可以添加与用于生成用户证书的证书颁发机构相关联的证书模板。

前提条件

Workspace ONE UEM 中配置证书颁发机构。

过程

  1. Workspace ONE UEM 控制台中,导航到系统 > 企业集成 > 证书颁发机构
  2. 选择请求模板选项卡并单击添加
  3. 在证书模板页面中配置以下选项。

    选项

    描述

    名称

    Workspace ONE UEM 中输入新请求模板的名称。

    证书颁发机构

    在下拉菜单中,选择已创建的证书颁发机构。

    颁发模板

    输入与您在 AD CS 中创建的完全一致的 Microsoft CA 证书模板名称。例如,iOSKerberos

    使用者名称

    输入模板的使用者名称。您可以单击“+”,从列表中选择查找值。请确保在 CN= 后面的文本框中输入值。如果您选择查找类型 DeviceUid,请在值后面输入一个冒号 (:),然后再从列表中选择查找值。例如,CN={DeviceUid}:{lookupvalue},其中 {} 文本框是 Workspace ONE UEM 查找值。请确保包含冒号 (:)。在此文本框中输入的文本是证书的使用者,可用于确定接收证书的人员或设备。

    私钥长度

    此私钥长度与 AD CS 所使用的证书模板中的设置一致。该值通常为 2048。

    私钥类型

    选中签名加密所对应的复选框。

    SAN 类型

    单击 +添加。对于“使用者备用名称”,请选择用户主体名称。该值必须为 {EnrollmentUser}

    为设备合规性检查配置了 Kerberos 身份验证后,如果未将 DeviceUid 配置为“使用者名称”的查找值,则需再添加一种 SAN 类型以包含设备唯一标识符 (UDID)。选择 SAN 类型 DNS 名称。该值必须为 UDID={DeviceUid}

    自动续订证书

    选中该复选框可让使用此模板的证书在过期日期之前自动续订。

    自动续订期限 (天)

    指定自动续订的天数。

    启用证书吊销

    选中该复选框可使证书在出现以下情况时自动吊销:取消注册或删除了适用设备,或者移除了适用配置文件。

    发布私钥

    选中该复选框以发布私钥。

    私钥目标

    目录服务或自定义 Web 服务。
  4. 单击保存

下一步做什么

VMware Identity Provider 控制台中,使用适用于 iOS 的移动 SSO 身份验证方法配置内置身份提供程序。