บทความนี้ถูกเก็บถาวรและไม่ได้รับการอัพเดทจาก Apple อีกต่อไป

การร้องขอใบรับรองจากผู้ให้บริการออกใบรับรองของ Microsoft

ดูวิธีการใช้ DCE/RPC และเพย์โหลดโปรไฟล์ใบรับรอง Active Directory เพื่อร้องขอใบรับรอง

OS X Mountain Lion และใหม่กว่า ช่วยให้คุณสามารถใช้โปรโตคอล DCE/RPC ได้ โดยในการใช้ DCE/RPC นั้น คุณไม่จำเป็นต้องใช้หน่วยงานให้บริการออกใบรับรอง (CA) ซึ่งเปิดใช้งานผ่านเว็บ นอกจากนี้ DCE/RPC ยังช่วยให้คุณมีความยืดหยุ่นมากกว่าในการเลือกเท็มเพลตสำหรับสร้างใบรับรอง

OS X Mountain Lion และใหม่กว่า รองรับโปรไฟล์ใบรับรอง Active Directory (AD) ใน UI บนเว็บของผู้จัดการโปรไฟล์ โดยคุณสามารถแจกจ่ายคอมพิวเตอร์หรือโปรไฟล์ใบรับรอง AD ของผู้ใช้ให้กับอุปกรณ์ไคลเอนต์ได้โดยอัตโนมัติ หรือผ่านการดาวน์โหลดด้วยตนเอง

ดูเพิ่มเติมเกี่ยวกับการต่ออายุใบรับรองโดยใช้โปรไฟล์ใน macOS

ข้อกำหนดด้านเครือข่ายและระบบ

  • โดเมน AD ที่ถูกต้อง

  • CA ที่ให้บริการออกใบรับรอง AD ของ Microsoft ที่ใช้ได้

  • ระบบไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า ที่เชื่อมโยงกับ AD

การแจกจ่ายโปรไฟล์

OS X Mountain Lion และใหม่กว่า รองรับโปรไฟล์การกำหนดค่า ซึ่งคุณสามารถใช้โปรไฟล์ในการกำหนดการตั้งค่าระบบและบัญชีหลายๆ ค่าได้

คุณสามารถนำส่งโปรไฟล์ไปยังไคลเอนต์ macOS ได้หลายวิธี โดยวิธีหลักในการนำส่งก็คือ ผู้จัดการโปรไฟล์ macOS Server ซึ่งใน OS X Mountain Lion หรือใหม่กว่า คุณสามารถใช้วิธีอื่น ได้ คุณสามารถดับเบิ้ลคลิกที่ไฟล์ .mobileconfig ใน Finder หรือใช้เซิร์ฟเวอร์การจัดการอุปกรณ์มือถือ (MDM) ของบริษัทอื่น

รายละเอียดเพย์โหลด

อินเทอร์เฟซผู้จัดการโปรไฟล์ที่ช่วยคุณในการกำหนดเพย์โหลดใบรับรอง AD จะมีช่องต่างๆ ดังที่แสดงไว้ด้านล่าง

อินเทอร์เฟซผู้จัดการโปรไฟล์ที่ช่วยคุณในการกำหนดเพย์โหลดใบรับรอง AD

  • คำอธิบาย: ระบุคำอธิบายสั้นๆ สำหรับเพย์โหลดโปรไฟล์

  • เซิร์ฟเวอร์ใบรับรอง: พิมพ์ชื่อโฮสต์ที่มีคุณสมบัติครบถ้วนของ CA ของคุณ อย่าพิมพ์ “http://“ หน้าชื่อโฮสต์

  • ผู้ให้บริการออกใบรับรอง: ระบุชื่อย่อของ CA ของคุณ คุณสามารถระบุค่านี้ได้จาก CN ของรายการ AD ดังนี้ CN=<ชื่อ CA ของคุณ>, CN=ผู้ออกใบรับรอง, CN=บริการคีย์สาธารณะ, CN=บริการ, CN=การกำหนดค่า, <base DN ของคุณ>

  • เท็มเพลตใบรับรอง: ระบุเท็มเพลตใบรับรองที่คุณต้องการใช้ในสภาพแวดล้อมของคุณ โดยค่าใบรับรองผู้ใช้เริ่มต้นคือ "ผู้ใช้" ค่าใบรับรองคอมพิวเตอร์เริ่มต้นคือ "เครื่อง"

