Symantec PKI-Zertifikatsvorlage konfigurieren

Schließen Sie die Konfiguration der Symantec PKI-Zertifikatsvorlage ab.

Vorgehensweise

  1. Klicken Sie im Fenster Template Configuration auf Already have a RA certificate.
  2. Suchen Sie im Feld RA-Zertifikatsdatei importieren nach dem Speicherort des RA-Zertifikats, das Sie von Symantec heruntergeladen haben.
    Nachdem Sie die RA-Zertifikatsdatei ausgewählt haben, füllt das Konfigurationstool die Werte in den folgenden Feldern aus.
    • PEM-Datei mit Registrierungsstellenzertifikat importieren
    • Datei mit Registrierungsstellenzertifikatsschlüssel importieren
    • Kennwort für Registrierungsstellenzertifikatsschlüssel
    Das Fenster Vorlagenkonfiguration enthält außerdem die folgenden Informationen.
    Option Beschreibung
    Typ Verwenden Sie für die Integration der Symantec-Zertifizierungsstelle den Typ SCEP.
    Name des Subjekts Verwenden Sie den Namen des Antragstellers, um die Zertifikatsvorlage so zu konfigurieren, dass bestimmte Attribute des Benutzers oder Geräts an die Zertifikatsanforderung übergeben werden, damit die zurückgegebenen Zertifikate diese Werte verwenden.

    Die Standardzeichenfolge für den Namen des Antragstellers lautet /CN=%uname%/emailAddress=%email%.

    Die Vorlage unterstützt jeden der folgenden dynamischen Parameter.
    Parametername Beschreibung
    %udid% Die UDID des Geräts.
    %csn% Die MaaS360® -Geräte-ID.
    %uname% Der Benutzername des Gerätebesitzers.
    %domain% Die Domäne des Benutzers.
    %email% Die E-Mail-Adresse für den Benutzer.
    %imei% Die IMEI-Nummer des Geräts.
    %model% Das Gerätemodell.
    %sim% Die SIM-Nummer des Geräts.
    %phnumber% Die Telefonnummer des Geräts.
    Attribute des Moduls "Benutzersichtbarkeit"
    • %ou% (Organizational Unit, Organisationseinheit)
    • %cn% (Common Name, allgemeiner Name)
    • %dc% (Domain Component, Domänenkomponente)
    • %dn% (Distinguished Name, definierter Name)
    Die Vorlage unterstützt auch die folgenden statischen Werte.
    • CN (commonName)
    • C (countryName)
    • L (localityName)
    • ST (stateOrProvinceName)
    • O (organizationName)
    • OU (organizationUnitName)
    • G (givenName)
    • S (Surname)
    • I (Initials)
    • UID (uniqueIdentifier)
    • SN (serialNumber)
    • T (title)
    • D (description)

    Cloud Extender ® unterstützt auch benutzerdefinierte Attributvariablennamen für den Betreffnamen des Zertifikats. Der Wert des benutzerdefinierten Attributs kann an die Zertifikatsanforderung weitergegeben werden, wenn der Wert definiert und aus LDAP gelesen wird, oder wenn er auf IBM® MaaS360 lokal festgelegt wird.
    Alternativer Namenstyp des Antragstellers
    Verwenden Sie dieses Feld, um den Benutzer für die Authentifizierung eindeutig festzulegen. Dies ist eines der gängigsten Felder und wird dazu verwendet, den alternativen Namen des Antragstellers anzugeben.
    Hinweis: Standardmäßig werden UPN und E-Mail mit den vorkonfigurierten Werten angezeigt, die vor dem Upgrade verwendet wurden.

    Sie können Attribute hinzufügen und die Werte für die entsprechenden Attribute konfigurieren.

    Um einen URI mithilfe eines benutzerdefinierten Benutzerattributs zu konfigurieren, das in IBM MaaS360 Portal erstellt wird, müssen Sie ein bestimmtes Format einhalten.

    tag:microsoft.com,2022-09-14:sid:%<custom user attribute>% und ersetzen Sie <user attribute> im URI-Format durch den Namen des Attributs, das Sie erstellt haben.

    In diesem SAN-URI, microsoft.com und 2022-09-14 sind fest kodierte Werte, die nicht geändert werden können. Der einzige Wert, der beim SAN-URI angegeben werden muss, ist die Benutzer- oder Geräte-SID, die das Feld <value> ersetzt.

    Beispiel

    Wenn Ihr benutzerdefiniertes Benutzerattribut Sample heißt, wird der URI zu tag:microsoft.com,2022-09-14:sid:%Sample%. Die Syntax %custom user attribute% ist ein Platzhalter, der unter MaaS360 durch den tatsächlichen Wert des Attributs ersetzt wird.
    Schlüsseltyp Der Typ des Schlüssels, mit dem Zertifikate generiert werden. Der Standardschlüsseltyp ist RSA.
    Schlüsselgröße Die Größe des privaten Schlüssels, der für generierte Zertifikate verwendet wird. Die Schlüsselgröße muss mit Ihrer Vorlage in NDES übereinstimmen. Die Standardschlüsselgröße ist 2048, unterstützt aber auch 1024 und 4096.
    Schlüsselnutzung Die Schlüsselverwendung der generierten Schlüssel. Der Standardschlüssel ist Digital Signature and Key Encipherment usages.
    ZS-Signaturalgorithmus Der Standardwert ist SHA-256, aber Cloud Extender unterstützt auch andere Algorithmen. Der Algorithmus muss mit Ihrer Vorlage in NDES übereinstimmen.
    ZS-Verschlüsselungsalgorithmus Der Standardwert ist 3-DES, aber Cloud Extender unterstützt auch DES und Blowfish.
    Generierte Zertifikate speichern Wenn der Benutzer ein bereits registriertes Gerät registriert, verwendet Cloud Extender die Zertifikate erneut und speichert sie lokal, anstatt die Zertifizierungsstelle für ein neues Zertifikat zu kontaktieren.

    Verwenden Sie diese Option, um einen lokalen Speicherpfad oder einen UNC-Netzpfad zum Speichern der Zertifikate auszuwählen.
    Zertifikatsspeicherpfad Der Pfad für das Zertifikat.

    Sie können eine Standalone-Instanz des Cloud Extender mit lokalem Pfad verwenden, aber für den Hochverfügbarkeitsmodus müssen Sie eine Netzwerkfreigabe verwenden.
    Verlängerungszeitraum (Tage) Gibt den Zeitraum in Tagen an, innerhalb dessen versucht wird, das Zertifikat zu verlängern, bevor das Zertifikat abläuft. Der Standardwert ist 14 Tage.

    Wenn ein Zertifikat beispielsweise ein Jahr lang gültig ist (14 Tage vor Ablauf dieses Jahres), versucht Cloud Extender , das Zertifikat zu verlängern. Cloud Extender versucht zwei Verlängerungen pro Zertifikat pro Woche.
    Wiederholungsdauer (Tage) Wenn eine Zertifikatsanforderung fehlschlägt, wiederholt Cloud Extender die Zertifikatsanforderung alle 15 Minuten. Diese Einstellung gibt die Anzahl Tage an, die Cloud Extender versucht, das Zertifikat zu verlängern, bevor die Erneuerungsanforderung als fehlgeschlagen markiert wird.

    Wenn für die Zertifizierungsstellenumgebung ein Wartungsfenster von 8 Stunden festgelegt ist, werden mit der Wiederholungsfunktion automatisch Zertifikate ausgestellt, wenn die Wartung der Zertifizierungsstelle abgeschlossen ist. Setzen Sie diesen Wert mindestens auf drei Tage.
  3. Klicken Sie auf Speichern.