从 Microsoft 证书颁发机构请求证书

了解如何使用 DCE/RPC 和 Active Directory 证书描述文件有效负载来请求证书。

借助 OS X Mountain Lion 和更高版本，你可以使用 DCE/RPC 协议。DCE/RPC 无需已启用 Web 的证书颁发机构 (CA)。通过 DCE/RPC，还能更灵活地选取用于创建证书的模板。

OS X Mountain Lion 和更高版本针对描述文件管理器的 Web UI 中的 Active Directory (AD) 证书描述文件提供支持。你可以通过自动或手动下载方式将电脑或用户 AD 证书描述文件部署到客户端设备。

了解有关“macOS 中基于描述文件的证书续订”的更多信息。

网络和系统要求

• 有效的 AD 域

• 正常工作的 Microsoft AD 证书服务 CA

• 绑定到 AD 的 OS X Mountain Lion 或更高版本客户端系统

描述文件的部署

OS X Mountain Lion 及更高版本支持配置描述文件。你可以使用描述文件来定义许多系统和帐户设置。

你可以通过多种方式向 macOS 客户端传送描述文件。主要传送方式是 macOS 服务器描述文件管理器。在 OS X Mountain Lion 或更高版本中，你可以使用一些其他方法。你可以连按两次“访达”中的 .mobileconfig 文件，或使用第三方移动设备管理 (MDM) 服务器。

有效负载详细信息

用于定义 AD 证书有效负载的描述文件管理器界面包含下列栏位。

• 描述：输入描述文件有效负载的简短描述。

• 证书服务器：键入 CA 完全有效的主机名。请不要在主机名前键入“http://”。

• 证书颁发机构：输入 CA 的短名称。你可以根据 AD 条目的 CN 确定该值： CN=、CN=证书颁发机构、CN=公共密钥服务、CN=服务、CN=配置

• 证书模板：输入你的环境中所需的证书模板。默认用户证书值为“用户”。默认电脑证书值为“计算机”。

• 证书到期通知阈值：这是定义证书到期且 macOS 显示到期通知前的天数的整数值。该值必须大于 14，小于证书的最长有效期（以天为单位）。

• RSA 密钥大小：这是用于签署证书签名请求 (CSR) 的专用密钥的大小整数值。可能的值包括 1024、2048、4096 等。所选的模板已在你的 CA 中定义，可帮助定义要使用的密钥大小值。

• 凭证提示：对于电脑证书，请忽略此选项。对于用户证书，仅当你选取“手动下载”作为描述文件传送方式时，此设置才适用。描述文件安装后，系统会提示用户输入凭证。

• 用户名：对于电脑证书，请忽略此栏位。对于用户证书，此栏位为选填项。你可以输入 AD 用户名作为所请求证书的基础。

• 密码：对于电脑证书，请忽略此栏位。对于用户证书，如果你已输入 AD 用户名，请键入与其相关联的密码。

请求电脑证书

请确保你使用的 macOS 服务器针对“设备管理”启用了描述文件管理器服务，且已绑定到 AD。

使用受支持的 AD 证书描述文件组合

• 仅限电脑/计算机证书，自动传送至 OS X Mountain Lion 或更高版本客户端

• 整合到网络描述文件的证书，适用于 EAP-TLS 802.1x 认证

• 整合到 VPN 描述文件的证书，适用于基于计算机的证书认证

• 整合到网络/EAP-TLS 和 VPN 描述文件的证书

部署描述文件管理器有效负载

1. 将 OS X Mountain Lion 或更高版本的客户端绑定到 AD。你可以使用描述文件、客户端上的 GUI 或客户端上的 CLI 绑定客户端。

2. 在客户端上安装签发 CA 或其他 CA 证书，使其配有完整的信任链。你还可以使用描述文件进行安装。

3. 选取通过设备或设备组描述文件的“自动推送”功能或“手动下载”功能传送 AD 证书描述文件。

   

4. 如果选取“自动推送”功能，你可以使用 macOS 服务器的描述文件管理器设备管理来注册此客户端。

5. 定义已注册的设备或设备组的 AD 证书有效负载。对于有效负载栏位描述，请参阅上文的“有效负载详细信息”部分。

   

6. 你可以为同一设备或设备组描述文件定义有线或无线 TLS 的网络有效负载。选择已配置的 AD 证书有效负载作为凭证。你可以针对 Wi-Fi 或以太网定义有效负载。

   

7. 通过设备或设备组定义 IPSec (Cisco) VPN 描述文件。选择已配置的 AD 证书有效负载作为凭证。

   

   • 基于证书的计算机认证仅支持 IPSec VPN 隧道。其他 VPN 类型要求使用不同的认证方法。

   • 你可以使用占位符字符串填充帐户名称栏位。

8. 存储描述文件。借助“自动推送”功能，描述文件将通过网络部署至已注册的电脑。AD 证书使用电脑的 AD 凭证来填充 CSR。

9. 如果你使用的是“手动下载”功能，请从客户端连接到描述文件管理器用户门户。

10. 安装可用的设备或设备组描述文件。

11. 请确保全新专用密钥和证书现在位于客户端上的系统钥匙串中。

你可以部署包含证书、目录、AD 证书、网络 (TLS) 和 VPN 有效负载的设备描述文件。客户端会按照适当的顺序处理有效负载，使每个有效负载操作都能成功。

请求用户证书

请确保你使用的 macOS 服务器针对“设备管理”启用了描述文件管理器服务，且已绑定到 AD。

使用受支持的 AD 证书描述文件组合

• 仅限用户证书，自动传送至 OS X Mountain Lion 或更高版本客户端

• 整合到网络描述文件的证书，适用于 EAP-TLS 802.1x 认证

部署描述文件管理器有效负载

1. 将客户端绑定到 AD。你可以使用描述文件、客户端上的 GUI 或客户端上的 CLI 绑定客户端。

2. 根据环境政策，启用客户端上的 AD 移动帐户创建。你可以通过描述文件（移动）、客户端上的 GUI 或客户端命令行启用此功能，例如：

   sudo dsconfigad -mobile enable

3. 在客户端上安装签发 CA 或其他 CA 证书，使其配有完整的信任链。你还可以使用描述文件进行安装。

4. 选取通过 AD 用户或用户组描述文件的“自动推送”功能或“手动下载”功能传送 AD 证书描述文件。你必须向用户或群组授予描述文件管理器服务的访问权限。

   

5. 如果选取“自动推送”功能，你可以使用 macOS 服务器描述文件管理器设备管理来注册此客户端。将客户端电脑与上文所述的 AD 用户相关联。

6. 针对同一 AD 用户或群组描述文件定义 AD 证书有效负载。有关有效负载栏位的描述，请参阅“有效负载详细信息”。

   

7. 你可以为同一 AD 用户或群组描述文件定义有线或无线 TLS 的网络有效负载。选择已配置的 AD 证书有效负载作为凭证。你可以针对 Wi-Fi 或以太网定义有效负载。

   

8. 使用具有描述文件管理器服务访问权限的 AD 用户帐户登录客户端。借助“自动推送”功能，登录操作能让你获取所需的 Kerberos 授权票据的票据 (TGT)。TGT 可用作所请求用户证书的身份模板。

9. 如果你使用的是“手动下载”功能，请连接到描述文件管理器用户门户。

10. 安装可用的用户或群组描述文件。

11. 出现提示时，输入用户名和密码。

12. 启动“钥匙串访问”。请确保登录钥匙串包含 Microsoft CA 签发的专用密钥和用户证书。

你可以部署包含证书、AD 证书和网络 (TLS) 的用户描述文件。OS X Mountain Lion 或更高版本客户端会按照适当的顺序处理有效负载，从而使每个有效负载操作都能成功。