Descripción

El Jamf AD CS Connector te permite añadir Active Directory Certificate Services (AD CS) como Proveedor de PKI en Jamf Pro. De este modo, AD CS se puede usar como autoridad certificadora (CA) para emitir certificados a ordenadores y dispositivos móviles mediante perfiles de configuración.

El conector es una aplicación web con protección SSL que recibe solicitudes de certificado de cliente a través de Jamf Pro y se ejecuta mediante el servidor web IIS de Microsoft. Una vez recibida una solicitud de Jamf Pro, el conector convierte la solicitud web al protocolo DCOM nativo de Microsoft, la pasa a tu servidor AD CS y devuelve el número de solicitud de certificado de AD CS. A continuación, Jamf Pro devuelve el número de solicitud a AD CS a través del Jamf AD CS Connector para comprobar si se ha generado el certificado completado. Una vez preparado el certificado, se devuelve a Jamf Pro a fin de reempaquetarlo para su distribución a un dispositivo gestionado. Los dispositivos nunca conectan directamente con el conector, de modo que se pueden usar reglas de firewall para restringir el acceso. Solo Jamf Pro tendrá el certificado de cliente necesario para la autenticación en el servicio.

El proceso es similar al usado por el rol de servidor NDES (SCEP) de Microsoft en el sentido de que ambos servicios crean front-ends web seguros para AD CS. Como principales diferencias, el Jamf AD CS Connector requiere un certificado de cliente para autenticar conexiones, en lugar de una contraseña de desafío. Además, el Jamf AD CS Connector admite el uso de varias plantillas, mientras que un servidor NDES usa una única plantilla de certificado AD CS.

Añadir AD CS como proveedor de PKI para la distribución de certificados con Jamf Pro implica los siguientes pasos:
Instalación del Jamf AD CS Connector

El Jamf AD CS Connector se ejecuta como un servicio en un servidor Windows que permite que Jamf Pro se comunique con el servidor de autoridad certificadora AD CS.

Añadir el Jamf AD CS como Proveedor de PKI en Jamf Pro
Esto implica configurar ajustes en Jamf Pro para definir la ubicación del conector y los servidores AD CS, y añadir certificados de servidor y cliente para permitir la autenticación entre Jamf Pro y el conector.
Una vez establecida la comunicación entre Jamf Pro y AD CS, puedes usar las siguientes prestaciones en Jamf Pro para la implementación de certificados:
Perfiles de configuración
Jamf Pro te permite distribuir certificados mediante perfiles de configuración con AD CS como CA.
Apps internas
Puedes distribuir apps internas desarrolladas con el SDK Jamf Certificate para establecer identidades para habilitar la autenticación con certificado. Te permiten llevar a cabo el inicio de sesión único (SSO) u otras acciones específicas de tu entorno. Además, puedes aplicar una configuración de App gestionada a la app durante la distribución para que la app pueda solicitar los certificados necesarios.

Descripción de la comunicación con AD CS

Jamf Pro usa el Jamf AD CS Connector para comunicarse con AD CS para obtener certificados. Los siguientes diagramas ilustran algunas implementaciones habituales del Jamf AD CS Connector.

Jamf Cloud con Jamf AD CS Connector en la zona DMZ

El siguiente diagrama ilustra cómo fluye la comunicación entre Jamf Pro y AD CS si el Jamf AD CS Connector está alojado en la zona DMZ. Jamf Pro se autentica con el servidor de Jamf AD CS Connector con un certificado de cliente. A continuación, el AD CS Connector contacta con la CA de Microsoft a través de DCOM para solicitar el certificado.

Jamf Cloud con una capa de proxy inverso en la zona DMZ

El siguiente diagrama ilustra cómo fluye la comunicación entre Jamf Pro y AD CS si usas un proxy inverso o un equilibrador de carga con el AD CS Connector. Se puede usar un proxy inverso en la zona DMZ para reducir el número de puertos abiertos requeridos desde la DMZ a la red interna, o cuando un entorno de red no admite que hosts basados en DMZ enlacen con AD.

Servidor de Jamf Pro local en la zona DMZ

El siguiente diagrama ilustra cómo fluye la comunicación entre Jamf Pro y AD CS usando el Jamf AD CS Connector si el servidor de Jamf Pro está alojado en la zona DMZ.

Nota:

  • Los dispositivos de la red interna deben poder comunicarse con Jamf Pro para recibir un certificado.

  • En un entorno en clúster, cada nodo debe poder comunicarse con el Jamf AD CS Connector.