Bu makale arşivlendi ve artık Apple tarafından güncellenmiyor.

Bir Microsoft Sertifika yetkilisinden sertifika isteğinde bulunma

Sertifika isteğinde bulunmak için DCE/RPC ve Active Directory Sertifikası profil yükünü kullanmayı öğrenin.

OS X Mountain Lion ve sonraki sürümleriyle DCE/RPC protokolünü kullanabilirsiniz. DCE/RPC kullandığınızda web özellikli bir sertifika otoritesine (CA) ihtiyacınız olmaz. Sertifikayı oluşturan şablonu seçtiğinizde DCE/RPC aynı zamanda daha fazla esneklik sunar.

OS X Mountain Lion ve sonraki sürümleri Profile Manager web kullanıcı arabiriminde Active Directory (AD) Sertifikası profillerini destekler. Bilgisayar veya kullanıcı AD sertifikası profillerini istemci aygıtlarına otomatik olarak veya elle indirme yoluyla dağıtabilirsiniz.

macOS'te profil tabanlı sertifika yenileme hakkında daha fazla bilgi edinin.

Ağ ve sistem gereksinimleri

  • Geçerli bir AD alanı

  • Çalışır durumda bir Microsoft Active Directory Sertifika Hizmetleri Sertifika Otoritesi

  • AD'ye bağlı, OS X Mountain Lion veya sonraki sürüm kullanan bir istemci sistemi

Profil dağıtımı

OS X Mountain Lion ve sonraki sürümleri, konfigürasyon profillerini destekler. Profilleri kullanarak birçok sistem ve hesap ayarı tanımlayabilirsiniz.

Profilleri macOS istemcilerine çeşitli şekillerde dağıtabilirsiniz. Başlıca dağıtım yöntemi macOS Server Profile Manager'dır. OS X Mountain Lion veya sonraki sürümlerinde bazı farklı yöntemleri kullanabilirsiniz. Finder'da bir .mobileconfig dosyasını çift tıklayabilir veya üçüncü taraf bir Mobile Aygıt Yönetimi (MDM) sunucusu kullanabilirsiniz.

Yük bilgileri

Bir AD Sertifikası yükü tanımlamanıza olanak sağlayan Profile Manager arabirimi aşağıda gösterilen alanları içerir.

  • Description (Açıklama): Profil yükünün kısa bir açıklamasını girin.

  • Certificate Server (Sertifika Sunucusu): Sertifika otoritenizin tam nitelikli ana makine adını yazın. Ana makine adından önce "http://" yazmayın.

  • Certificate Authority (Sertifika Otoritesi): CA'nızın kısa adını girin. Bu değeri, AD girişindeki CN'den belirleyebilirsiniz: CN =, CN = Sertifika Otoriteleri, CN = Ortak Anahtar Hizmetleri, CN = Hizmetler, CN = Konfigürasyon,

  • Certificate Template (Sertifika Şablonu): Ortamınızda olmasını istediğiniz sertifika şablonunu girin. Saptanmış kullanıcı sertifikası değeri User şeklindedir. Saptanmış bilgisayar sertifikası değeri Machine şeklindedir.

  • Certificate Expiration Notification Threshold (Sertifika Sona Erme Tarihi Bildirim Eşiği): Bu, sertifikanın süresinin dolmasından ve macOS'in bir süre sonu bildirimi görüntülemesinden önce geçen gün sayısını belirten tam sayı değeridir. Değer, 14'ten büyük; sertifikanın gün cinsindeki maksimum süresinden az olmalıdır.

  • RSA Key Size (RSA Anahtar Boyutu): Bu, sertifika imzalama isteğini (CSR) imzalayan özel anahtarın boyutunu ifade eden tam sayı değeridir. Olası değerler 1024, 2048, 4096 vb. içerir. Sertifika otoritenizde tanımlanan seçili şablon, kullanılacak anahtar boyutu değerini tanımlamanıza yardımcı olur.

