Integritätsnachweis für GeräteDevice Health Attestation

Gilt für: Windows Server 2016Applies To: Windows Server 2016

Der mit Windows 10, Version 1507, eingeführte Integritätsnachweis für Geräte (Device Health Attestation, DHA) weist folgende Merkmale auf:Introduced in Windows 10, version 1507, Device Health Attestation (DHA) included the following:

  • Integration in Windows 10 Mobile Device Management-Framework (MDM, Mobile Geräteverwaltung) in Ausrichtung mit Open Mobile Alliance Standards (OMA).Integrates with Windows 10 Mobile Device Management (MDM) framework in alignment with Open Mobile Alliance (OMA) standards.

  • Unterstützung von Geräten, die über eine in einer Firmware oder einem diskreten Format bereitgestellte Trusted Module Platform (TPM) verfügen.Supports devices that have a Trusted Module Platform (TPM) provisioned in a firmware or discrete format.

  • Ermöglicht Unternehmen, mit minimalem oder keinem Einfluss auf die Betriebskosten das Sicherheitsniveau ihrer Organisation auf hardwareüberwachte und -bescheinigte Sicherheit anzuheben.Enables enterprises to raise the security bar of their organization to hardware monitored and attested security, with minimal or no impact on operation cost.

Ab Windows Server 2016 können Sie den DHA-Dienst als Serverrolle in Ihrer Organisation ausführen.Starting with Windows Server 2016, you can now run the DHA service as a server role within your organization. Nutzen Sie dieses Thema, um das Installieren und Konfigurieren der DHA-Serverrolle zu lernen.Use this topic to learn how to install and configure the Device Health Attestation server role.

ÜbersichtOverview

Mit DHA können Sie den Integritätsnachweis für Geräte führen für:You can use DHA to assess device health for:

  • Windows 10 und mobile Geräte unter Windows 10, die TPM 1.2 oder 2.0 unterstützen.Windows 10 and Windows 10 Mobile devices that support TPM 1.2 or 2.0.
  • Lokale Geräte, die von Active Directory mit Internetzugriff verwaltet werden, Geräte, die von Active Directory ohne Internetzugriff verwaltet werden, Geräte, die von Azure Active Directory oder einer Hybridbereitstellung sowohl mit Active Directory als auch Azure Active Directory verwaltet werden.On-premises devices that are managed by using Active Directory with Internet access, devices that are managed by using Active Directory without Internet access, devices managed by Azure Active Directory , or a hybrid deployment using both Active Directory and Azure Active Directory.

DHA-DienstDHA service

Der DHA-Dienst überprüft die TPM- und PCR-Protokolle für ein Gerät und generiert dann einen DHA-Bericht.The DHA service validates the TPM and PCR logs for a device and then issues a DHA report. Microsoft bietet den DHA-Dienst auf drei Arten an:Microsoft offers the DHA service in three ways:

  • DHA-Clouddienst: Ein von Microsoft verwalteter DHA-Dienst, der frei, einem geografischen Lastenausgleich unterzogen und für den Zugriff aus verschiedenen Weltregionen optimiert ist.DHA cloud service A Microsoft-managed DHA service that is free, geo-load-balanced, and optimized for access from different regions of the world.

  • Lokaler DHA-Dienst: Eine neue, mit Windows Server 2016 eingeführte Serverrolle.DHA on-premises service A new server role introduced in Windows Server 2016. Er ist kostenlos für Kunden, die über eine Windows Server 2016-Lizenz verfügen.It's available for free to customers that have a Windows Server 2016 license.

  • DHA-Azure-Clouddienst: Ein virtueller Host in Microsoft Azure.DHA Azure cloud service A virtual host in Microsoft Azure. Zu diesem Zweck benötigen Sie einen virtuellen Host und Lizenzen für den lokalen DHA-Dienst.To do this, you need a virtual host and licenses for the DHA on-premises service.

Der DHA-Dienst ist in MDM-Lösungen integriert und bietet Folgendes:The DHA service integrates with MDM solutions and provides the following:

  • Kombinieren der Informationen, die sie von Geräten (über vorhandene Geräteverwaltungs-Kommunikationskanäle) mit dem DHA-Bericht erhaltenCombine the info they receive from devices (through existing device management communication channels) with the DHA report
  • Treffen einer sichereren und vertrauenswürdigeren Sicherheitsentscheidung auf Basis der hardwarebescheinigten und -geschützten DatenMake a more secure and trusted security decision, based on hardware attested and protected data

Hier ist ein Beispiel, das zeigt, wie Sie DHA nutzen können, um das Sicherheitsniveau für die Ressourcen Ihrer Organisation anzuheben.Here's an example that shows how you can use DHA to help raise the security protection bar for your organization's assets.

  1. Sie erstellen eine Richtlinie, die die folgende(n) Startkonfiguration/-attribute überprüft:You create a policy that checks the following boot configuration/attributes:
    • Sicherer StartSecure Boot
    • BitLockerBitLocker
    • ELAMELAM
  2. Die MDM-Lösung erzwingt diese Richtlinie und löst eine auf den DHA-Berichtsdaten basierende Korrekturmaßnahme aus.The MDM solution enforces this policy and triggers a corrective action based on the DHA report data. Beispielsweise könnte sie Folgendes überprüfen:For example, it could verify the following:
    • Der sichere Start wurde aktiviert, das Gerät lud vertrauenswürdigen, authentischen Code, und das Windows-Startladeprogramm wurde nicht manipuliert.Secure Boot was enabled, the device loaded trusted code that is authentic, and the Windows boot loader was not tampered with.
    • Vertrauenswürdiger Start überprüfte erfolgreich die digitale Signatur des Windows-Kernels und die Komponenten, die geladen wurden, während das Gerät startete.Trusted Boot successfully verified the digital signature of the Windows kernel and the components that were loaded while the device started.
    • Kontrollierter Start erstellte einen TPM-geschützten Audit-Trail, der remote überprüft werden konnte.Measured Boot created a TPM-protected audit trail that could be verified remotely.
    • BitLocker wurde aktiviert und schützte die Daten, als das Gerät ausgeschaltet wurde.BitLocker was enabled and that it protected the data when the device was turned off.
    • ELAM wurde in frühen Startphasen aktiviert und überwacht die Laufzeit.ELAM was enabled at early boot stages and is monitoring the runtime.

