การร้องขอใบรับรองจากผู้ให้บริการออกใบรับรองของ Microsoft

ดูวิธีการใช้ DCE/RPC และเพย์โหลดโปรไฟล์ใบรับรอง Active Directory เพื่อร้องขอใบรับรอง

OS X Mountain Lion และใหม่กว่า ช่วยให้คุณสามารถใช้โปรโตคอล DCE/RPC ได้ โดยในการใช้ DCE/RPC นั้น คุณไม่จำเป็นต้องใช้หน่วยงานให้บริการออกใบรับรอง (CA) ซึ่งเปิดใช้งานผ่านเว็บ นอกจากนี้ DCE/RPC ยังช่วยให้คุณมีความยืดหยุ่นมากกว่าในการเลือกเท็มเพลตสำหรับสร้างใบรับรอง

OS X Mountain Lion และใหม่กว่า รองรับโปรไฟล์ใบรับรอง Active Directory (AD) ใน UI บนเว็บของผู้จัดการโปรไฟล์ โดยคุณสามารถแจกจ่ายคอมพิวเตอร์หรือโปรไฟล์ใบรับรอง AD ของผู้ใช้ให้กับอุปกรณ์ไคลเอนต์ได้โดยอัตโนมัติ หรือผ่านการดาวน์โหลดด้วยตนเอง

ดูเพิ่มเติมเกี่ยวกับการต่ออายุใบรับรองโดยใช้โปรไฟล์ใน macOS

เครือข่ายและความต้องการของระบบ

• โดเมน AD ที่ถูกต้อง

• CA ที่ให้บริการออกใบรับรอง AD ของ Microsoft ที่ใช้ได้

• ระบบไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า ที่เชื่อมโยงกับ AD

การแจกจ่ายโปรไฟล์

OS X Mountain Lion และใหม่กว่า รองรับโปรไฟล์การกำหนดค่า ซึ่งคุณสามารถใช้โปรไฟล์ในการกำหนดการตั้งค่าระบบและบัญชีหลายๆ ค่าได้

คุณสามารถนำส่งโปรไฟล์ไปยังไคลเอนต์ macOS ได้หลายวิธี โดยวิธีหลักในการนำส่งก็คือ ผู้จัดการโปรไฟล์ macOS Server ซึ่งใน OS X Mountain Lion หรือใหม่กว่า คุณสามารถใช้วิธีอื่น ได้ คุณสามารถดับเบิ้ลคลิกที่ไฟล์ .mobileconfig ใน Finder หรือใช้เซิร์ฟเวอร์การจัดการอุปกรณ์มือถือ (MDM) ของบริษัทอื่น

รายละเอียดเพย์โหลด

อินเทอร์เฟซผู้จัดการโปรไฟล์ที่ช่วยคุณในการกำหนดเพย์โหลดใบรับรอง AD จะมีช่องต่างๆ ดังที่แสดงไว้ด้านล่าง

• คำอธิบาย: ระบุคำอธิบายสั้นๆ สำหรับเพย์โหลดโปรไฟล์

• เซิร์ฟเวอร์ใบรับรอง: พิมพ์ชื่อโฮสต์ที่มีคุณสมบัติครบถ้วนของ CA ของคุณ อย่าพิมพ์ “http://“ หน้าชื่อโฮสต์

• ผู้ให้บริการออกใบรับรอง: ระบุชื่อย่อของ CA ของคุณ คุณสามารถกำหนดค่านี้ได้จาก CN ของรายการ AD: CN=, CN= ผู้ให้บริการออกใบรับรอง, CN= บริการคีย์สาธารณะ, CN=บริการ, CN= การกำหนดค่า

• เท็มเพลตใบรับรอง: ระบุเท็มเพลตใบรับรองที่คุณต้องการใช้ในสภาพแวดล้อมของคุณ โดยค่าใบรับรองผู้ใช้เริ่มต้นคือ "ผู้ใช้" ค่าใบรับรองคอมพิวเตอร์เริ่มต้นคือ "เครื่อง"

