Cara mengonfigurasi autentikasi berbasis sertifikat Azure AD (Pratinjau)

  • Artikel
  • 11 menit untuk membaca

Autentikasi berbasis sertifikat (CBA) Azure Active Directory (Azure AD) memungkinkan pelanggan mengonfigurasi penyewa Azure AD mereka untuk memungkinkan atau mengharuskan pengguna mengautentikasi dengan sertifikat X.509 yang diverifikasi terhadap Infrastruktur Kunci Umum (PKI) Enterprise mereka untuk masuk aplikasi dan browser. Fitur ini memungkinkan pelanggan untuk mengadopsi autentikasi tahan pengelabuan dengan menggunakan sertifikat x.509.

Selama masuk, pengguna akan melihat opsi untuk mengautentikasi dengan sertifikat alih-alih memasukkan kata sandi. Jika beberapa sertifikat yang cocok ada di perangkat, pengguna dapat memilih mana yang akan digunakan. Sertifikat divalidasi, pengikatan ke akun pengguna diperiksa, dan jika berhasil, mereka masuk.

Topik ini mencakup cara mengonfigurasi dan menggunakan autentikasi berbasis sertifikat untuk penyewa dalam paket Office 365 Enterprise dan Pemerintah AS. Anda harus sudah memiliki infrastruktur kunci umum (PKI) yang dikonfigurasi.

Ikuti petunjuk ini untuk mengonfigurasi dan menggunakan CBA Azure AD.

Catatan

Autentikasi berbasis sertifikat Azure AD saat ini sedang dalam pratinjau publik. Beberapa fitur mungkin tidak didukung atau terbatas. Untuk mengetahui informasi selengkapnya mengenai pratinjau, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Prasyarat

Pastikan prasyarat berikut sudah ada.

  • Konfigurasikan setidaknya satu otoritas sertifikat (OS) dan otoritas sertifikat perantara apa pun di Azure Active Directory.
  • Pengguna harus memiliki akses ke sertifikat pengguna (dikeluarkan dari Infrastruktur Kunci Umum tepercaya yang dikonfigurasi pada penyewa) yang ditujukan untuk autentikasi klien untuk mengautentikasi terhadap Azure AD.

Penting

Setiap OS harus memiliki daftar pencabutan sertifikat (CRL) yang dapat dirujuk dari URL yang menghadap ke internet. Jika OS tepercaya tidak memiliki CRL yang dikonfigurasi, Azure AD tidak akan melakukan pemeriksaan CRL, pencabutan sertifikat pengguna tidak akan berfungsi, dan autentikasi tidak akan diblokir.

Penting

Pastikan PKI aman dan tidak dapat dengan mudah dikompromikan. Jika terjadi kompromi, penyerang dapat membuat dan menandatangani sertifikat klien dan membahayakan pengguna mana pun di penyewa, baik pengguna yang disinkronkan maupun hanya cloud. Namun, strategi perlindungan kunci yang kuat, bersama dengan kontrol fisik dan logis lainnya seperti kartu aktivasi HSM atau token untuk penyimpanan artefak yang aman, dapat memberikan pertahanan mendalam untuk mencegah penyerang eksternal atau ancaman orang dalam dari kompromi integritas PKI. Untuk informasi selengkapnya, lihat Mengamankan PKI.

Langkah-langkah untuk mengonfigurasi dan menguji CBA Azure AD

Ada beberapa langkah konfigurasi yang harus diselesaikan sebelum mengaktifkan CBA Azure AD. Pertama, admin harus mengonfigurasi OS tepercaya yang mengeluarkan sertifikat pengguna. Seperti yang terlihat pada diagram berikut, kami menggunakan kontrol akses berbasis peran untuk memastikan hanya administrator dengan hak istimewa paling rendah yang membuat perubahan. Mengonfigurasi otoritas sertifikat hanya dilakukan oleh peran Administrator Autentikasi dengan Hak Istimewa.

