Abrufen von S/MIME-Zertifikaten
Sie können Zertifikatsabrufprofile verwenden, um es
Android
- und iOS
-Geräten zu ermöglichen, nach S/MIME-Zertifikaten von LDAP-Servern zu suchen und diese abzurufen. Wenn sich ein erforderliches S/MIME-Zertifikat nicht bereits im Zertifikatspeicher des Geräts befindet, wird es von dem Gerät automatisch vom Server abgerufen und importiert.iOS
und Android
-Geräte durchsuchen jeden LDAP-Zertifikatserver, den Sie im Profil festlegen, und rufen das S/MIME-Zertifikat ab. Wenn mehr als ein S/MIME-Zertifikat vorliegt und ein Gerät nicht ermitteln kann, welches zu bevorzugen ist, zeigt das Gerät alle S/MIME-Zertifikate an, sodass der Benutzer auswählen kann, welches davon verwendet werden soll.Sie können festlegen, dass die Geräte entweder die einfache Authentifizierung oder die
Kerberos
-Authentifizierung verwenden, um sich bei LDAP-Zertifikatservern zu authentifizieren. Wenn Sie verlangen, dass die Geräte eine einfache Authentifizierung verwenden, können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die Zertifikatsabrufprofile einbinden, sodass sich die Geräte automatisch bei den LDAP-Zertifikatservern authentifizieren können. Wenn Sie erzwingen, dass die Geräte eine Kerberos
-Authentifizierung verwenden, können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die Zertifikatsabrufprofile einbinden, sodass sich die Android
- und iOS
-Geräte automatisch bei den LDAP-Zertifikatservern authentifizieren können. Andernfalls fordert das Gerät bei der ersten Authentifizierung bei einem LDAP-Zertifikatserver den Benutzer zur Eingabe der erforderlichen Anmeldedaten für die Authentifizierung auf.Wenn Sie die
Kerberos
-Authentifizierung über S/MIME-Zertifikatabruf implementieren, müssen Sie den entsprechenden Benutzern oder Benutzergruppen ein Profil für die einmalige Anmeldung (Single Sign-On) zuweisen. Weitere Informationen zum Erstellen und Zuweisen eines Profils für die einmalige Anmeldung finden Sie unter Einrichten einer Authentifizierung bei einmaliger Anmeldung für Geräte.Wenn Sie kein Zertifikatsabrufprofil erstellen und es den Benutzerkonten, Benutzergruppen oder Gerätegruppen zuweisen, müssen die Benutzer die S/MIME-Zertifikate aus dem Anhang einer geschäftlichen E-Mail oder von einem Computer manuell importieren.