Ez egy archivált cikk, ezért az Apple egy ideje már nem frissíti.

Tanúsítvány igénylése egy Microsoft-hitelesítésszolgáltatótól

A cikk ismerteti a tanúsítvány igénylésének menetét a DCE/RPC és az Active Directory tanúsítványprofil-adatcsomag segítségével.

Az OS X Mountain Lion és újabb rendszerekben használhatja a DCE/RPC protokollt. A DCE/RPC esetén nincs szükség webes hitelesítésszolgáltatóra (CA). A DCE/RPC továbbá több rugalmasságot is biztosít a tanúsítványt létrehozó sablon kiválasztása során.

Az OS X Mountain Lion és az újabb rendszerek támogatják az Active Directory- (AD-) tanúsítványprofilokat a Profile Manager webes felületén. A számítógépes és felhasználói AD-tanúsítványprofilok automatikus és manuális letöltéssel telepíthetők a klienskészülékekre.

Ezzel kapcsolatban bővebb tájékoztatást a Profilalapú tanúsítványmegújítás a macOS rendszerben című cikkben talál.

Hálózati és rendszerkövetelmények

  • Érvényes AD-tartomány

  • Működő Microsoft AD-tanúsítványszolgáltatási CA

  • OS X Mountain Lion vagy újabb kliensrendszer, amely AD-szolgáltatáshoz kapcsolódik

A profil telepítése

Az OS X Mountain Lion és az újabb rendszerek támogatják a konfigurációs profilokat. Ezekkel a profilokkal meghatározhatja a rendszer és a fiók számos beállítását.

Számos módon továbbíthatja a profilokat a macOS-kliensekhez. Az elsődleges módszer a macOS Server Profile Manager használata. Az OS X Mountain Lion és újabb rendszerekben más módszerekkel is próbálkozhat. Például kattinthat duplán a Finderben a .mobileconfig fájlra, illetve használhat külső fejlesztésű MDM- (Mobile Device Management-) kiszolgálót is.

Az adatcsomag részletes adatai

Az AD tanúsítvány-adatcsomagot a Profile Manager felületén határozhatja meg, amely az alábbi mezőket tartalmazza.

  • Description (Leírás): Itt megadhat egy rövid leírást a profiladatcsomaghoz.

  • Certificate Server (Tanúsítványkiszolgáló): Adja meg a CA teljesen minősített állomásnevét. Az állomásnév elé ne írja be a „http://” előtagot.

  • Certificate Authority (Hitelesítésszolgáltató): Adja meg a CA rövid nevét. Ezt az értéket az AD-bejegyzés CN-jéből határozhatja meg: CN=, CN=Certification Authorities, CN=Public Key Services, CN=Services, CN=Configuration,

  • Certificate Template (Tanúsítványsablon): Adja meg az adott környezetben használni kívánt tanúsítványsablont. A felhasználói tanúsítvány alapértelmezett értéke a „User” (Felhasználó). A számítógépes tanúsítvány alapértelmezett értéke a „Machine” (Gép).

  • Certificate Expiration Notification Threshold (A tanúsítvány lejáratáról szóló értesítés időpontja): Ez az érték csak egész szám lehet, és azt határozza meg, hogy a macOS a tanúsítvány lejárata előtt hány nappal jelenítsen meg erre vonatkozó értesítést. Az értéknek 14-nél többnek kell lennie, illetve a tanúsítvány napokban kifejezett teljes hosszánál kevesebbnek kell lennie.

  • RSA Key Size (RSA-kulcs mérete): Annak a magánkulcsnak az egész számban kifejezett értéke, amely a tanúsítvány-aláírási kérés (CSR) aláírására szolgál. Lehetséges értékek: 1024, 2048, 4096 stb. A CA által meghatározott, kiválasztott sablon segít meghatározni a kulcs méretét.

  • Prompt for credentials (Hitelesítő adatok kérése): A számítógépes tanúsítványok esetén figyelmen kívül hagyhatja ezt a beállítást. A felhasználói tanúsítványok esetén a beállítás csak akkor érvényesül, ha a Manual Download (Manuális letöltés) módszert választotta ki a profiltovábbításhoz. Ez esetben a felhasználó felszólítást kap a hitelesítő adatok megadására a profil telepítésekor.

