認証局テンプレートは、Kerberos 証明書の配布用に適切に構成する必要があります。Active Directory 証明書サービス (AD CS) では、既存の Kerberos 認証テンプレートを複製し、iOS Kerberos 認証の新しい認証局テンプレートを構成できます。

AD CS の Kerberos 認証テンプレートを複製する際は、[新しいテンプレートのプロパティ] ダイアログ ボックスで、以下の情報を構成する必要があります。

図 1. Active Directory 証明書サービスの [新しいテンプレートのプロパティ] ダイアログ ボックス
  • [全般] タブ。テンプレート表示名とテンプレート名を入力します。たとえば、iOSKerberos のように入力します。これは、証明書テンプレート スナップイン、証明書スナップイン、および証明機関スナップインで表示される表示名です。

  • [要求処理] タブ。[秘密キーのエクスポートを許可する] を有効にします。

  • [サブジェクト名] タブ。[要求に含まれる] ラジオ ボタンを選択します。Workspace ONE UEM が証明書を要求する場合、サブジェクト名が Workspace ONE UEM によって提供されます。

  • [拡張] タブ。アプリケーション ポリシーを定義します。

    • [アプリケーション ポリシー] を選択し、[編集] をクリックして新しいアプリケーション ポリシーを追加します。このポリシーに Kerberos Client Authentication という名前を付けます。

    • 1.3.6.1.5.2.3.4 というオブジェクト識別子 (OID) を追加します。これは変更しないでください。

    • [アプリケーション ポリシーの説明] リストで、表示されている Kerberos Client Authentication ポリシーおよびスマート カード認証ポリシー以外のすべてのポリシーを削除します。

  • [セキュリティ] タブ。証明書を使用できるユーザーのリストに、Workspace ONE UEM アカウントを追加します。アカウントに権限を設定します。セキュリティ プリンシパルには、証明書テンプレートのアクセス許可を含む証明書テンプレートのすべての属性を変更できるように、フル コントロールを設定します。または、組織の要件に従って権限を設定します。

変更を保存します。このテンプレートを、Active Directory 認証局で使用するテンプレートのリストに追加します。

Workspace ONE UEM で認証局を構成し、証明書テンプレートを追加します。