это статья описывает, как запросить сертификат из AD CS (службы сертификации Active Directory) с компьютера Windows, не присоединенного к домену.
Я думаю, что те же принципы применимы к ОС, отличным от Microsoft, и можно сделать такую же регистрацию из OSX или Linux.
Вопрос
Как мне запросить сертификат у AD CS в OSX / Linux?
ИЛИ может кто-нибудь рассказать мне, как работает служба AD CS (достаточно подробно), чтобы я мог разработать альтернативное решение?
Веб-службы регистрации ADCS используют два протокола связи: [MS-XCEP] и [MS-WSTEP] (реализация Microsoft [WS-TRUST] протокол).
CEP (реализует [MS-XCEP]) - это служба политики регистрации, которая используется для:
CES (реализует [MS-WSTEP]) - это служба регистрации, которая используется для:
могут применяться соответствующие спецификации протокола (например, [MS-ADTS] и [MS-CERTD]).
Я не знаю ни одного совместимого клиента для ОС Linux, однако есть совместимый модуль для Apple MacOS и iOS: http://www.zevainc.com/index.php/productsandtools/licensed-products/item/91-certdeploy
Как мне запросить сертификат у AD CS в OSX / Linux?
CEP и CES - это службы для ручной и автоматической регистрации на сертификацию в системах Windows.
В Linux или аналогичных системах роль AD CS NDES (Служба регистрации сетевых устройств) используется.
Эта статья должна дать вам хороший обзор сервиса: https://blogs.technet.microsoft.com/jeffbutte/2016/12/16/236/
Как мне запросить сертификат у AD CS в OSX / Linux?
Если вам не нужно автоматизировать это, просто воспользуйтесь «Веб-регистрацией служб сертификации Active Directory». Это простое небольшое веб-приложение, которое (среди прочего) позволяет вставлять произвольные CSR. Неважно, происходят ли они из ОС Windows.
Затем администратор Windows должен будет утвердить или отклонить этот CSR вручную, а затем найти способ предоставить вам этот недавно созданный сертификат. Так что это только для небольшой пропускной способности.
Основные клики перечислены здесь: http://www.whitneytechnologies.com/?p=218