Secara opsional, Anda juga dapat mengonfigurasi pengikatan autentikasi untuk memetakan sertifikat ke faktor tunggal atau multifaktor dan mengonfigurasi pengikatan nama pengguna untuk memetakan bidang sertifikat ke atribut objek pengguna. Mengonfigurasi pengaturan terkait pengguna dapat dilakukan oleh Administrator Kebijakan Autentikasi. Setelah semua konfigurasi selesai, aktifkan CBA Azure AD pada penyewa.

Diagram of the steps required to enable Azure Active Directory certificate-based authentication.

Langkah 1: Mengonfigurasi otoritas sertifikat

Mengonfigurasi otoritas sertifikasi menggunakan portal Azure

Untuk mengaktifkan autentikasi berbasis sertifikat dan mengonfigurasi pengikatan pengguna di portal Azure, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Azure sebagai Administrator Global.

  2. Pilih Azure Active Directory, lalu pilih Keamanan dari menu di sebelah kiri.

    Screenshot of certification authorities.

  3. Untuk mengunggah CA, klik Unggah:

    1. Pilih file CA.

    2. Pilih Ya jika CA adalah sertifikat akar, jika tidak pilih Tidak.

    3. Set URL yang terhubung ke internet http untuk CRL dasar otoritas sertifikat yang berisi semua sertifikat yang dicabut. Ini harus diatur atau autentikasi dengan sertifikat yang dicabut tidak akan gagal.

    4. Set URL CRL Delta - URL akses internet http untuk CRL yang berisi semua sertifikat yang dicabut sejak CRL dasar terakhir diterbitkan.

    5. Klik Tambahkan.

      Screenshot of how to upload certification authority file.

  4. Untuk menghapus sertifikat CA, pilih sertifikat dan klik Hapus.

  5. Klik Kolom untuk menambahkan atau menghapus kolom.

Mengonfigurasi otoritas sertifikasi menggunakan PowerShell

Hanya satu CRL Distribution Point (CDP) untuk CA tepercaya yang didukung. CDP hanya bisa menjadi URL HTTP. URL Online Certificate Status Protocol (OCSP) atau Lightweight Directory Access Protocol (LDAP) tidak didukung.

Untuk mengonfigurasi otoritas sertifikat pada Azure Active Directory, untuk setiap otoritas sertifikat, unggah berikut ini:

  • Bagian publik sertifikat, dalam format .cer
  • URL yang mengarah ke internet tempat Daftar Pencabutan Sertifikat (CRL) berada

Skema untuk otoritas sertifikat tampak sebagai berikut:

    class TrustedCAsForPasswordlessAuth
    {
       CertificateAuthorityInformation[] certificateAuthorities;
    }

    class CertificateAuthorityInformation

    {
        CertAuthorityType authorityType;
        X509Certificate trustedCertificate;
        string crlDistributionPoint;
        string deltaCrlDistributionPoint;
        string trustedIssuer;
        string trustedIssuerSKI;
    }

    enum CertAuthorityType
    {
        RootAuthority = 0,
        IntermediateAuthority = 1
    }

Untuk konfigurasi, Anda dapat menggunakan Azure Active Directory PowerShell Versi 2:

  1. Mulai Windows PowerShell dengan hak administrator.

  2. Instal modul Microsoft Azure AD versi 2.0.0.33 atau lebih baru.

        Install-Module -Name AzureAD –RequiredVersion 2.0.0.33

Sebagai langkah awal konfigurasi, Anda perlu membangun koneksi dengan penyewa Anda. Segera setelah koneksi dengan penyewa terbentuk, Anda dapat meninjau, menambahkan, menghapus, dan mengubah otoritas sertifikat yang terpercaya yang ditentukan dalam direktori Anda.

Sambungkan

Untuk membangun koneksi dengan penyewa Anda, gunakan cmdlet Connect-AzureAD:

    Connect-AzureAD

Mengambil

Untuk mengambil otoritas sertifikat terpercaya yang ditentukan di direktori Anda, gunakan cmdlet Get-AzureADTrustedCertificateAuthority.

    Get-AzureADTrustedCertificateAuthority

Menambahkan

Untuk membuat otoritas sertifikat terpercaya, gunakan cmdlet New-AzureADTrustedCertificateAuthority dan atur atribut crlDistributionPoint ke nilai yang benar:

    $cert=Get-Content -Encoding byte "[LOCATION OF THE CER FILE]"
    $new_ca=New-Object -TypeName Microsoft.Open.AzureAD.Model.CertificateAuthorityInformation
    $new_ca.AuthorityType=0
    $new_ca.TrustedCertificate=$cert
    $new_ca.crlDistributionPoint="<CRL Distribution URL>"
    New-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $new_ca

AuthorityType

  • Gunakan 0 untuk menunjukkan bahwa ini adalah otoritas sertifikat Akar
  • Gunakan 1 untuk menunjukkan bahwa ini adalah otoritas sertifikat menengah atau yang menerbitkan

crlDistributionPoint

Anda dapat memvalidasi nilai crlDistributionPoint yang Anda berikan dalam contoh PowerShell di atas berlaku untuk otoritas sertifikat yang ditambahkan dengan mengunduh CRL dan membandingkan sertifikat CA dan Informasi CRL.

Tabel dan grafik di bawah ini menunjukkan cara memetakan informasi dari Sertifikat CA ke atribut CRL yang diunduh.

Info Sertifikat CA = Info CRL yang diunduh
Subjek = Pengeluar sertifikat
Pengidentifikasi Kunci Subjek = Pengidentifikasi Kunci Otoritas (KeyID)

Compare CA Certificate with CRL Information.

Tip

Nilai untuk crlDistributionPoint di atas adalah lokasi http untuk Daftar Pencabutan Sertifikat (CRL) CA. Ini dapat ditemukan di beberapa tempat.

  • Dalam atribut Titik Distribusi CRL (CDP) dari sertifikat yang diterbitkan dari CA

Jika CA yang menerbitkan adalah Server Windows

  • Pada Properti CA di otoritas sertifikat Microsoft Management Console (MMC)
  • Pada CA yang menjalankan certutil -cainfo cdp

Untuk detail selengkapnya lihat: Memahami proses pencabutan sertifikat.

Hapus

Untuk menghapus otoritas sertifikat terpercaya, gunakan cmdlet Remove-AzureADTrustedCertificateAuthority:

    $c=Get-AzureADTrustedCertificateAuthority
    Remove-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[2]

Anda dapat mengubah perintah untuk menghapus elemen ke-0 dengan mengubah ke Remove-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0].

Mengubah

Untuk mengubah otoritas sertifikat terpercaya, gunakan cmdlet Set-AzureADTrustedCertificateAuthority:

    $c=Get-AzureADTrustedCertificateAuthority
    $c[0].AuthorityType=1
    Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]

Langkah 2: Mengonfigurasi kebijakan pengikatan autentikasi

Kebijakan pengikatan autentikasi membantu menentukan kekuatan autentikasi baik sebagai faktor tunggal atau multifaktor. Admin dapat mengubah nilai default dari faktor tunggal menjadi multifaktor dan mengonfigurasi aturan kebijakan kustom dengan memetakan ke bidang Subjek atau OID kebijakan pengeluar dalam sertifikat.

Untuk mengaktifkan autentikasi berbasis sertifikat dan mengonfigurasi pengikatan pengguna di portal Azure, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Azure dengan akun Administrator Kebijakan autentikasi.

  2. Pilih Azure Active Directory, lalu pilih Keamanan dari menu di sebelah kiri.

  3. Klik Kebijakan>Metode autentikasi.

  4. Di bawah Kelola, pilih Metode autentikasi>Autentikasi berbasis Sertifikat.

    Screenshot of Authentication policy.

  5. Klik Konfigurasi untuk menyiapkan pengikatan autentikasi dan pengikatan nama pengguna.

  6. Atribut tingkat perlindungan memiliki nilai default Autentikasi Faktor tunggal. Pilih Autentikasi multifaktor untuk mengubah nilai default menjadi MFA.

    Catatan

    Nilai tingkat perlindungan default akan berlaku jika tidak ada aturan kustom ditambahkan. Jika aturan kustom ditambahkan, tingkat perlindungan yang ditentukan pada tingkat aturan akan diterima sebagai gantinya.

    Screenshot of how to change the default policy to MFA.

  7. Anda juga dapat menyiapkan aturan pengikatan autentikasi kustom untuk membantu menentukan tingkat perlindungan untuk sertifikat klien. Ini dapat dikonfigurasi menggunakan bidang Subjek pengeluar sertifikat atau OID Kebijakan dalam sertifikat.

    Aturan pengikatan autentikasi akan memetakan atribut sertifikat (pengeluar sertifikat atau OID Kebijakan) ke nilai, dan memilih tingkat perlindungan default untuk aturan tersebut. Beberapa aturan dapat dibuat.

    Untuk menambahkan aturan kustom, klik Tambahkan aturan.

    Screenshot of how to add a rule.

    Untuk membuat aturan menurut pengeluar sertifikat, klik Pengeluar sertifikat.

    1. Pilih Pengidentifikasi penerbit sertifikat dari kotak daftar.

    2. Klik Autentikasi multifaktor.

      Screenshot of multifactor authentication policy.

    Untuk membuat aturan berdasarkan OID Kebijakan, klik OID Kebijakan.

    1. Masukkan nilai untuk OID Kebijakan.

    2. Klik Autentikasi multifaktor.

      Screenshot of mapping to Policy OID.

  8. Klik Ok untuk menyimpan aturan kustom apa pun.

Langkah 3: Mengonfigurasi kebijakan pengikatan nama pengguna

Kebijakan pengikatan nama pengguna membantu menentukan pengguna di penyewa. Secara default, kami memetakan Nama Prinsipal dalam sertifikat ke onPremisesUserPrincipalName di objek pengguna untuk menentukan pengguna.

Administrator dapat mengambil alih default dan membuat pemetaan kustom. Saat ini, kami mendukung dua bidang sertifikat Nama Prinsipal SAN (Subject Alternate Name) dan RFC822Name SAN untuk memetakan terhadap atribut objek pengguna userPrincipalName dan onPremisesUserPrincipalName.

Penting

Jika kebijakan pengikatan nama pengguna menggunakan atribut yang disinkronkan, seperti atribut onPremisesUserPrincipalName dari objek pengguna, ketahuilah bahwa setiap pengguna dengan akses administratif ke server Azure AD Connect dapat mengubah pemetaan atribut sinkronisasi, dan pada gilirannya mengubah nilai atribut yang disinkronkan dengan kebutuhan mereka. Pengguna tidak perlu menjadi admin cloud.

  1. Buat pengikatan nama pengguna dengan memilih salah satu bidang sertifikat X.509 untuk mengikat dengan salah satu atribut pengguna. Urutan pengikatan nama pengguna mewakili tingkat prioritas pengikatan. Yang pertama memiliki prioritas tertinggi dan sebagainya.

    Screenshot of a username binding policy.

    Jika bidang sertifikat X.509 yang ditentukan ditemukan pada sertifikat, tetapi Azure AD tidak menemukan objek pengguna di direktori yang cocok dengan nilai tersebut, autentikasi akan gagal. Azure AD tidak mencoba pengikatan berikutnya dalam daftar.

    Prioritas berikutnya dicoba hanya jika bidang sertifikat X.509 tidak ada dalam sertifikat.

  2. Klik Simpan untuk menyimpan perubahan.

Set pengikatan nama pengguna yang saat ini didukung:

  • Nama Principal SAN > userPrincipalName
  • Nama Principal SAN > onPremisesUserPrincipalName
  • RFC822Name SAN > userPrincipalName
  • RFC822Name SAN > onPremisesUserPrincipalName

Catatan

Jika pengikatan RFC822Name dievaluasi dan jika tidak ada RFC822Name yang ditentukan dalam sertifikat Subject Alternative Name, kita akan kembali pada Nama Subjek lama "E =user@contoso.com" jika tidak ada RFC822Name yang ditentukan dalam sertifikat kita akan kembali pada Nama Subjek E lama=user@contoso.com.

Konfigurasi akhir akan terlihat seperti gambar ini:

Screenshot of the final configuration.

Langkah 4: Aktifkan CBA pada penyewa

Untuk mengaktifkan autentikasi berbasis sertifikat di portal MyApps Azure, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Azure dengan akun Administrator Kebijakan autentikasi.

