การร้องขอใบรับรองจากผู้ให้บริการออกใบรับรองของ Microsoft
ดูวิธีการใช้ DCE/RPC และเพย์โหลดโปรไฟล์ใบรับรอง Active Directory เพื่อร้องขอใบรับรอง
OS X Mountain Lion และใหม่กว่า ช่วยให้คุณสามารถใช้โปรโตคอล DCE/RPC ได้ โดยในการใช้ DCE/RPC นั้น คุณไม่จำเป็นต้องใช้หน่วยงานให้บริการออกใบรับรอง (CA) ซึ่งเปิดใช้งานผ่านเว็บ นอกจากนี้ DCE/RPC ยังช่วยให้คุณมีความยืดหยุ่นมากกว่าในการเลือกเท็มเพลตสำหรับสร้างใบรับรอง
OS X Mountain Lion และใหม่กว่า รองรับโปรไฟล์ใบรับรอง Active Directory (AD) ใน UI บนเว็บของผู้จัดการโปรไฟล์ โดยคุณสามารถแจกจ่ายคอมพิวเตอร์หรือโปรไฟล์ใบรับรอง AD ของผู้ใช้ให้กับอุปกรณ์ไคลเอนต์ได้โดยอัตโนมัติ หรือผ่านการดาวน์โหลดด้วยตนเอง
ดูเพิ่มเติมเกี่ยวกับการต่ออายุใบรับรองโดยใช้โปรไฟล์ใน macOS
เครือข่ายและความต้องการของระบบ
โดเมน AD ที่ถูกต้อง
CA ที่ให้บริการออกใบรับรอง AD ของ Microsoft ที่ใช้ได้
ระบบไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า ที่เชื่อมโยงกับ AD
การแจกจ่ายโปรไฟล์
OS X Mountain Lion และใหม่กว่า รองรับโปรไฟล์การกำหนดค่า ซึ่งคุณสามารถใช้โปรไฟล์ในการกำหนดการตั้งค่าระบบและบัญชีหลายๆ ค่าได้
คุณสามารถนำส่งโปรไฟล์ไปยังไคลเอนต์ macOS ได้หลายวิธี โดยวิธีหลักในการนำส่งก็คือ ผู้จัดการโปรไฟล์ macOS Server ซึ่งใน OS X Mountain Lion หรือใหม่กว่า คุณสามารถใช้วิธีอื่น ได้ คุณสามารถดับเบิ้ลคลิกที่ไฟล์ .mobileconfig ใน Finder หรือใช้เซิร์ฟเวอร์การจัดการอุปกรณ์มือถือ (MDM) ของบริษัทอื่น
รายละเอียดเพย์โหลด
อินเทอร์เฟซผู้จัดการโปรไฟล์ที่ช่วยคุณในการกำหนดเพย์โหลดใบรับรอง AD จะมีช่องต่างๆ ดังที่แสดงไว้ด้านล่าง
คำอธิบาย: ระบุคำอธิบายสั้นๆ สำหรับเพย์โหลดโปรไฟล์
เซิร์ฟเวอร์ใบรับรอง: พิมพ์ชื่อโฮสต์ที่มีคุณสมบัติครบถ้วนของ CA ของคุณ อย่าพิมพ์ “http://“ หน้าชื่อโฮสต์
ผู้ให้บริการออกใบรับรอง: ระบุชื่อย่อของ CA ของคุณ คุณสามารถกำหนดค่านี้ได้จาก CN ของรายการ AD: CN=, CN= ผู้ให้บริการออกใบรับรอง, CN= บริการคีย์สาธารณะ, CN=บริการ, CN= การกำหนดค่า
เท็มเพลตใบรับรอง: ระบุเท็มเพลตใบรับรองที่คุณต้องการใช้ในสภาพแวดล้อมของคุณ โดยค่าใบรับรองผู้ใช้เริ่มต้นคือ "ผู้ใช้" ค่าใบรับรองคอมพิวเตอร์เริ่มต้นคือ "เครื่อง"
เกณฑ์ขั้นต่ำการแจ้งเตือนการหมดอายุของใบรับรอง: ค่านี้เป็นค่าจำนวนเต็มที่ระบุจำนวนวันก่อนที่ใบรับรองจะหมดอายุ และจำนวนวันที่ macOS แสดงการแจ้งเตือนการหมดอายุ ทั้งนี้ค่าดังกล่าวจะต้องมากกว่า 14 และน้อยกว่าระยะเวลาสูงสุดของใบรับรองในหน่วยเป็นวัน
ขนาดคีย์ RSA: ค่านี้เป็นค่าจำนวนเต็มสำหรับขนาดของคีย์ส่วนตัวที่เซ็นคำร้องขอการลงชื่อในใบรับรอง (CSR) ค่าที่เป็นไปได้ ได้แก่ 1024, 2048, 4096 เป็นต้น ทั้งนี้เท็มเพลตที่เลือกซึ่งกำหนดไว้ใน CA ของคุณจะช่วยกำหนดค่าขนาดคีย์ที่ใช้
ถามข้อมูลประจำตัว: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจตัวเลือกนี้ สำหรับใบรับรองผู้ใช้ การตั้งค่านี้จะมีผลก็ต่อเมื่อคุณเลือกดาวน์โหลดด้วยตนเองสำหรับการนำส่งโปรไฟล์ เมื่อติดตั้งโปรไฟล์แล้ว ผู้ใช้จะได้รับคำถามข้อมูลส่วนตัว
