mezőinek leírását a fenti „Az adatcsomag részletes adatai” című részben találja meg.

  6. Határozza meg a hálózati adatcsomagot a vezetékes vagy vezeték nélküli TLS-hez ugyanahhoz a készülékprofilhoz vagy készülékcsoport-profilhoz. Válassza ki a konfigurált AD tanúsítvány-adatcsomagot hitelesítő adatként. Az adatcsomagot Wi-Fi- vagy Ethernet-kapcsolaton keresztül is meghatározhatja.

  7. Határozzon meg egy IPSec (Cisco) VPN-profilt egy készüléken vagy készülékcsoporton keresztül. Válassza ki a konfigurált AD tanúsítvány-adatcsomagot hitelesítő adatként.


    • A tanúsítványalapú géphitelesítést csak az IPSec VPN-csatornákhoz támogatja a rendszer. Az egyéb VPN-típusokhoz más típusú hitelesítési módszerre van szükség.
    • A fióknév mezőjében megadható egy helyőrző karakterlánc.
  8. Mentse a profilt. Az Automatic push funkcióval a rendszer a hálózaton keresztül telepíti a profilt a regisztrált számítógépre. Az AD-tanúsítvány a számítógép AD-hitelesítési adatait használja a CSR kitöltéséhez.
  9. Manuális letöltés esetén csatlakozzon a Profile Manager felhasználói portáljához a kliensről.
  10. Telepítse a rendelkezésre álló készülék- vagy készülékcsoport-profilt.
  11. Ellenőrizze, hogy az új titkos kulcs és a tanúsítvány megtalálható-e a Rendszer kulcskarikán a kliensen.

Certificate (Tanúsítvány), Directory (Címtár), AD Certificate (AD-tanúsítvány), Network (TLS) (Hálózat – TLS) és VPN-adatcsomagokat kombináló készülékprofil telepíthető. A kliens a megfelelő sorrendben dolgozza fel az adatcsomagokat, ezzel biztosítva, hogy az adatcsomagokkal végzett műveletek sikeresen végbemenjenek.

Felhasználói tanúsítvány igénylése

Győződjön meg arról, hogy olyan macOS Servert használ, amelyben a Profile Manager szolgáltatás esetén aktiválva van a Device Management, és amely csatlakozik az AD szolgáltatáshoz.

Az AD-tanúsítvány támogatott profilkombinációját használja

  • Kizárólag felhasználói tanúsítvány, amelyet a rendszer automatikusan továbbít az OS X Mountain Lion vagy újabb rendszert futtató kliensekre
  • Hálózati profilba integrált tanúsítvány EAP-TLS 802.1x hitelesítéshez

Adatcsomag telepítése a Profile Manager segítségével

  1. Csatlakoztassa a klienst az AD-hez. A kliens csatlakoztatását a profil, a kliensen megtalálható GUI, vagy a kliensen megtalálható CLI segítségével hajthatja végre.
  2. Engedélyezze az AD-mobilfiók létrehozását a kliensen az adott környezet házirendje szerint. A funkció profil (Mobility), a kliensen megtalálható GUI, vagy a kliensen megtalálható parancssor segítségével aktiválható, például:
    sudo dsconfigad -mobile enable
    
  3. Telepítse a kiállító CA tanúsítványát vagy egyéb CA tanúsítványt a kliensre annak biztosítása érdekében, hogy teljes megbízhatósági lánccal rendelkezzen. A telepítéshez használhat egy profilt is.
  4. Válassza ki, hogy a rendszer az Automatic Push (Automatikus push továbbítás) vagy a Manual Download (Manuális letöltés) módszerrel továbbítsa az AD-tanúsítványprofilt az AD-felhasználóhoz vagy -csoportprofilhoz. A Profile Manager szolgáltatás részére hozzáférést kell biztosítania a felhasználóhoz vagy a csoporthoz.


  5. Ha az Automatic Push lehetőséget választja, a kliens regisztrációjához használhatja a macOS Server Profile Manager Device Management szolgáltatását. Rendelje hozzá a kliensgépet a fent említett AD-felhasználóhoz.
  6. Határozza meg az AD tanúsítvány-adatcsomagot ugyanahhoz az AD-felhasználóhoz vagy -csoportprofilhoz. Az adatcsomag mezőinek leírását az Az adatcsomag részletes adatai című részben találja meg.

  7. Határozza meg a hálózati adatcsomagot a vezetékes vagy vezeték nélküli TLS-hez ugyanahhoz az AD-felhasználóhoz vagy -csoportprofilhoz. Válassza ki a konfigurált AD tanúsítvány-adatcsomagot hitelesítő adatként. Az adatcsomagot Wi-Fi- vagy Ethernet-kapcsolaton keresztül is meghatározhatja.


  8. Jelentkezzen be a kliensbe azzal az AD-felhasználói fiókkal, amelynek hozzáférése van a Profile Manager szolgáltatáshoz. Az Automatic push használata esetén a bejelentkezéskor megkapja a szükséges Kerberos jegymegadási jegyet (TGT). A TGT szolgál azonosítósablonként a kért felhasználói tanúsítvány esetén.
  9. Manuális letöltés esetén csatlakozzon a Profile Manager felhasználói portáljához.
  10. Telepítse a rendelkezésre álló felhasználó- vagy csoportprofilt.
  11. Adja meg a felhasználónevet és a jelszót, ha a rendszer felszólította erre.
  12. Nyissa meg a Kulcskarika-elérés segédprogramot. Ellenőrizze, hogy a „bejelentkezés” kulcskarika tartalmazza-e a titkos kulcsot és a Microsoft CA által kiadott felhasználói tanúsítványt.

Certificate (Tanúsítvány), AD Certificate (AD-tanúsítvány), Network (TLS) (Hálózat – TLS) elemeket kombináló felhasználói profil telepíthető. Az OS X Mountain Lion vagy újabb rendszert futtató kliensek a megfelelő sorrendben dolgozzák fel az adatcsomagokat, ezzel biztosítva, hogy az adatcsomagokkal végzett műveletek sikeresen végbemenjenek.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: