Een certificaat van een Microsoft Certificate Authority aanvragen

Lees hier hoe u een certificaat aanvraagt met DCE/RPC en de profiel-payload van het Active Directory-certificaat.

In OS X Mountain Lion en hoger kunt u het DCE/RPC-protocol gebruiken. Met DCE/RPC hebt u geen online Certificate Authority (CA) nodig. Daarnaast biedt DCE/RPC meer flexibiliteit bij het kiezen van een sjabloon voor het aanmaken van het certificaat.

OS X Mountain Lion en hoger ondersteunt certificaatprofielen voor Active Directory (AD) in de web-UI van Profielbeheer. U kunt AD-certificaatprofielen automatisch of via handmatige download voor computers of gebruikers implementeren op client-apparaten.

Lees hier meer over het vernieuwen van certificaten op basis van profielen in macOS.

Netwerk- en systeemvereisten

  • Een geldig AD-domein
  • Een werkend Microsoft AD Certificate Services CA
  • Een clientsysteem in OS X Mountain Lion of hoger dat is gekoppeld aan AD

Implementatie van profiel

OS X Mountain Lion en hoger ondersteunen configuratieprofielen. Met profielen kunt u tal van systeem- en accountinstellingen definiëren.

Er zijn verschillende methoden voor het leveren van profielen aan macOS-clients. De belangrijkste methode om profielen te leveren is Profielbeheer in macOS Server te gebruiken. In OS X Mountain Lion of hoger zijn er nog andere methoden beschikbaar. U kunt bijvoorbeeld dubbelklikken op een .mobileconfig-bestand in de Finder of een MDM-server (Mobile Device Management) van een andere leverancier gebruiken.

Details van de payload

De interface van Profielbeheer voor het definiëren van de payload van een AD-certificaat bevat de volgende velden.

  • Beschrijving: voer een korte omschrijving in van de payload van het profiel.
  • Certificaatserver: vul de volledig gekwalificeerde hostnaam van uw CA in. Zet geen 'http://' voor de hostnaam.
  • Certificaatautoriteit: vul de korte naam van uw CA in. Deze waarde kan worden bepaald via de CN van de AD-vermelding: CN=<naam van uw CA>, CN=Certificaatautoriteiten, CN=Public Key Services, CN=Services, CN=Configuration, <uw basis-DN>
  • Certificaatsjabloon: voer de naam in van de gewenste certificaatsjabloon voor uw omgeving.De standaardwaarde van een gebruikerscertificaat is 'Gebruiker'. De standaardwaarde van een computercertificaat is 'Computer'.
  • Kennisgevingsdrempel voor het verlopen van een certificaat: dit is de waarde (geheel getal) die het aantal dagen aangeeft voordat het certificaat verloopt. In macOS wordt een kennisgeving van het verlopen weergegeven. De waarde moet groter zijn dan 14 en kleiner dan de maximale levensduur van het certificaat, in dagen.
  • RSA sleutelgrootte: dit is de waarde (geheel getal) voor de grootte van de private sleutel waarmee de certificaataanvraag (CSR) wordt ondertekend. Mogelijke waarden zijn 1024, 2048, 4096 enzovoort. In de gekozen sjabloon, die in uw CA is gedefinieerd, kunt u de waarde van de sleutelgrootte bepalen die u wilt gebruiken.
  • Vraag om inloggegevens: negeer deze optie voor computercertificaten. Voor gebruikerscertificaten is deze instelling alleen van toepassing als u Handmatige download hebt gekozen om een profiel te leveren. De gebruiker wordt gevraagd inloggegevens in te voeren wanneer het profiel wordt geïnstalleerd.
  • Gebruikersnaam: negeer dit veld voor computercertificaten. Voor gebruikerscertificaten is het veld optioneel. U kunt een AD-gebruikersnaam opgeven als basis voor het aangevraagde certificaat.
  • Wachtwoord: negeer dit veld voor computercertificaten. Voor gebruikerscertificaten kunt u het wachtwoord opgeven dat is gekoppeld aan de AD-gebruikersnaam, als u deze hebt ingevoerd.

Computercertificaat aanvragen

Zorg ervoor dat u macOS Server gebruikt waarop de service Profielbeheer is ingeschakeld voor Apparaatbeheer en is gekoppeld aan AD.

Gebruik een ondersteunde combinatie van AD-certificaatprofielen

  • Alleen computer-/machinecertificaat, automatisch geleverd aan een client op OS X Mountain Lion of hoger
  • Certificaat geïntegreerd in een netwerkprofiel voor EAP-TLS 802.1x-identiteitscontrole
  • Certificaat geïntegreerd in een VPN-profiel voor identiteitscontrole via het computercertificaat
  • Certificaat geïntegreerd in zowel het Network/EAP-TLS- als VPN-profielen

Implementatie van een payload in Profielbeheer

  1. Koppel de client met OS X Mountain Lion of hoger aan AD. U kunt de koppeling tot stand brengen met behulp van een profiel, de GUI op de client of CLI op de client.
  2. Installeer de verlenende CA of het andere CA-certificaat op de client om ervoor te zorgen dat de client een complete vertrouwensketen heeft. U kunt ook een profiel gebruiken om de CA te installeren.
  3. Bepaal of het AD-certificaatprofiel wordt geleverd via de automatische pushfunctie of handmatige download voor het apparaat- of apparaatgroepsprofiel.

