您的证书颁发机构模板必须为 Kerberos 证书分发进行了正确配置。在 Active Directory Certificate Services (AD CS) 中,您可以复制现有的 Kerberos 身份验证模板,以便为 iOS Kerberos 身份验证配置新的证书颁发机构模板。

在从 AD CS 复制 Kerberos 身份验证模板时,您必须在“新模板的属性”对话框中配置以下信息。

图 1. Active Directory Certificate Services 的“新模板的属性”对话框
  • 常规选项卡。输入模板显示名称和模板名称。例如,输入“iOSKerberos”。这是在证书模板管理单元、证书管理单元和证书颁发机构管理单元中显示名称。

  • 请求处理选项卡。启用允许导出私钥

  • 使用者名称选项卡。选中在请求中提供单选按钮。当 Workspace ONE UEM 请求证书时,使用者名称由 Workspace ONE UEM 提供。

  • 扩展选项卡。定义应用程序策略。

    • 选择“应用程序策略”,并单击“编辑”以添加新的应用程序策略。将此策略命名为“Kerberos 客户端身份验证”。

    • 添加如下对象标识符 (Object Identifier, OID):1.3.6.1.5.2.3.4。请勿对其更改。

    • 在“应用程序策略的描述”列表中,删除所列的全部策略,但“Kerberos 客户端身份验证”策略和“智能卡身份验证”策略除外。

  • 安全性选项卡。将 Workspace ONE UEM 帐户添加到可使用该证书的用户列表中。设置该帐户的权限。设置“完全控制”可允许安全主体修改证书模板的所有属性,包括证书模板的权限。否则,请根据您组织的要求设置权限。

保存所做的更改。将该模板添加到 Active Directory 证书颁发机构所使用的模板列表中。

Workspace ONE UEM 中,配置证书颁发机构并添加证书模板。