Meminta sertifikat dari Otoritas Sertifikat Microsoft

Pelajari cara menggunakan DCE/RPC dan muatan profil Sertifikat Direktori Aktif untuk meminta sertifikat.

Dengan OS X Mountain Lion dan versi lebih baru, Anda dapat menggunakan protokol DCE/RPC. Dengan DCE/RPC, Anda tidak memerlukan CA (Otoritas sertifikat) yang diaktifkan web. DCE/RPC juga menawarkan fleksibilitas lebih tinggi bila Anda memilih template yang membuat sertifikat tersebut.

OS X Mountain Lion dan versi lebih baru mendukung profil Sertifikat AD (Active Directory) di UI web Manajer Profil. Anda dapat menerapkan profil AD pengguna atau komputer ke perangkat klien secara otomatis atau melalui unduhan manual.

Pelajari lebih lanjut tentang pembaruan sertifikat berbasis Profil di macOS.

Persyaratan jaringan dan sistem

  • Domain AD yang valid
  • CA Layanan Sertifikat AD Microsoft aktif
  • Sistem klien OS X Mountain Lion atau versi lebih baru terkait AD

Penerapan Profil

OS X Mountain Lion versi lebih baru mendukung profil konfigurasi. Anda dapat menggunakan profil untuk menentukan beberapa pengaturan sistem dan akun.

Anda dapat mengirim berbagai profil ke klien macOS dengan beberapa cara. Metode pengiriman utama adalah Manajer Profil Server macOS. Di OS X Mountain Lion atau versi lebih baru, Anda dapat menggunakan beberapa metode lainnya. Anda dapat mengklik dua kali file .mobileconfig di Finder, atau menggunakan server MDM (Manajemen Perangkat Seluler) pihak ketiga.

Detail muatan

Antarmuka Manajer Profil yang memungkinkan Anda menentukan muatan Sertifikat AD berisi bidang yang ditampilkan berikut.

  • Deskripsi: Masukkan deskripsi singkat muatan profil.
  • Server Sertifikat: Masukkan nama host resmi lengkap CA Anda. Jangan ketik “http://“ sebelum nama host.
  • Otoritas Sertifikat: Masukkan nama singkat CA Anda. Anda dapat menentukan nilai ini dari CN entri AD: CN=<nama CA Anda>, CN=Otoritas Sertifikat, CN=Layanan Utama Publik, CN=Layanan, CN=Konfigurasi, <dasar DN Anda>
  • Template Sertifikat: Masukkan template sertifikat yang diinginkan di lingkungan Anda. Nilai sertifikat pengguna default adalah Pengguna. Nilai sertifikat komputer default adalah Perangkat.
  • Ambang Pemberitahuan Kedaluwarsa Sertifikat: Ini adalah nilai integer yang menentukan jumlah hari sebelum sertifikat kedaluwarsa dan macOS menampilkan pemberitahuan kedaluwarsa. Nilai harus lebih dari 14 dan kurang dari masa berlaku maksimum sertifikat dalam hari.
  • Ukuran Kunci RSA: Ini adalah nilai integer untuk ukuran kunci pribadi yang menandatangani CSR (permintaan tanda tangan sertifikat) Kemungkinan nilai mencakup 1024, 2048, 4096, dan seterusnya. Template terpilih, yang ditentukan di CA, akan membantu menentukan nilai ukuran kunci yang akan digunakan.
  • Perintah untuk kredensial: Untuk sertifikat komputer, abaikan pilihan ini. Untuk sertifikat pengguna, pengaturan ini hanya berlaku jika Anda memilih Unduh Manual untuk pengiriman profil. Bila profil diinstal, pengguna akan diminta memasukkan kredensial.
  • Nama pengguna: Untuk sertifikat komputer, abaikan bidang ini. Untuk sertifikat pengguna, bidang ini opsional. Anda dapat memasukkan nama pengguna AD sebagai basis untuk sertifikat yang diminta.
  • Kata Sandi: Untuk sertifikat komputer, abaikan bidang ini. Untuk sertifikai pengguna, masukkan kata sandi yang terkait dengan nama pengguna AD, jika dimasukkan.

Meminta sertifikat komputer

Pastikan Anda menggunakan Server macOS dengan mengaktifkan layanan Manajer Profil untuk Manajemen Perangkat dan terkait AD.

Menggunakan kombinasi profil Sertifikat AD yang didukung

  • Hanya sertifikat komputer/perangkat, secara otomatis dikirim ke klien OS X Mountain Lion atau versi lebih baru
  • Sertifikat yang terintegrasi ke Profil jaringan untuk pengesahan EAP-TLS 802.1x
  • Sertifikat yang terintegrasi ke profil VPN untuk pengesahan sertifikat berbasis perangkat
  • Sertifikat yang terintegrasi ke Profil Jaringan/EAP-TLS dan VPN

Terapkan muatan Manajer Profil

  1. Ikat OS X Mountain Lion atau klien versi lebih baru ke AD. Anda dapat menggunakan profil, GUI pada klien, atau CLI pada klien untuk mengikat klien.
  2. Instal CA yang diterbitkan atau sertifikat CA lainnya pada klien untuk memastikan klien memiliki rantai kepercayaan yang lengkap. Anda juga dapat menggunakan salah satu profil untuk menginstalnya.
  3. Pilih untuk mengirim profil Sertifikat AD dengan Push Otomatis atau Unduh Manual untuk profil perangkat atau grup perangkat.

