Zertifikatsprofil

  • nP
  • EF

Mit dem Element Zertifikatbibliothek können Sie Zertifikate und Zertifikatidentitäten hochladen und auf Ihren Apple-Geräten bereitstellen. Sie können dieses Bibliothekselement verwenden, wenn Sie Dienste konfigurieren, die eine gültige Zertifikatvertrauenskette erfordern, oder Apps, die die zertifikatbasierte Authentifizierung unterstützen.

Erstellen eines Zertifikatprofils

  1. Navigieren Sie in der linken Navigationsleiste zu Library.  

  2. Wählen Sie in der oberen rechten Ecke Neu hinzufügen aus.

  3. Wählen Sie das Element Zertifikatsbibliothek aus und klicken Sie auf Hinzufügen und konfigurieren.

  4. Geben Sie Ihrem Bibliothekselement einen aussagekräftigen Titel.

  5. Ordnen Sie das Bibliothekselement Zertifikat einem Blueprint zu.

Atteste

Wählen Sie den Zertifikattyp aus, den Sie bereitstellen möchten.

  • PKCS #1-formatierte Zertifikatdateien haben die Dateierweiterung .cer, .crt oder .der. Sie enthalten ein Zertifikat ohne entsprechenden privaten Schlüssel.

  • PKCS #12-formatierte Zertifikatsdateien haben die Dateierweiterung .p12 oder .pfx. Sie enthalten ein Zertifikat und einen entsprechenden privaten Schlüssel. Informationen zum Konfigurieren des Zertifikatbibliothekselements für PKCS #12 finden Sie im Abschnitt PKCS #12-formatierte Zertifikate weiter unten.

  • AD CS-Zertifikate werden aus einer PKI-Umgebung für Microsoft Active Directory-Zertifikatdienste generiert. Informationen zum Konfigurieren des Zertifikatbibliothekselements für AD CS finden Sie im Abschnitt AD CS-Zertifikate weiter unten.

PKCS #12-formatierte Zertifikate

Wenn der Zertifikatstyp PKCS #12-Format ausgewählt wurde, führen Sie die folgenden Schritte aus, um die Konfiguration gemäß den Anforderungen Ihrer Umgebung abzuschließen.

  1. Name des ZertifikatsGeben Sie dem Zertifikat einen Namen, der in dem Konfigurationsprofil angezeigt wird, das in den Systemeinstellungen angezeigt wird.

  2. Passwort des ZertifikatsDiese Option wird angezeigt, wenn Sie den Zertifikatstyp PKCS #12-formatiert auswählen. Geben Sie das Kennwort ein, das zum Entschlüsseln der Zertifikatsidentität verwendet wird.

  3. ZertifikatKlicken Sie hier, um Ihr Zertifikat oder Ihre Zertifikatidentitätsdatei hochzuladen . Sie können es auch in das Feld Zertifikat ziehen.

  4. Apps den Zugriff auf den privaten Schlüssel erlaubenDiese Option wird angezeigt, wenn Sie die Zertifikatstypen PKCS #12-formatiert oder AD CS auswählen . Wenn Sie diese Option auswählen, können alle Apps auf dem Mac automatisch die Zertifikatsidentität verwenden. Dies ist nützlich, wenn Sie die Identität mit Apps oder Diensten verwenden, die die zertifikatbasierte Authentifizierung unterstützen. Wenn Sie diese Option deaktivieren, müssen Benutzer mit Administratorrechten die Schlüsselbund-App verwenden, um die Verwendung der Zertifikatsidentität zuzulassen.

  5. Verhindern, dass die Daten des privaten Schlüssels aus dem Schlüsselbund extrahiert werden Diese Option wird angezeigt, wenn Sie die Zertifikatstypen PKCS #12-formatiert oder AD CS auswählen. Es verhindert, dass der private Schlüssel der Zertifikatsidentität aus dem macOS Schlüsselbund exportiert wird, und stellt sicher, dass die Identität nur auf dem Mac verwendet wird, auf dem sie bereitgestellt wurde.

  6. Klicken Sie auf Speichern.  

AD CS-Zertifikate

Wenn der AD CS-Zertifikattyp ausgewählt wurde, führen Sie die folgenden Schritte aus, um die Konfiguration gemäß den Anforderungen Ihrer Umgebung abzuschließen.

Um AD CS-Zertifikate über Kandji bereitzustellen, muss zunächst die AD CS Integration eingerichtet und konfiguriert werden.

  1. Geben Sie einen Zertifikatsnamen ein. Dies wird in dem Konfigurationsprofil angezeigt, das in den Systemeinstellungen angezeigt wird.

  2. Geben Sie einen Zertifikatsantragsteller ein. Der Zertifikatsantragsteller wird in der Regel verwendet, um das Gerät innerhalb der Zertifizierungsstelle zu identifizieren. Dies kann alles sein, was Sie möchten, z. B. die Kandji globale Variable $SERIAL_NUMBER. Wenn Sie die globale Variable $SERIAL_NUMBER verwenden, wird die Seriennummer des Geräts in das Profil eingefügt, bevor sie an das Gerät gesendet wird.

  3. Wenn Ihre Umgebung dies erfordert, können Sie optional zusätzliche Subject Alternative Names (SANs) angeben, die in der Anforderung gesendet werden sollen.  

  4. Geben Sie einen Vorlagennamen ein. Dies ist der Name der AD CS-Computerzertifikatvorlage, die zum Generieren von AD CS-Zertifikaten verwendet wird.

  5. Wählen Sie im Dropdownmenü einen AD CS-Server aus. AD CS-Server werden während des Setups der AD CS-Integration hinzugefügt.

  6. Wählen Sie eine Schlüsselgröße für das Zertifikat aus.

  7. Wählen Sie optional Apps den Zugriff auf den privaten Schlüssel erlauben aus. Dies kann für Apps nützlich sein, die die zertifikatbasierte Authentifizierung unterstützen.

  8. Wählen Sie optional Verhindern, dass die Daten des privaten Schlüssels aus dem Schlüsselbund extrahiert werden.

  9. Klicken Sie auf Speichern.