  • Prompt for credentials (Kimlik bilgileri için istem): Bilgisayar sertifikaları için bu seçeneği yok sayın. Kullanıcı sertifikaları için bu ayar, profil dağıtımı için yalnızca Manual Download (Elle İndirme) seçeneğini belirlemeniz durumunda geçerlidir. Profil yüklendiğinde kullanıcıdan kimlik bilgileri istenir.

  • User name (Kullanıcı adı): Bilgisayar sertifikaları için bu alanı yok sayın. Kullanıcı sertifikaları için alan isteğe bağlıdır. İstenen sertifika için temel olarak bir AD kullanıcı adı girebilirsiniz.

  • Password (Parola): Bilgisayar sertifikaları için bu alanı yok sayın. Kullanıcı sertifikaları için, AD kullanıcı adıyla ilişkili parolayı girdiyseniz bunu yazın.

Bilgisayar sertifikası isteğinde bulunma

macOS Server'ı Profile Manager hizmeti Aygıt Yönetimi için etkin ve AD'ye bağlı haldeyken kullandığınızdan emin olun.

Desteklenen bir AD Sertifikası profil kombinasyonu kullanma

  • Yalnızca OS X Mountain Lion veya sonraki sürüm bir istemciye otomatik olarak dağıtılan bilgisayar/makine sertifikası

  • EAP-TLS 802.1x kimlik doğrulama için bir Ağ profiline entegre edilen sertifika

  • Makine tabanlı sertifika kimlik doğrulama için bir VPN profiline entegre edilen sertifika

  • Hem Ağ/EAP-TLS ve hem de VPN profillerine entegre edilen sertifika

Profile Manager yükü dağıtma

  1. OS X Mountain Lion veya sonraki sürüm bir istemciyi AD'ye bağlayın. İstemciyi bağlamak için profil, istemci üzerinde GUI veya istemci üzerinde CLI kullanabilirsiniz.

  2. Sertifikanın tam bir güven zincirine sahip olması için yayıncı CA veya CA sertifikasını istemciye yükleyin. Yüklemek için profil de kullanabilirsiniz.

  3. AD Sertifikası profilini dağıtmak üzere aygıt veya aygıt grubu profili için Automatic Push (Otomatik İletme) veya Manual Download (Elle İndirme) seçeneğini belirleyebilirsiniz.

  4. Automatic Push (Otomatik İletme) seçeneğini belirlemeniz durumunda istemciyi kaydetmek için macOS Server'ın Profil Manager Aygıt Yönetimini kullanabilirsiniz.

  5. Kaydedilen aygıt veya aygıt grubu için AD Sertifikası yükü tanımlayın. Yük alanı açıklamaları için yukarıdaki "Yük bilgileri" bölümüne bakın.

  6. Aynı aygıt veya aygıt grubu profili için kablolu veya kablosuz bir TLS ağ yükü tanımlayabilirsiniz. Ayarlanan AD Sertifikası yükünü kimlik bilgisi olarak seçin. Wi-Fi veya Ethernet için yük tanımlayabilirsiniz.

  7. Aygıt veya aygıt grubu aracılığıyla bir IPSec (Cisco) VPN profili tanımlayın. Ayarlanan AD Sertifikası yükünü kimlik bilgisi olarak seçin.

    vpn_payloadkimlik doğrulama

    • Sertifika tabanlı makine kimlik doğrulaması yalnızca IPSec VPN tünelleri için desteklenir. Diğer VPN türleri için farklı kimlik doğrulama yöntemleri gerekir.

    • Hesap adı alanını yer tutucu bir dizeyle doldurabilirsiniz.

  8. Profili kaydedin. Automatic Push (Otomatik İletme) ile profil, ağ üzerinde kaydedilen bilgisayara dağıtılır. AD Sertifikası, CSR'yi doldurmak için bilgisayarın AD kimlik bilgilerini kullanır.

