Was sind Active Directory-Zertifikatdienste?
Microsoft Active Directory Certificate Services (AD CS) erstellt eine lokale Public Key-Infrastruktur (PKI), mit der Organisationen Zertifikate für die interne Verwendung ausstellen, überprüfen und widerrufen können. Die Kandji AD CS-Integration funktioniert mit Ihrem vorhandenen Microsoft AD CS-Setup, um Zertifikate von AD CS anzufordern. Sie können diese Zertifikate dann über Konfigurationsprofile an Geräte übertragen, wodurch eine zertifikatbasierte Authentifizierung ermöglicht wird, damit Benutzer auf Unternehmensressourcen wie Unternehmens-WLANs zugreifen können.
Netzwerkanforderungen
Eine vollständige Liste der Netzwerkanforderungen für Active Directory-Zertifikatdienste finden Sie in unserem Supportartikel Verwenden von Kandji in Unternehmensumgebungen .
AD CS-Computerzertifikatvorlage
Kandji verwendet eine AD CS-Computerzertifikatvorlage, wenn AD CS-Zertifikate innerhalb von Library Itemsangefordert werden. Weitere Informationen finden Sie in unserem Supportartikel zum Erstellen einer Computerzertifikatvorlage für AD CS .
Konfiguration der AD CS-Integration
Die AD CS-Integration wird auf der Seite Kandji Integrationen in Ihrer Kandji Web-App konfiguriert. Sobald das Setup abgeschlossen ist, können Sie auf der AD CS-Integrationsseite Kandji AD CS-Connectorserver verwalten, Ihre AD CS-Zertifizierungsstellenhosts hinzufügen und Library Itemserstellen.
Kandji Installation des AD CS-Connectors
Für den AD CS-Connector ist Windows Server 2016 oder höher und Microsoft .NET (Core) 8 oder höher erforderlich.
Der Kandji AD CS-Connector ist eine systemeigene Windows .NET-Clientanwendung, die auf einem Windows Server (2016 oder höher) installiert ist, der sich in Ihrem lokalen Netzwerk befindet. Der AD CS-Connector nutzt das WebSocket-Protokoll über TCP-Port 443, um automatisch eine persistente vertrauenswürdige Verbindung mit Ihrem Kandji Mandanten herzustellen, wodurch das Öffnen bestimmter Ports entfällt. Der AD CS-Connector verwendet das Microsoft Remote Procedure Call-Framework , um mit Ihrer lokalen AD CS-Umgebung zu kommunizieren. Nach der Installation ist der AD CS-Connector in der Lage, Zertifikatanforderungen von und an Kandji fortlaufend zu empfangen und zu erleichtern.
Library Item Erstellung
Kandji können verwendet werden, um AD CS-Zertifikatkonfigurationsprofile mithilfe der folgenden Library Itemszu erstellen und an Geräte zu verteilen:
Starke Zertifikatszuordnung
Um die starke Zertifikatzuordnung zu unterstützen (seit Windows Update KB5014754erforderlich), müssen Sie einen ADCS Strong Mapping ID Uniform Resource Identifier (URI) hinzufügen. Klicken Sie im Abschnitt Subject Alternative Name (SAN) Ihres Bibliothekselements auf Hinzufügen, um ein URI-SAN zu erstellen, und geben Sie dann genau diesen Wert ein:
$ADCS_STRONG_MAPPING_ID.
Ablauf der Zertifikatsanforderung
Kandji sendet eine Zertifikatanforderung über eine WebSocket-Verbindung über TCP-Port 443 an den Kandji AD CS-Connector.
Der AD CS-Connector generiert das Zertifikatschlüsselpaar (öffentliche und private Schlüssel) lokal und sendet dann die Zertifikatsignieranforderung mithilfe von DCE/RPC an Microsoft AD CS. Die Schlüssel werden nur auf den verwalteten Endpunkten gespeichert, wo sie über Bibliothekselemente bereitgestellt werden.
AD CS verarbeitet die Anforderung, stellt das Zertifikat aus und sendet das signierte Zertifikat zurück an den AD CS-Connector.
Der AD CS Connector sendet eine verschlüsselte .p12-Datei zusammen mit der Request-ID über die WebSocket-Verbindung an Kandji zurück.
Kandji übermittelt das Zertifikatspaket (.p12-Datei) über eine Konfigurationsprofil-Payload an das Clientgerät.
