Vylepšený protokol HTTP

Platí pro: Správce konfigurace (aktuální větev)

Microsoft doporučuje používat komunikaci https pro všechny Správce konfigurace komunikace, ale pro některé zákazníky je to náročné kvůli režii správy certifikátů PKI. Díky vylepšené protokolu HTTP Správce konfigurace zabezpečenou komunikaci vydáváním certifikátů podepsaných svým držitelem do konkrétních systémů webu.

Pro tuto konfiguraci existují dva primární cíle:

  • Citlivou komunikaci klienta můžete zabezpečit bez nutnosti ověřovacích certifikátů serveru PKI.

  • Klienti mají zabezpečený přístup k obsahu z distribučních bodů bez nutnosti účtu síťového přístupu, klientského certifikátu PKI nebo Windows ověřování.

Veškerá ostatní komunikace klientů je přes PROTOKOL HTTP. Vylepšený protokol HTTP není totéž jako povolení protokolu HTTPS pro komunikaci klientů nebo systém webu.

Poznámka

Certifikáty PKI jsou stále platnou možností pro zákazníky s následujícími požadavky:

  • Veškerá komunikace klienta je přes HTTPS
  • Rozšířené řízení podepisování infrastruktury

Pokud už používáte pki, systémy webu používají certifikát PKI vázaný ve službě IIS, i když povolíte vylepšený protokol HTTP.

Scénáře

Vylepšený protokol HTTP má prospěch z následujících scénářů:

Scénář 1: Bod správy klienta

Azure Active Directory (Azure AD) a zařízení s vydaným tokenem Správce konfigurace mohou komunikovat s bodem správy nakonfigurovaným pro HTTP, pokud pro web povolíte rozšířený protokol HTTP. S vylepšenou podporou protokolu HTTP vygeneruje server webu certifikát pro bod správy, který mu umožní komunikovat přes zabezpečený kanál.

Poznámka

Tento scénář nevyžaduje použití bodu správy s podporou protokolu HTTPS, ale podporuje se jako alternativa k používání rozšířeného protokolu HTTP. Další informace o použití bodu správy s podporou protokolu HTTPS najdete v tématu Povolení bodu správy pro protokol HTTPS.

Scénář 2: Klient-distribuční bod

Pracovní skupina nebo klient připojený k Azure AD může ověřovat a stahovat obsah přes zabezpečený kanál z distribučního bodu nakonfigurovaného pro http. Tyto typy zařízení také mohou ověřovat a stahovat obsah z distribučního bodu nakonfigurovaného pro protokol HTTPS bez nutnosti certifikátu PKI v klientovi. Přidání ověřovacího certifikátu klienta do pracovní skupiny nebo klienta připojeného k Azure AD je náročné.

Toto chování zahrnuje scénáře nasazení operačního systému s posloupností úloh spuštěnou ze spouštěcích médií, PXE nebo Centra softwaru. Další informace najdete v tématu Účet pro přístup k síti.

Scénář 3: Identita zařízení Azure AD

Zařízení Azure AD nebo hybridní zařízení Azure AD bez přihlášení uživatele Azure AD může bezpečně komunikovat s přiřazeným webem. Identita cloudového zařízení je teď dostatečná k ověření pomocí cmg a bodu správy pro scénáře zaměřené na zařízení. (Pro scénáře zaměřené na uživatele je stále potřeba token uživatele.)

Funkce

Následující funkce Správce konfigurace podporují nebo vyžadují vylepšený protokol HTTP:

Poznámka

Bod aktualizace softwaru a související scénáře vždy podporovaly zabezpečený přenos HTTP s klienty i bránou pro správu cloudu. Používá mechanismus s bodem správy, který se liší od ověřování založeného na certifikátech nebo tokenech.

Nepodporované scénáře

Vylepšený protokol HTTP momentálně nezabezpečuje všechny komunikace v Správce konfigurace. Následující seznam shrnuje některé klíčové funkce, které jsou pořád http.

  • Komunikace mezi klienty pro obsah
  • Bod migrace státu
  • Nástroje pro vzdálenou správu
  • Bod služby Reporting Services

Poznámka

Tento seznam není vyčerpávající.

Požadavky

  • Bod správy nakonfigurovaný pro připojení klientů HTTP. Tuto možnost nastavte na kartě Obecné ve vlastnostech role bodu správy.

  • Distribuční bod nakonfigurovaný pro připojení klientů HTTP Tuto možnost nastavte na kartě Komunikace u vlastností role distribučního bodu. Nepovolujte možnost Povolit klientům anonymní připojení.

  • V situacích, které vyžadují ověřování Azure AD, nasa te na webu Azure AD pro cloudovou správu. Pokud na webu do Azure AD nezačáte, můžete pořád povolit vylepšený protokol HTTP.

  • Jenom scénář 3: Klient s podporovanou verzí Windows 10 nebo novější a připojený k Azure AD. Klient vyžaduje tuto konfiguraci pro ověřování zařízení Azure AD.

Poznámka

Neexistují žádné požadavky na verzi operačního systému, kromě toho, co Správce konfigurace klient podporuje.

Konfigurace webu

  1. V Správce konfigurace přejděte do pracovního prostoru Správa, rozbalte Konfigurace webu a vyberte uzel Weby. Vyberte web a na pásu karet zvolte Vlastnosti.

  2. Přejděte na kartu Zabezpečení komunikace. Vyberte možnost pro HTTPS nebo HTTP. Potom povolte možnost Použít certifikáty Správce konfigurace certifikáty pro systémy webu HTTP.

Tip

Počkejte až 30 minut, než bod správy obdrží a nakonfiguruje nový certifikát z webu.

Můžete také povolit rozšířený protokol HTTP pro web centrální správy (CAS). Použijte stejný proces a otevřete vlastnosti casu. Tato akce umožňuje u casu jenom vylepšený http pro roli poskytovatele SMS. Není to globální nastavení, které platí pro všechny weby v hierarchii.

Další informace o tom, jak klient komunikuje s bodem správy a distribučním bodem s touto konfigurací, najdete v tématu Komunikace mezi klienty a systémy webu a službami.

Ověření certifikátu

Tyto certifikáty se vidíte v Správce konfigurace konzole. Přejděte do pracovního prostoru Správa, rozbalte zabezpečení a vyberte uzel Certifikáty. Vyhledejte kořenový certifikát pro vydávání SMS a certifikáty rolí serveru webu vydané kořenovým serverem SMS Issuing.

Když povolíte vylepšený protokol HTTP, vygeneruje server webu certifikát podepsaný svým držitelem s názvem Certifikát SSL role serveru SMS. Tento certifikát je vystaven kořenovým certifikátem pro vydávání sms. Bod správy přidá tento certifikát na výchozí web služby IIS vázaný na port 443.

Pokud chcete zobrazit stav konfigurace, podívejte se na mpcontrol.log.

Koncepční diagram

Tento diagram shrnuje a vizualizuje některé hlavní aspekty vylepšené funkce PROTOKOLU HTTP v Správce konfigurace.

Koncepční diagram vylepšených funkcí protokolu HTTP

  • Připojení k Azure AD se doporučuje, ale nepovinné. Umožňuje scénáře, které vyžadují ověřování Azure AD.

  • Když povolíte možnost webu pro vylepšený protokol HTTP, web vydá certifikáty podepsané svým držitelem do systémů webu, jako je bod správy a role distribučních bodů.

  • Když jsou systémy webu pořád nakonfigurované pro připojení HTTP, komunikují s nimi klienti přes HTTPS.

Nejčastější dotazy

Jaké jsou výhody rozšířeného protokolu HTTP?

Hlavní výhodou je omezit používání čistého protokolu HTTP, což je nezabezpečený protokol. Správce konfigurace se snaží být ve výchozím nastavení zabezpečená a Microsoft vám chce zajistit zabezpečení vašich zařízení. Povolení protokolu HTTPS založeného na pki je bezpečnější konfigurace, ale to může být pro mnoho zákazníků složité. Pokud protokol HTTPS nemůžete udělat, povolte vylepšený protokol HTTP. Společnost Microsoft doporučuje tuto konfiguraci, i když vaše prostředí momentálně nevyu ít žádnou z funkcí, které ji podporují.

Důležité

Od verze Správce konfigurace 2103 jsou weby, které umožňují komunikaci klienta HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v článku Povolení webu jenom pro https nebo vylepšený protokol HTTP.

Musím k povolení rozšířeného protokolu HTTP používat Azure AD?

Ne. Mnoho scénářů a funkcí, které využívají vylepšený protokol HTTP, spoléhají na ověřování Azure AD. Vylepšený protokol HTTP můžete povolit bez toho, abyste web začli zapnout do Azure AD. Pak podporuje funkce, jako je služba pro správu a snížená potřeba účtu pro přístup k síti. Azure AD potřebujete jenom v případě, že to vyžaduje jedna z podpůrných funkcí.

Poznámka

I když rozhraní REST API služby pro správu přímo nepou íváte, některé Správce konfigurace ho nativně používají, včetně částí Správce konfigurace konzoly.

Jak klienti komunikují se systémy webu?

Když povolíte vylepšený protokol HTTP, web vydává certifikáty do systémů webu. Například bod správy a distribuční bod. Tyto systémy webu pak mohou podporovat zabezpečenou komunikaci v aktuálně podporovaných scénářích.

Z pohledu klienta bod správy vydává každému klientovi token. Klient používá tento token k zabezpečení komunikace se systémy webu. Toto chování je agnostic verze operačního systému, jiné než to, co Správce konfigurace klient podporuje.

Pokud už některé systémy webu jsou https, můžu povolit vylepšený protokol HTTP?

Ano. Systémy webu vždy upřednostňují certifikát PKI. Například jeden bod správy už certifikát PKI má, ale jiní ho ne. Když pro web povolíte rozšířený protokol HTTP, bude bod správy HTTPS dál používat certifikát PKI. Ostatní body správy používají certifikát vystavený webem pro vylepšený protokol HTTP.

Další kroky