การร้องขอใบรับรองจากผู้ให้บริการออกใบรับรองของ Microsoft

ดูวิธีการใช้ DCE/RPC และเพย์โหลดโปรไฟล์ใบรับรอง Active Directory เพื่อร้องขอใบรับรอง

OS X Mountain Lion และใหม่กว่า ช่วยให้คุณสามารถใช้โปรโตคอล DCE/RPC ได้ โดยในการใช้ DCE/RPC นั้น คุณไม่จำเป็นต้องใช้หน่วยงานให้บริการออกใบรับรอง (CA) ซึ่งเปิดใช้งานผ่านเว็บ นอกจากนี้ DCE/RPC ยังช่วยให้คุณมีความยืดหยุ่นมากกว่าในการเลือกเท็มเพลตสำหรับสร้างใบรับรอง

OS X Mountain Lion และใหม่กว่า รองรับโปรไฟล์ใบรับรอง Active Directory (AD) ใน UI บนเว็บของผู้จัดการโปรไฟล์ โดยคุณสามารถแจกจ่ายคอมพิวเตอร์หรือโปรไฟล์ใบรับรอง AD ของผู้ใช้ให้กับอุปกรณ์ไคลเอนต์ได้โดยอัตโนมัติ หรือผ่านการดาวน์โหลดด้วยตนเอง

ดูเพิ่มเติมเกี่ยวกับการต่ออายุใบรับรองโดยใช้โปรไฟล์ใน macOS

เครือข่ายและความต้องการของระบบ

  • โดเมน AD ที่ถูกต้อง
  • CA ที่ให้บริการออกใบรับรอง AD ของ Microsoft ที่ใช้ได้
  • ระบบไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า ที่เชื่อมโยงกับ AD

การแจกจ่ายโปรไฟล์

OS X Mountain Lion และใหม่กว่า รองรับโปรไฟล์การกำหนดค่า ซึ่งคุณสามารถใช้โปรไฟล์ในการกำหนดการตั้งค่าระบบและบัญชีหลายๆ ค่าได้

คุณสามารถนำส่งโปรไฟล์ไปยังไคลเอนต์ macOS ได้หลายวิธี โดยวิธีหลักในการนำส่งก็คือ ผู้จัดการโปรไฟล์ macOS Server ซึ่งใน OS X Mountain Lion หรือใหม่กว่า คุณสามารถใช้วิธีอื่น ได้ คุณสามารถดับเบิ้ลคลิกที่ไฟล์ .mobileconfig ใน Finder หรือใช้เซิร์ฟเวอร์การจัดการอุปกรณ์มือถือ (MDM) ของบริษัทอื่น

รายละเอียดเพย์โหลด

อินเทอร์เฟซผู้จัดการโปรไฟล์ที่ช่วยคุณในการกำหนดเพย์โหลดใบรับรอง AD จะมีช่องต่างๆ ดังที่แสดงไว้ด้านล่าง

