Über
Microsoft Active Directory Certificate Services (AD CS) richtet eine lokale Public Key-Infrastruktur (PKI) ein, mit der Zertifikate für die interne Verwendung innerhalb einer Organisation erstellt, überprüft und widerrufen werden können. Die Kandji AD CS-Integration kommuniziert mit einer vorhandenen Microsoft AD CS-Umgebung , um AD CS-Zertifikate anzufordern. Diese Zertifikate können dann über Konfigurationsprofile an Geräte übermittelt werden, wodurch zertifikatbasierte Authentifizierungsabläufe ermöglicht werden, über die Endbenutzer auf Unternehmensressourcen wie z. B. Unternehmens-Wi-Fi-Netzwerke zugreifen können.
Konfigurationsschritte
Richten Sie die Kandji AD CS-Integration ein, und konfigurieren Sie sie.
Erstellen Sie eine AD CS-Computerzertifikatvorlage.
Installieren Sie die Kandji AD CS Connector Windows-Anwendung.
Erstellen Sie Library Items zum Bereitstellen von AD CS-Zertifikaten auf Geräten.
Netzwerkanforderungen
Eine vollständige Liste der Netzwerkanforderungen für Active Directory-Zertifikatdienste finden Sie im Supportartikel Verwenden von Kandji in Unternehmensumgebungen .
Einrichtung und Konfiguration der AD CS-Integration
Die AD CS-Integration wird über den Kandji Integrationsmarketplace in Ihrer Kandji Web-App konfiguriert. Sobald das Setup abgeschlossen ist, können Sie über die AD CS-Integrationsseite Kandji AD CS Connector-Server verwalten, Ihre Microsoft AD CS-Zertifizierungsstellen-Hosts hinzufügen und Library Items erstellen. Weitere Informationen finden Sie in unserem Supportartikel zur Einrichtung und Konfiguration der AD CS-Integration.
Das Kandji AD CS Connector-Installationsmedium wird während der Ersteinrichtung der Integration heruntergeladen.
AD CS-Computerzertifikatvorlage
Kandji verwendet eine AD CS-Computerzertifikatvorlage, wenn AD CS-Zertifikate innerhalb von Library Items angefordert werden. Weitere Informationen finden Sie in unserem Supportartikel zum Erstellen einer Computerzertifikatvorlage für AD CS.
Kandji Installation des AD CS-Connectors
Der Kandji AD CS-Connector ist eine systemeigene Windows .NET-Clientanwendung, die auf einem Windows-Server (2016 oder höher) installiert ist, der sich in Ihrem lokalen Netzwerk befindet. Der AD CS-Connector nutzt das WebSocket-Protokoll über TCP-Port 443, um automatisch eine persistente vertrauenswürdige Verbindung mit Ihrem Kandji Mandanten herzustellen. Dies macht die Erstinstallation und Einrichtung sehr intuitiv und macht in den meisten Umgebungen das Öffnen bestimmter Ports überflüssig. Der AD CS-Connector verwendet das Microsoft Remote Procedure Call-Framework , um mit Ihrer lokalen AD CS-Umgebung zu kommunizieren. Nach der Installation kann der AD CS-Connector fortlaufend Zertifikatanforderungen von und an Kandji empfangen und erleichtern.
Library Item Erstellung
Kandji kann verwendet werden, um AD CS-Zertifikatkonfigurationsprofile mithilfe von Library Items zu erstellen und an Geräte zu verteilen.
Ablauf der Zertifikatsanforderung
Eine Zertifikatanforderung wird von Kandji über die WebSocket-Verbindung (TCP 443) an den Kandji AD CS-Connector gesendet.
Der AD CS-Connector generiert das Zertifikatschlüsselpaar (öffentlich und privat) lokal und sendet die Zertifikatsignieranforderung über DCE/RPC an Microsoft AD CS. Hinweis: Schlüssel werden nur an den verwalteten Endpunkten gespeichert, an denen sie über Library Items installiert wurden.
AD CS verarbeitet die Anforderung, stellt das Zertifikat aus und sendet das signierte Zertifikat zurück an den AD CS-Connector.
Der AD CS-Connector leitet eine verschlüsselte P12-Datei weiter und fordert die ID über den WebSocket an Kandji zurück.
Schließlich sendet Kandji das Zertifikatspaket (.p12) in einer Konfigurationsprofil-Payload an das Clientgerät.
