認証局テンプレートは、Kerberos 証明書の配布用に適切に構成する必要があります。Active Directory Certificate Services (AD CS) の既存の Kerberos 認証テンプレートを複製して、iOS Kerberos 認証用の新しい認証局テンプレートを構成できます。

図 1. Active Directory 証明書サービスの [新しいテンプレートのプロパティ] ダイアログ ボックス

AD CS の Kerberos 認証テンプレートを複製する際は、[新しいテンプレートのプロパティ] ダイアログ ボックスで、以下の情報を構成する必要があります。

  • [全般] タブ。[テンプレート表示名][テンプレート名] を入力します。たとえば、iOSKerberos のように入力します。この名前は、証明書テンプレート スナップイン、証明書スナップイン、および認証局スナップインで表示される表示名です。
  • [要求処理] タブ。[プライベート キーのエクスポートを許可する] を有効にします。
  • [サブジェクト名] タブ。[要求に含まれる] ラジオ ボタンを選択します。Workspace ONE UEM は、証明書の要求時にサブジェクト名を提供します。
  • [拡張] タブ。アプリケーション ポリシーを定義します。
    • [アプリケーション ポリシー] を選択し、[編集] をクリックして新しいアプリケーション ポリシーを追加します。このポリシーに Kerberos Client Authentication という名前を付けます。
    • 1.3.6.1.5.2.3.4 というオブジェクト識別子 (OID) を追加します。これは変更しないでください。
    • [アプリケーション ポリシーの説明] リストで、表示されている Kerberos Client Authentication ポリシーおよびスマート カード認証ポリシー以外のすべてのポリシーを削除します。
  • [セキュリティ] タブ。証明書を使用できるユーザーのリストに、Workspace ONE UEM アカウントを追加します。アカウントに権限を設定します。セキュリティ プリンシパルには、証明書テンプレートのアクセス許可を含む証明書テンプレートのすべての属性を変更できるように、フル コントロールを設定します。または、組織の要件に従って権限を設定します。

変更を保存します。このテンプレートを、Active Directory 認証局で使用するテンプレートのリストに追加します。

Workspace ONE UEM で認証局を構成し、証明書テンプレートを追加します。