  9. Elle İndirme seçeneğini kullanıyorsanız istemciden Profile Manager kullanıcı portalına bağlanın.

  10. Kullanılabilen aygıt veya aygıt grubu profilini yükleyin.

  11. Yeni özel anahtar ve sertifikanın artık istemcideki Sistem anahtar zincirinde yer aldığından emin olun.

Sertifika, Dizin, AD Sertifikası, Ağ (TLS) ve VPN yüklerini birleştiren bir aygıt profili dağıtabilirsiniz. İstemci, her yük eyleminin başarıyla gerçekleşmesi için yükleri doğru sırayla işler.

Kullanıcı sertifikası isteğinde bulunma

macOS Server'ı Profile Manager hizmeti Aygıt Yönetimi için etkin ve AD'ye bağlı haldeyken kullandığınızdan emin olun.

Desteklenen bir AD Sertifikası profil kombinasyonu kullanma

  • Yalnızca OS X Mountain Lion veya sonraki sürümlerindeki istemcilere otomatik olarak dağıtılan kullanıcı sertifikası

  • EAP-TLS 802.1x kimlik doğrulama için Ağ profiline entegre edilen sertifika

Profile Manager yükü dağıtma

  1. İstemciyi AD'ye bağlayın. İstemciyi bağlamak için profil, istemci üzerinde GUI veya istemci üzerinde CLI kullanabilirsiniz.

  2. İstemcide AD mobil hesabı oluşturmayı ortam politikanıza uygun şekilde etkinleştirin. Bu özelliği profil (Mobility), istemci üzerinde GUI veya istemci komut satırı ile şu şekilde etkinleştirebilirsiniz:

    sudo dsconfigad -mobile enable

  3. Sertifikanın tam bir güven zincirine sahip olması için yayıncı CA veya CA sertifikasını istemciye yükleyin. Yüklemek için profil de kullanabilirsiniz.

  4. AD Sertifikası profilini dağıtmak üzere AD kullanıcı veya kullanıcı grubu profili için Automatic Push (Otomatik İletme) veya Manual Download (Elle İndirme) seçeneğini belirleyebilirisiniz. Kullanıcıya veya gruba Profile Manager hizmet erişimi vermeniz gerekir.

    payload_iconprofile_type

  5. Automatic Push (Otomatik İletme) seçeneğini belirlemeniz durumunda istemciyi kaydetmek için macOS Server'ın Profil Manager Aygıt Yönetimini kullanabilirsiniz. İstemci bilgisayarını yukarıda bahsedilen AD kullanıcısıyla ilişkilendirin.

  6. AD Sertifikası yükünü aynı AD kullanıcı veya grup profili için tanımlayın. Yük alanı açıklamaları için Yük bilgileri bölümüne bakın.

  7. Aynı AD kullanıcı veya grup profili için kablolu veya kablosuz bir TLS ağ yükü tanımlayabilirsiniz. Ayarlanan AD Sertifikası yükünü kimlik bilgisi olarak seçin. Wi-Fi veya Ethernet için yük tanımlayabilirsiniz.

    network_payloadprotokoller

  8. Profile Manager hizmetine erişimi olan AD kullanıcı hesabıyla istemcide oturum açın. Automatic Push (Otomatik İletme) seçiliyken giriş yaptığınızda gerekli Kerberos Ticket Granting Ticket'a (TGT) yönlendirilirsiniz. TGT, istenilen kullanıcı sertifikası için kimlik şablonu gibi davranır.

  9. Manual Download (Elle İndirme) seçeneğini kullanıyorsanız Profile Manager kullanıcı portalına bağlanın.

  10. Kullanılabilen kullanıcı veya grup profilini yükleyin.

  11. İstenirse, kullanıcı adı ve parolası girin.

  12. Anahtar Zinciri Erişimini başlatın. Oturum açma anahtar zincirinin özel bir anahtar Microsoft CA tarafından verilen bir kullanıcı sertifikası içerdiğinden emin olun.

Sertifika, AD Sertifikası ve Ağı (TLS) birleştiren bir kullanıcı profili dağıtabilirsiniz. OS X Mountain Lion veya sonraki sürümlerinin yüklü olduğu istemciler her yük eyleminin başarılı olabilmesi için yükleri doğru sırayla işler.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: