PKI-Zertifikat für die Gateway-Authentifizierung verwenden

Aktivieren Sie ein Public Key Infrastructure (PKI)-Zertifikat für die Authentifizierung mit Mobile Enterprise Gateway (MEG ).

Mobile Enterprise Gateway (MEG) Version 2.90 unterstützt die folgenden Elemente für die PKI-Zertifikatsauthentifizierung.
  • Geräteidentitätszertifikate und Benutzeridentitätszertifikate
  • Microsoft CA installiert auf 2016 +
  • Microsoft AD konfiguriert als Active Directory oder LDAP-Profil für Active Directory.
  • Zertifikatsattribute, die eine Benutzeridentifikation enthalten, sind Subject Name und Subject Alternative Name.
  • Verzeichnisattribute für Benutzername sind UPN, sAMAccountName, CN, UID (nicht unterstützt in Active Directory ), und name.
  • Format des Zertifikatsattributs.
    • UPN und DN
    • Mehrere LDAP-Profile für Active Directory
Voraussetzungen
  • Konfigurieren Sie die Microsoft CA im Modul Cloud Extender® Certificate Integration. Weitere Informationen finden Sie unter Microsoft CA-Integration.

Konfigurationsworkflow für die PKI-Zertifikatsauthentifizierung

  1. Konfigurieren Sie das Gerätezertifikat aus dem Cloud Extender-Zertifikatsintegrationsmodul und definieren Sie den Subject-Namen oder den Subject-Alternativnamen, der die entsprechenden Benutzernamen-Attribute aus der Benutzerregistrierungsprüfung enthält.
    • Wenn Sie Subject Name verwenden, geben Sie die folgenden Einstellungen ein.
      • Wenn Sie den DN als Namen des Zertifikatsantragstellers festlegen möchten, geben Sie /CN=%dn% im Feld Name des Antragstellers der Zertifikatsvorlage ein.
      • Wenn Sie den UPN als Namen des Zertifikatsantragstellers festlegen möchten, geben Sie /CN=%upn% im Feld Name des Antragstellers der Zertifikatsvorlage ein.
    • Wenn Sie den alternativen Namen des Betreffs verwenden, geben Sie die folgenden Einstellungen ein.
      • Wenn Sie den DN als alternativen Namen des Zertifikatsantragstellers festlegen möchten, wählen Sie Andere im Feld Alternativer Namenstyp des Antragstellers aus und geben Sie %dn% im Feld Antragstellervorlage an. Geben Sie einen gültigen Betreff ein (/emailAddress=%email%).
      • Wenn Sie den UPN als Namen des Zertifikatsantragstellers festlegen möchten, wählen Sie UPN im Feld Alternativer Namenstyp des Antragstellers der Zertifikatsvorlage aus. Geben Sie einen gültigen Betreff ein (/emailAddress=%email%).
  2. Konfigurieren Sie die Authentifizierung auf dem Cloud Extender, indem Sie die Schritte auf der Seite Cloud Extender Active Directory Konfiguration ausführen.
  3. Konfigurieren Sie die Details der Enterprise Gateway-Zertifikatsautorisierung mit dem Cloud Extender Configuration Tool.
    Wählen Sie für den Zertifikatsauthentifizierungsmodus eine der folgenden Optionen.
    • Wenn Informationen zum Zertifikat anhand von Benutzerattributen im Unternehmensverzeichnis prüfen aktiviert ist, wird der für die Validierung verwendete Name des Zertifikatsfelds angezeigt.
    • Wenn die Option Check for certificate revocation status aktiviert ist, werden die Optionen für If of failure to check certificate revocation status angezeigt.
  4. Konfigurieren Sie eine WorkPlace Persona-Richtlinie, die ein Zertifikat und den neu erstellten Vorlagenbezeichner für die Mobile Enterprise Gateway (MEG) -Authentifizierung verwendet.
    1. Melden Sie sich im Kundenportal an, und gehen Sie zu Workplace Persona Policy > Enterprise Gateway. Das Feld Authentifizierungstyp für Gateway wird mit dem StandardwertPassword.
    2. Wählen Sie Zertifikat in der Liste Authentifizierungstyp für Gateway aus und vergewissern Sie sich dann, dass das Feld Identitätszertifikat für Gateway-Authentifizierung angezeigt wird.
  5. Registrieren Sie ein neues Gerät mit der WorkPlace Persona und warten Sie dann, bis Sie eine Benachrichtigung erhalten, dass das neue Identitätszertifikat mit Push-Operation an das Gerät übertragen wird.
  6. Importieren Sie das Zertifikat Certificate Authority Signing in den Windows Trust Store auf dem Cloud Extender.
    1. Exportieren Sie das Zertifikat Certificate Authority Signing in eine Datei. Für die Microsoft-Zertifizierungsstelle, siehe https://support.microsoft.com/en-us/help/555252 für das Verfahren.
    2. Importieren Sie das Zertifikat Certificate Authority Signing in den Windows Trust Store auf dem Cloud Extender. Siehe https://technet.microsoft.com/en-us/library/cc754489(v=ws.11).aspx für das Verfahren.
  7. Starten Sie das Gateway erneut.
    1. Wechseln Sie in das Installationsverzeichnis von Cloud Extender auf dem Mobile Enterprise Gateway (MEG) -Server. Beispiel: C:\Program Files (x86)\<path to MaaS360>\Cloud Extender.
    2. Navigieren Sie zur Datei stopMobileGateway.bat und wählen Sie sie aus. Die Dateierweiterung wird angezeigt, wenn Sie in den Windows-Ordneroptionen die Anzeige von Dateinamen konfiguriert haben.
    3. Warten Sie etwa 30 Sekunden, bis Mobile Enterprise Gateway (MEG) gestoppt wird.
    4. Suchen Sie die Datei startMobileGateway.bat und wählen Sie sie aus, um Mobile Enterprise Gateway (MEG)erneut zu starten.