  • คำอธิบาย: ระบุคำอธิบายสั้นๆ สำหรับเพย์โหลดโปรไฟล์
  • เซิร์ฟเวอร์ใบรับรอง: พิมพ์ชื่อโฮสต์ที่มีคุณสมบัติครบถ้วนของ CA ของคุณ อย่าพิมพ์ “http://“ หน้าชื่อโฮสต์
  • ผู้ให้บริการออกใบรับรอง: ระบุชื่อย่อของ CA ของคุณ คุณสามารถกำหนดค่านี้ได้จาก CN ของรายการ AD: CN=<ชื่อ CA ของคุณ>, CN=ผู้ให้บริการออกใบรับรอง, CN=บริการคีย์สาธารณะ, CN=บริการ, CN=การกำหนดค่า, <DN ฐานของคุณ>
  • เท็มเพลตใบรับรอง: ระบุเท็มเพลตใบรับรองที่คุณต้องการใช้ในสภาพแวดล้อมของคุณ โดยค่าใบรับรองผู้ใช้เริ่มต้นคือ "ผู้ใช้" ค่าใบรับรองคอมพิวเตอร์เริ่มต้นคือ "เครื่อง"
  • เกณฑ์ขั้นต่ำการแจ้งเตือนการหมดอายุของใบรับรอง: ค่านี้เป็นค่าจำนวนเต็มที่ระบุจำนวนวันก่อนที่ใบรับรองจะหมดอายุ และจำนวนวันที่ macOS แสดงการแจ้งเตือนการหมดอายุ ทั้งนี้ค่าดังกล่าวจะต้องมากกว่า 14 และน้อยกว่าระยะเวลาสูงสุดของใบรับรองในหน่วยเป็นวัน
  • ขนาดคีย์ RSA: ค่านี้เป็นค่าจำนวนเต็มสำหรับขนาดของคีย์ส่วนตัวที่เซ็นคำร้องขอการลงชื่อในใบรับรอง (CSR) ค่าที่เป็นไปได้ ได้แก่ 1024, 2048, 4096 เป็นต้น ทั้งนี้เท็มเพลตที่เลือกซึ่งกำหนดไว้ใน CA ของคุณจะช่วยกำหนดค่าขนาดคีย์ที่ใช้
  • ถามข้อมูลประจำตัว: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจตัวเลือกนี้ สำหรับใบรับรองผู้ใช้ การตั้งค่านี้จะมีผลก็ต่อเมื่อคุณเลือกดาวน์โหลดด้วยตนเองสำหรับการนำส่งโปรไฟล์ เมื่อติดตั้งโปรไฟล์แล้ว ผู้ใช้จะได้รับคำถามข้อมูลส่วนตัว
  • ชื่อผู้ใช้: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจช่องนี้ สำหรับใบรับรองผู้ใช้ จะใส่ข้อมูลในช่องนี้หรือไม่ก็ได้ โดยคุณสามารถป้อนชื่อผู้ใช้ AD ให้เป็นพื้นฐานสำหรับใบรับรองที่ร้องขอ
  • รหัสผ่าน: สำหรับใบรับรองคอมพิวเตอร์ ไม่ต้องสนใจช่องนี้ สำหรับใบรับรองผู้ใช้ ให้พิมพ์รหัสผ่านที่เชื่อมโยงกับชื่อผู้ใช้ AD หากคุณระบุข้อมูลในช่องนี้

ร้องขอใบรับรองคอมพิวเตอร์

ตรวจสอบให้แน่ใจว่าคุณใช้ macOS Server ที่มีบริการผู้จัดการโปรไฟล์ที่เปิดใช้งานสำหรับการจัดการอุปกรณ์และเชื่อมโยงกับ AD

ใช้โปรไฟล์ใบรับรอง AD ที่รองรับร่วมกัน

  • ใบรับรองคอมพิวเตอร์/เครื่องเท่านั้น ซึ่งนำส่งอัตโนมัติไปยังไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า
  • ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์เครือข่ายสำหรับการรับรองความถูกต้อง 802.1x แบบ EAP-TLS
  • ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์ VPN สำหรับการรับรองความถูกต้องของใบรับรองตามเครื่อง
  • ใบรับรองที่ผนวกรวมเข้ากับทั้งโปรไฟล์เครือข่าย/EAP-TLS และ VPN

แจกจ่ายเพย์โหลดผู้จัดการโปรไฟล์

  1. เชื่อมโยงไคลเอนต์ OS X Mountain Lion หรือใหม่กว่า กับ AD คุณสามารถใช้โปรไฟล์, GUI บนไคลเอนต์ หรือ CLI บนไคลเอนต์เพื่อเชื่อมโยงไคลเอนต์ได้
  2. ติดตั้งใบรับรองที่ CA ออกให้หรือใบรับรองอื่นของ CA บนไคลเอนต์ เพื่อให้แน่ใจว่ามีลำดับความน่าเชื่อถือที่ครบถ้วนสมบูรณ์ นอกจากนี้คุณยังสามารถใช้โปรไฟล์เพื่อติดตั้งได้
  3. เลือกนำส่งโปรไฟล์ใบรับรอง AD โดยการผลักข้อมูลอัตโนมัติหรือดาวน์โหลดด้วยตนเอง สำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์

