Nachdem Sie die Zertifizierungsstelle und die Zertifikatsvorlage für die Verteilung von Kerberos-Zertifikaten in den Active Directory-Zertifikatdiensten konfiguriert haben, aktivieren Sie Workspace ONE UEM, um das zur Authentifizierung verwendete Zertifikat anzufordern, und fügen die Zertifizierungsstelle zur Workspace ONE UEM Console hinzu. Sie fügen die Zertifikatsvorlage hinzu, mit der die Zertifizierungsstelle zum Generieren des Benutzerzertifikats verknüpft wird.
Voraussetzungen
Konfigurieren Sie die Zertifizierungsstelle in Workspace ONE UEM.
Prozedur
- Gehen Sie in der Workspace ONE UEM-Konsole zu System > Unternehmensintegration > Zertifizierungsstellen.
- Wählen Sie die Registerkarte Anforderungsvorlage aus und klicken Sie auf Hinzufügen.
- Konfigurieren Sie Folgendes auf der Seite „Zertifikatsvorlage“.
| Option |
Beschreibung |
| Name |
Geben Sie den Namen der neuen Anforderungsvorlage in Workspace ONE UEM ein. |
| Zertifizierungsstelle |
Im Dropdown-Menü wählen Sie die erstellte Zertifizierungsstelle aus. |
| Ausstellungsvorlage |
Geben Sie den Namen der Vorlage des Microsoft-Zertifizierungsstellenzertifikats ein, wie er in AD CS erstellt wurde. Beispiel: iOSKerberos. |
| Antragstellername |
Geben Sie den Antragstellernamen für die Vorlage ein. Sie können auf + klicken, um einen Lookup-Wert aus der Liste auszuwählen. Stellen Sie sicher, dass der Wert nach CN=in das Textfeld eingegeben wird. Wenn Sie den Lookup-Typ DeviceUid auswählen, geben Sie einen Doppelpunkt (:) nach dem Wert ein und wählen Sie den Lookup-Wert aus der Liste aus. Beispiel: CN={DeviceUid}:{lookupvalue}, wobei das Textfeld {} der Lookup-Wert für Workspace ONE UEM ist. Achten Sie darauf, dass der Doppelpunkt (:) enthalten ist. Der in dieses Textfeld eingegebene Text ist der Betreff des Zertifikats, mit dem bestimmt werden kann, wer oder welches Gerät das Zertifikat erhalten hat. |
| Länge des privaten Schlüssels |
Diese Länge des privaten Schlüssels entspricht der Einstellung in der Zertifikatsvorlage, die von AD CS verwendet wird. Sie beträgt in der Regel 2048. |
| Typ des privaten Schlüssels |
Aktivieren Sie die Kontrollkästchen für Signatur und Verschlüsselung. |
| SAN-Typ |
Klicken Sie auf +Hinzufügen. Für den alternativen Antragstellernamen (SAN, Subject Alternate Name) wählen Sie Benutzer-Prinzipalname aus. Der Wert muss {EnrollmentUser} sein. Wenn die Compliance-Überprüfung von Geräten mit Kerberos-Authentifizierung konfiguriert ist, fügen Sie, wenn Sie die DeviceUid nicht als Lookup-Wert des Antragstellernamen konfiguriert haben, einen zweiten SAN-Typ hinzu, damit der eindeutige Gerätebezeichner (UDID) enthalten ist. Wählen Sie den SAN-Typ DNS-Name aus. Als Wert ist UDID={DeviceUid} erforderlich. |
| Automatische Zertifkaterneuerung |
Aktivieren Sie das Kontrollkästchen Automatische Zertifikaterneuerung, um Zertifikate, die diese Vorlage verwenden, automatisch vor ihrem Ablaufdatum zu erneuern. |
| Zeitraum der automatischen Erneuerung (in Tagen) |
Wenn Sie die automatische Zertifikaterneuerung ausgewählt haben, geben Sie die Anzahl der Tage vor Ablauf ein, in denen ein Zertifikat automatisch für das Gerät neu ausgegeben wird. |
| Aktivierung der Zertifikatsperrung |
Aktivieren Sie das Kontrollkästchen, damit Zertifikate automatisch gesperrt werden, wenn anwendbare Geräte nicht angemeldet oder gelöscht wurden oder wenn das gültige Profil entfernt wurde. |
| Veröffentlichen des privaten Schlüssels |
Aktivieren Sie das Kontrollkästchen zur Veröffentlichung des privaten Schlüssels. |
| Ziel des privaten Schlüssels |
Entweder Verzeichnisdienst oder benutzerdefinierter Webdienst. |
- Klicken Sie auf Speichern.
Nächste Maßnahme
Konfigurieren Sie in der Workspace ONE Access-Konsole den integrierten Identitätsanbieter mit der Authentifizierungsmethode Mobile SSO für iOS.