  • เกณฑ์ขั้นต่ำการแจ้งเตือนการหมดอายุของใบรับรอง: ค่านี้เป็นค่าจำนวนเต็มที่ระบุจำนวนวันก่อนที่ใบรับรองจะหมดอายุ และจำนวนวันที่ macOS แสดงการแจ้งเตือนการหมดอายุ ทั้งนี้ค่าดังกล่าวจะต้องมากกว่า 14 และน้อยกว่าระยะเวลาสูงสุดของใบรับรองในหน่วยเป็นวัน

  • ขนาดคีย์ RSA: ค่านี้เป็นค่าจำนวนเต็มสำหรับขนาดของคีย์ส่วนตัวที่เซ็นคำร้องขอการลงชื่อในใบรับรอง (CSR) ค่าที่เป็นไปได้ ได้แก่ 1024, 2048, 4096 เป็นต้น ทั้งนี้เท็มเพลตที่เลือกซึ่งกำหนดไว้ใน CA ของคุณจะช่วยกำหนดค่าขนาดคีย์ที่ใช้

  • ถามข้อมูลประจำตัว: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจตัวเลือกนี้ สำหรับใบรับรองผู้ใช้ การตั้งค่านี้จะมีผลก็ต่อเมื่อคุณเลือกดาวน์โหลดด้วยตนเองสำหรับการนำส่งโปรไฟล์ เมื่อติดตั้งโปรไฟล์แล้ว ผู้ใช้จะได้รับคำถามข้อมูลส่วนตัว

  • ชื่อผู้ใช้: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจช่องนี้ สำหรับใบรับรองผู้ใช้ จะใส่ข้อมูลในช่องนี้หรือไม่ก็ได้ โดยคุณสามารถป้อนชื่อผู้ใช้ AD ให้เป็นพื้นฐานสำหรับใบรับรองที่ร้องขอ

  • รหัสผ่าน: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจช่องนี้ สำหรับใบรับรองผู้ใช้ ให้พิมพ์รหัสผ่านที่เชื่อมโยงกับชื่อผู้ใช้ AD หากคุณระบุข้อมูลในช่องนี้

ร้องขอใบรับรองคอมพิวเตอร์

ตรวจสอบให้แน่ใจว่าคุณใช้ macOS Server ที่มีบริการผู้จัดการโปรไฟล์ที่เปิดใช้งานสำหรับการจัดการอุปกรณ์และเชื่อมโยงกับ AD

ใช้โปรไฟล์ใบรับรอง AD ที่รองรับร่วมกัน

  • ใบรับรองคอมพิวเตอร์/เครื่องเท่านั้น ซึ่งนำส่งอัตโนมัติไปยังไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า

  • ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์เครือข่ายสำหรับการรับรองความถูกต้อง 802.1x แบบ EAP-TLS

  • ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์ VPN สำหรับการรับรองความถูกต้องของใบรับรองตามเครื่อง

  • ใบรับรองที่ผนวกรวมเข้ากับทั้งโปรไฟล์เครือข่าย/EAP-TLS และ VPN

แจกจ่ายเพย์โหลดผู้จัดการโปรไฟล์

  1. เชื่อมโยงไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า กับ AD คุณสามารถใช้โปรไฟล์, GUI บนไคลเอนต์ หรือ CLI บนไคลเอนต์เพื่อเชื่อมโยงไคลเอนต์ได้

  2. ติดตั้งใบรับรองที่ CA ออกให้หรือใบรับรองอื่นของ CA บนไคลเอนต์ เพื่อให้แน่ใจว่ามีลำดับความน่าเชื่อถือที่ครบถ้วนสมบูรณ์ นอกจากนี้คุณยังสามารถใช้โปรไฟล์เพื่อติดตั้งได้

  3. เลือกนำส่งโปรไฟล์ใบรับรอง AD โดยการผลักข้อมูลอัตโนมัติหรือดาวน์โหลดด้วยตนเอง สำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์

    รูปภาพแสดงวิธีการนำส่งโปรไฟล์ใบรับรอง AD โดยการผลักข้อมูลอัตโนมัติหรือดาวน์โหลดด้วยตนเอง สำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์รูปภาพแสดงขั้นตอนการขอรับใบรับรอง

  4. หากคุณเลือกผลักข้อมูลอัตโนมัติ คุณสามารถใช้การจัดการอุปกรณ์ของผู้จัดการโปรไฟล์ของ macOS Server เพื่อลงทะเบียนไคลเอนต์ได้

