Интеграция с инфраструктурой открытых ключей
Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования. В результате интеграции выписка сертификатов происходит автоматически.
Минимально поддерживаемая версия сервера PKI – Windows Server 2008.
Администратор может назначить для пользователя доменный сертификат в Консоли администрирования. Это можно сделать одним из следующих способов:
- назначить пользователю особый (персонализированный) сертификат из файла в мастере установки сертификатов;
- выполнить интеграцию с PKI и назначить PKI источником сертификатов для конкретного типа сертификатов либо для всех типов.
Общий принцип интеграции с PKI для выпуска доменных сертификатов пользователей
Обратите внимание:
- В параметрах интеграции с PKI можно указать шаблон по умолчанию для всех типов сертификатов. При этом в правилах выпуска сертификатов (правила доступны в рабочей области папки Управление мобильными устройствами / Сертификаты по нажатии кнопки Настроить правила выпуска сертификатов) можно задать отдельный шаблон для каждого типа сертификатов.
- На устройстве с Сервером администрирования в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен особый сертификат Enrollment Agent (EA). Его предоставляет администратор доменного ЦС (Центра сертификации).
Учетная запись, под которой выполняется интеграция с PKI, должна:
- принадлежать доменному пользователю;
- принадлежать локальному администратору устройства с Сервером администрирования, с которого выполняется интеграция с PKI;
- обладать разрешением Вход в качестве службы.
- Под этой учетной записью необходимо хотя бы один раз запустить устройство с установленным Сервером администрирования, чтобы создать постоянный профиль пользователя.
Под настроенной учетной записью нужно хотя бы один раз выполнить вход на устройстве с установленным Сервером администрирования для того, чтобы создать постоянный профиль пользователя. В хранилище сертификатов этого пользователя, на устройстве с Сервером администрирования, необходимо установить сертификат агента регистрации, предоставленный администраторами домена.
Настройка интеграции с PKI
Чтобы настроить интеграцию с инфраструктурой открытых ключей:
- В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
- В рабочей области нажмите на кнопку Тип сертификата, чтобы открыть раздел Интеграция с PKI окна Правила выпуска сертификатов.
Откроется раздел Интеграция с PKI окна Правила выпуска сертификатов.
- Установите флажок Интегрировать выписку сертификатов с PKI.
- В поле Учетная запись укажите имя учетной записи, которая будет использоваться для интеграции с инфраструктурой открытых ключей.
- В поле Пароль укажите доменный пароль учетной записи.
- В списке Имя шаблона сертификата в системе PKI выберите шаблон сертификата, который будет использоваться для выпуска сертификатов пользователям домена.
Под указанной учетной записью в Kaspersky Endpoint Security запускается специализированная служба. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.
- Нажмите на кнопку ОК, чтобы сохранить параметры.
В результате интеграции выписка сертификатов происходит автоматически.