Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования. В результате интеграции выписка сертификатов происходит автоматически.
Минимально поддерживаемая версия сервера PKI – Windows Server 2008.
Администратор может назначить для пользователя доменный сертификат в Консоли администрирования. Это можно сделать одним из следующих способов:
назначить пользователю особый (персонализированный) сертификат из файла в мастере установки сертификатов;
выполнить интеграцию с PKI и назначить PKI источником сертификатов для конкретного типа сертификатов либо для всех типов.
Общий принцип интеграции с PKI для выпуска доменных сертификатов пользователей
Обратите внимание:
В параметрах интеграции с PKI можно указать шаблон по умолчанию для всех типов сертификатов. При этом в правилах выпуска сертификатов (правила доступны в рабочей области папки Управление мобильными устройствами / Сертификаты по нажатии кнопки Настроить правила выпуска сертификатов) можно задать отдельный шаблон для каждого типа сертификатов.
На устройстве с Сервером администрирования в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен особый сертификат Enrollment Agent (EA). Его предоставляет администратор доменного ЦС (Центра сертификации).
Учетная запись, под которой выполняется интеграция с PKI, должна:
принадлежать доменному пользователю;
принадлежать локальному администратору устройства с Сервером администрирования, с которого выполняется интеграция с PKI;
обладать разрешением Вход в качестве службы;
под этой учетной записью необходимо хотя бы один раз запустить устройство с установленным Сервером администрирования, чтобы создать постоянный профиль пользователя.
Под настроенной учетной записью нужно хотя бы один раз выполнить вход на устройстве с установленным Сервером администрирования для того, чтобы создать постоянный профиль пользователя. В хранилище сертификатов этого пользователя, на устройстве с Сервером администрирования, необходимо установить сертификат агента регистрации, предоставленный администраторами домена.
Настройка интеграции с PKI
Чтобы настроить интеграцию с инфраструктурой открытых ключей:
В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
В рабочей области нажмите на кнопку Тип сертификата, чтобы открыть раздел Интеграция с PKI окна Правила выпуска сертификатов.
Откроется раздел Интеграция с PKI окна Правила выпуска сертификатов.
Установите флажок Интегрировать выписку сертификатов с PKI.
В поле Учетная запись укажите имя учетной записи, которая будет использоваться для интеграции с инфраструктурой открытых ключей.
В поле Пароль укажите доменный пароль учетной записи.
В списке Имя шаблона сертификата в системе PKI выберите шаблон сертификата, который будет использоваться для выпуска сертификатов пользователям домена.
Под указанной учетной записью в Kaspersky Endpoint Security запускается специализированная служба. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.
При подключении к Kaspersky Security Center любого мобильного устройства (под управлением Android или iOS), владельцем которого является недоменный пользователь, попытка выписки сертификата может завершиться ошибкой.
Нажмите на кнопку ОК, чтобы сохранить параметры.
В результате интеграции выписка сертификатов происходит автоматически.