Как запросить сертификат от CEP / CES в центре сертификации Microsoft на OSX или Linux?

tag-icon tag-icon certificate windows linux certificate-authority mac-osx
Как запросить сертификат от CEP / CES в центре сертификации Microsoft на OSX или Linux?

Этотв статье описывается, как запросить сертификатиз AD CS (службы сертификации Active Directory) с компьютера Windows, не присоединенного к домену.

Я думаю, что те же принципы применимы и к ОС, отличным от Microsoft, и такую ​​же регистрацию можно выполнить из OSX или Linux.

Вопрос

  • Как запросить сертификат из AD CS на OSX/Linux?

  • ИЛИ может ли кто-нибудь рассказать мне, как работает служба AD CS (достаточно подробно), чтобы я мог разработать альтернативное решение?

решение1

Я понимаю, что это немного устарело, но теперь есть решение, используяcertmonger+cepces. Если вы хотите автоматически зарегистрироваться, вы можетенастроить групповую политику в SambaсАвтоматическая регистрация сертификата(доступно только в Samba 4.15+).

Для простой настройки вам нужно установитьcertmongerиcepces, затем измените /etc/cepces/cepces.conf для вашей среды. Для типичной конфигурации вам просто нужно будет установить serverпараметр на имя DNS вашего Windows CA.

Спецификация RPM должна запускать скрипт, который добавляет CA в certmonger. Если нет, то добавьте его с помощью getcert add-ca -c cepces -e /usr/libexec/certmonger/cepces-submit.

Затем вы можете запросить свой сертификат, например:

# getcert request -c cepces -T Machine -I MachineCertificate -k /etc/pki/tls/private/machine.key -f /etc/pki/tls/certs/machine.crt
New signing request "MachineCertificate" added.

решение2

Веб-сервисы регистрации ADCS используют два протокола связи:[MS-XCEP]и[MS-WSTEP](реализация Microsoft[WS-ТРАСТ]протокол).

CEP (реализует [MS-XCEP]) — это служба политики регистрации, которая используется для:

  1. предоставить клиенту доступные шаблоны сертификатов для регистрации.
  2. предоставить URI службы регистрации сертификатов (CES)

CES (реализует [MS-WSTEP]) — это служба регистрации, которая используется для:

  1. отправлять запросы на сертификаты
  2. получить выданные сертификаты
  3. обеспечить функциональную возможность регистрации от имени (EOBO)

Могут применяться соответствующие спецификации протоколов (например, [MS-ADTS] и [MS-CERTD]).

Мне не известны какие-либо совместимые клиенты для ОС Linux, однако есть совместимый модуль для Apple MacOS и iOS:http://www.zevainc.com/index.php/productsandtools/licensed-products/item/91-certdeploy

решение3

Как запросить сертификат из AD CS на OSX/Linux?

Если вам не нужно автоматизировать это, то просто используйте "Active Directory Certificate Services Web Enrollment". Это простое небольшое веб-приложение, которое (помимо прочего) позволяет вам вставлять произвольные CSR. Его не волнует, происходят ли они из ОС Windows.

Затем администратору Windows придется вручную одобрить или отклонить этот CSR, а затем найти способ выдать вам этот недавно созданный сертификат. Так что это только для низкой пропускной способности.

Основные клики перечислены здесь:http://www.whitneytechnologies.com/?p=218

решение4

Как запросить сертификат из AD CS на OSX/Linux?

CEP и CES — это сервисы для ручной и автоматизированной регистрации на сертификацию в системах Windows.

В Linux или подобных системах роль AD CSNDES (служба регистрации сетевых устройств)используется.

Эта статья даст вам хорошее представление об услуге:https://blogs.technet.microsoft.com/jeffbutte/2016/12/16/236/

Связанный контент