ชื่อผู้ใช้: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจช่องนี้ สำหรับใบรับรองผู้ใช้ จะใส่ข้อมูลในช่องนี้หรือไม่ก็ได้ โดยคุณสามารถป้อนชื่อผู้ใช้ AD ให้เป็นพื้นฐานสำหรับใบรับรองที่ร้องขอ
รหัสผ่าน: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจช่องนี้ สำหรับใบรับรองผู้ใช้ ให้พิมพ์รหัสผ่านที่เชื่อมโยงกับชื่อผู้ใช้ AD หากคุณระบุข้อมูลในช่องนี้
ร้องขอใบรับรองคอมพิวเตอร์
ตรวจสอบให้แน่ใจว่าคุณใช้ macOS Server ที่มีบริการผู้จัดการโปรไฟล์ที่เปิดใช้งานสำหรับการจัดการอุปกรณ์และเชื่อมโยงกับ AD
ใช้โปรไฟล์ใบรับรอง AD ที่รองรับร่วมกัน
ใบรับรองคอมพิวเตอร์/เครื่องเท่านั้น ซึ่งนำส่งอัตโนมัติไปยังไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า
ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์เครือข่ายสำหรับการรับรองความถูกต้อง 802.1x แบบ EAP-TLS
ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์ VPN สำหรับการรับรองความถูกต้องของใบรับรองตามเครื่อง
ใบรับรองที่ผนวกรวมเข้ากับทั้งโปรไฟล์เครือข่าย/EAP-TLS และ VPN
แจกจ่ายเพย์โหลดผู้จัดการโปรไฟล์
เชื่อมโยงไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า กับ AD คุณสามารถใช้โปรไฟล์, GUI บนไคลเอนต์ หรือ CLI บนไคลเอนต์เพื่อเชื่อมโยงไคลเอนต์ได้
ติดตั้งใบรับรองที่ CA ออกให้หรือใบรับรองอื่นของ CA บนไคลเอนต์ เพื่อให้แน่ใจว่ามีลำดับความน่าเชื่อถือที่ครบถ้วนสมบูรณ์ นอกจากนี้คุณยังสามารถใช้โปรไฟล์เพื่อติดตั้งได้
เลือกนำส่งโปรไฟล์ใบรับรอง AD โดยการผลักข้อมูลอัตโนมัติหรือดาวน์โหลดด้วยตนเอง สำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์
หากคุณเลือกผลักข้อมูลอัตโนมัติ คุณสามารถใช้การจัดการอุปกรณ์ของผู้จัดการโปรไฟล์ของ macOS Server เพื่อลงทะเบียนไคลเอนต์ได้
กำหนดเพย์โหลดใบรับรอง AD สำหรับอุปกรณ์หรือกลุ่มอุปกรณ์ที่ลงทะเบียนไว้ สำหรับคำอธิบายช่องเพย์โหลด ให้ดูส่วน "รายละเอียดเพย์โหลด" ข้างต้น
คุณสามารถกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์เดียวกัน เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว คุณสามารถกำหนดเพย์โหลดสำหรับ Wi-Fi หรือ Ethernet ก็ได้
กำหนดโปรไฟล์ IPSec (Cisco) VPN ผ่านทางอุปกรณ์หรือกลุ่มอุปกรณ์ เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว
การรับรองความถูกต้องของเครื่องตามใบรับรองนั้นจะรองรับเฉพาะช่องสัญญาณ IPSec VPN โดย VPN ประเภทอื่นจะต้องใช้การรับรองความถูกต้องวิธีอื่น
คุณสามารถป้อนข้อมูลในช่องชื่อบัญชีด้วยสตริงตัวยึด
บันทึกโปรไฟล์ สำหรับการผลักข้อมูลอัตโนมัติ โปรไฟล์จะแจกจ่ายไปยังคอมพิวเตอร์ที่ลงทะเบียนไว้ผ่านทางเครือข่าย ใบรับรอง AD จะใช้ข้อมูลประจำตัว AD ของคอมพิวเตอร์เพื่อนำเข้า CSR
หากคุณใช้การดาวน์โหลดด้วยตนเอง ให้เชื่อมต่อพอร์ทัลผู้ใช้ผู้จัดการโปรไฟล์จากไคลเอนต์
ติดตั้งโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์ที่มี
ตรวจสอบให้แน่ใจว่าขณะนี้คีย์ส่วนตัวใหม่และใบรับรองอยู่ในพวงกุญแจระบบบนไคลเอนต์แล้ว
