Zertifikatsvorlage in Cloud Extender konfigurieren

Konfigurieren Sie die Zertifikatsvorlage auf dem Cloud Extender®.

Vorgehensweise

  1. Öffnen Sie das Cloud Extender Configuration Tool und wählen Sie das Modul Certificate Integration. Wenn es Ihre erste Vorlage ist, werden Sie aufgefordert, eine neue Vorlage zu erstellen. Wenn Sie eine weitere Vorlage hinzufügen möchten, wählen Sie Neue Vorlage hinzufügen.
  2. Geben Sie die Details des Zertifizierungsstellenservers ein.
    Parameter Beschreibung
    Vorlagenname Der Name Ihrer Vorlage. Der Name der Vorlage wird in den IBM® MaaS360® richtlinien unter verschiedenen Konfigurationsabschnitten angezeigt, die Identitätszertifikate verwenden.
    Hostname des SCEP-Servers Der Hostname Ihres NDES-Servers.
    Abfragetyp des SCEP-Servers NDES erfordert ein Kennwort für die Abfrage, damit Zertifikatsanforderung authentifiziert werden, bevor der Service ein Identitätszertifikat ausstellt.

    Verwenden Sie jedes Mal ein statisches Kennwort oder ein dynamisches Abfragekennwort, das von Cloud Extender auf der Seite MSCEP-Administrator analysiert wird.

    Verwenden Sie einen der folgenden Werte.
    • Dynamic ist der Standardwert für den Basismodus.
    • Static wird für die Integration von Verizon MCS verwendet.
    Benutzername der Abfrage Die Berechtigungsnachweise des Geräteadministrators für SCEP-Transaktionen.
    Kennwort der Abfrage Die Berechtigungsnachweise des Geräteadministrators für SCEP-Transaktionen.
  3. Geben Sie die folgenden Zertifikateigenschaften ein.
    Option Beschreibung
    Name des Subjekts Verwenden Sie den Namen des Antragstellers, um die Zertifikatsvorlage so zu konfigurieren, dass bestimmte Attribute des Benutzers oder Geräts an die Zertifikatsanforderung übergeben werden, damit die zurückgegebenen Zertifikate diese Werte verwenden.

    Die Standardzeichenfolge für den Namen des Antragstellers lautet /CN=%uname%/emailAddress=%email%.

    Die Vorlage unterstützt jeden der folgenden dynamischen Parameter.
    Parametername Beschreibung
    %udid% Die UDID des Geräts.
    %csn% Die MaaS360 -Geräte-ID.
    %uname% Der Benutzername des Gerätebesitzers.
    %domain% Die Domäne des Benutzers.
    %email% Die E-Mail-Adresse für den Benutzer.
    %imei% Die IMEI-Nummer des Geräts.
    %model% Das Gerätemodell.
    %sim% Die SIM-Nummer des Geräts.
    %phnumber% Die Telefonnummer des Geräts.
    Attribute des Moduls "Benutzersichtbarkeit"
    • %ou% (Organizational Unit, Organisationseinheit)
    • %cn% (Common Name, allgemeiner Name)
    • %dc% (Domain Component, Domänenkomponente)
    • %dn% (Distinguished Name, definierter Name)
    Die Vorlage unterstützt auch die folgenden statischen Werte.
    • CN (commonName)
    • C (countryName)
    • L (localityName)
    • ST (stateOrProvinceName)
    • O (organizationName)
    • OU (organizationUnitName)
    • G (givenName)
    • S (Surname)
    • I (Initials)
    • UID (uniqueIdentifier)
    • SN(serialNumber)
    • T (title)
    • D (description)

    Cloud Extender unterstützt auch Variablennamen für benutzerdefinierte Benutzerattribute für den Betreffnamen des Zertifikats. Der Wert des benutzerdefinierten Attributs kann an die Zertifikatsanforderung weitergegeben werden, wenn der Wert definiert und aus LDAP gelesen wird, oder wenn er auf IBM MaaS360 lokal gesetzt wird.
    Alternativer Name des Betreffenden
    Verwenden Sie dieses Feld, um den Benutzer für die Authentifizierung eindeutig festzulegen. Dies ist eines der gängigsten Felder und wird dazu verwendet, den alternativen Namen des Antragstellers anzugeben.
    Hinweis: Standardmäßig werden UPN und E-Mail mit den vorkonfigurierten Werten angezeigt, die vor dem Upgrade verwendet wurden.

    Sie können Attribute hinzufügen und die Werte für die entsprechenden Attribute konfigurieren.

    Um einen URI mithilfe eines benutzerdefinierten Benutzerattributs zu konfigurieren, das in IBM MaaS360 Portal erstellt wird, müssen Sie ein bestimmtes Format einhalten.

    tag:microsoft.com,2022-09-14:sid:%<custom user attribute>% und ersetzen Sie <user attribute> im URI-Format durch den Namen des Attributs, das Sie erstellt haben.

    In diesem SAN-URI, microsoft.com und 2022-09-14 sind fest kodierte Werte, die nicht geändert werden können. Der einzige Wert, der beim SAN-URI angegeben werden muss, ist die Benutzer- oder Geräte-SID, die das Feld <value> ersetzt.

    Beispiel

    Wenn Ihr benutzerdefiniertes Benutzerattribut Sample heißt, wird der URI zu tag:microsoft.com,2022-09-14:sid:%Sample%. Die Syntax %custom user attribute% ist ein Platzhalter, der unter MaaS360 durch den tatsächlichen Wert des Attributs ersetzt wird.
    Zertifikate in Cloud Extender zwischenspeichern Wenn der Benutzer ein bereits registriertes Gerät registriert, verwendet Cloud Extender die Zertifikate erneut und speichert sie lokal, anstatt die Zertifizierungsstelle für ein neues Zertifikat zu kontaktieren.

    Verwenden Sie diese Option, um einen lokalen Speicherpfad oder einen UNC-Netzpfad zum Speichern der Zertifikate auszuwählen.
    Position des Zertifikatscache Der lokale Speicherpfad oder ein UNC-Netzpfad, in dem Zertifikate gespeichert werden.
  4. Klicken Sie auf Speichern und Testen, um Ihre Konfiguration zu testen.
    Wenn Ihr Test erfolgreich war, wird eine Aufforderung angezeigt, die besagt, dass das Zertifikat generiert und erfolgreich validiert wurde, mit einer Option zum Herunterladen des Zertifikats für ein mobiles Gerät.

Nächste Schritte

Konfigurieren von IBM MaaS360 Richtlinien zur Verwendung der Cloud Extender-Zertifikatsvorlagen