Die Integration mit der Infrastruktur der offenen Schlüssel (Public Key Infrastructure, im Weiteren PKI) dient in erster Linie zur Vereinfachung der Ausstellung von Domänenbenutzerzertifikaten durch den Administrationsserver.
Der Administrator kann dem Benutzer in der Verwaltungskonsole ein Domänenzertifikat zuweisen. Dies kann auf eine der folgenden Weisen erfolgen:
Dem Benutzer ein besonderes (benutzerspezifisches) Zertifikat aus der Datei im Assistenten für die Verbindung eines neuen Geräts oder im Assistenten für die Installation eines Zertifikats zuweisen.
Eine Integration mit PKI ausführen und PKI als Quelle der Zertifikate für den konkreten Zertifikatstyp oder für alle Zertifikatstypen festlegen.
Die Einstellungen für die PKI-Integration werden im Arbeitsbereich des Ordners Mobile Geräte verwalten / Zertifikate verfügbar, indem Sie den Link In Public-Key-Infrastruktur integrieren anklicken.
Grundprinzip der PKI-Integration für die Ausstellung von Benutzerzertifikaten für Domänen
In der Verwaltungskonsole muss über den Link In Public-Key-Infrastruktur integrieren im Arbeitsbereich des Ordners Mobile Geräte verwalten/Zertifikate das Domänenbenutzerkonto festgelegt werden, das vom Administrationsserver für die Ausstellung von Domänenbenutzerzertifikaten mittels Domänen-CA verwendet wird (in Weiteren das Benutzerkonto, unter dem die PKI-Integration ausgeführt wird).
Dabei ist muss Folgendes berücksichtigt werden:
In den Einstellungen der PKI-Integration gibt es die Möglichkeit, eine Standardvorlage für alle Zertifikatstypen anzugeben. In den Regeln für das Ausstellen von Zertifikaten (die Regeln sind im Arbeitsbereich des Ordners Mobile Geräte verwalten/Zertifikate mithilfe der Schaltfläche Regeln für das Ausstellen von Zertifikaten anpassen verfügbar) besteht hingegen die Möglichkeit, die Vorlage für jeden Typ des Zertifikates separat festzulegen.
Auf dem Gerät mit dem installierten Administrationsserver muss im Zertifikatsspeicher des Benutzerkontos, unter dem die PKI-Integration ausgeführt wird, das Spezialzertifikat Enrollment Agent (EA) installiert sein. Das Zertifikat Enrollment Agent (EA) wird vom Administrator der Domänen-CA (Certificate Authority) ausgestellt.
Das Benutzerkonto, unter dem die PKI-Integration ausgeführt wird, muss den folgenden Kriterien entsprechen:
Ist Domänenbenutzer.
Ist lokaler Administrator des Geräts mit dem installierten Administrationsserver, von dem die PKI-Integration ausgeführt wird.
Verfügt über die Berechtigung Als Dienst anmelden.
Unter diesem Benutzerkonto muss zumindest einmal das Gerät mit dem installierten Administrationsserver gestartet werden, um ein ständiges Benutzerprofil zu erstellen.