  4. Als u kiest voor de automatische pushfunctie, kunt u Apparaatbeheer in Profielbeheer van macOS Server gebruiken om de client in te schrijven.
  5. Definieer de payload van het AD-certificaat voor een ingeschreven apparaat of apparaatgroep. Raadpleeg de omschrijvingen van de payloadvelden in de sectie 'Details van de payload' hierboven.

  6. U kunt een netwerkpayload definiëren voor bekabelde of draadloze TLS voor hetzelfde apparaat- of apparaatgroepsprofiel. Selecteer de geconfigureerde payload van het AD-certificaat als de inloggegevens. De payload kan voor wifi of Ethernet worden gedefinieerd.

  7. Definieer een IPSec (Cisco) VPN-profiel via apparaat of apparaatgroep. Selecteer de geconfigureerde payload van het AD-certificaat als de inloggegevens.


    • Machinale identiteitscontrole op basis van een certificaat wordt alleen ondersteund voor IPSec VPN-tunnels. Andere VPN-typen vereisen andere methoden voor identiteitscontrole.
    • Het veld accountnaam kan met een tijdelijke aanduiding worden ingevuld.
  8. Bewaar het profiel. Met de automatische pushfunctie wordt het profiel op de ingeschreven computer geïmplementeerd via het netwerk. Het AD-certificaat gebruikt de AD-inloggegevens van de computer om de certificaataanvraag (CSR) in te vullen.
  9. Als u handmatige download gebruikt, maakt u vanuit de client verbinding met de gebruikersportal van Profielbeheer.
  10. Installeer het beschikbare apparaat- of apparaatgroepsprofiel.
  11. Controleer of de nieuwe private sleutel en het certificaat nu worden bewaard in de systeemsleutelhanger op de client.

U kunt een apparaatprofiel implementeren waarin de payloads van certificaat, Directory, AD-certificaat, Network (TLS) en VPN zijn gecombineerd. De client verwerkt de payloads in de juiste volgorde om ervoor te zorgen dat elke payload-actie wordt uitgevoerd.

Gebruikerscertificaat aanvragen

Zorg ervoor dat u macOS Server gebruikt waarop de service Profielbeheer is ingeschakeld voor Apparaatbeheer en is gekoppeld aan AD.

Gebruik een ondersteunde combinatie van AD-certificaatprofielen

  • Alleen gebruikerscertificaat, automatisch geleverd aan clients met OS X Mountain Lion of hoger
  • Certificaat geïntegreerd in het netwerkprofiel voor EAP-TLS 802.1x-identiteitscontrole

Implementatie van een payload in Profielbeheer

  1. Koppel de client aan AD. U kunt de koppeling tot stand brengen met behulp van een profiel, de GUI op de client of CLI op de client.
  2. Schakel mobiele account aanmaken voor AD in op de client, conform het beleid van uw omgeving. U kunt deze functie inschakelen met een profiel (Mobiliteit), via de GUI op de client of met een commandoregel op de client, zoals:
    sudo dsconfigad -mobile enable
    
  3. Installeer de verlenende CA of het andere CA-certificaat op de client om ervoor te zorgen dat de client een complete vertrouwensketen heeft. U kunt ook een profiel gebruiken om de CA te installeren.
  4. Bepaal of het AD-certificaatprofiel wordt geleverd via de automatische pushfunctie of handmatige download voor het apparaat- of apparaatgroepsprofiel. U moet de gebruiker of de groep toegang verlenen tot de voorziening Profielbeheer.


  5. Als u kiest voor de automatische pushfunctie, kunt u Apparaatbeheer in Profielbeheer van macOS Server gebruiken om de client in te schrijven. Koppel de clientcomputer aan de bovengenoemde AD-gebruiker.
  6. Definieer de payload van het AD-certificaat voor dezelfde AD-gebruiker of hetzelfde groepsprofiel. Raadpleeg de omschrijvingen van de payloadvelden in 'Details van de payload'.

  7. U kunt een netwerkpayload definiëren voor bekabelde of draadloze TLS voor dezelfde AD-gebruiker of hetzelfde groepsprofiel. Selecteer de geconfigureerde payload van het AD-certificaat als de inloggegevens. De payload kan voor wifi of Ethernet worden gedefinieerd.


  8. Log in bij de client met de AD-gebruikersaccount die toegang heeft tot de voorziening Profielbeheer. Met de automatische pushfunctie verkrijgt u na inloggen de vereiste Kerberos Ticket Granting Ticket (TGT). De TGT dient als de identiteitssjabloon voor het aangevraagde gebruikerscertificaat.
  9. Als u handmatige download gebruikt, maakt u verbinding met de gebruikersportal van Profielbeheer.
  10. Installeer het beschikbare gebruikers- of groepsprofiel.
  11. Voer de gebruikersnaam en wachtwoord in als u hierom wordt gevraagd.
  12. Start Sleutelhangertoegang. Controleer of de inlogsleutelhanger een private sleutel en gebruikerscertificaat bevat die zijn uitgereikt door Microsoft CA.

U kunt een gebruikersprofiel implementeren waarin de payloads van certificaat, AD-certificaat en Network (TLS) zijn gecombineerd. Clients met OS X Mountain Lion of hoger verwerken de payloads in de juiste volgorde om ervoor te zorgen dat elke payload-actie wordt uitgevoerd.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: