これこの記事は証明書の申請方法について説明していますドメインに参加していない Windows コンピューターの AD CS (Active Directory 証明書サービス) から。
同じ原則が Microsoft 以外の OS にも適用され、OSX または Linux から同じ登録を行うことが可能だと思います。
質問
OSX/Linux 上の AD CS から証明書を要求するにはどうすればよいですか?
または、別のソリューションを開発できるように、AD CS サービスがどのように機能するかを (十分な詳細で) 教えていただけますか?
答え1
これは少し古いですが、今では解決策があります。証明書モンガー+セップス自動登録したい場合は、Sambaでグループポリシーを構成すると証明書の自動登録(Samba 4.15 以降でのみ使用可能)。
簡単なセットアップの場合は、証明書モンガーそしてセップスserver
次に、環境に合わせて /etc/cepces/cepces.conf を変更します。一般的な構成では、パラメータを Windows CA の DNS 名に設定するだけです。
rpm 仕様では、CA を certmonger に追加するスクリプトを実行することになっています。実行しない場合は、 で追加しますgetcert add-ca -c cepces -e /usr/libexec/certmonger/cepces-submit
。
次に、次のように証明書をリクエストします。
# getcert request -c cepces -T Machine -I MachineCertificate -k /etc/pki/tls/private/machine.key -f /etc/pki/tls/certs/machine.crt
New signing request "MachineCertificate" added.
答え2
ADCS 登録 Web サービスは、次の 2 つの通信プロトコルを利用します。[MS-XCEP]そして[MS-WSTEP](マイクロソフトの実装[WS-TRUST]プロトコル)。
CEP ([MS-XCEP] を実装) は、次の目的で使用される登録ポリシー サービスです。
- 登録用のクライアント証明書テンプレートを提供します。
- 証明書登録サービス (CES) URI を提供する
CES ([MS-WSTEP] を実装) は、次の目的で使用される登録サービスです。
- 証明書リクエストを送信する
- 発行された証明書を取得する
- 代理登録(EOBO)機能を提供する
関連するプロトコル仕様が適用される場合があります(たとえば、[MS-ADTS]や[MS-CERTD]など)。
Linux OS と互換性のあるクライアントについては知りませんが、Apple MacOS と iOS と互換性のあるモジュールはあります。http://www.zevainc.com/index.php/productsandtools/licensed-products/item/91-certdeploy
答え3
OSX/Linux 上の AD CS から証明書を要求するにはどうすればよいですか?
これを自動化する必要がない場合は、「Active Directory 証明書サービス Web 登録」を使用してください。これは、(他の機能の中でも) 任意の CSR を貼り付けることができるシンプルな小さな Web アプリです。CSR が Windows OS から発信されたものであるかどうかは関係ありません。
Windows 管理者は、その CSR を手動で承認または拒否し、新しく作成された証明書を提供する方法を見つける必要があります。したがって、これは低ボリュームのスループットにのみ適用されます。
基本的なクリックはここにリストされています:http://www.whitneytechnologies.com/?p=218
答え4
OSX/Linux 上の AD CS から証明書を要求するにはどうすればよいですか?
CEP と CES は、Windows システムでの手動および自動の認定登録のためのサービスです。
Linuxまたは類似のシステムでは、AD CSロールNDES (ネットワーク デバイス登録サービス)使用されている。
この記事を読めば、このサービスの概要がわかるはずです。https://blogs.technet.microsoft.com/jeffbutte/2016/12/16/236/