  2. Pilih Azure Active Directory, lalu pilih Keamanan dari menu di sebelah kiri.

  3. Di bawah Kelola, pilih Metode autentikasi>Autentikasi berbasis Sertifikat.

  4. Di bawah Dasar-dasar, pilih Ya untuk mengaktifkan CBA.

  5. CBA dapat diaktifkan untuk satu set pengguna yang ditargetkan.

    1. Klik Semua pengguna untuk mengaktifkan semua pengguna.
    2. Klik Pilih pengguna untuk mengaktifkan pengguna atau grup yang dipilih.
    3. Klik + Tambahkan pengguna, pilih pengguna dan grup khusus.
    4. Klik Pilih untuk menambahkannya.

    Screenshot of how to enable CBA.

Setelah autentikasi berbasis sertifikat diaktifkan pada penyewa, semua pengguna di penyewa akan melihat opsi untuk masuk dengan sertifikat. Hanya pengguna yang diaktifkan untuk autentikasi berbasis sertifikat yang dapat mengautentikasi menggunakan sertifikat X.509.

Catatan

Administrator jaringan harus mengizinkan akses ke titik akhir certauth untuk lingkungan cloud pelanggan selain login.microsoftonline.com. Nonaktifkan inspeksi TLS pada titik akhir certauth untuk memastikan permintaan sertifikat klien berhasil sebagai bagian dari jabat tangan TLS.

Langkah 5: Uji konfigurasi Anda

Bagian ini mencakup cara menguji sertifikat dan aturan pengikatan autentikasi kustom Anda.

Menguji sertifikat Anda

Sebagai uji konfigurasi pertama, Anda harus mencoba masuk ke portal MyApps menggunakan browser di perangkat Anda.

  1. Masukkan Nama Prinsipal Pengguna (UPN) Anda.

    Screenshot of the User Principal Name.

  2. Klik Berikutnya.

    Screenshot of sign in with certificate.

    Jika Anda telah mengaktifkan metode autentikasi lain seperti kredensial masuk Telepon atau FIDO2, pengguna mungkin melihat layar kredensial masuk yang berbeda.

    Screenshot of the alternative sign in.

  3. Pilih Masuk dengan sertifikat.

  4. Pilih sertifikat pengguna yang benar di antarmuka pengguna pemilih sertifikat klien dan klik OK. Screenshot of the certificate picker UI.

  5. Pengguna harus masuk ke portal MyApps.

Jika berhasil masuk, maka Anda mengetahui bahwa:

  • Sertifikat pengguna telah diprovisi ke perangkat pengujian Anda.
  • Azure Active Directory dikonfigurasi dengan benar dengan OS tepercaya.
  • Pengikatan nama pengguna dikonfigurasi dengan benar, dan pengguna ditemukan dan diautentikasi.

Menguji aturan pengikatan autentikasi kustom

Mari kita telusuri skenario di mana kita akan memvalidasi autentikasi yang kuat dengan membuat dua aturan kebijakan autentikasi, satu melalui subjek pengeluar sertifikat yang memenuhi faktor tunggal dan satu melalui OID kebijakan yang memenuhi multifaktor.

  1. Buat aturan Subjek pengeluar sertifikat dengan tingkat perlindungan sebagai autentikasi faktor tunggal dan nilai yang diatur ke nilai Subjek OS Anda. Contohnya:

    CN=ContosoCA,DC=Contoso,DC=org

  2. Buat aturan OID kebijakan, dengan tingkat perlindungan sebagai autentikasi multifaktor dan nilai yang ditetapkan ke salah satu OID kebijakan dalam sertifikat Anda. Misalnya, 1.2.3.4.

    Screenshot of the Policy OID rule.

  3. Buat kebijakan akses bersyarat bagi pengguna untuk memerlukan autentikasi multifaktor dengan mengikuti langkah-langkah di Akses Bersyarat - Memerlukan MFA.

  4. Arahkan ke portal MyApps. Masukkan UPN Anda dan klik Berikutnya.

    Screenshot of the User Principal Name.

  5. Pilih Masuk dengan sertifikat.

    Screenshot of sign in with certificate.

