Acerca de
Microsoft Active Directory Certificate Services (AD CS) establece una infraestructura de clave pública (PKI) local mediante la cual puede crear, validar y revocar certificados para uso interno dentro de una organización. La integración de Kandji AD CS se comunica con un entorno de Microsoft AD CS existente para solicitar certificados de AD CS. Estos certificados se pueden entregar a los dispositivos a través de perfiles de configuración, lo que permite flujos de autenticación basados en certificados a través de los cuales los usuarios finales pueden acceder a recursos corporativos, como redes Wi-Fi empresariales.
Pasos de configuración
Instale y configure la integración de Kandji AD CS.
Cree una plantilla de certificado de equipo de AD CS.
Instale la aplicación de Windows Kandji AD CS Connector.
Cree Library Items para implementar certificados de AD CS en dispositivos.
Requisitos de red
Para obtener una lista completa de los requisitos de red para los Servicios de certificados de Active Directory, consulte el artículo de soporte técnico Uso de Kandji en entornos empresariales .
Configuración y configuración de la integración de AD CS
La integración de AD CS se configura desde el mercado de Kandji Integraciones en la aplicación web Kandji . Una vez completada la configuración, puede administrar Kandji servidores de AD CS Connector, agregar los hosts de autoridad de certificación (CA) de Microsoft AD CS y crear Library Items, todo desde la página de integración de AD CS. Para obtener más información, consulte nuestro artículo de soporte técnico de instalación y configuración de la integración de AD CS .
El Kandji de los medios de instalación del conector AD CS se descarga durante la configuración inicial de la integración.
Plantilla de certificado de equipo de AD CS
Kandji usa una plantilla de certificado de equipo de AD CS al solicitar certificados de AD CS dentro de Library Items. Para obtener más información, consulte nuestro artículo de soporte técnico de AD CS Crear una plantilla de certificado de equipo .
Kandji Instalación del conector AD CS
El conector Kandji AD CS es una aplicación cliente nativa de Windows .NET instalada en un servidor de Windows (2016 o posterior) que reside en la red local. El conector AD CS aprovecha el protocolo WebSocket a través del puerto TCP 443 para establecer automáticamente una conexión de confianza persistente con el inquilino Kandji . Esto hace que la instalación y la configuración iniciales sean muy intuitivas y, en la mayoría de los entornos, elimina la necesidad de abrir puertos específicos. El conector de AD CS usa el marco de llamadas a procedimientos remotos de Microsoft para comunicarse con el entorno local de AD CS. Una vez instalado, el conector AD CS podrá recibir y facilitar las solicitudes de certificados desde y hacia Kandji de forma continua.
Library Item Creación
Kandji se puede usar para crear y distribuir perfiles de configuración de certificados AD CS a dispositivos mediante Library Items.
Flujo de solicitud de certificado
Se envía una solicitud de certificado desde Kandji al conector AD CS de Kandji a través de la conexión WebSocket (TCP 443).
El conector de AD CS genera el par de claves de certificado (público y privado) localmente y envía la solicitud de firma de certificado a Microsoft AD CS a través de DCE/RPC. Nota: las claves nunca se almacenan en ningún otro lugar que no sean los puntos finales administrados donde se han instalado a través de Library Items.
AD CS procesa la solicitud, emite el certificado y envía el certificado firmado de vuelta al conector de AD CS.
El conector AD CS reenvía un archivo .p12 cifrado y el identificador de solicitud a Kandji a través del WebSocket.
Por último, Kandji envía el paquete de certificados (.p12) al dispositivo cliente en una carga útil de perfil de configuración.
