Использование сертификата PKI для аутентификации шлюза

Для того чтобы включить сертификат инфраструктуры общих ключей (PKI) для идентификации с помощью Мобильный Enterprise Gateway (MEG), выполните следующие действия.

Мобильный Enterprise Gateway (MEG) 2.90 поддерживает следующие элементы идентификации по сертификатам PKI:
  • Сертификаты идентификации устройств и сертификаты идентификации пользователей
  • Microsoft CA installed on 2003, 2008 R2, or 2012 R2
  • Microsoft AD настроен как Active Directory или профиль LDAP для Active Directory
  • Атрибуты сертификата, содержащие идентификационные данные пользователя: Имя субъекта и Альтернативное имя субъекта
  • Атрибуты каталога для имени пользователя: UPN, sAMAccountName, CN, UID (не поддерживается в Active Directory) и имя
  • Формат атрибута сертификата:
    • UPN и DN
    • Несколько профайлов LDAP для Active Directory

Предварительные требования: Configure the Microsoft CA in the Cloud Extender Certificate Integration module (see Microsoft CA integration for more information).

Рабочий поток конфигурирования аутентификации сертификата PKI

  1. Сконфигурируйте Сертификат устройства в модуле Интеграция сертификатов Cloud Extender и задайте Имя темы или Альтернативное имя субъекта , содержащие соответствующие атрибуты имени пользователя из проверки реестра пользователей:
    Модуль интеграции сертификатов Cloud Extender
    • Если вы используете Имя темы, задайте следующие параметры:
      • Чтобы задать имя субъекта сертификата как DN, введите /CN=%dn% в поле Имя темы шаблона сертификата.
      • Чтобы задать имя субъекта сертификата как UPN, введите /CN=%upn% в поле Имя темы шаблона сертификата.
    • Если вы используете Альтернативное имя субъекта, задайте следующие параметры:
      • Чтобы задать альтернативное имя субъекта сертификата как DN, выберите Прочие в качестве Тип альтернативного имени субъекта и задайте %dn% в качестве Шаблон темы. Необходимо задать допустимый Имя темы (/emailAddress=%email%).
      • Чтобы задать имя субъекта сертификата как UPN, выберите UPN в качестве Тип альтернативного имени субъекта шаблона сертификата. Необходимо задать допустимый Имя темы (/emailAddress=%email%).
  2. Сконфигурируйте аутентификацию в Cloud Extender , используя следующие параметры:
    Модуль интеграции сертификатов Cloud Extender
    Модуль интеграции сертификатов Cloud Extender
    Модуль интеграции сертификатов Cloud Extender
  3. Настройте сведения об авторизации сертификата Enterprise Gateway с помощью Инструмент конфигурированияCloud Extender:
    Сведения об авторизации сертификата Enterprise Gateway
    Модуль интеграции сертификатов Cloud Extender
    Для Режим аутентификации сертификатавыберите одну из следующих опций:
    • Если включен параметр Проверка информации о пользователе для корпоративного каталога , то будет показано Атрибут сертификата с информацией о пользователе и Атрибут каталога для проверки информации о пользователе .
    • Если включен параметр Проверка аннулирования сертификата , то отображается значение Недоступность службы аннулирования сертификатов .
  4. Сконфигурируйте политику WorkPlace Persona , использующий сертификат, и вновь созданный идентификатор шаблона для аутентификации Мобильный Enterprise Gateway (MEG) :
    1. Войдите в портал клиента и перейдите в каталог Политика Workplace Persona > Шлюз предприятия. Поле Тип аутентификации для шлюза выводится со значением по умолчанию Пароль.
    2. Выберите Сертификат в списке Тип аутентификации для шлюза и убедитесь, что поле Сертификат идентификации для аутентификации шлюза показано.
    Параметры аутентификации политики WorkPlace Persona
  5. Зарегистрировать новое устройство в политике WorkPlace Persona и подождать, пока вы не получите уведомление о том, что новый сертификат идентификации будет выдан на устройство.
  6. Импортируйте сертификат подписи сертификатной компании в хранилище доверенных сертификатов Windows в Cloud Extender.
    1. Экспортируйте сертификат подписи сертификатной компании в файл. Для получения доступа к сертификату Microsoft обратитесь к разделу https://support.microsoft.com/en-us/help/555252 .
    2. Импортируйте сертификат подписи сертификатной компании в хранилище доверенных сертификатов Windows в Cloud Extender. Процедура приведена в разделе https://technet.microsoft.com/en-us/library/cc754489(v=ws.11).aspx .
  7. Перезапустите шлюз.
    1. Перейдите в каталог установки Cloud Extender на сервере Мобильный Enterprise Gateway (MEG) . Например: C:\Program Files (x86) \ < путь к MaaS360> \Cloud Extender
    2. Найдите и выберите файл секундомер . Расширение файла будет показано, если вы сконфигурировали опции папки Windows для вывода имен файлов.
    3. Подождите около 30 секунд, чтобы остановить Мобильный Enterprise Gateway (MEG) .
    4. Найдите и выберите файл startMobileGateway.b , чтобы перезапустить Мобильный Enterprise Gateway (MEG).