คุณสามารถแจกจ่ายโปรไฟล์อุปกรณ์ที่รวมใบรับรอง, ไดเรกทอรี, ใบรับรอง AD, เครือข่าย (TLS) และเพย์โหลด VPN เข้าด้วยกัน ไคลเอนต์จะประมวลผลเพย์โหลดตามลำดับที่เหมาะสม เพื่อให้การกระทำแต่ละครั้งของเพย์โหลดสำเร็จ
ร้องขอใบรับรองผู้ใช้
ตรวจสอบให้แน่ใจว่าคุณใช้ macOS Server ที่มีบริการผู้จัดการโปรไฟล์ที่เปิดใช้งานสำหรับการจัดการอุปกรณ์และเชื่อมโยงกับ AD
ใช้โปรไฟล์ใบรับรอง AD ที่รองรับร่วมกัน
ใบรับรองผู้ใช้เท่านั้น ซึ่งนำส่งอัตโนมัติไปยังไคลเอนต์ใน OS X Mountain Lion หรือใหม่กว่า
ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์เครือข่ายสำหรับการรับรองความถูกต้อง 802.1x แบบ EAP-TLS
แจกจ่ายเพย์โหลดผู้จัดการโปรไฟล์
เชื่อมโยงไคลเอนต์กับ AD คุณสามารถใช้โปรไฟล์, GUI บนไคลเอนต์ หรือ CLI บนไคลเอนต์เพื่อเชื่อมโยงไคลเอนต์ได้
เปิดการสร้างบัญชีอุปกรณ์มือถือ AD บนไคลเอนต์ตามนโยบายของสภาพแวดล้อมของคุณ คุณสามารถเปิดใช้งานคุณสมบัตินี้ได้ด้วยโปรไฟล์ (Mobility), GUI บนไคลเอ็นต์หรือบรรทัดคำสั่งของไคลเอ็นต์ ดังต่อไปนี้:
sudo dsconfigad -mobile enable
ติดตั้งใบรับรองที่ CA ออกให้หรือใบรับรองอื่นของ CA บนไคลเอนต์ เพื่อให้แน่ใจว่ามีลำดับความน่าเชื่อถือที่ครบถ้วนสมบูรณ์ นอกจากนี้คุณยังสามารถใช้โปรไฟล์เพื่อติดตั้งได้
เลือกนำส่งโปรไฟล์ใบรับรอง AD โดยการผลักข้อมูลอัตโนมัติหรือดาวน์โหลดด้วยตนเอง สำหรับโปรไฟล์ผู้ใช้ AD หรือกลุ่มผู้ใช้ ทั้งนี้คุณต้องให้สิทธิ์การเข้าถึงผู้ใช้หรือกลุ่มแก่บริการผู้จัดการโปรไฟล์
หากคุณเลือกผลักข้อมูลอัตโนมัติ คุณสามารถใช้การจัดการอุปกรณ์ของผู้จัดการโปรไฟล์ของ macOS Server เพื่อลงทะเบียนไคลเอนต์ได้ เชื่อมโยงคอมพิวเตอร์ไคลเอนต์กับผู้ใช้ AD ตามที่กล่าวไว้ข้างต้น
กำหนดเพย์โหลดใบรับรอง AD สำหรับโปรไฟล์ผู้ใช้ AD หรือโปรไฟล์กลุ่ม สำหรับคำอธิบายช่องเพย์โหลด โปรดดูรายละเอียดเพย์โหลด
คุณสามารถกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์ผู้ใช้ AD หรือกลุ่มเดียวกัน เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว คุณสามารถกำหนดเพย์โหลดสำหรับ Wi-Fi หรือ Ethernet ก็ได้
เข้าสู่ระบบไคลเอนต์ด้วยบัญชีผู้ใช้ AD ที่มีสิทธิ์เข้าถึงบริการผู้จัดการโปรไฟล์ สำหรับการผลักข้อมูลอัตโนมัติ การเข้าสู่ระบบจะทำให้คุณได้รับตั๋วเพื่ออนุญาตตั๋ว (TGT) Kerberos ที่จำเป็น TGT จะทำหน้าที่เป็นเท็มเพลตการระบุตัวตนสำหรับใบรับรองผู้ใช้ที่ร้องขอ
หากคุณใช้การดาวน์โหลดด้วยตนเอง ให้เชื่อมต่อพอร์ทัลผู้ใช้ผู้จัดการโปรไฟล์
ติดตั้งโปรไฟล์ผู้ใช้หรือกลุ่มที่มี
หากระบบถาม ให้ใส่ชื่อผู้ใช้และรหัสผ่าน
เปิดการเข้าถึงพวงกุญแจ ตรวจสอบให้แน่ใจว่าพวงกุญแจการเข้าสู่ระบบมีคีย์ส่วนตัวและใบรับรองผู้ใช้ที่ออกโดย Microsoft CA
คุณสามารถแจกจ่ายโปรไฟล์ผู้ใช้ที่รวมใบรับรอง, ใบรับรอง AD และเครือข่าย (TLS) ไคลเอนต์ใน OS X Mountain Lion หรือใหม่กว่าจะประมวลผลเพย์โหลดตามลำดับที่เหมาะสม เพื่อให้การกระทำแต่ละครั้งของเพย์โหลดสำเร็จ
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม