Esseartigo descreve como solicitar um certificadodo AD CS (Serviços de Certificados do Active Directory) de um computador Windows não associado ao domínio.
Eu acho que os mesmos princípios se aplicam a sistemas operacionais que não sejam da Microsoft e é possível fazer o mesmo registro no OSX ou Linux.
Pergunta
Como solicitaria um certificado do AD CS no OSX/Linux?
OU alguém pode me dizer como funciona o serviço AD CS (com detalhes suficientes) para que eu possa desenvolver uma solução alternativa?
Responder1
Sei que isso é um pouco antigo, mas agora existe uma solução, usandocertificador+ceps. Se você quiser se inscrever automaticamente, você podeconfigurar a Política de Grupo no SambacomInscrição automática de certificado(disponível apenas no Samba 4.15+).
Para uma configuração simples, você instalariacertificadorecepse modifique /etc/cepces/cepces.conf para seu ambiente. Para uma configuração típica, você só precisa definir o serverparâmetro para o nome DNS da sua CA do Windows.
A especificação rpm deve executar um script que adiciona a CA ao certmonger. Caso contrário, adicione-o com getcert add-ca -c cepces -e /usr/libexec/certmonger/cepces-submit.
Depois você pode solicitar seu certificado, por exemplo:
# getcert request -c cepces -T Machine -I MachineCertificate -k /etc/pki/tls/private/machine.key -f /etc/pki/tls/certs/machine.crt
New signing request "MachineCertificate" added.
Responder2
Os serviços da Web de inscrição ADCS utilizam dois protocolos de comunicação:[MS-XCEP]e[MS-WSTEP](uma implementação da Microsoft de[WS-CONFIANÇA]protocolo).
CEP (implementa [MS-XCEP]) é um serviço de política de inscrição usado para:
- fornecer modelos de certificados disponíveis ao cliente para inscrição.
- fornecer URIs do Serviço de Registro de Certificado (CES)
CES (implementa [MS-WSTEP]) é um serviço de inscrição usado para:
- enviar solicitações de certificado
- recuperar certificados emitidos
- fornecer uma funcionalidade de inscrição em nome de (EOBO)
especificações de protocolo relacionadas podem ser aplicadas ([MS-ADTS] e [MS-CERTD], por exemplo).
Não conheço nenhum cliente compatível para Linux OS, mas existe um módulo compatível para Apple MacOS e iOS:http://www.zevainc.com/index.php/productsandtools/licensed-products/item/91-certdeploy
Responder3
Como solicitaria um certificado do AD CS no OSX/Linux?
Se você não precisar automatizar isso, basta ir em "Inscrição na Web dos Serviços de Certificados do Active Directory". É um pequeno aplicativo da web simples que (entre outras coisas) permite colar CSRs arbitrários. Não importa se eles são originários de um sistema operacional Windows.
Um administrador do Windows terá então que aprovar ou negar esse CSR manualmente e então encontrar uma maneira de fornecer o certificado recém-criado. Portanto, isso é apenas para taxa de transferência de baixo volume.
Cliques básicos listados aqui:http://www.whitneytechnologies.com/?p=218
Responder4
Como solicitaria um certificado do AD CS no OSX/Linux?
CEP e CES são serviços para registro de certificação manual e automatizado em sistemas Windows.
No Linux ou em sistemas semelhantes, a função AD CSNDES (serviço de registro de dispositivos de rede)é usado.
Este artigo deve fornecer uma boa visão geral do serviço:https://blogs.technet.microsoft.com/jeffbutte/2016/12/16/236/