Configuración del Jamf AD CS Connector (IIS) para usarlo como certificado de cliente alternativo

El AD CS Connector crea certificados de cliente seguros cuando se instala. Sin embargo, si tu organización prefiere usar una CA interna o una CA de terceros, puedes configurar el AD CS Connector para usar un certificado de cliente alternativo.

Requisitos

  • El certificado de cliente que quieres usar.

  • El certificado de cliente está en formato .pfx o p.12 (el formato proporcionado habitualmente por tu equipo de KPI).

  • El certificado de cliente ya está instalado y se encuentra en el almacén de confianza de certificados del servidor.

  1. Haz clic en el menú Inicio, selecciona Ejecutar e introduce certlm.msc para abrir el gestor de certificados.

  2. Accede al certificado de cliente que quieres usar, haz clic derecho en la identidad y selecciona Tareas > Exportar.

  3. El asistente de exportación de certificados te guía por el proceso de exportación.

    Cuando el sistema te lo pida, no exportes la clave privada. En su lugar, selecciona el formato de archivo de exportación X.509 con codificación Base-64 (.cer).

  4. Abre el archivo .cer exportado con el Bloc de notas y elimina las siguientes líneas:
    -----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
  5. Elimina el formato creado por Bloc de notas para que el contenido del certificado se muestre en una línea.
    Para ello, haz una de las siguientes acciones:

    • Elimina el formato manualmente.

    • Copia y pega el contenido en una ventana de navegador y vuelve a copiarlo en Bloc de notas.

    El resultado será parecido a esto:

  6. Abre Internet Information Services (IIS) Manager.
  7. En la barra lateral Connections (Conexiones), abre la carpeta Sites (Sitios), haz clic en el sitio de Jamf AD CS Connector (por omisión, llamado «AdcsProxy») y haz doble clic en Configuration Editor (Editor de configuración).

  8. Haz clic en el menú desplegable Section (Sección) y accede a system.webServer > security > authentication > iisClientCertificateMappingAuthentication.

  9. Haz clic en oneToOneMappings. A continuación, haz clic en el botón a la derecha de la entrada de configuración.

    El editor muestra los ajustes de la configuración del cliente. El valor del certificado es la clave pública en base-64 para la identidad del cliente.
  10. Haz clic en certificate (certificado) en la lista Properties (Propiedades) y reemplaza la cadena larga del campo de la derecha (el certificado con codificación base-64) con la cadena que has obtenido antes con Bloc de Notas.

  11. En la barra lateral Actions (Acciones), haz clic en Apply (Aplicar) para guardar los cambios. A continuación, cierra la ventana Configuration Editor (Editor de configuración).

  12. Vuelve al sitio AdcsProxy en la ventana IIS Manager y haz clic en Restart (Reiniciar) en la barra lateral Actions (Acciones).