Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования.
Администратор может назначить для пользователя доменный сертификат в Консоли администрирования. Это можно сделать одним из следующих способов:
назначить пользователю особый (персонализированный) сертификат из файла в мастере установки сертификатов;
выполнить интеграцию с PKI и назначить PKI источником сертификатов для конкретного типа сертификатов либо для всех типов.
Параметры интеграции с PKI доступны в рабочей области папки Управление мобильными устройствами / Сертификаты при переходе по ссылке Интеграция с инфраструктурой открытых ключей.
Общий принцип интеграции с PKI для выпуска доменных сертификатов пользователей
В Консоли администрирования перейдите по ссылке Интеграция с инфраструктурой открытых ключей в рабочей области папки Управление мобильными устройствами / Сертификаты, чтобы задать доменную учетную запись, которая будет использована Сервером администрирования для выпуска доменных пользовательских сертификатов посредством доменного ЦС (далее – учетная запись, под которой выполняется интеграция с PKI).
Обратите внимание:
В параметрах интеграции с PKI можно указать шаблон по умолчанию для всех типов сертификатов. При этом в правилах выпуска сертификатов (правила доступны в рабочей области папки Управление мобильными устройствами / Сертификаты по нажатии кнопки Настроить правила выпуска сертификатов) можно задать отдельный шаблон для каждого типа сертификатов.
На устройстве с Сервером администрирования в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен особый сертификат Enrollment Agent (EA). Его предоставляет администратор доменного ЦС (Центра сертификации).
Учетная запись, под которой выполняется интеграция с PKI, должна:
принадлежать доменному пользователю;
принадлежать локальному администратору устройства с Сервером администрирования, с которого выполняется интеграция с PKI;
обладать разрешением Вход в качестве службы.
Под этой учетной записью необходимо хотя бы один раз запустить устройство с установленным Сервером администрирования, чтобы создать постоянный профиль пользователя.