¿Qué es Servicios de certificados de Active Directory?
Microsoft Active Directory Certificate Services (AD CS) crea una infraestructura de clave pública (PKI) local que permite a las organizaciones emitir, validar y revocar certificados para uso interno. La integración de Kandji AD CS funciona con la configuración existente de Microsoft AD CS para solicitar certificados de AD CS. A continuación, puede enviar estos certificados a los dispositivos a través de perfiles de configuración, lo que permite la autenticación basada en certificados para que los usuarios puedan acceder a recursos corporativos como redes Wi-Fi empresariales.
Requisitos de red
Para obtener una lista completa de los requisitos de red para los Servicios de certificados de Active Directory, consulte nuestro artículo de soporte técnico Uso de Kandji en entornos empresariales .
Plantilla de certificado de equipo de AD CS
Kandji usa una plantilla de certificado de equipo de AD CS al solicitar certificados de AD CS dentro de Library Items. Para obtener más información, consulte nuestro artículo de soporte técnico Creación de una plantilla de certificado de equipo de AD CS .
Configuración de integración de AD CS
La integración de AD CS se configura desde la página Integraciones de Kandji en la aplicación web Kandji . Una vez completada la configuración, puede administrar Kandji servidores del conector de AD CS, agregar los hosts de la entidad de certificación (CA) de AD CS y crear Library Items, todo desde la página de integración de AD CS.
Kandji Instalación del conector AD CS
El conector de AD CS requiere Windows Server 2016 o posterior y Microsoft .NET (Core) 8 o posterior.
El conector Kandji AD CS es una aplicación cliente nativa de Windows .NET instalada en un servidor Windows (2016 o posterior) que reside en la red local. El conector de AD CS aprovecha el protocolo WebSocket a través del puerto TCP 443 para establecer automáticamente una conexión de confianza persistente con el inquilino Kandji , lo que elimina la necesidad de abrir puertos específicos. El conector de AD CS usa el marco de llamadas a procedimiento remoto de Microsoft para comunicarse con el entorno local de AD CS. Una vez instalado, el conector de AD CS podrá recibir y facilitar solicitudes de certificados desde y hacia Kandji de forma continua.
Library Item Creación
Kandji se puede utilizar para crear y distribuir perfiles de configuración de certificados de AD CS a dispositivos mediante los siguientes Library Items:
Fuerte asignación de certificados
Para admitir la asignación de certificados segura (necesaria desde Windows Update KB5014754), debe agregar un identificador uniforme de recursos (URI) de identificador de asignación segura de ADCS. En la sección Nombre alternativo del sujeto (SAN) de su elemento de biblioteca, haga clic en Agregar para crear una SAN de URI y, a continuación, ingrese este valor exacto:
$ADCS_STRONG_MAPPING_ID.
Flujo de solicitud de certificados
Kandji envía una solicitud de certificado al conector Kandji AD CS a través de una conexión WebSocket a través del puerto TCP 443.
El conector de AD CS genera el par de claves de certificado (claves públicas y privadas) localmente y, a continuación, envía la solicitud de firma de certificado a Microsoft AD CS mediante DCE/RPC. Las claves solo se almacenan en los extremos administrados donde se implementan a través de elementos de biblioteca.
AD CS procesa la solicitud, emite el certificado y envía el certificado firmado al conector de AD CS.
El conector de AD CS devuelve un archivo .p12 cifrado junto con el identificador de solicitud a Kandji a través de la conexión WebSocket.
Kandji entrega el paquete de certificados (archivo .p12) al dispositivo cliente a través de una carga útil de perfil de configuración.
