Шаблон центра сертификации для распространения сертификатов Kerberos должен быть настроен надлежащим образом. Для настройки нового шаблона центра сертификации для проверки подлинности Kerberos в iOS можно дублировать существующий шаблон проверки подлинности Kerberos в службе сертификации Active Directory (AD CS).

При копировании шаблона проверки подлинности Kerberos из AD CS в диалоговом окне «Свойства нового шаблона» необходимо настроить следующие сведения.

• Вкладка Общие. Введите отображаемое имя и имя шаблона. Например, iOSKerberos. Это имя, которое отображается в оснастке шаблонов сертификатов, сертификатов и центра сертификации.
• Вкладка Обработка запроса. Включите параметр Разрешить экспортировать закрытый ключ.
• Вкладка Имя субъекта. Установите переключатель Предоставляется в запросе. Workspace ONE UEM предоставляет имя субъекта при запросе сертификата.
• Вкладка Расширения. Определите политики приложений.
  • Выберите политики приложений и нажмите кнопку «Изменить», чтобы добавить новую политику приложений. Присвойте этой политике имя Клиентская проверка подлинности Kerberos.
  • Добавьте следующий идентификатор объекта (OID): 1.3.6.1.5.2.3.4. Не изменяйте его.
  • В списке «Описание политик приложений» удалите все политики, кроме политики «Клиентская проверка подлинности Kerberos» и «Проверка подлинности с помощью смарт-карты».
• Вкладка Безопасность. Добавьте учетную запись Workspace ONE UEM в список пользователей, которые могут использовать сертификат. Установите разрешения для учетной записи. Установите параметр «Полное управление», чтобы позволить субъекту безопасности изменять все атрибуты шаблона сертификата, в том числе разрешения для шаблона сертификата. В противном случае установите разрешения в соответствии с требованиями организации.

Сохраните изменения. Добавьте шаблон в список шаблонов, используемых центром сертификации Active Directory.

В Workspace ONE UEM настройте центр сертификации и добавьте шаблон сертификата.