Bevor Sie die Active Directory Zertifikatdienste (AD CS) in Jamf Pro integrieren können, müssen Sie den Jamf AD CS Connector installieren. Dieser Dienst überträgt sicher alle Kommunikation zwischen Jamf Pro und AD CS.

Wenn Sie den Jamf AD CS Connector installieren, führt das Installationsprogramm automatisch die folgenden Schritte durch:

Installation und Konfiguration der erforderlichen Anwendungen für das Ausführen des Jamf AD CS Connectors. Weitere Informationen finden Sie unter Installierte Anwendungen.
Installation des Jamf AD CS Connectors.
Erstellen der für die sichere Kommunikation mit Jamf Pro erforderlichen Zertifikate. Weitere Informationen finden Sie unter Jamf AD CS Connector Zertifikate.

Installierte Anwendungen

Wenn Sie den Jamf AD CS Connector installieren, wird automatisch auch Microsoft Internet Information Services (IIS) für Windows Server installiert. Microsoft IIS ist der Webanwendungs-Server, auf dem der Jamf AD CS Connector ausgeführt wird. Ein Verzeichnis namens AD CS Proxy wird hier installiert:
C:\inetpub\wwwroot\adcsproxy

Weitere Informationen zu IIS finden Sie auf dieser Website:
https://www.iis.net

Darüber hinaus wird Folgendes automatisch konfiguriert, wenn Sie den Jamf AD CS Connector installieren:

IIS Client Certificate Mapping Authentication – IIS wird automatisch konfiguriert, um die Kommunikation zwischen Jamf Pro und dem Jamf AD CS Connector über IIS Client Certificate Mapping Authentication zu ermöglichen.
Weitere Informationen über IIS Client Certificate Mapping Authentication finden Sie in der Dokumentation zu Microsoft Configuration Reference.
ASP.NET – Dies ist das Anwendungs-Framework für den Jamf AD CS Connector und ist in die Instanz der IIS Webanwendung integriert.

Jamf AD CS Connector Zertifikate

Wenn Sie den Jamf AD CS Connector installieren, werden die folgenden Zertifikate automatisch generiert:

Zertifikat

Details

Serverzertifikat (.pem oder
.cer)

Mit diesem Zertifikat wird sichergestellt, dass die Kommunikation zwischen Jamf Pro und dem Jamf AD CS Connector als vertrauenswürdig eingestuft wird. Es handelt sich um ein selbstsigniertes SSL-Zertifikat, das bei der Installation von Jamf AD CS Connector generiert wird und IIS die Validierung der Client-Zertifikate ermöglicht.

Das Serverzertifikat wird in das aktuelle Arbeitsverzeichnis mit dem folgenden Dateinamen exportiert:
adcs-proxy-ca.cer

Hinweis: Das Serverzertifikat ist erforderlich, wenn Jamf Pro für die Kommunikation mit dem Jamf AD CS Connector konfiguriert wird.

Client-Zertifikat (.pfx oder
.p12)

Dieses Zertifikat erlaubt Jamf Pro die Authentifizierung mit dem Jamf AD CS Connector. Das Client-Zertifikat wird generiert, wenn der Jamf AD CS Connector installiert wird, und wird vom Serverzertifikat signiert. Es wird im PFX-Format mithilfe eines zufällig generierten Passworts exportiert, das während der Installation von Jamf AD CS Connector an die Shell weitergegeben wird.

Hinweis: Das Client-Zertifikat und das zufällig generierte Passwort sind erforderlich, wenn Jamf Pro für die Kommunikation mit dem Jamf AD CS Connector konfiguriert wird.

Beide Zertifikate sind erforderlich, wenn Jamf Pro für die Kommunikation mit dem AD CS Proxy-Dienst konfiguriert wird.

Anforderungen

Für den Jamf AD CS Connector ist ein Server erforderlich, der die folgenden Anforderungen erfüllt:

Windows Server 2016 zu einer Domäne mit als vertrauenswürdig eingestufter Beziehung zu der Domäne der Zertifizierungsstelle hinzugefügt
Weitere Informationen über das Hinzufügen des Servers zu einer Domäne mit als vertrauenswürdig eingestufter Beziehung mit der Domäne der Zertifizierungsstelle finden Sie in der nachfolgenden Dokumentation für Microsoft:
Hinzufügen von Servercomputern zur Domäne und Anmelden
.NET Framework 4.5 oder später
Weitere Informationen über .NET Framework finden Sie auf der folgenden Website:
https://www.microsoft.com/net
PowerShell 5.1 (für das Installationsskript)

Netzwerkkommunikation

Der Jamf AD CS Connector erfordert die nachfolgenden TCP-Ports und -Protokolle:

DCOM – Der Jamf AD CS Connector verwendet Microsoft Distributed Component Object Model (DCOM), um mit AD CS zu kommunizieren. Für diese Kommunikation müssen die nachfolgenden TCP-Ports verfügbar sein:
- 135
- 49152-65535
Weitere Informationen zu Microsoft DCOM finden Sie auf dieser Website:
https://docs.microsoft.com/openspecs/windows_protocols/ms-dcom/4a893f3d-bd29-48cd-9f43-d9777a4415b0

HTTPS – Jamf Pro initiiert HTTPS-Verbindungen mit dem Jamf AD CS Connector, üblicherweise über TCP-Port 443. Der HTTPS-Port muss für eingehende Übertragungen in Ihrer Netzwerk-Firewall und der Windows-Firewall auf dem Server verfügbar gemacht werden, auf der der Jamf AD CS Connector installiert ist.

Da der Jamf AD CS Connector Host mit der Domäne verbunden sein muss, sollten die von Microsoft für die Verbindung erforderlichen Ports zudem zwischen dem Jamf AD CS Connector Host und dem AD Domänencontroller verfügbar sein.

Weiterführende Informationen finden Sie in der Informationsdatenbank im Artikel Von Jamf Pro verwendete Netzwerkports.

Installieren des Jamf AD CS Connectors

Melden Sie sich bei Jamf Nation an und gehen Sie auf die folgende Seite:
https://www.jamf.com/jamf-nation/my/products
Laden Sie den Jamf AD CS Connector auf den Server herunter, auf dem Sie ihn installieren möchten.
Melden Sie sich als Benutzer mit Administratorberechtigungen am Server an.
Doppelklicken Sie auf den Jamf AD CS Connector, um ihn zu entpacken.
Öffnen Sie PowerShell als Administrator und führen Sie dann das Installationsprogramm aus, indem Sie einen Befehl ähnlich des folgenden Beispiels eingeben:

.\deploy.ps1 -fqdn my.adcs-proxy.url -jamfProDn my.domain.name -cleanInstall

Durch diesen Befehl werden der Jamf AD CS Connector installiert und die Server- und Client-Zertifikate generiert.

Wenn die Installation des Jamf AD CS Connectors abgeschlossen ist, können Sie die Einstellungen in Jamf Pro konfigurieren, um die Kommunikation zwischen Jamf Pro und dem Jamf AD CS Connector zu ermöglichen.