Dopo aver configurato l'autorità di certificazione e il modello di certificato per la distribuzione di certificati Kerberos in Servizi certificati Active Directory, abilitare Workspace ONE UEM per richiedere il certificato utilizzato per l'autenticazione e aggiungere l'autorità di certificazione in Workspace ONE UEM Console. È possibile aggiungere un modello di certificato che associ la CA (Certificate Authority, autorità di certificazione) utilizzata per generare il certificato dell'utente.
Prerequisiti
Configurare l'autorità di certificazione in Workspace ONE UEM.
Procedura
- Nella console di Workspace ONE UEM, passare a Sistema > Integrazione aziendale > Autorità di certificazione.
- Selezionare la scheda Modello di richiesta e fare clic su Aggiungi.
- Configurare le opzioni seguenti nella pagina dei modelli di certificato.
| Opzione |
Descrizione |
| Nome |
Immettere il nome del nuovo modello di richiesta in Workspace ONE UEM. |
| Autorità di certificazione |
Selezionare l'autorità di certificazione creata dal menu a discesa. |
| Modello emittente |
Immettere il nome del modello di certificato CA di Microsoft esattamente come creato in AD CS. Ad esempio iOSKerberos. |
| Nome oggetto |
Immettere il nome dell'oggetto per il modello. È possibile fare clic su + per selezionare un valore di ricerca nell'elenco. Assicurarsi che il valore venga immesso dopo CN= nella casella di testo. Se si seleziona il tipo di ricerca DeviceUid, immettere un segno di due punti (:) dopo il valore e selezionare il valore di ricerca dall'elenco. Ad esempio, CN={DeviceUid}:{valorericerca}, dove la casella di testo {} è il valore di ricerca di Workspace ONE UEM. Assicurarsi di includere il segno di due punti (:). Il testo immesso in questa casella di testo corrisponde all'oggetto del certificato, che può essere utilizzato per determinare chi o quale dispositivo ha ricevuto il certificato. |
| Lunghezza chiave privata |
Questa lunghezza della chiave privata corrisponde all'impostazione del modello di certificato utilizzato da AD CS. In genere è pari a 2048. |
| Tipo chiave privata |
Selezionare le caselle di controllo Firma e Crittografia. |
| Tipo di SAN |
Fare clic su +Aggiungi. Per il SAN (Subject Alternate Name, nome alternativo dell'oggetto), selezionare Nome principale utente. Il valore deve essere {EnrollmentUser}. Quando il controllo di conformità dei dispositivi è configurato con l'autenticazione Kerberos, se non si configura il DeviceUid come valore di ricerca del nome dell'oggetto, aggiungere un secondo tipo di SAN per includere l'identificatore univoco del dispositivo (UDID). Selezionare il Nome DNS del tipo di SAN. Il valore deve essere UDID={DeviceUid}. |
| Rinnovo automatico certificati |
Selezionare la casella di controllo Rinnovo automatico certificati per fare in modo che i certificati che utilizzano questo modello vengano rinnovati automaticamente prima della data di scadenza. |
| Periodo di rinnovo automatico (in giorni) |
Se si seleziona Rinnovo automatico certificati, immettere quanti giorni prima della scadenza viene ripubblicato automaticamente un certificato nel dispositivo. |
| Consenti la revoca dei certificati |
Selezionare la casella di controllo per far sì che i certificati vengano revocati automaticamente quando vengono eliminati i dispositivi applicabili o ne viene annullata la registrazione, oppure se viene rimosso il profilo applicabile. |
| Pubblica chiave privata |
Selezionare questa casella di controllo per pubblicare la chiave privata. |
| Destinazione chiave privata |
Servizio di directory o servizio Web personalizzato. |
- Fare clic su Salva.
Operazioni successive
Nella console di Workspace ONE Access, configurare il provider di identità integrato con il metodo di autenticazione SSO mobile (per iOS).