  • Username (Felhasználónév): A számítógépes tanúsítványok esetén figyelmen kívül hagyhatja ezt a beállítást. A felhasználói tanúsítványok esetén a mező kitöltése opcionális. Megadhat egy AD-felhasználónevet, amely a kért tanúsítvány alapjául szolgál.

  • Password (Jelszó): A számítógépes tanúsítványok esetén figyelmen kívül hagyhatja ezt a beállítást. A felhasználói tanúsítványok esetén adja meg az AD-felhasználónévhez esetlegesen megadott jelszót.

Számítógépes tanúsítvány igénylése

Győződjön meg arról, hogy olyan macOS Servert használ, amelyben a Profile Manager szolgáltatás esetén aktiválva van a Device Management, és amely csatlakozik az AD szolgáltatáshoz.

Az AD-tanúsítvány támogatott profilkombinációját használja

  • Kizárólag számítógépes/gépi tanúsítvány, amelyet a rendszer automatikusan továbbít az OS X Mountain Lion vagy újabb rendszert futtató kliensekre

  • Hálózati profilba integrált tanúsítvány EAP-TLS 802.1x-hitelesítéshez

  • VPN-profilba integrált tanúsítvány gépalapú tanúsítványhitelesítéshez

  • Hálózati/EAP-TLS- és VPN-profilokba integrált tanúsítvány

Adatcsomag telepítése a Profile Manager segítségével

  1. Csatlakoztassa az OS X Mountain Lion vagy újabb rendszert futtató klienst az AD-hez. A kliens csatlakoztatását a profil, a kliensen megtalálható GUI, vagy a kliensen megtalálható CLI segítségével hajthatja végre.

  2. Telepítse a kiállító CA-tanúsítványát vagy egyéb CA-tanúsítványt a kliensre annak biztosítása érdekében, hogy teljes megbízhatósági lánccal rendelkezzen. A telepítéshez használhat egy profilt is.

  3. Válassza ki, hogy a rendszer az Automatic Push (Automatikus pushtovábbítás) vagy a Manual Download (Manuális letöltés) módszerrel továbbítsa az AD-tanúsítványprofilt a készülék- vagy készülékcsoport-profilra.

  4. Ha az Automatic Push lehetőséget választja, a kliens regisztrációjához használhatja a macOS Server Profile Manager Device Management szolgáltatását.

  5. Határozza meg az AD tanúsítvány-adatcsomagot a regisztrált készülék vagy készülékcsoport esetén. Az adatcsomag mezőinek leírását a fenti „Az adatcsomag részletes adatai” című részben találja meg.

  6. Határozza meg a hálózati adatcsomagot a vezetékes vagy vezeték nélküli TLS-hez ugyanahhoz a készülékprofilhoz vagy készülékcsoport-profilhoz. Válassza ki a konfigurált AD tanúsítvány-adatcsomagot hitelesítő adatként. Az adatcsomagot Wi-Fi- vagy Ethernet-kapcsolaton keresztül is meghatározhatja.

  7. Határozzon meg egy IPSec (Cisco) VPN-profilt egy készüléken vagy készülékcsoporton keresztül. Válassza ki a konfigurált AD tanúsítvány-adatcsomagot hitelesítő adatként.

    vpn_payloadhitelesítés

    • A tanúsítványalapú géphitelesítést csak az IPSec VPN-csatornákhoz támogatja a rendszer. Az egyéb VPN-típusokhoz más típusú hitelesítési módszerre van szükség.

    • A fióknév mezőjében megadható egy helyőrző karakterlánc.

  8. Mentse a profilt. Az Automatic Push funkcióval a rendszer a hálózaton keresztül telepíti a profilt a regisztrált számítógépre. Az AD-tanúsítvány a számítógép AD-hitelesítési adatait használja a CSR kitöltéséhez.

  9. Manuális letöltés esetén csatlakozzon a Profile Manager felhasználói portáljához a kliensről.

  10. Telepítse a rendelkezésre álló készülék- vagy készülékcsoport-profilt.

  11. Győződjön meg arról, hogy az új titkos kulcs és a tanúsítvány megtalálható a Rendszer kulcskarikán a kliensen.

Certificate (Tanúsítvány), Directory (Címtár), AD Certificate (AD-tanúsítvány), Network (TLS) (Hálózat – TLS) és VPN-adatcsomagokat kombináló készülékprofil telepíthető. A kliens a megfelelő sorrendben dolgozza fel az adatcsomagokat, ezzel biztosítva, hogy az adatcsomagokkal végzett műveletek sikeresen végbemenjenek.