  4. Jika Anda memilih Push Otomatis, Anda dapat menggunakan Manajemen Perangkat Manajer Profil Server macOS untuk mendaftarkan klien.
  5. Tetapkan muatan Sertifikat AD untuk perangkat atau grup perangkat yang didaftarkan. Untuk deskripsi bidang muatan, lihat bagian "Detail Muatan" di atas.

  6. Anda dapat menentukan muatan jaringan untuk TLS berkabel atau nirkabel untuk profil perangkat atau grup perangkat yang sama. Pilih muatan Sertifikat AD terkonfigurasi sebagai kredensial. Anda dapat menetapkan muatan untuk Wi-Fi atau Ethernet.

  7. Menetapkan profil VPN IPSec (Cisco) melalui perangkat atau grup perangkat. Pilih muatan Sertifikat AD terkonfigurasi sebagai kredensial.


    • Pengesahan perangkat berbasis sertifikat hanya didukung untuk terusan VPN IPSec. Jenis VPN lainnya memerlukan metode pengesahan berbeda.
    • Anda dapat mengisi bidang nama akun dengan string placeholder.
  8. Simpan profil. Dengan Push Otomatis, profil akan diterapkan ke komputer terdaftar melalui jaringan. Sertifikat AD menggunakan kredensial AD komputer untuk mengisi CSR.
  9. Jika Anda menggunakan Unduh Manual, sambungkan ke portal pengguna Manajer Profil dari klien.
  10. Instal profil perangkat atau grup perangkat yang tersedia.
  11. Pastikan kunci pribadi baru dan sertifikat kini tersedia dalam rantai kunci Sistem pada klien.

Anda dapat menerapkan profil perangkat yang menggabungkan muatan Sertifikat, Direktori, Sertifikat AD, Jaringan (TLS), dan VPN. Klien akan memproses muatan dengan urutan yang sesuai agar semua tindakan muatan berhasil.

Meminta sertifikat pengguna

Pastikan Anda menggunakan Server macOS dengan mengaktifkan layanan Manajer Profil untuk Manajemen Perangkat dan terkait AD.

Menggunakan kombinasi profil Sertifikat AD yang didukung

  • Hanya sertifikat pengguna yang akan dikirim secara otomatis ke klien di OS X Mountain Lion atau versi lebih baru
  • Sertifikat yang terintegrasi ke Profil jaringan untuk pengesahan EAP-TLS 802.1x

Terapkan muatan Manajer Profil

  1. Ikat klien ke AD. Anda dapat menggunakan profil, GUI pada klien, atau CLI pada klien untuk mengikat klien.
  2. Aktifkan pembuatan akun seluler AD pada klien, sesuai kebijakan lingkungan Anda. Anda dapat mengaktifkan fitur ini dengan profil (Mobilitas), GUI pada klien, atau baris perintah klien seperti berikut:
    sudo dsconfigad -mobile enable
    
  3. Instal CA yang diterbitkan atau sertifikat CA lainnya pada klien untuk memastikan klien memiliki rantai kepercayaan yang lengkap. Anda juga dapat menggunakan salah satu profil untuk menginstalnya.
  4. Pilih untuk mengirim profil Sertifikat AD dengan Push Otomatis atau Unduh Manual untuk profil pengguna atau grup pengguna AD. Anda harus memberikan akses layanan Manajer Profil kepada pengguna atau grup.


  5. Jika Anda memilih Push Otomatis, Anda dapat menggunakan Manajemen Perangkat Manajer Profil Server macOS untuk mendaftarkan klien. Hubungkan komputer klien dengan pengguna AD yang disebutkan di atas.
  6. Tentukan muatan Sertifikat AD untuk profil pengguna atau grup AD. Untuk deskripsi bidang muatan, lihat Detail muatan.

  7. Anda dapat menentukan muatan jaringan untuk TLS berkabel atau nirkabel untuk profil pengguna atau grup AD. Pilih muatan Sertifikat AD terkonfigurasi sebagai kredensial. Anda dapat menetapkan muatan untuk Wi-Fi atau Ethernet.


  8. Masuk ke klien dengan akun pengguna AD yang memiliki akses ke layanan Manajer Profil. Dengan Push Otomatis, Anda akan mendapatkan Ticket Granting Ticket (TGT) Kerberos yang diperlukan saat masuk. TGT berfungsi sebagai kerangka identitas untuk sertifikat pengguna yang diminta.
  9. Jika Anda menggunakan Unduh Manual, sambungkan ke portal pengguna Manajer Profil.
  10. Instal profil pengguna atau grup yang tersedia.
  11. Jika diminta, masukkan nama pengguna dan kata sandi.
  12. Aktifkan Akses Rantai Kunci. Pastikan rantai kunci masuk berisi kunci pribadi dan sertifikat pengguna yang diterbitkan oleh Microsoft CA.

Anda dapat menerapkan profil pengguna yang menggabungkan Sertifikat, Sertifikat AD, Jaringan (TLS). Klien di OS X Mountain Lion atau versi lebih baru akan memproses muatan dalam urutan yang sesuai agar semua tindakan muatan berhasil.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: