EsteEl artículo describe cómo solicitar un certificado.desde AD CS (Servicios de certificados de Active Directory) desde una computadora con Windows que no esté unida al dominio.
Creo que los mismos principios se aplican a sistemas operativos que no son de Microsoft, y es posible realizar la misma inscripción desde OSX o Linux.
Pregunta
¿Cómo solicitaría un certificado de AD CS en OSX/Linux?
¿O alguien puede decirme cómo funciona el servicio AD CS (con suficiente detalle) para poder desarrollar una solución alternativa?
Respuesta1
Me doy cuenta de que esto es un poco antiguo, pero ahora hay una solución, usandocertmanero+ceps. Si desea inscribirse automáticamente, puedeconfigurar la política de grupo en SambaconInscripción automática de certificados(sólo disponible en Samba 4.15+).
Para una configuración simple, instalaríacertmaneroyceps, luego modifique /etc/cepces/cepces.conf para su entorno. Para una configuración típica, solo necesitará establecer el serverparámetro en el nombre dns de su CA de Windows.
Se supone que la especificación rpm ejecuta un script que agrega la CA a certmonger. Si no, agréguelo con getcert add-ca -c cepces -e /usr/libexec/certmonger/cepces-submit.
Luego podrás solicitar tu certificado, por ejemplo:
# getcert request -c cepces -T Machine -I MachineCertificate -k /etc/pki/tls/private/machine.key -f /etc/pki/tls/certs/machine.crt
New signing request "MachineCertificate" added.
Respuesta2
Los servicios web de inscripción de ADCS utilizan dos protocolos de comunicación:[MS-XCEP]y[MS-WSTEP](una implementación de Microsoft de[WS-CONFIANZA]protocolo).
CEP (implementa [MS-XCEP]) es un servicio de política de inscripción que se utiliza para:
- proporcionar plantillas de certificado disponibles para el cliente para la inscripción.
- proporcionar URI del Servicio de inscripción de certificados (CES)
CES (implementa [MS-WSTEP]) es un servicio de inscripción que se utiliza para:
- enviar solicitudes de certificado
- recuperar certificados emitidos
- proporcionar una funcionalidad de inscripción en nombre de (EOBO)
pueden aplicarse especificaciones de protocolo relacionadas ([MS-ADTS] y [MS-CERTD], por ejemplo).
No conozco ningún cliente compatible para el sistema operativo Linux, sin embargo, existe un módulo compatible para Apple MacOS e iOS:http://www.zevainc.com/index.php/productsandtools/licensed-products/item/91-certdeploy
Respuesta3
¿Cómo solicitaría un certificado de AD CS en OSX/Linux?
Si no necesita automatizar esto, simplemente vaya a "Inscripción web de Servicios de certificados de Active Directory". Es una pequeña y sencilla aplicación web que (entre otras cosas) le permite pegar CSR arbitrarios. No importa si se originan en un sistema operativo Windows.
Luego, un administrador de Windows tendrá que aprobar o rechazar esa CSR manualmente y luego encontrar una manera de brindarle ese certificado recién creado. Esto es sólo para un rendimiento de bajo volumen.
Clics básicos enumerados aquí:http://www.whitneytechnologies.com/?p=218
Respuesta4
¿Cómo solicitaría un certificado de AD CS en OSX/Linux?
CEP y CES son servicios para el registro de certificaciones manual y automatizado en sistemas Windows.
En Linux o sistemas similares, la función AD CSNDES (Servicio de inscripción de dispositivos de red)se utiliza.
Este artículo debería brindarle una buena descripción general del servicio:https://blogs.technet.microsoft.com/jeffbutte/2016/12/16/236/