Интеграция с инфраструктурой открытых ключей

Вы можете интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через инфраструктуру открытых ключей (PKI). Интеграция с PKI в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования. В результате интеграции выписка сертификатов происходит автоматически.

Вы можете указать настройки для интеграции с PKI и назначить PKI в качестве источника сертификатов для определенных типов сертификатов. Параметры PKI задаются на вкладке Правила выпуска и позволяют выбрать индивидуальный шаблон по умолчанию для всех типов сертификатов.

Особенности использования интеграции c PKI для выпуска сертификатов:

• По умолчанию интеграция с PKI выключена. Ее можно включить используя переключатель Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI. Подробная информация о включении и настройке параметров PKI приведена в разделе Настройка правил выпуска сертификатов.
• Выпуск сертификатов осуществляется с помощью Агента администрирования для Windows, который обеспечивает интеграцию между Сервером администрирования и Microsoft CA. Поскольку устройств с установленным Агентом администрирования может быть несколько, вы можете указать конкретное устройство, которое будет подключаться к Microsoft CA, на вкладке Правила выпуска. На этом устройстве в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен сертификат Enrollment Agent (EA). Его предоставляет администратор доменного Центра сертификации.
• Учетная запись, под которой выполняется интеграция с PKI, должна принадлежать доменному пользователю и обладать разрешением на Вход в качестве службы.
• Kaspersky Security Center может одновременно работать только с одной интеграцией PKI (Microsoft CA).

Подробная информация о настройке интеграции с PKI для выпуска сертификатов приведена в разделе Настройка правил выпуска сертификатов.

Настройка интеграции с PKI через Агент администрирования Windows

Доменные устройства на базе Linux не поддерживают нативную интеграцию с PKI. Для обеспечения интеграции между Сервером администрирования и Microsoft CA необходимо настроить промежуточное устройство Windows с установленным Агентом администрирования, который будет направлять запросы домена к CA.

Чтобы настроить Microsoft Active Directory и CA для интеграции с PKI:

1. Создайте доменную учетную запись пользователя, от имени которой будет осуществляться интеграция с PKI. Эта учетная запись будет использоваться для передачи запросов в Microsoft CA на выпуск сертификатов.
   1. Запустите secpol.msc.
   2. В открывшемся окне выберите Local Policies → User Rights Assignment → Allow log as a service, чтобы выдать доменной учетной записи разрешение Log on as Service.
2. Выдайте доменной учетной записи права на работу с CA.
   1. На стороне сервера с CA откройте оснастку certsrv.msc CA.
   2. Выберите CA и нажмите Properties.
   3. На вкладке Security нажмите Add, а затем укажите ранее созданную доменную учетную запись.
   4. Выдайте доменной учетной записи права Issue and Manage certificates .
   5. Сохраните изменения.
3. Добавьте шаблон сертификата Enrollment Agent в список сертификатов для выпуска:
   1. В оснастке CA нажмите правой кнопкой мыши Certificate Templates → New → Certificate Template to Issue.
   2. Выберите шаблон Enrollment Agent, а затем нажмите OK.
   3. Убедитесь, что у доменного пользователя есть доступ к шаблону сертификата:
      1. В оснастке certsrv.msc нажмите Certificate Templates → Manage.
      2. В открывшемся окне выберите Properties → Security.
      3. В открывшемся окне убедитесь, что у пользователя есть права Read & Enroll.

Чтобы настроить интеграцию с PKI через промежуточное устройство Windows с установленным Агентом администрирования:

1. Подготовьте сервер, который будет выступать в качестве посредника между Kaspersky Security Center Linux и CA.

   Это должен быть сервер Windows в том же домене, что и CA.

2. Выдайте ранее созданной доменной учетной записи разрешение на доступ к промежуточному серверу Windows.
3. Войдите на сервер под доменной учетной записью, чтобы создать постоянный профиль пользователя и установить сертификат Enrollment Agent:
   1. Войдите в устройство Windows, где будет развернут Агент администрирования.
   2. Запустите certmgr.msc от имени администратора.
   3. Нажмите Personal → All Tasks → Request New Certificate..., чтобы запустить мастер Certificate Enrollment.

      Следуйте шагам мастера с настройками по умолчанию.

   4. На шаге Request Certificates выберите тип сертификата Enrollment Agent, а затем нажмите Enroll.

      После изменения статуса на "Succeeded" нажмите Finish.

      В случае возникновения ошибок подождите, пока политика будет применена на устройстве, или проверьте, что права пользователя в параметрах Permissions for Domain Controllers настроены правильно.

4. Выдайте доменной учетной записи на устройстве Windows разрешение Log on as Service.
   1. Запустите secpol.msc.
   2. В открывшемся окне выберите Local Policies → User Rights Assignment → Allow log as a service.
5. Установите Агент администрирования для Linux. Подробная информация об установке приведена в справке Kaspersky Security Center.
   • Установите Агент администрирования с настройками по умолчанию, за исключением адреса Сервера администрирования. Убедитесь, на устройстве с установленным Kaspersky Security Center открыт порт 13000.
   • Убедитесь, что соединение с устройством Windows установлено (в Kaspersky Security Center Web Console нажмите Обнаружение устройств и развертывание → Нераспределенные устройства).
   • Подождите 15 минут, пока не будет установлена первая синхронизация по расписанию Агента администрирования с Kaspersky Security Center.

В начало