  5. กำหนดเพย์โหลดใบรับรอง AD สำหรับอุปกรณ์หรือกลุ่มอุปกรณ์ที่ลงทะเบียนไว้ สำหรับคำอธิบายช่องเพย์โหลด ให้ดูส่วน "รายละเอียดเพย์โหลด" ข้างต้น

    รูปภาพแสดงเพย์โหลดใบรับรอง AD ที่กำหนดสำหรับอุปกรณ์หรือกลุ่มอุปกรณ์ที่ลงทะเบียนไว้

  6. คุณสามารถกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์เดียวกัน เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว คุณสามารถกำหนดเพย์โหลดสำหรับ Wi-Fi หรือ Ethernet ก็ได้

    รูปภาพแสดงวิธีกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์เดียวกันรูปภาพแสดงวิธีกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์เดียวกัน

  7. กำหนดโปรไฟล์ IPSec (Cisco) VPN ผ่านทางอุปกรณ์หรือกลุ่มอุปกรณ์ เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว

    การกำหนดค่า VPN ที่แสดงไอคอนแม่กุญแจและข้อความ "กำหนดค่าเพย์โหลด VPN 1 รายการแล้ว"แผงการตั้งค่าการตรวจสอบสิทธิ์แสดงตัวเลือกใบรับรองสำหรับ Active Directory

    • การรับรองความถูกต้องของเครื่องตามใบรับรองนั้นจะรองรับเฉพาะช่องสัญญาณ IPSec VPN โดย VPN ประเภทอื่นจะต้องใช้การรับรองความถูกต้องวิธีอื่น

    • คุณสามารถป้อนข้อมูลในช่องชื่อบัญชีด้วยสตริงตัวยึด

  8. บันทึกโปรไฟล์ สำหรับการผลักข้อมูลอัตโนมัติ โปรไฟล์จะแจกจ่ายไปยังคอมพิวเตอร์ที่ลงทะเบียนไว้ผ่านทางเครือข่าย ใบรับรอง AD จะใช้ข้อมูลประจำตัว AD ของคอมพิวเตอร์เพื่อนำเข้า CSR

  9. หากคุณใช้การดาวน์โหลดด้วยตนเอง ให้เชื่อมต่อพอร์ทัลผู้ใช้ผู้จัดการโปรไฟล์จากไคลเอนต์

  10. ติดตั้งโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์ที่มี

  11. ตรวจสอบให้แน่ใจว่าขณะนี้คีย์ส่วนตัวใหม่และใบรับรองอยู่ในพวงกุญแจระบบบนไคลเอนต์แล้ว

คุณสามารถแจกจ่ายโปรไฟล์อุปกรณ์ที่รวมใบรับรอง, ไดเรกทอรี, ใบรับรอง AD, เครือข่าย (TLS) และเพย์โหลด VPN เข้าด้วยกัน ไคลเอนต์จะประมวลผลเพย์โหลดตามลำดับที่เหมาะสม เพื่อให้การกระทำแต่ละครั้งของเพย์โหลดสำเร็จ

ร้องขอใบรับรองผู้ใช้

ตรวจสอบให้แน่ใจว่าคุณใช้ macOS Server ที่มีบริการผู้จัดการโปรไฟล์ที่เปิดใช้งานสำหรับการจัดการอุปกรณ์และเชื่อมโยงกับ AD

ใช้โปรไฟล์ใบรับรอง AD ที่รองรับร่วมกัน

  • ใบรับรองผู้ใช้เท่านั้น ซึ่งนำส่งอัตโนมัติไปยังไคลเอนต์ใน OS X Mountain Lion หรือใหม่กว่า

  • ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์เครือข่ายสำหรับการรับรองความถูกต้อง 802.1x แบบ EAP-TLS

แจกจ่ายเพย์โหลดผู้จัดการโปรไฟล์

  1. เชื่อมโยงไคลเอนต์กับ AD คุณสามารถใช้โปรไฟล์, GUI บนไคลเอนต์ หรือ CLI บนไคลเอนต์เพื่อเชื่อมโยงไคลเอนต์ได้

