Модуль интеграции сертификатов

Модуль интеграции сертификатов позволяет пользователям использовать существующие сертификатные компании (CA) и устройства автоматического предоставления доступа к зачисленным устройствам. Сертификаты используются для аутентификации электронной почты, wifi, VPN или Защищенная почта .

Cloud Extender взаимодействует с CA, а затем передает выдающие сертификаты на зарегистрированные устройства с помощью следующего метода:

Получает от ПорталMaaS360 запросы на получение сертификата для всех зарегистрированных устройств, для которых требуется сертификат идентификации.
Выполняет идентификацию в сертификатной компании (CA) или в регистрационном органе (RA) как часть процесса запроса сертификата.
Запрашивает сертификаты ИД путем передачи сведений об устройстве или пользователе и соответствующих атрибутах в качестве части запроса на сертификат.
Зашифровывает полученный сертификат с помощью открытого ключа запрашивающего устройства и заносит зашифрованную полезную нагрузку в ПорталMaaS360, которая затем доставляется на устройство.
Поддерживает автоматическое обновление сертификатов и обеспечивает получение новых сертификатов до истечения срока действия текущего сертификата.

Примечание: Для планшетов Windows 10 пароль Cloud Extender защищает сертификат, шифрует пароль с помощью открытого ключа запрашивающего устройства и передает зашифрованные данные в ПорталMaaS360. Когда платформа MaaS360 получает сертификаты, защищенные паролем (как часть политики), MaaS360 использует API MDM Windows 10 для передачи зашифрованной полезной нагрузки в планшет.

Поддерживаемые версии CA

Cloud Extender интегрируется со следующими сертификатами:

Microsoft CA installed on 2003, 2008 R2, or 2012 R2
Requires NDES 2008+ (supports only the English version of the NDES server)
Управляемый PKI Symantec
Доверчивые службы идентификации и службы администрирования
PKI, Verizon MCS

Cloud Extender необходимо настроить с помощью шаблона сертификата, содержащего информацию о сервере CA и идентификационные данные администратора для идентификации и запроса сертификатов устройств. Все типы устройств (iOS, Android, Windows Phone и Mac OS X), зарегистрированные в MaaS360 , поддерживают доставку сертификатов.

Требования к системе

Прежде чем приступать к установке, убедитесь, что ваша среда соответствует следующим минимальным требованиям:

Microsoft Windows 2008 + для установки Cloud Extender
.NET 3.5 или выше
Microsoft: Служба регистрации сетевых устройств (NDES), установленная на сервере "2008 +" (поддерживает только английскую версию сервера NDES)
Symantec: Административный доступ к решению Symantec PKI
Entrust: Administrative access to Entrust IdentityGuard Server v10.1 или v10.2, или Entrust Admin Services v8.2 SP1 или v8.3
Verizon MCS: Административный доступ к консоли Verizon MCS
Требования высокой готовности (HA):
- Windows Доступ к файлам с высокой готовности Расширители облака для кэширования сертификатов
- Требуется только для Microsoft и Symantec PKI

Масштабирование

The Cloud Extender for Certificate Integration can run in Active-Active High Availability (HA) mode. Вы должны импортировать один и тот же шаблон сертификата из одного Cloud Extender на все остальные узлы, работающие в режиме высокой готовности. Настройте дополнительное HA Расширители облака на каждые 10 000 устройств, зарегистрированных в системе.

Пример: Если для 10 000 устройств требуются сертификаты, установите два Расширители облака в режиме высокой готовности. Для дополнительных 10 000 устройств установите другойCloud Extender для сертификатов. Если у вас есть 50 000 зарегистрированных устройств, для которых требуются сертификаты, установите шесть Расширители облака для масштабирования и HA. The ПорталMaaS360 round robins certificate requests between active and connected Расширители облака.

Табл. 1. Требования масштабирования для модуля интеграции сертификатной компании
Пункт	Требование
Менее 10 000 устройств	Процессор: 2 ядра Память: 4 ГБ
Более 10 000 устройств	Масштабирование: Поддерживает установку в нескольких экземплярах Cloud Extender с высокой доступностью (HA). Установите на выделенном Cloud Extender или включен в Cloud Extender с включенной пользовательской видимостью или службами аутентификации пользователей. Чтобы получить правильное масштабирование среды, смотрите документ масштабирования Cloud Extender в Настройка > Услуги > Интеграция предприятия.

Сертификаты устройств или сертификаты пользователей

С точки зрения устройства все сертификаты рассматриваются как пользовательские сертификаты. Cloud Extender выдает сертификаты или сертификаты пользователей на устройства на основе шаблона сертификата, определенного в Cloud Extender.

Примечание: Для среды, использующими несколько Cloud Extender, все шаблоны сертификатов должны находиться в каждом Cloud Extender , использующий сертификаты PKI.

В следующей таблице перечислены различия между сертификатами устройств и сертификатами пользователей:

Сертификат	Описание
Устройство	Cloud Extender создает сертификат на основе требований и помещает сертификат на устройство. Cloud Extender использует шаблоны сертификатов для передачи пользовательских атрибутов в поле Имя субъекта/Альтернативное имя, которое связывает сертификат с пользователем и используется в качестве сертификата устройства. Устройства относятся ко всем сертификатам в качестве сертификатов пользователей. Наиболее часто используемый тип шаблона сертификата, который поддерживает Microsoft, Symantec, Entrust и Verizon MCS. В основном используется для аутентификации.
Пользователь	Требует, чтобы сертификат присутствовал в Active Directory для пользователя. Дополнительные требования для настройки восстановления ключа для извлечения личного ключа сертификата. Cloud Extender может искать сертификат только в том случае, если сертификат существует. Cloud Extender не может сгенерировать пропущенные сертификаты. Поддерживается только CA Microsoft . В основном используется для сертификатов S/MIME для доставки подписей и сертификатов шифрования. Связанная информация: Поддержка нескольких сертификатов S/MIME в Active Directory Для пользовательских сертификатов, используемых для идентификации, выберите шаблон сертификата устройства и укажите атрибуты пользователя, передающие CA для создания сертификата.

Сертификат

Описание

Устройство

Cloud Extender создает сертификат на основе требований и помещает сертификат на устройство.
Cloud Extender использует шаблоны сертификатов для передачи пользовательских атрибутов в поле Имя субъекта/Альтернативное имя, которое связывает сертификат с пользователем и используется в качестве сертификата устройства.
Устройства относятся ко всем сертификатам в качестве сертификатов пользователей.
Наиболее часто используемый тип шаблона сертификата, который поддерживает Microsoft, Symantec, Entrust и Verizon MCS.
В основном используется для аутентификации.

Пользователь

Требует, чтобы сертификат присутствовал в Active Directory для пользователя.
Дополнительные требования для настройки восстановления ключа для извлечения личного ключа сертификата.
Cloud Extender может искать сертификат только в том случае, если сертификат существует. Cloud Extender не может сгенерировать пропущенные сертификаты.
Поддерживается только CA Microsoft .
В основном используется для сертификатов S/MIME для доставки подписей и сертификатов шифрования. Связанная информация: Поддержка нескольких сертификатов S/MIME в Active Directory
Для пользовательских сертификатов, используемых для идентификации, выберите шаблон сертификата устройства и укажите атрибуты пользователя, передающие CA для создания сертификата.