Felhasználói tanúsítvány igénylése

Győződjön meg arról, hogy olyan macOS Servert használ, amelyben a Profile Manager szolgáltatás esetén aktiválva van a Device Management, és amely csatlakozik az AD szolgáltatáshoz.

Az AD-tanúsítvány támogatott profilkombinációját használja

  • Kizárólag felhasználói tanúsítvány, amelyet a rendszer automatikusan továbbít az OS X Mountain Lion vagy újabb rendszert futtató kliensekre

  • Hálózati profilba integrált tanúsítvány EAP-TLS 802.1x-hitelesítéshez

Adatcsomag telepítése a Profile Manager segítségével

  1. Csatlakoztassa a klienst az AD-hez. A kliens csatlakoztatását a profil, a kliensen megtalálható GUI, vagy a kliensen megtalálható CLI segítségével hajthatja végre.

  2. Engedélyezze az AD-mobilfiók létrehozását a kliensen az adott környezet házirendje szerint. A funkció egy profil (Mobility), a kliensen megtalálható GUI, vagy a kliensen megtalálható parancssor segítségével aktiválható, például:

    sudo dsconfigad -mobile enable

  3. Telepítse a kiállító CA-tanúsítványát vagy egyéb CA-tanúsítványt a kliensre annak biztosítása érdekében, hogy teljes megbízhatósági lánccal rendelkezzen. A telepítéshez használhat egy profilt is.

  4. Válassza ki, hogy a rendszer az Automatic Push (Automatikus push továbbítás) vagy a Manual Download (Manuális letöltés) módszerrel továbbítsa az AD-tanúsítványprofilt az AD-felhasználóhoz vagy -csoportprofilhoz. A Profile Manager szolgáltatás részére hozzáférést kell biztosítania a felhasználóhoz vagy a csoporthoz.

    payload_iconprofile_type

  5. Ha az Automatic Push lehetőséget választja, a kliens regisztrációjához használhatja a macOS Server Profile Manager Device Management szolgáltatását. Rendelje hozzá a kliensgépet a fent említett AD-felhasználóhoz.

  6. Határozza meg az AD tanúsítvány-adatcsomagot ugyanahhoz az AD-felhasználóhoz vagy -csoportprofilhoz. Az adatcsomag mezőinek leírását Az adatcsomag részletes adatai című részben találja meg.

  7. Határozza meg a hálózati adatcsomagot a vezetékes vagy vezeték nélküli TLS-hez ugyanahhoz az AD-felhasználóhoz vagy -csoportprofilhoz. Válassza ki a konfigurált AD tanúsítvány-adatcsomagot hitelesítő adatként. Az adatcsomagot Wi-Fi- vagy Ethernet-kapcsolaton keresztül is meghatározhatja.

    network_payloadprotokollok

  8. Jelentkezzen be a kliensbe azzal az AD-felhasználói fiókkal, amelynek hozzáférése van a Profile Manager szolgáltatáshoz. Az Automatic Push használata esetén a bejelentkezéskor megkapja a szükséges Kerberos jegymegadási jegyet (TGT). A TGT szolgál azonosítósablonként a kért felhasználói tanúsítvány esetén.

  9. Manuális letöltés esetén csatlakozzon a Profile Manager felhasználói portáljához.

  10. Telepítse a rendelkezésre álló felhasználó- vagy csoportprofilt.

  11. Adja meg a felhasználónevet és a jelszót, ha a rendszer felszólította erre.

  12. Nyissa meg a Kulcskarika-elérés segédprogramot. Győződjön meg arról, hogy a „bejelentkezés” kulcskarika tartalmazza a titkos kulcsot és a Microsoft CA által kiadott felhasználói tanúsítványt.

Certificate (Tanúsítvány), AD Certificate (AD-tanúsítvány), Network (TLS) (Hálózat – TLS) elemeket kombináló felhasználói profil telepíthető. Az OS X Mountain Lion vagy újabb rendszert futtató kliensek a megfelelő sorrendben dolgozzák fel az adatcsomagokat, ezzel biztosítva, hogy az adatcsomagokkal végzett műveletek sikeresen végbemenjenek.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: