Раздел доступен для настройки при активированной опции Включить интеграцию с Microsoft CA Enterprise в разделе Microsoft CA Мастера настройки Indeed CM.

В разделе Удостоверяющие центры задаются Microsoft CA, с которыми будет работать Indeed Certificate Manager.

Indeed CM поддерживает работу с множеством удостоверяющих центров организации. Вы можете добавить несколько УЦ для одной политики или создать несколько политик, указав для каждой свой удостоверяющий центр.

  1. Чтобы добавить удостоверяющий центр, нажмите Добавить УЦ.
  2. Задайте адрес удостоверяющего центра (если он не определился автоматически).

  3. Укажите данные сервисной учетной записи (например, serviceca), обладающей сертификатом Агент регистрации (Enrollment Agent).

    Наличие пользователя с сертификатом Агент регистрации (Enrollment Agent) является обязательным условием для работы Indeed CM с УЦ. От имени этого пользователя будет выполняться запрос к указанному удостоверяющему центру на выдачу сертификатов пользователям Indeed CM. Учетные данные этого пользователя могут быть изменены после добавления удостоверяющего центра в Indeed CM (cм. раздел Microsoft CA в Настройке Центров Сертификации для работы с Indeed CM).

  4. Нажмите Добавить.

Для изменения учетных данных пользователя, обладающего сертификатом Агент регистрации  (Enrollment Agent), выберите нужный удостоверяющий центр и нажмите  справа от имени пользователя. Для удаления удостоверяющего центра нажмите.

Для добавления удостоверяющего центра, расположенного за пределами домена в котором находятся пользователи Indeed CM (например, в другом независимом домене, который также принадлежит вашей организации) выполните следующие действия:

1. Нажмите Добавить УЦ.
2. В поле Адрес укажите URL-адрес приложения Indeed CM MSCA Proxy.

Cм. раздел Подключение к центру сертификации Microsoft через IndeedCM.MSCA.Proxy.

В случае развертывания Indeed CM в лесу доменов использование MSCA Proxy не обязательно. В этом случае в поле Адрес следует указать имя удостоверяющего центра.

3. Укажите учетную запись пользователя (в формате ДОМЕН\ИМЯ), обладающего сертификатом Агент регистрации (Enrollment Agent) на УЦ, расположенном вне домена с каталогом пользователей Indeed CM и её пароль.
4. Включите опцию Выпускать сертификаты для пользователей из внешнего сопоставленного каталога.
5. В поле Путь (LDAP) укажите путь к каталогу пользователей Indeed CM внешнего домена.

Пример:

Indeed CM развернут в домене demo.local и сертификаты пользователям этого домена выпускаются развернутым в этом домене УЦ. При добавлении УЦ, развернутого в домене external.com, следует указать путь к каталогу пользователей в этом домене, где у пользователей системы Indeed CM есть еще одна доменная учетная запись и на имя которой добавляемый УЦ будет выпускать сертификаты.

Таким образом, для одного сотрудника, имеющего учетные записи в независимых доменах, система позволит записать на одно устройство несколько сертификатов, выданных удостоверяющими центрами, расположенными в независимых доменах.

Выпуск сертификатов для пользователей внешнего каталога будет успешен только при совпадении атрибута соответствия с основным каталогом пользователей.

Например: адрес электронной почты, указанный в свойствах учетной записи пользователя в домене demo.local должен совпадать с адресом электронной почты, указанным в свойствах учетной записи пользователя в домене external.com.

6. В поле Имя пользователя укажите в формате ДОМЕН\ИМЯ учетную запись, обладающую правами на чтение всех свойств пользователей во внешнем домене. Для этого можно использовать учетную запись, указанную в п.3.

Для настройки разрешения на чтение только необходимого набора свойств обратитесь к разделу Настройка каталога пользователей в Active Directory.

7. В поле Атрибут сопоставления каталогов укажите атрибут (Общее имя (CN), E-mail или Логин (sAMAccountName)), по которому Indeed CM будет определять уникальность пользователя, для которого созданы учетные записи в каждом домене. Пример настроек для внешнего Microsoft CA с опцией выпуска сертификатов для пользователей сопоставленого каталога.

В разделе Шаблоны задаются шаблоны, в соответствии с которыми будут выпускаться сертификаты пользователям.

Прежде, чем приступить к созданию шаблонов сертификатов в Indeed CM, убедитесь в том, что необходимые шаблоны настроены и добавлены в центр сертификации Microsoft CA. См. разделы Настройка шаблонов сертификатов и Добавление шаблонов сертификатов.

  • Для создания шаблона сертификата нажмите Создать шаблон сертификата.
  • Задайте необходимые параметры шаблона согласно Таблице 2 раздела Параметры шаблонов сертификатов.

  • Нажмите Создать.

Indeed CM позволяет создать множество разных шаблонов сертификатов для одной политики (при условии, что эти шаблоны не повторяются). Просмотреть список созданных шаблонов можно в разделе Шаблоны выбранной политики.

Для редактирования шаблона выберите его и нажмите . Для удаления шаблона из политики нажмите.


  • No labels