Operaciones de inscripción automática de Microsoft

EMPRESA Esta es una característica de EJBCA Enterprise.

A continuación se proporciona una descripción general de cómo configurar la inscripción automática en EJBCA.

Para obtener una guía de ejemplo sobre cómo configurar la inscripción automática de MS, consulte la Guía de configuración de inscripción automática de Microsoft y, para obtener una descripción general conceptual, consulte Descripción general de la inscripción automática de Microsoft .

    Para configurar la inscripción automática, haga clic en Configuración de inscripción automática en el menú EJBCA

    La configuración de inscripción automática se basa en alias y cada alias se configura en la página Administrar alias de inscripción automática .

    imágenes/descargar/archivos adjuntos/113780001/EJBCAAuto-Enrollment.png

    Para agregar un nuevo alias, especifique un nombre para el alias, haga clic en Agregar y luego seleccione Editar alias de inscripción automática .

    Configuración de los ajustes de dominio y conexión

    Las siguientes secciones cubren las configuraciones de dominio y conexión.

    Configuración de políticas y controladores de dominio

    A continuación se muestran las configuraciones en la página de configuración de alias de inscripción automática.

    imágenes/descargar/archivos adjuntos/113780001/msae_domain_settings.png


    Campo

    Descripción

    Dominio raíz del bosque

    Nombre de dominio (DN) de la raíz del bosque (la ubicación de las plantillas de certificado).

    Controlador de dominio AD

    Nombre de dominio completo (FQDN) del controlador de dominio (utilizado para la conexión LDAP).

    Nombre de la póliza

    Nombre para mostrar de la Política de inscripción de certificados recuperada por los clientes (texto libre).

    Nombre principal del servicio

    Nombre principal del servicio en el formato protocolo/SERVIDOR@HOST .

    Configuración de Kerberos

    A continuación se muestran las configuraciones de Kerberos en la página de configuración de alias de inscripción automática.

    imágenes/descargar/archivos adjuntos/113780001/Captura de pantalla_2021-04-15_a_16.07.16.png

    Importe la pestaña clave y el archivo de configuración utilizando los siguientes campos.

    Campo

    Descripción

    Pestaña de clave Kerberos

    Importar un archivo de pestaña de clave válido.

    Archivo de configuración de Krb5

    Importe un archivo krb5.conf válido.

    Configurar la conexión AD

    Los siguientes campos se configuran para la conexión de Active Directory (AD). Tenga en cuenta que, opcionalmente, se puede usar SSL para la conexión de la instancia EJBCA al servidor LDAP.

    Campo

    Configuración sin SSL

    Configuración mediante SSL

    Utilice SSL

    Despejado

    Seleccionado

    Vinculación de claves de autenticación

    Desactivado

    Seleccionar la combinación de teclas relevante

    Puerto de Active Directory

    389 (o puerto para su conexión LDAP)

    636 (o puerto para su conexión LDAP SSL)

    Inicio de sesión de usuario de AD

    usuario@DOMINIO.COM
    Para conocer los formatos válidos para la cuenta de enlace de AD, consulte a continuación.

    usuario@DOMINIO.COM
    Para conocer los formatos válidos para la cuenta de enlace de AD, consulte a continuación.

    Contraseña de usuario de AD

    tu contraseña

    tu contraseña

    La cuenta de enlace de Active Directory (inicio de sesión de usuario de AD) se puede proporcionar en cualquiera de los siguientes formatos:

    • "autoenrollmentbind@yourcompany.com" (sAMAccountName seguido de @, seguido del nombre DNS de un dominio en el mismo bosque o un valor en los uPNSuffixes del contenedor Particiones en la réplica NC de configuración)

    • CN=enlace de inscripción automática, CN=Usuarios, DC=suempresa, DC=com" (DN completo)

    • enlace de inscripción automática" (nombre para mostrar)

    La conexión de la instancia EJBCA al servidor LDAP puede realizarse mediante SSL si se especifica. Una vez seleccionada la opción "Usar SSL" , se puede especificar una vinculación de clave de autenticación . La vinculación de clave seleccionada se utiliza como entrada de confianza para el certificado SSL LDAP. Para obtener más información sobre cómo crear la vinculación necesaria para la conexión SSL, consulte "Configuración de un autenticador remoto" .

    A continuación se muestran las configuraciones para la conexión AD sin SSL:

    imágenes/descargar/archivos adjuntos/113780001/Captura de pantalla_2021-04-15_a_las_16.18.11.png

    A continuación se muestran las configuraciones para la conexión AD con SSL:

    imágenes/descargar/archivos adjuntos/113780001/Captura de pantalla_2021-04-15_a_16.17.46.png

    Configurar CA predeterminada

    La CA predeterminada utilizada para la inscripción automática se selecciona mediante el campo CA predeterminada.

    imágenes/descargar/archivos adjuntos/113780001/msae_ca_settings.png

    Una vez que se haya almacenado la configuración haciendo clic en Guardar , se puede probar la conexión de AD haciendo clic en Probar conexión .

    Una conexión exitosa mostrará el siguiente mensaje:

    imágenes/descargar/archivos adjuntos/113780001/msae_test_connection.png


    Configuración de plantillas de inscripción automática de Microsoft

    Para inscribirse a través de la inscripción automática de Microsoft, las plantillas de Microsoft se asignan a perfiles de entidad final y perfiles de certificado.

    En la sección Plantillas MS disponibles , seleccione una Plantilla , un Perfil de entidad final y un Perfil de certificado y haga clic en Agregar .

    imágenes/descargar/archivos adjuntos/113780001/Captura de pantalla_2021-04-15_a_las_16.30.33.png

    Las asignaciones de plantillas agregadas se agregan y se enumeran como Plantillas MSAE asignadas .

    imágenes/descargar/archivos adjuntos/113780001/Captura de pantalla_2021-04-15_a_las_16.30.45.png