向 Microsoft 憑證授權單位要求憑證

瞭解如何使用 DCE/RPC 和 Active Directory 憑證描述檔承載資料來要求憑證。

在 OS X Mountain Lion 和以上版本中,您可以使用 DCE/RPC 通訊協定。有了 DCE/RPC,就不需要以網頁為基礎的憑證授權(CA)。在您選擇製作憑證所用的樣板時,DCE/RPC 也能提供更多選擇。

OS X Mountain Lion 和以上版本在「描述檔管理程式」網頁 UI 中支援 Active Directory(AD)憑證描述檔。您可以透過自動或手動下載的方式,將電腦或使用者 AD 憑證描述檔部署到用戶端裝置上。

進一步瞭解在 macOS 中使用描述檔更新憑證

網路與系統需求

  • 有效的 AD 網域
  • 正常運作中的 Microsoft AD 憑證服務 CA
  • 綁定至 AD 的 OS X Mountain Lion 或以上版本的用戶端系統

描述檔部署

OS X Mountain Lion 和以上版本支援設定描述檔。您可以使用描述檔來定義許多系統和帳號設定。

您可以透過多種方式傳送描述檔給 macOS 用戶端。主要的傳送方式是透過 macOS Server「描述檔管理程式」。OS X Mountain Lion 和以上版本則提供另外幾種方式。您可以按兩下 Finder 中的 .mobileconfig 檔,或使用第三方行動裝置管理(MDM)伺服器。

承載資料詳細資訊

您用來定義 AD 憑證承載資料的「描述檔管理程式」介面包含下列所示的欄位。

  • 描述:輸入描述檔承載資料的簡短描述。
  • 憑證伺服器:輸入 CA 的完整主機名稱。請勿在主機名稱前面輸入「http://」。
  • 憑證授權:提供 CA 的簡稱。您可以根據 AD 項目的 CN 來決定要輸入的值: CN=<您的 CA 名稱>、CN=憑證授權、CN=公開金鑰服務、CN=服務、CN=設定、<您的基準 DN>
  • 憑證樣板:輸入您要在環境中使用的憑證樣板。預設使用者憑證值為 User。預設電腦憑證值為 Machine。
  • 憑證到期通知臨界值:這個整數值定義了還有幾天憑證會到期,且 macOS 會顯示到期通知。這個值必須大於 14,並小於憑證的期限上限(以天數計)。
  • RSA 密鑰大小:這個整數值代表的是用以簽署憑證簽署要求(CSR)的專用密鑰大小。可能的值包括 1024、2048、4096 等。您 CA 上定義的所選樣板,可用於定義要使用的密鑰大小值。
  • 提示憑證:對於電腦憑證,請略過此選項。對於使用者憑證,只有在您選擇「手動下載」方式來傳送描述檔時,才需要使用這個設定。描述檔安裝後,系統會提示使用者輸入認證資訊。
  • 使用者名稱:對於電腦憑證,請略過此欄位。對於使用者憑證,此為選填欄位。您可以輸入 AD 使用者名稱做為所要求憑證的基礎。
  • 密碼:對於電腦憑證,請略過此欄位。對於使用者憑證,請輸入與 AD 使用者名稱連結的密碼(如果您曾輸入過)。

要求電腦憑證

請確定您使用了 macOS Server,並已啟用「描述檔管理程式」服務以進行「裝置管理」並綁定到 AD。

使用受支援的 AD 憑證描述檔組合

  • 僅限電腦/機器憑證,會自動傳送至 OS X Mountain Lion 或以上版本的用戶端
  • 憑證整合到網路描述檔中,以供進行 EAP-TLS 802.1x 驗證
  • 憑證整合到 VPN 描述檔中,以供進行以機器為基礎的憑證驗證
  • 憑證同時整合到網路/EAP-TLS 和 VPN 描述檔中

部署「描述檔管理程式」承載資料

  1. 將 OS X Mountain Lion 或以上版本的用戶端綁定至 AD。您可以使用描述檔、用戶端上的 GUI 或用戶端上的 CLI 來綁定用戶端。
  2. 將核發的 CA 或其他 CA 憑證安裝在用戶端上,讓用戶端具有完整的信任鏈。您也可以使用描述檔來安裝。
  3. 針對裝置或裝置群組描述檔,請選擇使用「自動推播」或「手動下載」的方式來傳送 AD 憑證描述檔。