• เกณฑ์ขั้นต่ำการแจ้งเตือนการหมดอายุของใบรับรอง: ค่านี้เป็นค่าจำนวนเต็มที่ระบุจำนวนวันก่อนที่ใบรับรองจะหมดอายุ และจำนวนวันที่ macOS แสดงการแจ้งเตือนการหมดอายุ ทั้งนี้ค่าดังกล่าวจะต้องมากกว่า 14 และน้อยกว่าระยะเวลาสูงสุดของใบรับรองในหน่วยเป็นวัน

• ขนาดคีย์ RSA: ค่านี้เป็นค่าจำนวนเต็มสำหรับขนาดของคีย์ส่วนตัวที่เซ็นคำร้องขอการลงชื่อในใบรับรอง (CSR) ค่าที่เป็นไปได้ ได้แก่ 1024, 2048, 4096 เป็นต้น ทั้งนี้เท็มเพลตที่เลือกซึ่งกำหนดไว้ใน CA ของคุณจะช่วยกำหนดค่าขนาดคีย์ที่ใช้

• ถามข้อมูลประจำตัว: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจตัวเลือกนี้ สำหรับใบรับรองผู้ใช้ การตั้งค่านี้จะมีผลก็ต่อเมื่อคุณเลือกดาวน์โหลดด้วยตนเองสำหรับการนำส่งโปรไฟล์ เมื่อติดตั้งโปรไฟล์แล้ว ผู้ใช้จะได้รับคำถามข้อมูลส่วนตัว

• ชื่อผู้ใช้: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจช่องนี้ สำหรับใบรับรองผู้ใช้ จะใส่ข้อมูลในช่องนี้หรือไม่ก็ได้ โดยคุณสามารถป้อนชื่อผู้ใช้ AD ให้เป็นพื้นฐานสำหรับใบรับรองที่ร้องขอ

• รหัสผ่าน: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจช่องนี้ สำหรับใบรับรองผู้ใช้ ให้พิมพ์รหัสผ่านที่เชื่อมโยงกับชื่อผู้ใช้ AD หากคุณระบุข้อมูลในช่องนี้

ร้องขอใบรับรองคอมพิวเตอร์

ตรวจสอบให้แน่ใจว่าคุณใช้ macOS Server ที่มีบริการผู้จัดการโปรไฟล์ที่เปิดใช้งานสำหรับการจัดการอุปกรณ์และเชื่อมโยงกับ AD

ใช้โปรไฟล์ใบรับรอง AD ที่รองรับร่วมกัน

• ใบรับรองคอมพิวเตอร์/เครื่องเท่านั้น ซึ่งนำส่งอัตโนมัติไปยังไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า

• ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์เครือข่ายสำหรับการรับรองความถูกต้อง 802.1x แบบ EAP-TLS

• ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์ VPN สำหรับการรับรองความถูกต้องของใบรับรองตามเครื่อง

• ใบรับรองที่ผนวกรวมเข้ากับทั้งโปรไฟล์เครือข่าย/EAP-TLS และ VPN

แจกจ่ายเพย์โหลดผู้จัดการโปรไฟล์

1. เชื่อมโยงไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า กับ AD คุณสามารถใช้โปรไฟล์, GUI บนไคลเอนต์ หรือ CLI บนไคลเอนต์เพื่อเชื่อมโยงไคลเอนต์ได้

2. ติดตั้งใบรับรองที่ CA ออกให้หรือใบรับรองอื่นของ CA บนไคลเอนต์ เพื่อให้แน่ใจว่ามีลำดับความน่าเชื่อถือที่ครบถ้วนสมบูรณ์ นอกจากนี้คุณยังสามารถใช้โปรไฟล์เพื่อติดตั้งได้