  4. หากคุณเลือกผลักข้อมูลอัตโนมัติ คุณสามารถใช้การจัดการอุปกรณ์ของผู้จัดการโปรไฟล์ของ macOS Server เพื่อลงทะเบียนไคลเอนต์ได้
  5. กำหนดเพย์โหลดใบรับรอง AD สำหรับอุปกรณ์หรือกลุ่มอุปกรณ์ที่ลงทะเบียนไว้ สำหรับคำอธิบายช่องเพย์โหลด ให้ดูส่วน "รายละเอียดเพย์โหลด" ข้างต้น

  6. คุณสามารถกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์เดียวกัน เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว คุณสามารถกำหนดเพย์โหลดสำหรับ Wi-Fi หรือ Ethernet ก็ได้

  7. กำหนดโปรไฟล์ IPSec (Cisco) VPN ผ่านทางอุปกรณ์หรือกลุ่มอุปกรณ์ เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว


    • การรับรองความถูกต้องของเครื่องตามใบรับรองนั้นจะรองรับเฉพาะช่องสัญญาณ IPSec VPN โดย VPN ประเภทอื่นจะต้องใช้การรับรองความถูกต้องวิธีอื่น
    • คุณสามารถป้อนข้อมูลในช่องชื่อบัญชีด้วยสตริงตัวยึด
  8. บันทึกโปรไฟล์ สำหรับการผลักข้อมูลอัตโนมัติ โปรไฟล์จะแจกจ่ายไปยังคอมพิวเตอร์ที่ลงทะเบียนไว้ผ่านทางเครือข่าย ใบรับรอง AD จะใช้ข้อมูลประจำตัว AD ของคอมพิวเตอร์เพื่อนำเข้า CSR
  9. หากคุณใช้การดาวน์โหลดด้วยตนเอง ให้เชื่อมต่อพอร์ทัลผู้ใช้ผู้จัดการโปรไฟล์จากไคลเอนต์
  10. ติดตั้งโปรไฟล์อุปกรณ์หรือกลุ่มอุปกรณ์ที่มี
  11. ตรวจสอบให้แน่ใจว่าขณะนี้คีย์ส่วนตัวใหม่และใบรับรองอยู่ในพวงกุญแจระบบบนไคลเอนต์แล้ว

คุณสามารถแจกจ่ายโปรไฟล์อุปกรณ์ที่รวมใบรับรอง, ไดเรกทอรี, ใบรับรอง AD, เครือข่าย (TLS) และเพย์โหลด VPN เข้าด้วยกัน ไคลเอนต์จะประมวลผลเพย์โหลดตามลำดับที่เหมาะสม เพื่อให้การกระทำแต่ละครั้งของเพย์โหลดสำเร็จ

ร้องขอใบรับรองผู้ใช้

ตรวจสอบให้แน่ใจว่าคุณใช้ macOS Server ที่มีบริการผู้จัดการโปรไฟล์ที่เปิดใช้งานสำหรับการจัดการอุปกรณ์และเชื่อมโยงกับ AD

ใช้โปรไฟล์ใบรับรอง AD ที่รองรับร่วมกัน

  • ใบรับรองผู้ใช้เท่านั้น ซึ่งนำส่งอัตโนมัติไปยังไคลเอนต์ใน OS X Mountain Lion หรือใหม่กว่า
  • ใบรับรองที่ผนวกรวมเข้ากับโปรไฟล์เครือข่ายสำหรับการรับรองความถูกต้อง 802.1x แบบ EAP-TLS

แจกจ่ายเพย์โหลดผู้จัดการโปรไฟล์

  1. เชื่อมโยงไคลเอนต์กับ AD คุณสามารถใช้โปรไฟล์, GUI บนไคลเอนต์ หรือ CLI บนไคลเอนต์เพื่อเชื่อมโยงไคลเอนต์ได้
  2. เปิดการสร้างบัญชีอุปกรณ์มือถือ AD บนไคลเอนต์ตามนโยบายของสภาพแวดล้อมของคุณ ทั้งนี้คุณสามารถเปิดใช้งานคุณสมบัตินี้ได้ด้วยโปรไฟล์ (Mobility), GUI บนไคลเอนต์ หรือบรรทัดคำสั่งไคลเอนต์ ดังต่อไปนี้
    sudo dsconfigad -mobile enable
    
