Настроив центр сертификации и шаблон сертификата для распространения сертификатов Kerberos в службах сертификации Active Directory CDertificate, нужно разрешить Workspace ONE UEM запрашивать сертификат, использованный для проверки подлинности, и добавить центр сертификации в консоль Workspace ONE UEM. При добавлении шаблона сертификата выполняется привязка к центру сертификации, используемому для создания сертификатов пользователей.
Необходимые условия
Настройте центр сертификации в Workspace ONE UEM.
Процедура
- В консоли Workspace ONE UEM последовательно выберите элементы Система > Интеграция предприятия > Центры сертификации.
- Перейдите на вкладку Шаблон запроса и щелкните Добавить.
- На странице шаблона сертификата настройте следующие параметры.
| Параметр |
Описание |
| Имя |
Введите имя нового шаблона запроса в Workspace ONE UEM. |
| Центр сертификации |
В раскрывающемся меню выберите созданный центр сертификации. |
| Шаблон издателя |
Введите точное имя шаблона ЦС Microsoft, созданного в службе сертификатов Active Directory. Например, iOSKerberos. |
| Имя субъекта |
Введите имя субъекта в шаблоне. Можно нажать кнопку +, чтобы выбрать значение подстановки в списке. Убедитесь в том, что значение введено после CN = в текстовом поле. Если выбрать тип подстановки DeviceUid, необходимо ввести двоеточие (:) после значения и выбрать значение подстановки в списке. Например, CN={DeviceUid}:{lookupvalue}, где текстовое поле {} — значение подстановки Workspace ONE UEM. Необходимо использовать двоеточие (:). Текст, введенный в этом поле, является субъектом сертификата, который может использоваться для определения того, кто или какое устройство получили сертификат. |
| Длина закрытого ключа |
Длина закрытого ключа соответствует параметру шаблона сертификата, используемого службой сертификатов Active Directory. Как правило, она равняется 2048 символам. |
| Тип закрытого ключа |
Установите флажки Подписывание и Шифрование. |
| Тип сети SAN |
Нажмите кнопку +Добавить. В качестве альтернативного имени субъекта выберите Имя участника-пользователя. Оно должно иметь значение {EnrollmentUser}. Когда проверка совместимости устройства настроена с проверкой подлинности Kerberos, если не настроить DeviceUid как значение подстановки имени субъекта, то необходимо добавить альтернативный тип SAN, чтобы включать уникальный идентификатор устройства (UDID). Выберите DNS-имя в качестве типа сети SAN. Он должен иметь значение UDID={DeviceUid}. |
| Автоматическое обновление сертификата |
Установите флажок Автоматическое продление сертификата, чтобы включить автоматическое продление сертификатов, использующих этот шаблон, перед окончанием срока их действия. |
| Период автоматического обновления (в днях) |
Если выбрано значение «Автоматическое обновление сертификата», введите количество дней до истечения срока, в течение которых он автоматически будет повторно выдан на устройство. |
| Разрешить отзыв сертификатов |
Установите этот флажок, чтобы включить автоматический отзыв сертификатов в случае отмены регистрации или удаления соответствующих устройств или удаления соответствующего профиля. |
| Публиковать закрытый ключ |
Установите этот флажок, чтобы опубликовать закрытый ключ. |
| Назначение закрытого ключа |
Служба каталога или настраиваемая веб-служба. |
- Нажмите кнопку Сохранить.
Дальнейшие действия
В консоли Workspace ONE Access настройте для встроенного поставщика удостоверений единый вход в качестве метода проверки подлинности на мобильных устройствах iOS.