3. เลือกนำส่งโปรไฟล์ใบรับรอง AD โดยการผลักข้อมูลอัตโนมัติหรือดาวน์โหลดด้วยตนเอง สำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์

   

4. หากคุณเลือกผลักข้อมูลอัตโนมัติ คุณสามารถใช้การจัดการอุปกรณ์ของผู้จัดการโปรไฟล์ของ macOS Server เพื่อลงทะเบียนไคลเอนต์ได้

5. กำหนดเพย์โหลดใบรับรอง AD สำหรับอุปกรณ์หรือกลุ่มอุปกรณ์ที่ลงทะเบียนไว้ สำหรับคำอธิบายช่องเพย์โหลด ให้ดูส่วน "รายละเอียดเพย์โหลด" ข้างต้น

   

6. คุณสามารถกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์เดียวกัน เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว คุณสามารถกำหนดเพย์โหลดสำหรับ Wi-Fi หรือ Ethernet ก็ได้

   

7. กำหนดโปรไฟล์ IPSec (Cisco) VPN ผ่านทางอุปกรณ์หรือกลุ่มอุปกรณ์ เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว

   

   • การรับรองความถูกต้องของเครื่องตามใบรับรองนั้นจะรองรับเฉพาะช่องสัญญาณ IPSec VPN โดย VPN ประเภทอื่นจะต้องใช้การรับรองความถูกต้องวิธีอื่น

   • คุณสามารถป้อนข้อมูลในช่องชื่อบัญชีด้วยสตริงตัวยึด

8. บันทึกโปรไฟล์ สำหรับการผลักข้อมูลอัตโนมัติ โปรไฟล์จะแจกจ่ายไปยังคอมพิวเตอร์ที่ลงทะเบียนไว้ผ่านทางเครือข่าย ใบรับรอง AD จะใช้ข้อมูลประจำตัว AD ของคอมพิวเตอร์เพื่อนำเข้า CSR

9. หากคุณใช้การดาวน์โหลดด้วยตนเอง ให้เชื่อมต่อพอร์ทัลผู้ใช้ผู้จัดการโปรไฟล์จากไคลเอนต์

10. ติดตั้งโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์ที่มี

11. ตรวจสอบให้แน่ใจว่าขณะนี้คีย์ส่วนตัวใหม่และใบรับรองอยู่ในพวงกุญแจระบบบนไคลเอนต์แล้ว

คุณสามารถแจกจ่ายโปรไฟล์อุปกรณ์ที่รวมใบรับรอง, ไดเรกทอรี, ใบรับรอง AD, เครือข่าย (TLS) และเพย์โหลด VPN เข้าด้วยกัน ไคลเอนต์จะประมวลผลเพย์โหลดตามลำดับที่เหมาะสม เพื่อให้การกระทำแต่ละครั้งของเพย์โหลดสำเร็จ

ร้องขอใบรับรองผู้ใช้

ตรวจสอบให้แน่ใจว่าคุณใช้ macOS Server ที่มีบริการผู้จัดการโปรไฟล์ที่เปิดใช้งานสำหรับการจัดการอุปกรณ์และเชื่อมโยงกับ AD

ใช้โปรไฟล์ใบรับรอง AD ที่รองรับร่วมกัน

• ใบรับรองผู้ใช้เท่านั้น ซึ่งนำส่งอัตโนมัติไปยังไคลเอนต์ใน OS X Mountain Lion หรือใหม่กว่า

• ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์เครือข่ายสำหรับการรับรองความถูกต้อง 802.1x แบบ EAP-TLS

แจกจ่ายเพย์โหลดผู้จัดการโปรไฟล์

1. เชื่อมโยงไคลเอนต์กับ AD คุณสามารถใช้โปรไฟล์, GUI บนไคลเอนต์ หรือ CLI บนไคลเอนต์เพื่อเชื่อมโยงไคลเอนต์ได้