  2. เปิดการสร้างบัญชีอุปกรณ์มือถือ AD บนไคลเอนต์ตามนโยบายของสภาพแวดล้อมของคุณ คุณสามารถเปิดใช้งานคุณสมบัตินี้ได้ด้วยโปรไฟล์ (Mobility), GUI บนไคลเอ็นต์หรือบรรทัดคำสั่งของไคลเอ็นต์ ดังต่อไปนี้:

    sudo dsconfigad -mobile enable

  3. ติดตั้งใบรับรองที่ CA ออกให้หรือใบรับรองอื่นของ CA บนไคลเอนต์ เพื่อให้แน่ใจว่ามีลำดับความน่าเชื่อถือที่ครบถ้วนสมบูรณ์ นอกจากนี้คุณยังสามารถใช้โปรไฟล์เพื่อติดตั้งได้

  4. เลือกนำส่งโปรไฟล์ใบรับรอง AD โดยการผลักข้อมูลอัตโนมัติหรือดาวน์โหลดด้วยตนเอง สำหรับโปรไฟล์ผู้ใช้ AD หรือกลุ่มผู้ใช้ ทั้งนี้คุณต้องให้สิทธิ์การเข้าถึงผู้ใช้หรือกลุ่มแก่บริการผู้จัดการโปรไฟล์

    แผงการตั้งค่าทั่วไปที่มี "กำหนดค่าเพย์โหลด 1 รายการแล้ว" และไอคอนสวิตช์การเลือกระหว่างผลักข้อมูลอัตโนมัติและดาวน์โหลดด้วยตนเองสำหรับการส่งมอบโปรไฟล์ใบรับรอง AD

  5. หากคุณเลือกผลักข้อมูลอัตโนมัติ คุณสามารถใช้การจัดการอุปกรณ์ของผู้จัดการโปรไฟล์ของ macOS Server เพื่อลงทะเบียนไคลเอนต์ได้ เชื่อมโยงคอมพิวเตอร์ไคลเอนต์กับผู้ใช้ AD ตามที่กล่าวไว้ข้างต้น

  6. กำหนดเพย์โหลดใบรับรอง AD สำหรับโปรไฟล์ผู้ใช้ AD หรือโปรไฟล์กลุ่ม สำหรับคำอธิบายช่องเพย์โหลด โปรดดูรายละเอียดเพย์โหลด

    รูปภาพแสดงกระบวนการขอรับใบรับรองผู้ใช้จาก Microsoft Certificate Authority

  7. คุณสามารถกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์ผู้ใช้ AD หรือกลุ่มเดียวกัน เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว คุณสามารถกำหนดเพย์โหลดสำหรับ Wi-Fi หรือ Ethernet ก็ได้

    ไอคอนเครือข่ายที่มีข้อความ "กำหนดค่าเพย์โหลด 1 รายการแล้ว"ตัวเลือกโปรโตคอลการตรวจสอบสิทธิ์สำหรับคำขอใบรับรอง

  8. เข้าสู่ระบบไคลเอนต์ด้วยบัญชีผู้ใช้ AD ที่มีสิทธิ์เข้าถึงบริการผู้จัดการโปรไฟล์ สำหรับการผลักข้อมูลอัตโนมัติ การเข้าสู่ระบบจะทำให้คุณได้รับตั๋วเพื่ออนุญาตตั๋ว (TGT) Kerberos ที่จำเป็น TGT จะทำหน้าที่เป็นเท็มเพลตการระบุตัวตนสำหรับใบรับรองผู้ใช้ที่ร้องขอ

  9. หากคุณใช้การดาวน์โหลดด้วยตนเอง ให้เชื่อมต่อพอร์ทัลผู้ใช้ผู้จัดการโปรไฟล์

  10. ติดตั้งโปรไฟล์ผู้ใช้หรือกลุ่มที่มี

  11. หากระบบถาม ให้ใส่ชื่อผู้ใช้และรหัสผ่าน

  12. เปิดการเข้าถึงพวงกุญแจ ตรวจสอบให้แน่ใจว่าพวงกุญแจการเข้าสู่ระบบมีคีย์ส่วนตัวและใบรับรองผู้ใช้ที่ออกโดย Microsoft CA

คุณสามารถแจกจ่ายโปรไฟล์ผู้ใช้ที่รวมใบรับรอง, ใบรับรอง AD และเครือข่าย (TLS) ไคลเอนต์ใน OS X Mountain Lion หรือใหม่กว่าจะประมวลผลเพย์โหลดตามลำดับที่เหมาะสม เพื่อให้การกระทำแต่ละครั้งของเพย์โหลดสำเร็จ

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: