使用 OS X Lion 及更高版本,您可以通过“com.apple.adcertificate.managed”描述文件有效负载从 Microsoft 证书颁发机构获取证书。Mountain Lion 会过渡到使用 DCE/RPC 协议。DCE/RPC 无需已启用 Web 的证书颁发机构 (CA)。同时通过此功能,还能更灵活地选取用于签发的证书模板。Mountain Lion 针对描述文件管理器的 Web UI 中的 Active Directory 证书提供全面支持。适用于电脑或用户的 Active Directory 证书描述文件可通过自动推送或手动下载的方式部署到 Mountain Lion 客户端设备。
本文适用于:
- OS X Mountain Lion 客户端和 OS X Server (Mountain Lion)
- OS X Mavericks 客户端和 OS X Server (Mavericks)
有关 OS X Lion 客户端的信息,请参阅此文章。
可从此处获得有关 OS X Mavericks 客户端的证书更新信息。
网络和系统要求
- 有效的 Active Directory (AD) 域
- 正常工作的 Microsoft Active Directory 证书服务 CA
- 绑定到 Active Directory 的 OS X Mountain Lion 客户端系统
描述文件的部署
OS X Lion 和 OS X Mountain Lion 支持配置描述文件。许多系统和帐户设置都可以通过描述文件进行定义。向 OS X 客户端传送描述文件有多种方法。本文将 Mountain Lion Server 的描述文件管理器用作描述文件传送的主要示例。也可使用其他方法(简单操作有连按 Finder 中的 .mobileconfig 文件,或者复杂操作如第三方 MDM 服务器)在 Mountain Lion 客户端上安装描述文件。
有效负载详细信息
用于定义 Active Directory 证书有效负载的描述文件管理器界面包含下列字段。
- 描述:提供描述文件有效负载的简短描述。
- 证书服务器:提供 CA 完全有效的主机名。请勿在主机名前添加“http://”。
- 证书颁发机构:提供 CA 的“短名称”。该值可根据 Active Directory 条目的 CN 确定 - CN=<您的 CA 名称>、CN=证书颁发机构、CN=公用密钥服务、CN=服务、CN=配置、<您的基本 DN>
- 证书模板:提供环境中所需的证书模板。默认用户证书值为“用户”。默认电脑证书值为“计算机”。
- 凭证提示:对于电脑证书,忽略此选项。对于用户证书,此设置仅适用于已选取“手动下载”作为描述文件传送方法的情况。系统将在安装描述文件时提示用户提供凭证
- 用户名:对于电脑证书,忽略此选项。对于用户证书(如果需要)- 提供 Active Directory 用户名作为所请求证书的基础。
- 密码:对于电脑证书,忽略此选项。对于用户证书(如果需要)- 提供与所提供 Active Directory 用户名相关联的密码。
电脑证书
其他要求
- OS X Server 针对“设备管理”启用了描述文件管理器服务,且已绑定到 Active Directory
支持的 Active Directory 证书描述文件组合
- 仅电脑/计算机证书,自动传送至 Mountain Lion 客户端
- 整合到网络描述文件的证书,适用于 EAP-TLS 802.1x 鉴定
- 整合到 VPN 描述文件的证书,适用于基于计算机的证书鉴定
- 整合到网络/EAP-TLS 和 VPN 描述文件的证书
描述文件管理器有效负载的部署
- 将 Mountain Lion 客户端绑定至 Active Directory。可通过描述文件、客户端上的 GUI 或客户端上的 CLI 进行绑定。
- 在 Mountain Lion 客户端上安装签发 CA 或其他 CA 证书,以确保客户端配有完整的信任链。同样也可以通过描述文件进行安装。
- 确定 Active Directory 证书描述文件将通过设备或设备组描述文件的“自动推送”功能还是“手动下载”功能进行传送。
- (可选)如果已选取“自动推送”作为描述文件传送方法,请在 Mountain Lion Server 的描述文件管理器设备管理中注册此 Mountain Lion 客户端。
- 定义已注册的设备或设备组的 Active Directory 证书有效负载。请参阅上述有效负载字段描述的信息。
- (可选)定义同一设备或设备组描述文件的有线或无线 TLS 的网络有效负载 - 选择已配置的 Active Directory 证书有效负载作为凭证。
- 可针对 Wi-Fi 或以太网定义有效负载
- 可针对 Wi-Fi 或以太网定义有效负载
- (可选)通过设备或设备组定义 IPSec (Cisco) VPN 描述文件 - 选择已配置的 Active Directory 证书有效负载作为凭证。
- 基于证书的计算机鉴定仅支持 IPSec (Cisco) VPN 隧道,其他 VPN 类型要求使用不同的鉴定方法。
- 帐户名字段可使用占位符字符串填充。
- 存储描述文件。自动推送:描述文件将通过网络部署至已注册的电脑。Active Directory 证书将利用电脑的 Active Directory 凭证填写证书签名请求 (CSR)。
- (如果是手动下载)从 Mountain Lion 客户端连接到描述文件管理器的用户门户。
- (如果是手动下载)安装可用的设备或设备组描述文件。
- 验证全新专用密钥和证书现在是否位于 Mountain Lion 客户端上的系统钥匙串中。
可部署与证书、目录、Active Directory 证书、网络 (TLS) 和 VPN 有效负载组合的设备描述文件。Mountain Lion 客户端会按照适当的顺序处理有效负载,以确保每个有效负载操作都能成功。
用户证书
其他要求
- OS X Server 针对“设备管理”启用了描述文件管理器服务,且已绑定到 Active Directory
- 享有描述文件管理服务访问权限的 Active Directory 帐户
支持的 Active Directory 证书描述文件组合
- 仅限用户证书,自动传送至 Mountain Lion 客户端
- 整合到网络描述文件的证书,适用于 EAP-TLS 802.1x 鉴定
描述文件管理器有效负载的部署
- 将 Mountain Lion 客户端绑定至 Active Directory。可通过描述文件、客户端上的 GUI 或客户端上的 CLI 进行绑定。
- 根据环境政策,启用 Mountain Lion 客户端上的 Active Directory 移动帐户创建。可通过描述文件(移动)、客户端上的 GUI 或客户端上的命令行启用此功能,例如:
sudo dsconfigad -mobile enable - 在 Mountain Lion 客户端上安装签发 CA 或其他 CA 证书,以确保客户端配有完整的信任链。可以通过描述文件进行安装。
- 确定 Active Directory 证书描述文件将通过 Active Directory 用户或用户组描述文件的“自动推送”功能还是“手动下载”功能进行传送。必须授予用户或群组访问描述文件管理器服务的权限。
- (可选)如果已选取“自动推送”作为描述文件传送方法,请在 Mountain Lion Server 的描述文件管理器设备管理中注册此 Mountain Lion 客户端。注册时,请确保将客户端电脑与上述 Active Directory 用户关联。
- 定义同一 Active Directory 用户或群组描述文件的 Active Directory 证书有效负载。请参阅上述有效负载字段描述的信息。
- (可选)定义同一 Active Directory 用户或群组描述文件的有线或无线 TLS 的网络有效负载 - 选择已配置的 Active Directory 证书有效负载作为凭证。
- 可针对 Wi-Fi 或以太网定义有效负载。
- 可针对 Wi-Fi 或以太网定义有效负载。
- 以享有描述文件管理器服务访问权限的 Active Directory 用户帐户身份登录至 Mountain Lion 客户端。自动推送:通过 Active Directory 用户帐户在客户端电脑上登录将获取所需的 Kerberos Ticket Granting Ticket (TGT)。TGT 可用作所请求用户证书的身份模板。
- (如果是手动下载)连接到描述文件管理器的用户门户。
- (如果是手动下载)安装可用的用户或群组描述文件。
- (如果是手动下载)如果出现提示,请提供用户名或密码。
- 启动“钥匙串访问”,并验证登录钥匙串现在是否包含您所处环境中 Microsoft CA 签发的专用密钥和用户证书。
可部署与证书、Active Directory 证书和网络 (TLS) 组合的用户描述文件。Mountain Lion 客户端会按照适当的顺序处理有效负载,以确保每个有效负载操作都能成功。