  3. ติดตั้งใบรับรองที่ CA ออกให้หรือใบรับรองอื่นของ CA บนไคลเอนต์ เพื่อให้แน่ใจว่ามีลำดับความน่าเชื่อถือที่ครบถ้วนสมบูรณ์ นอกจากนี้คุณยังสามารถใช้โปรไฟล์เพื่อติดตั้งได้
  4. เลือกนำส่งโปรไฟล์ใบรับรอง AD โดยการผลักข้อมูลอัตโนมัติหรือดาวน์โหลดด้วยตนเอง สำหรับโปรไฟล์ผู้ใช้ AD หรือกลุ่มผู้ใช้ ทั้งนี้คุณต้องให้สิทธิ์การเข้าถึงผู้ใช้หรือกลุ่มแก่บริการผู้จัดการโปรไฟล์


  5. หากคุณเลือกผลักข้อมูลอัตโนมัติ คุณสามารถใช้การจัดการอุปกรณ์ของผู้จัดการโปรไฟล์ของ macOS Server เพื่อลงทะเบียนไคลเอนต์ได้ เชื่อมโยงคอมพิวเตอร์ไคลเอนต์กับผู้ใช้ AD ตามที่กล่าวไว้ข้างต้น
  6. กำหนดเพย์โหลดใบรับรอง AD สำหรับโปรไฟล์ผู้ใช้ AD หรือโปรไฟล์กลุ่ม สำหรับคำอธิบายช่องเพย์โหลด โปรดดูรายละเอียดเพย์โหลด

  7. คุณสามารถกำหนดเพย์โหลดเครือข่ายสำหรับ TLS แบบใช้สายหรือแบบไร้สายสำหรับโปรไฟล์ผู้ใช้ AD หรือกลุ่มเดียวกัน เลือกเพย์โหลดใบรับรอง AD ที่กำหนดค่าแล้วให้เป็นข้อมูลประจำตัว คุณสามารถกำหนดเพย์โหลดสำหรับ Wi-Fi หรือ Ethernet ก็ได้


  8. เข้าสู่ระบบไคลเอนต์ด้วยบัญชีผู้ใช้ AD ที่มีสิทธิ์เข้าถึงบริการผู้จัดการโปรไฟล์ สำหรับการผลักข้อมูลอัตโนมัติ การเข้าสู่ระบบจะทำให้คุณได้รับตั๋วเพื่ออนุญาตตั๋ว (TGT) Kerberos ที่จำเป็น  TGT จะทำหน้าที่เป็นเท็มเพลตการระบุตัวตนสำหรับใบรับรองผู้ใช้ที่ร้องขอ
  9. หากคุณใช้การดาวน์โหลดด้วยตนเอง ให้เชื่อมต่อพอร์ทัลผู้ใช้ผู้จัดการโปรไฟล์
  10. ติดตั้งโปรไฟล์ผู้ใช้หรือกลุ่มที่มี
  11. หากระบบถาม ให้ใส่ชื่อผู้ใช้และรหัสผ่าน
  12. เปิดการเข้าถึงพวงกุญแจ ตรวจสอบให้แน่ใจว่าพวงกุญแจการเข้าสู่ระบบมีคีย์ส่วนตัวและใบรับรองผู้ใช้ที่ออกโดย Microsoft CA

คุณสามารถแจกจ่ายโปรไฟล์ผู้ใช้ที่รวมใบรับรอง, ใบรับรอง AD และเครือข่าย (TLS) ไคลเอนต์ใน OS X Mountain Lion หรือใหม่กว่าจะประมวลผลเพย์โหลดตามลำดับที่เหมาะสม เพื่อให้การกระทำแต่ละครั้งของเพย์โหลดสำเร็จ

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: