证书集成模块
证书集成模块允许用户使用现有的认证中心 (CA),并将设备和用户证书自动供应到已注册设备。 证书用于电子邮件、wifi、VPN 或 MaaS360® 邮件验证。
Cloud Extender ® 与 CA 进行交互,然后使用以下方法将发放的证书下推到已注册的设备:
- 从 IBM® MaaS360 Portal 接收需要身份证书的所有注册设备的证书请求。
- 在证书请求过程中,向认证中心 (CA) 或注册机构 (RA) 进行认证。
- 作为证书请求的一部分传递设备或用户的详细信息以及对应属性来请求标识证书。
- 使用请求设备的公钥对收到的证书进行加密,并将加密后的有效载荷推送到 IBM MaaS360 门户,然后将其交付给设备。
- 支持自动更新证书,并确保设备在当前证书到期之前接收新证书。
注: 对于 Windows 平板电脑, 云扩展器会对证书进行密码保护,使用请求设备的公钥对密码进行加密,并将加密后的有效负载推送到 IBM MaaS360 Portal。 当 MaaS360 平台收到受密码保护的证书(作为策略的一部分)时, MaaS360 会使用 Windows MDM API 将加密的有效载荷推送到平板电脑。
受支持的 CA 版本
Cloud Extender 与以下认证中心集成:
- Microsoft CA 安装于 2003,2008 R2或 2012 R2
需要 NDES 2008 + (仅支持 NDES 服务器的英语版本) - Symantec Managed PKI
- Entrust Identity Guard 和 Admin Services
- Verizon MCS PKI
必须使用包含有关 CA 服务器和管理凭证的信息的证书模板来配置 Cloud Extender ,以认证和请求设备证书。 MaaS360 中注册的所有类型设备( iOS, Android、Windows Phone 和 Mac OS X )都支持证书交付。
系统需求
在开始安装之前,请确保您的环境满足以下最低需求:
- 针对 Cloud Extender 安装的 Microsoft Windows 2016 或更高版本
- .NET 3.5 或更高版本
- Microsoft: 在 2008 + 服务器上设置的网络设备注册服务 (NDES) (仅支持 NDES 服务器的英语版本)
- Symantec:对 Symantec PKI 托管的解决方案的管理访问权
- Entrust:对 Entrust IdentityGuard Server V10.1/V10.2 或 Entrust Admin Services V8.2 SP1/V8.3 的管理访问权
- Verizon MCS:对 Verizon MCS 控制台的管理访问权
- 高可用性 (HA) 需求:
- Windows 文件共享来自高可用性 Cloud Extender 的访问权,用于证书高速缓存
- 仅对于 Microsoft 和 Symantec PKI 是必需的
缩放
Cloud Extender for Certificate Integration 可以在主动/主动高可用性 (HA) 方式下运行。 必须将同一证书模板从一个 Cloud Extender 导入到以 HA 方式运行的所有其他节点。 为系统中注册的每 10,000 个设备设置额外的 HA Cloud Extender 。
示例: 如果 10,000 个设备需要证书,请以 HA 方式安装两个 Cloud Extender 。 对于其他 10,000 个设备,请为证书安装另一个Cloud Extender 。 如果您有 50,000 个注册设备需要证书,请安装六个 Cloud Extender 以进行扩展和 HA。 IBM MaaS360门户会在活动和已连接的 云扩展器之间循环处理证书请求。
| 项目 | 要求 |
|---|---|
| 少于 10,000 个设备 | CPU: 2 核心 内存: 4 GB |
| 超过 10,000 个设备 | 缩放:
有关环境的准确缩放,请参阅位于 的 Cloud Extender 缩放文档。 |
设备证书或用户证书
从设备角度,所有证书都视作用户证书。 Cloud Extender 根据 Cloud Extender上定义的证书模板向设备发放设备证书或用户证书。
注: 对于使用多个 Cloud Extender 的环境,所有证书模板都必须位于使用 PKI 证书的每个 Cloud Extender 上。
下表列出了设备证书和用户证书的差异:
| 证书 | 描述 |
|---|---|
| 设备 |
|
| 用户 |
|