Versions Compared

Old Version 9

changes.mady.by.user Mikhail Yakovlev

Saved on

compared with

New Version Current

changes.mady.by.user Mikhail Yakovlev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Tip

Раздел доступен для настройки при активированной опции Включить интеграцию с Microsoft CA Enterprise в разделе Microsoft CA Мастера настройки Indeed CM.

В разделе Удостоверяющие центры задаются Microsoft CA, с которыми будет работать Indeed Certificate Manager.

Info

Indeed CM поддерживает работу с множеством удостоверяющих центров организации. Вы можете добавить несколько УЦ для одной политики или создать несколько политик, указав для каждой свой удостоверяющий центр.

Вкладка содержит параметры работы с удостоверяющими центрами Microsoft.
  1. Чтобы добавить удостоверяющий центр, нажмите Добавить УЦ.
  1. Image Modified
  2. Задайте адрес удостоверяющего центра (если он не определился автоматически)
, укажите
  1. .

  2. Укажите данные сервисной учетной записи (например, serviceca), обладающей сертификатом Агент регистрации (Enrollment Agent)

и нажмите Добавить

  1. .

    Warning

    Наличие пользователя с сертификатом Агент регистрации (Enrollment Agent) является обязательным условием для работы Indeed CM с УЦ. От имени этого пользователя будет выполняться запрос к указанному удостоверяющему центру на выдачу сертификатов пользователям Indeed CM. Учетные данные этого пользователя могут быть изменены после добавления удостоверяющего центра в Indeed CM (cм. раздел Microsoft CA в Настройке Центров Сертификации для работы с Indeed CM).


  2. Нажмите Добавить.

Для изменения учетных данных пользователя, обладающего сертификатом Агент регистрации  (Enrollment Agent), выберите нужный удостоверяющий центр и нажмите  справа от имени пользователя. Для удаления удостоверяющего центра нажмите.Indeed CM поддерживает работу с множеством удостоверяющих центров организации. Вы можете добавить несколько УЦ для одной политики или создать несколько политик, указав для каждой свой удостоверяющий центр.

Для добавления удостоверяющего центра, расположенного за пределами домена в котором находятся пользователи Indeed CM (например, в другом независимом домене, который также принадлежит вашей организации) выполните следующие действия:

1. Нажмите Добавить УЦ.
2. В поле Адрес укажите URL-адрес приложения Indeed CM MSCA Proxy.

Info

Cм. раздел Подключение к центру сертификации Microsoft через IndeedCM.MSCA.Proxy.

В случае развертывания Indeed CM в лесу доменов использование MSCA Proxy не обязательно. В этом случае в поле Адрес следует указать имя удостоверяющего центра.

3. Укажите учетную запись пользователя (в формате ДОМЕН\ИМЯ), обладающего сертификатом Агент регистрации (Enrollment Agent) на УЦ, расположенном вне домена с каталогом пользователей Indeed CM и её пароль.
4. Включите опцию Выпускать сертификаты для пользователей из внешнего сопоставленного каталога.
5. В поле Путь (LDAP) укажите путь к каталогу пользователей Indeed CM внешнего домена.

Info
iconfalse
titleПример:

Indeed CM развернут в домене demo.local и сертификаты пользователям этого домена выпускаются развернутым в этом домене УЦ. При добавлении УЦ, развернутого в домене external.com, следует указать путь к каталогу пользователей в этом домене, где у пользователей системы Indeed CM есть еще одна доменная учетная запись и на имя которой добавляемый УЦ будет выпускать сертификаты.

Таким образом, для одного сотрудника, имеющего учетные записи в независимых доменах, система позволит записать на одно устройство несколько сертификатов, выданных удостоверяющими центрами, расположенными в независимых доменах.

Warning

Выпуск сертификатов для пользователей внешнего каталога будет успешен только при совпадении атрибута соответствия с основным каталогом пользователей.

Например: адрес электронной почты, указанный в свойствах учетной записи пользователя в домене demo.local должен совпадать с адресом электронной почты, указанным в свойствах учетной записи пользователя в домене external.com.


6. В поле Имя пользователя укажите в формате ДОМЕН\ИМЯ учетную запись, обладающую правами на чтение всех свойств пользователей во внешнем домене. Для этого можно использовать учетную запись, указанную в п.3.

Tip

Для настройки разрешения на чтение только необходимого набора свойств обратитесь к разделу Настройка каталога пользователей в Active Directory.

7. В поле Атрибут сопоставления каталогов укажите атрибут (Общее имя (CN), E-mail или Логин (sAMAccountName)), по которому Indeed CM будет определять уникальность пользователя, для которого созданы учетные записи в каждом домене. На рисунке приведен пример Пример настроек для внешнего Microsoft CA с опцией выпуска сертификатов для пользователей сопоставленого каталога.

На вкладке В разделе Шаблоны задаются шаблоны, в соответствии с которыми будут выпускаться сертификаты пользователям.

Warning

Прежде, чем приступить к созданию шаблонов сертификатов в Indeed CM, убедитесь в том, что необходимые шаблоны настроены и добавлены в центр сертификации Microsoft CA. См. разделы Настройка шаблонов сертификатов и Добавление шаблонов сертификатов.

В разделе Параметры шаблонов сертификатов приведено описание настроек шаблонов сертификатов всех поддерживаемых в Indeed CM удостоверяющих центров (Таблица 2)

.

  • Для создания шаблона сертификата нажмите Создать шаблон сертификата
, задайте параметры шаблона (см. Таблицу 2) и нажмите Создать.

Image Added

Info

Indeed CM позволяет создать множество разных шаблонов сертификатов для одной политики (при условии, что эти шаблоны не повторяются). Просмотреть список созданных шаблонов можно в разделе Шаблоны выбранной политики.

Image Removed

Для редактирования шаблона выберите его и нажмите . Для удаления шаблона из политики нажмите.