2. เปิดการสร้างบัญชีอุปกรณ์มือถือ AD บนไคลเอนต์ตามนโยบายของสภาพแวดล้อมของคุณ คุณสามารถเปิดใช้งานคุณสมบัตินี้ได้ด้วยโปรไฟล์ (Mobility), GUI บนไคลเอ็นต์หรือบรรทัดคำสั่งของไคลเอ็นต์ ดังต่อไปนี้:

   sudo dsconfigad -mobile enable

3. ติดตั้งใบรับรองที่ CA ออกให้หรือใบรับรองอื่นของ CA บนไคลเอนต์ เพื่อให้แน่ใจว่ามีลำดับความน่าเชื่อถือที่ครบถ้วนสมบูรณ์ นอกจากนี้คุณยังสามารถใช้โปรไฟล์เพื่อติดตั้งได้

4. เลือกนำส่งโปรไฟล์ใบรับรอง AD โดยการผลักข้อมูลอัตโนมัติหรือดาวน์โหลดด้วยตนเอง สำหรับโปรไฟล์ผู้ใช้ AD หรือกลุ่มผู้ใช้ ทั้งนี้คุณต้องให้สิทธิ์การเข้าถึงผู้ใช้หรือกลุ่มแก่บริการผู้จัดการโปรไฟล์

   

5. หากคุณเลือกผลักข้อมูลอัตโนมัติ คุณสามารถใช้การจัดการอุปกรณ์ของผู้จัดการโปรไฟล์ของ macOS Server เพื่อลงทะเบียนไคลเอนต์ได้ เชื่อมโยงคอมพิวเตอร์ไคลเอนต์กับผู้ใช้ AD ตามที่กล่าวไว้ข้างต้น

6. กำหนดเพย์โหลดใบรับรอง AD สำหรับโปรไฟล์ผู้ใช้ AD หรือโปรไฟล์กลุ่ม สำหรับคำอธิบายช่องเพย์โหลด โปรดดูรายละเอียดเพย์โหลด

   

7. คุณสามารถกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์ผู้ใช้ AD หรือกลุ่มเดียวกัน เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว คุณสามารถกำหนดเพย์โหลดสำหรับ Wi-Fi หรือ Ethernet ก็ได้

   

8. เข้าสู่ระบบไคลเอนต์ด้วยบัญชีผู้ใช้ AD ที่มีสิทธิ์เข้าถึงบริการผู้จัดการโปรไฟล์ สำหรับการผลักข้อมูลอัตโนมัติ การเข้าสู่ระบบจะทำให้คุณได้รับตั๋วเพื่ออนุญาตตั๋ว (TGT) Kerberos ที่จำเป็น TGT จะทำหน้าที่เป็นเท็มเพลตการระบุตัวตนสำหรับใบรับรองผู้ใช้ที่ร้องขอ

9. หากคุณใช้การดาวน์โหลดด้วยตนเอง ให้เชื่อมต่อพอร์ทัลผู้ใช้ผู้จัดการโปรไฟล์

10. ติดตั้งโปรไฟล์ผู้ใช้หรือกลุ่มที่มี

11. หากระบบถาม ให้ใส่ชื่อผู้ใช้และรหัสผ่าน

12. เปิดการเข้าถึงพวงกุญแจ ตรวจสอบให้แน่ใจว่าพวงกุญแจการเข้าสู่ระบบมีคีย์ส่วนตัวและใบรับรองผู้ใช้ที่ออกโดย Microsoft CA

คุณสามารถแจกจ่ายโปรไฟล์ผู้ใช้ที่รวมใบรับรอง, ใบรับรอง AD และเครือข่าย (TLS) ไคลเอนต์ใน OS X Mountain Lion หรือใหม่กว่าจะประมวลผลเพย์โหลดตามลำดับที่เหมาะสม เพื่อให้การกระทำแต่ละครั้งของเพย์โหลดสำเร็จ