認証局テンプレートは、Kerberos 証明書の配布用に適切に構成する必要があります。Active Directory Certificate Services (AD CS) の既存の Kerberos 認証テンプレートを複製して、iOS Kerberos 認証用の新しい認証局テンプレートを構成できます。
![](images/GUID-6D740962-DC98-4F53-8F5E-C6FB1ADAEA02-low.png)
AD CS の Kerberos 認証テンプレートを複製する際は、[新しいテンプレートのプロパティ] ダイアログ ボックスで、以下の情報を構成する必要があります。
- [全般] タブ。[テンプレート表示名] と [テンプレート名] を入力します。たとえば、iOSKerberos のように入力します。この名前は、証明書テンプレート スナップイン、証明書スナップイン、および認証局スナップインで表示される表示名です。
- [要求処理] タブ。[プライベート キーのエクスポートを許可する] を有効にします。
- [サブジェクト名] タブ。[要求に含まれる] ラジオ ボタンを選択します。Workspace ONE UEM は、証明書の要求時にサブジェクト名を提供します。
- [拡張] タブ。アプリケーション ポリシーを定義します。
- [アプリケーション ポリシー] を選択し、[編集] をクリックして新しいアプリケーション ポリシーを追加します。このポリシーに Kerberos Client Authentication という名前を付けます。
- 1.3.6.1.5.2.3.4 というオブジェクト識別子 (OID) を追加します。これは変更しないでください。
- [アプリケーション ポリシーの説明] リストで、表示されている Kerberos Client Authentication ポリシーおよびスマート カード認証ポリシー以外のすべてのポリシーを削除します。
- [セキュリティ] タブ。証明書を使用できるユーザーのリストに、Workspace ONE UEM アカウントを追加します。アカウントに権限を設定します。セキュリティ プリンシパルには、証明書テンプレートのアクセス許可を含む証明書テンプレートのすべての属性を変更できるように、フル コントロールを設定します。または、組織の要件に従って権限を設定します。
変更を保存します。このテンプレートを、Active Directory 認証局で使用するテンプレートのリストに追加します。
Workspace ONE UEM で認証局を構成し、証明書テンプレートを追加します。