認証局テンプレートは、Kerberos 証明書の配布用に適切に構成する必要があります。Active Directory 証明書サービス (AD CS) では、既存の Kerberos 認証テンプレートを複製し、iOS Kerberos 認証の新しい認証局テンプレートを構成できます。

AD CS の Kerberos 認証テンプレートを複製する際は、[新しいテンプレートのプロパティ] ダイアログ ボックスで、以下の情報を構成する必要があります。

図 1. Active Directory 証明書サービスの [新しいテンプレートのプロパティ] ダイアログ ボックス
  • 全般 タブ。テンプレート表示名とテンプレート名を入力します。たとえば、iOSKerberos のように入力します。これは、証明書テンプレート スナップイン、証明書スナップイン、および証明機関スナップインで表示される表示名です。

  • サブジェクト名 タブ。要求に含まれる ラジオ ボタンを選択します。AirWatch が証明書を要求する場合、サブジェクト名が AirWatch によって提供されます。

  • 拡張 タブ。アプリケーション ポリシーを定義します。

    • [アプリケーション ポリシー] を選択し、[編集] をクリックして新しいアプリケーション ポリシーを追加します。このポリシーに Kerberos Client Authentication という名前を付けます。

    • 1.3.6.1.5.2.3.4 というオブジェクト識別子 (OID) を追加します。これは変更しないでください。

    • [アプリケーション ポリシーの説明] リストで、表示されている Kerberos Client Authentication ポリシーおよびスマート カード認証ポリシー以外のすべてのポリシーを削除します。

  • セキュリティ タブ。証明書を使用できるユーザーのリストに、AirWatch アカウントを追加します。アカウントに権限を設定します。セキュリティ プリンシパルには、証明書テンプレートのアクセス許可を含む証明書テンプレートのすべての属性を変更できるように、フル コントロールを設定します。または、組織の要件に従って権限を設定します。

変更を保存します。このテンプレートを、Active Directory 認証局で使用するテンプレートのリストに追加します。

AirWatch で認証局を構成し、証明書テンプレートを追加します。