    Jika Anda telah mengaktifkan metode autentikasi lain seperti kredensial masuk Telepon atau FIDO2, pengguna mungkin melihat layar kredensial masuk yang berbeda.

    Screenshot of the alternative sign in.

  6. Pilih sertifikat klien dan klik Informasi sertifikat.

    Screenshot of the client picker.

  7. Sertifikat akan ditampilkan, dan Anda dapat memverifikasi nilai pengeluar sertifikat dan OID kebijakan. Screenshot of the issuer.

  8. Untuk melihat nilai OID Kebijakan, klik Detail.

    Screenshot of the authentication details.

  9. Pilih sertifikat klien dan klik OK.

  10. OID Kebijakan dalam sertifikat cocok dengan nilai yang dikonfigurasi 1.2.3.4 dan akan memenuhi autentikasi multifaktor. Demikian pula, pengeluar sertifikat dalam sertifikat cocok dengan nilai yang dikonfigurasi CN=ContosoCA,DC=Contoso, DC=org dan itu akan memenuhi autentikasi faktor tunggal.

  11. Karena aturan OID kebijakan lebih diutamakan daripada aturan pengeluar sertifikat, sertifikat akan memenuhi autentikasi multifaktor.

  12. Kebijakan akses bersyarat untuk pengguna memerlukan MFA dan sertifikat memenuhi multifaktor, sehingga pengguna akan diautentikasi ke dalam aplikasi.

Aktifkan CBA Azure AD menggunakan API Microsoft Graph

Untuk mengaktifkan autentikasi berbasis sertifikat dan mengonfigurasi pengikatan pengguna menggunakan API Graph, selesaikan langkah-langkah berikut.

Catatan

Langkah-langkah berikut menggunakan Graph Explorer yang tidak tersedia di cloud Pemerintah AS. Penyewa cloud Pemerintah AS dapat menggunakan Postman untuk menguji kueri Microsoft Graph.

  1. Buka Microsoft Graph Explorer.

  2. Klik Masuk ke Graph Explorer dan masuk ke penyewa Anda.

  3. Ikuti langkah-langkah untuk menyetujui izin delegasi Policy.ReadWrite.AuthenticationMethod.

  4. DAPATKAN semua metode autentikasi:

    GET  https://graph.microsoft.com/beta/policies/authenticationmethodspolicy

  5. DAPATKAN konfigurasi untuk metode autentikasi x509Certificate:

    GET https://graph.microsoft.com/beta/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Secara default, metode autentikasi x509Certificate dinonaktifkan. Untuk mengizinkan pengguna masuk dengan sertifikat, Anda harus mengaktifkan metode autentikasi dan mengonfigurasi kebijakan autentikasi dan pengikatan nama pengguna melalui operasi pembaruan. Untuk memperbarui kebijakan, jalankan permintaan PATCH.

    Isi permintaan:

     PATCH https: //graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
 Content-Type: application/json

 {
     "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
     "id": "X509Certificate",
     "state": "enabled",
     "certificateUserBindings": [
         {
             "x509CertificateField": "PrincipalName",
             "userProperty": "onPremisesUserPrincipalName",
             "priority": 1
         },
         {
             "x509CertificateField": "RFC822Name",
             "userProperty": "userPrincipalName",
             "priority": 2
         }
     ],
     "authenticationModeConfiguration": {
         "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
         "rules": [
             {
                 "x509CertificateRuleType": "issuerSubject",
                 "identifier": "CN=ContosoCA,DC=Contoso,DC=org ",
                 "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
             },
             {
                 "x509CertificateRuleType": "policyOID",
                 "identifier": "1.2.3.4",
                 "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
             }
         ]
     },
     "includeTargets": [
         {
             "targetType": "group",
             "id": "all_users",
             "isRegistrationRequired": false
         }
     ]
 }

  7. Anda akan mendapatkan 204 No content kode respons. Jalankan kembali permintaan GET untuk memastikan kebijakan diperbarui dengan benar.

  8. Uji konfigurasi dengan masuk dengan sertifikat yang memenuhi kebijakan.

Langkah berikutnya