Selbstsigniertes Zertifikat für iOS iPAD über Intunes
Hi,
ich habe hier wieder mal ein Zertifikatsproblem.
Ich habe einen Debian 12 mit GLPI (Inventar und Ticketsystem).
Das dort erstellte Selbstsignierte Zertifikat (interner Server) funktioniert nun in den Browsern von Windows prima, nachdem das über die Gruppenrichtlinie verteilt wird. Karin11 hat mir da top weitergeholfen.
Jetzt habe ich mir mal die iPADs angeschaut. Die werden über Intunes verwaltet. Die Anforderung von Appel an die Zertifikate sind dann doch anders ...
Wie muß denn ein Zertifikatsrequest für das Appleding genau aussehen?
Für das Selbstsignierte SAN Zertifikat unter Windows habe ich folgendes gemacht (Funktioniert über die lokale Domäne, wenn man das in den Zertifikatsspeicher macht und über GPO verteilt):
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -sha256 -days 365 -subj "/C=DE/CN=glpi.technologie.local" -addext "subjectAltName = DNS:glpi.technologie.local" -addext "extendedKeyUsage = serverAuth,clientAuth" -addext "keyUsage = critical,keyEncipherment,dataEncipherment"
--> Für Apple muß das auf rsa:4096 stehen. Was muß denn eventuell da noch rein?
Grüße
Heinz
ich habe hier wieder mal ein Zertifikatsproblem.
Ich habe einen Debian 12 mit GLPI (Inventar und Ticketsystem).
Das dort erstellte Selbstsignierte Zertifikat (interner Server) funktioniert nun in den Browsern von Windows prima, nachdem das über die Gruppenrichtlinie verteilt wird. Karin11 hat mir da top weitergeholfen.
Jetzt habe ich mir mal die iPADs angeschaut. Die werden über Intunes verwaltet. Die Anforderung von Appel an die Zertifikate sind dann doch anders ...
Wie muß denn ein Zertifikatsrequest für das Appleding genau aussehen?
Für das Selbstsignierte SAN Zertifikat unter Windows habe ich folgendes gemacht (Funktioniert über die lokale Domäne, wenn man das in den Zertifikatsspeicher macht und über GPO verteilt):
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -sha256 -days 365 -subj "/C=DE/CN=glpi.technologie.local" -addext "subjectAltName = DNS:glpi.technologie.local" -addext "extendedKeyUsage = serverAuth,clientAuth" -addext "keyUsage = critical,keyEncipherment,dataEncipherment"
--> Für Apple muß das auf rsa:4096 stehen. Was muß denn eventuell da noch rein?
Grüße
Heinz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3285478085
Url: https://administrator.de/forum/selbstsigniertes-zertifikat-fuer-ios-ipad-ueber-intunes-3285478085.html
Ausgedruckt am: 21.12.2024 um 13:12 Uhr
14 Kommentare
Neuester Kommentar
Hey, hast du ein Stammzertifikat deiner CA?
Falls du das hast, kannst du das unter Geräte -> iOS -> Konfigurationsprofile hochladen. Damit deckst du alle signierte Zertifikate ab, die erstellt hast bzw. noch erstellst.
Evtl. erübrigt sich dann bereits deine Frage.
Ansonsten erstelle ich die Zertifikatsanfragen gerne über Link.
Darüber hat bei mir alles auf anhieb funktioniert
Falls du das hast, kannst du das unter Geräte -> iOS -> Konfigurationsprofile hochladen. Damit deckst du alle signierte Zertifikate ab, die erstellt hast bzw. noch erstellst.
Evtl. erübrigt sich dann bereits deine Frage.
Ansonsten erstelle ich die Zertifikatsanfragen gerne über Link.
Darüber hat bei mir alles auf anhieb funktioniert
Zitat von @hkrischeu:
Im iPAD gibt es das Menu leider nicht --> Geräte/iOS/Konfigurationsprofile hochladen.
Da ich mehrere Zertifikate machen möchte, bietet sich wegen der Fehleranfälligkeit eher die Shell an, weil ich das gut anpassen/scripten kann.
Die Vorgehensweise ist ja erst mal den Zertifikatsrequest mit allen benötigten Eigenschaften zu erstellen.
(-->Hier findet man so viel Zeug und halt auch Unterschiedlichste Einstellungen.)
Dann auf dem WindowsServer signieren lassen
und dann auf den Apacheserver kopieren
und zum Schluß über GPO und Intunes auf die WindowsKnechte und iPADs zu verteilen.
Im iPAD gibt es das Menu leider nicht --> Geräte/iOS/Konfigurationsprofile hochladen.
Da ich mehrere Zertifikate machen möchte, bietet sich wegen der Fehleranfälligkeit eher die Shell an, weil ich das gut anpassen/scripten kann.
Die Vorgehensweise ist ja erst mal den Zertifikatsrequest mit allen benötigten Eigenschaften zu erstellen.
(-->Hier findet man so viel Zeug und halt auch Unterschiedlichste Einstellungen.)
Dann auf dem WindowsServer signieren lassen
und dann auf den Apacheserver kopieren
und zum Schluß über GPO und Intunes auf die WindowsKnechte und iPADs zu verteilen.
Die Einstellungen findest du in Intune. Dort musst du unter Templates -> Trusted certificate auswählen und Zertifikat hochladen.
Da du mehrere Zertifikate machen möchtest bietet es sich eher an das Stammzertifikat deiner CA hochzuladen. Du ersparst dir den Upload anderer Zertifikate. Stichpunkt: Fehleranfälligkeit
Hoffe du findest die Einstellung. Hatte ich eben etwas schwammig formuliert.
Edit:
Versuche mal das Zertifikat, was du für Windows verteilst auch für iOS/iPadOS zu verwenden.
Apple begrenzt auf max. 2 Jahre - alles darüber wird als „Nicht sicher“ anerkannt. Normalerweise sollten die Zertifikate universell sein.