이것문서에서는 인증서를 요청하는 방법을 설명합니다.도메인에 가입되지 않은 Windows 컴퓨터의 AD CS(Active Directory 인증서 서비스)에서.
Microsoft가 아닌 OS에도 동일한 원칙이 적용되며 OSX 또는 Linux에서도 동일한 등록을 수행하는 것이 가능하다고 생각합니다.
질문
OSX/Linux에서 AD CS의 인증서를 요청하려면 어떻게 해야 합니까?
아니면 대체 솔루션을 개발할 수 있도록 AD CS 서비스가 어떻게 작동하는지(충분히 자세하게) 누군가 말해 줄 수 있습니까?
답변1
나는 이것이 약간 오래되었다는 것을 알고 있지만 이제는 다음을 사용하여 해결책이 있습니다.인증상인+셉세스. 자동등록을 원하시면Samba에서 그룹 정책 구성~와 함께인증서 자동 등록(Samba 4.15+에서만 사용 가능).
간단한 설정을 위해 다음을 설치합니다.인증상인그리고셉세스, 환경에 맞게 /etc/cepces/cepces.conf를 수정합니다. 일반적인 구성의 경우 server
매개변수를 Windows CA의 DNS 이름으로 설정하기만 하면 됩니다 .
rpm 사양은 CA를 certmonger에 추가하는 스크립트를 실행하도록 되어 있습니다. 그렇지 않은 경우 로 추가하십시오 getcert add-ca -c cepces -e /usr/libexec/certmonger/cepces-submit
.
그런 다음 인증서를 요청할 수 있습니다. 예를 들면 다음과 같습니다.
# getcert request -c cepces -T Machine -I MachineCertificate -k /etc/pki/tls/private/machine.key -f /etc/pki/tls/certs/machine.crt
New signing request "MachineCertificate" added.
답변2
ADCS 등록 웹 서비스는 두 가지 통신 프로토콜을 사용합니다.[MS-XCEP]그리고[MS-WSTEP](Microsoft에서 구현한[WS-신뢰]규약).
CEP([MS-XCEP] 구현)는 다음을 수행하는 데 사용되는 등록 정책 서비스입니다.
- 등록을 위해 클라이언트 인증서 템플릿에 사용할 수 있도록 제공합니다.
- CES(인증서 등록 서비스) URI 제공
CES([MS-WSTEP] 구현)는 다음을 수행하는 데 사용되는 등록 서비스입니다.
- 인증서 요청 제출
- 발급된 인증서 검색
- EOBO(대리 등록) 기능 제공
관련 프로토콜 사양이 적용될 수 있습니다(예: [MS-ADTS] 및 [MS-CERTD]).
Linux OS와 호환되는 클라이언트에 대해서는 모르지만 Apple MacOS 및 iOS와 호환되는 모듈이 있습니다.http://www.zevainc.com/index.php/productsandtools/licensed-products/item/91-certdeploy
답변3
OSX/Linux에서 AD CS의 인증서를 요청하려면 어떻게 해야 합니까?
이를 자동화할 필요가 없으면 "Active Directory 인증서 서비스 웹 등록"을 사용하면 됩니다. 이는 무엇보다도 임의의 CSR에 붙여넣을 수 있는 간단한 작은 웹 앱입니다. Windows OS에서 시작되었는지 여부는 중요하지 않습니다.
그런 다음 Windows 관리자는 해당 CSR을 수동으로 승인하거나 거부한 다음 새로 생성된 인증서를 제공할 방법을 찾아야 합니다. 따라서 이는 낮은 볼륨 처리량에만 해당됩니다.
여기에 나열된 기본 클릭수:http://www.whitneytechnologies.com/?p=218
답변4
OSX/Linux에서 AD CS의 인증서를 요청하려면 어떻게 해야 합니까?
CEP 및 CES는 Windows 시스템에서 수동 및 자동 인증 등록을 위한 서비스입니다.
Linux 또는 유사한 시스템에서 AD CS 역할NDES(네트워크 장치 등록 서비스)사용.
이 문서에서는 서비스에 대한 좋은 개요를 제공합니다.https://blogs.technet.microsoft.com/jeffbutte/2016/12/16/236/