DasArtikel beschreibt, wie Sie ein Zertifikat anfordernvon AD CS (Active Directory-Zertifikatdienste) von einem nicht einer Domäne angehörenden Windows-Computer.
Ich würde meinen, dass die gleichen Prinzipien auch für Nicht-Microsoft-Betriebssysteme gelten und dass die gleiche Registrierung unter OSX oder Linux möglich ist.
Frage
Wie fordere ich unter OSX/Linux ein Zertifikat von AD CS an?
ODER kann mir jemand (ausreichend detailliert) erklären, wie der AD CS-Dienst funktioniert, damit ich eine alternative Lösung entwickeln kann?
Antwort1
Ich weiß, das ist schon etwas veraltet, aber es gibt jetzt eine Lösung, mitZertifikatshändler+SteinpilzeWenn Sie sich automatisch registrieren möchten, können SieKonfigurieren der Gruppenrichtlinie in SambamitAutomatische Zertifikatregistrierung(nur in Samba 4.15+ verfügbar).
Für eine einfache Installation installieren SieZertifikatshändlerUndSteinpilze, und ändern Sie dann /etc/cepces/cepces.conf für Ihre Umgebung. Für eine typische Konfiguration müssen Sie den serverParameter nur auf den DNS-Namen Ihrer Windows-Zertifizierungsstelle setzen.
Die RPM-Spezifikation soll ein Skript ausführen, das die CA zu Certmonger hinzufügt. Wenn nicht, fügen Sie es mit hinzu getcert add-ca -c cepces -e /usr/libexec/certmonger/cepces-submit.
Anschließend können Sie Ihr Zertifikat beispielsweise hier anfordern:
# getcert request -c cepces -T Machine -I MachineCertificate -k /etc/pki/tls/private/machine.key -f /etc/pki/tls/certs/machine.crt
New signing request "MachineCertificate" added.
Antwort2
ADCS Enrollment Web Services verwenden zwei Kommunikationsprotokolle:[MS-XCEP]Und[MS-WSTEP](eine Microsoft-Implementierung von[WS-TRUST]Protokoll).
CEP (implementiert [MS-XCEP]) ist ein Registrierungsrichtliniendienst, der für Folgendes verwendet wird:
- Bereitstellung von Zertifikatsvorlagen für die Registrierung für den Client.
- Geben Sie URIs für den Certificate Enrollment Service (CES) an.
CES (implementiert [MS-WSTEP]) ist ein Registrierungsdienst, der für Folgendes verwendet wird:
- Zertifikatsanfragen einreichen
- Ausgestellte Zertifikate abrufen
- Bereitstellung einer EOBO-Funktionalität (Enrollment On Behalf Of)
Es können zugehörige Protokollspezifikationen gelten (beispielsweise [MS-ADTS] und [MS-CERTD]).
Mir ist kein kompatibler Client für das Linux-Betriebssystem bekannt, es gibt jedoch ein kompatibles Modul für Apple MacOS und iOS:http://www.zevainc.com/index.php/productsandtools/licensed-products/item/91-certdeploy
Antwort3
Wie fordere ich unter OSX/Linux ein Zertifikat von AD CS an?
Wenn Sie dies nicht automatisieren müssen, verwenden Sie einfach „Active Directory Certificate Services Web Enrollment“. Dies ist eine einfache kleine Webanwendung, mit der Sie (unter anderem) beliebige CSRs einfügen können. Dabei spielt es keine Rolle, ob sie von einem Windows-Betriebssystem stammen.
Ein Windows-Administrator muss diese CSR dann manuell genehmigen oder ablehnen und dann einen Weg finden, Ihnen das neu erstellte Zertifikat zu erteilen. Dies gilt also nur für einen geringen Datendurchsatz.
Hier sind die grundlegenden Klicks aufgeführt:http://www.whitneytechnologies.com/?p=218
Antwort4
Wie fordere ich unter OSX/Linux ein Zertifikat von AD CS an?
CEP und CES sind Dienste zur manuellen und automatisierten Zertifizierungsregistrierung auf Windows-Systemen.
Unter Linux oder ähnlichen Systemen die AD CS-RolleNDES (Netzwerkgeräte-Registrierungsdienst)wird eingesetzt.
Dieser Artikel soll Ihnen einen guten Überblick über den Dienst geben:https://blogs.technet.microsoft.com/jeffbutte/2016/12/16/236/