  4. 如果選擇「自動推播」,即可使用 macOS Server「描述檔管理程式」的「裝置管理」功能來註冊用戶端。
  5. 定義註冊裝置或裝置群組的 AD 憑證承載資料。有關承載資料欄位描述,請參閱上方的「承載資料詳細資訊」一節。

  6. 您可以為相同的裝置或裝置群組描述檔,定義有線或無線 TLS 的網路承載資料。選取已設定的 AD 憑證承載資料做為認證資料。您可以定義 Wi-Fi 或乙太網路承載資料。

  7. 透過裝置或裝置群組定義 IPSec(Cisco)VPN 描述檔。選取已設定的 AD 憑證承載資料做為認證資料。


    • 只有 IPSec VPN 通道支援以憑證為基礎的機器驗證。其他 VPN 類型需要使用不同的驗證方式。
    • 帳號名稱欄位可填入暫存區字串。
  8. 儲存描述檔。使用「自動推播」時,描述檔會透過網路部署到已註冊的電腦。AD 憑證會使用電腦的 AD 認證資訊來填寫 CSR。
  9. 若使用「手動下載」,請從用戶端連線至「描述檔管理程式」的使用者入口網站。
  10. 安裝可用的裝置或裝置群組描述檔。
  11. 確認新的專用密鑰和憑證現在已位於用戶端上的「系統」鑰匙圈中。

您可以部署結合憑證、目錄、AD 憑證、網路(TLS)和 VPN 承載資料的裝置描述檔。用戶端會以適當順序處理承載資料,讓每個承載資料動作都能順利執行。

要求使用者憑證

請確定您使用了 macOS Server,並已啟用「描述檔管理程式」服務以進行「裝置管理」並綁定到 AD。

使用受支援的 AD 憑證描述檔組合

  • 僅限使用者憑證,會自動傳送至 OS X Mountain Lion 或以上版本中的用戶端
  • 憑證整合到網路描述檔中,以供進行 EAP-TLS 802.1x 驗證

部署「描述檔管理程式」承載資料

  1. 將用戶端綁定至 AD。您可以使用描述檔、用戶端上的 GUI 或用戶端上的 CLI 來綁定用戶端。
  2. 根據您所在環境的政策,在用戶端上啟用 AD 行動帳號建立功能。若要啟用此功能,您可以透過描述檔(行動能力)、用戶端上的 GUI 或用戶端命令列,例如:
    sudo dsconfigad -mobile enable
    
  3. 將核發的 CA 或其他 CA 憑證安裝在用戶端上,讓用戶端具有完整的信任鏈。您也可以使用描述檔來安裝。
  4. 針對 AD 使用者或使用者群組描述檔,請選擇使用「自動推播」或「手動下載」的方式來傳送 AD 憑證描述檔。您必須為使用者或群組授予「描述檔管理程式」的服務存取權限。


  5. 如果選擇「自動推播」,即可使用 macOS Server「描述檔管理程式」的「裝置管理」功能來註冊用戶端。將用戶端電腦與上述的 AD 使用者建立關聯。
  6. 為相同的 AD 使用者或群組描述檔定義 AD 憑證承載資料。有關承載資料欄位描述,請參閱承載資料詳細資訊

  7. 您可以為相同的 AD 使用者或群組描述檔,定義有線或無線 TLS 的網路承載資料。選取已設定的 AD 憑證承載資料做為認證資料。您可以定義 Wi-Fi 或乙太網路承載資料。


  8. 使用可以存取「描述檔管理程式」服務的 AD 使用者帳號登入用戶端。使用「自動推播」時,登入就能取得必要的 Kerberos 票證授與票證(TGT)。此 TGT 會做為所要求使用者憑證的身分識別範本。
  9. 若使用「手動下載」,請連線至「描述檔管理程式」使用者入口網站。
  10. 安裝可用的使用者或群組描述檔。
  11. 若出現提示,請輸入使用者名稱和密碼。
  12. 開啟「鑰匙圈存取」。確認登入鑰匙圈包含專用密鑰以及 Microsoft CA 核發的使用者憑證。

您可以部署結合憑證、AD 憑證和網路(TLS)的使用者描述檔。位於 OS X Mountain Lion 或以上版本中的用戶端會以適當順序處理承載資料,讓每個承載資料動作都能順利執行。

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: