Konfigurieren des Jamf AD CS Connectors (IIS) zur Verwendung eines alternativen Client-Zertifikats

Der AD CS Connector erstellt sichere Client-Zertifikate. Wenn Ihre Organisation jedoch vorzieht, eine interne Zertifizierungsstelle oder die Zertifizierungsstelle eines Drittanbieters zu verwenden, können Sie den AD CS Connector zur Verwendung eines alternativen Client-Zertifikats konfigurieren.

Anforderungen

  • Das Client-Zertifikat, das Sie verwenden möchten.

  • Das Serverzertifikat ist im .pfx oder .p12 Format (wird normalerweise vom PKI-Team bereitgestellt).

  • Das Client-Zertifikat ist bereits installiert und befindet sich im Trust Store des Servers.

  1. Klicken Sie auf das Menü Start, Run (Ausführen) und geben Sie certlm.msc ein, um das Tool „Certificate Manager“ zu öffnen.

  2. Navigieren Sie zum Client-Zertifikat, das Sie verwenden möchten, klicken Sie mit der rechten Maustaste auf die Identität und wählen Sie All Tasks (Alle Aufgaben) > Export (Exportieren).

  3. Der Assistent für den Zertifikatexport begleitet Sie durch den Vorgang.

    Exportieren Sie den privaten Schlüssel nicht, wenn Sie dazu aufgefordert werden, sondern wählen Sie das Base-64-codierte X.509 (.cer) Dateiformat für den Export aus.

  4. Öffnen Sie die exportierte .cer Datei mit dem Texteditor und löschen Sie folgende Zeilen:
    -----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
  5. Entfernen Sie die vom Texteditor erstellte Formatierung, um den Zertifikatinhalt auf einer Zeile anzuzeigen.
    Hierfür stehen folgende Optionen zur Verfügung:

    • Entfernen Sie die Formatierung manuell.

    • Kopieren Sie den Inhalt, fügen Sie ihn in ein Browser-Fenster ein und kopieren Sie ihn zurück in den Texteditor.

    Das Ergebnis sollte wie folgt aussehen:

  6. Öffnen Sie Internet Information Services (IIS) Manager.
  7. Öffnen Sie in der Seitenleiste Verbindungen den Ordner Standorte, klicken Sie auf den Standort des Jamf AD CS Connectors (standardmäßig „AdcsProxy“) und doppelklicken Sie dann auf Configuration Editor (Konfigurationseditor).

  8. Klicken Sie auf das Einblendmenü Section (Abschnitt) und navigieren Sie zu system.webServer > security > authentication > iisClientCertificateMappingAuthentication.

  9. Klicken Sie auf oneToOneMappings und dann auf ... rechts vom Konfigurationseintrag.

    Der Editor zeigt die Einstellungen für die Client-Konfiguration. Der Zertifikatwert ist der öffentliche base-64 Schlüssel für die Client-Identität.
  10. Klicken Sie in der Eigenschaftenliste auf Zertifikat und ersetzen Sie die lange Zeichenfolge im rechten Feld (das base-64-codierte Zertifikat) mit der Zeichenfolge aus dem Texteditor.

  11. Klicken Sie in der Seitenleiste Aktionen auf Übernehmen, um die Änderungen zu speichern. Schließen Sie dann das Fenster Configuration Editor (Konfigurationseditor).

  12. Klicken Sie dann unter „AdcsProxy“ im Fenster IIS Manager auf Neustart in der Seitenleiste Aktionen.