DHA-ClouddienstDHA cloud service

Der DHA-Clouddienst bietet folgende Vorteile:The DHA cloud service provides the following benefits:

  • Überprüfung der TCG- und PCR-Gerätestartprotokolle, die er von einem Gerät empfängt, das mit einer MDM-Lösung registriert ist.Reviews the TCG and PCR device boot logs it receives from a device that is enrolled with an MDM solution.
  • Erstellen eines manipulationssicheren Berichts (DHA-Bericht), der beschreibt, wie das Gerät auf der Basis von Daten startete, die von einem TPM-Chip des Geräts gesammelt und geschützt wurden.Creates a tamper resistant and tamper evident report (DHA report) that describes how the device started based on data that is collected and protected by a device's TPM chip.
  • Übermitteln des DHA-Berichts an den MDM-Server, der den Bericht in einem geschützten Kommunikationskanal angefordert hat.Delivers the DHA report to the MDM server that requested the report in a protected communication channel.

Lokaler DHA-DienstDHA on-premises service

Der lokale DHA-Dienst bietet alle Funktionen, die auch der DHA-Clouddienst bietet.The DHA on-premises service offer all the capabilities that are offered by DHA cloud service. Außerdem ermöglicht er Kunden Folgendes:It also enables customers to:

  • Optimieren der Leistung durch Ausführung des DHA-Diensts in Ihrem eigenen RechenzentrumOptimize performance by running DHA service in your own data center
  • Sicherstellen, dass der DHA-Bericht nicht Ihr Netzwerk verlässtEnsure that the DHA report does not leave your network

DHA-Azure-ClouddienstDHA Azure cloud service

Dieser Dienst bietet die gleiche Funktionalität wie der lokale DHA-Dienst, mit der Ausnahme, dass der DHA-Azure-Clouddienst als virtueller Host in Microsoft Azure ausgeführt wird.This service provides the same functionality as the DHA on-premises service, except that the DHA Azure cloud service runs as a virtual host in Microsoft Azure.

DHA-ValidierungsmodiDHA validation modes

Sie können den lokalen DHA-Dienst entweder zur Ausführung im EKCert- oder AIKCert-Validierungsmodus einrichten.You can set up the DHA on-premises service to run in either EKCert or AIKCert validation mode. Wenn der DHA-Dienst einen Bericht ausgibt, wird angezeigt, ob er im AIKCert- oder EKCert-Validierungsmodus ausgegeben wurde.When the DHA service issues a report, it indicates if it was issued in AIKCert or EKCert validation mode. AIKCert- und EKCert-Validierungsmodus bieten die gleiche Sicherheitsgarantie, solange die EKCert-Zertifikatkette auf dem neuesten Stand gehalten wird.AIKCert and EKCert validation modes offer the same security assurance as long as the EKCert chain of trust is kept up-to-date.

EKCert-ValidierungsmodusEKCert validation mode

Der EKCert-Validierungsmodus ist optimiert für Geräte in Unternehmen, die nicht mit dem Internet verbunden sind.EKCert validation mode is optimized for devices in organizations that are not connected to the Internet. Geräte, die eine Verbindung mit einem DHA-Dienst herstellen, der im EKCert-Validierungsmodus ausgeführt wird, haben keinen direkten Zugriff auf das Internet.Devices connecting to a DHA service running in EKCert validation mode do not have direct access to the Internet.

Wenn DHA im EKCert-Validierungsmodus ausgeführt wird, hängt DHA von einer unternehmensverwalteten Zertifikatkette ab, die gelegentlich (ca. 5 - 10 Mal pro Jahr) aktualisiert werden muss.When DHA is running in EKCert validation mode, it relies on an enterprise managed chain of trust that needs to updated occasionally (approximately 5 - 10 times per year).

Microsoft veröffentlicht aggregierte Pakete von vertrauenswürdigen Stammzertifizierungsstellen und Zwischenzertifizierungsstellen für genehmigte TPM-Hersteller (sobald sie verfügbar sind) in einem öffentlich zugänglichen Archiv im CAB-Archiv.Microsoft publishes aggregated packages of trusted Roots and intermediate CA's for approved TPM manufacturers (as they become available) in a publicly accessible archive in .cab archive. Sie müssen den Feed herunterladen, die Integrität überprüfen und das Zertifikat auf dem Server installieren, der den Integritätsnachweis für Geräte ausführt.You need to download the feed, validate its integrity, and install it on the server running Device Health Attestation.

Ein Beispiel Archiv ist https://go.microsoft.com/fwlink/?linkid=2097925 .An example archive is https://go.microsoft.com/fwlink/?linkid=2097925.

AIKCert-ValidierungsmodusAIKCert validation mode

Der AIKCert-Validierungsmodus ist optimiert für Betriebsumgebungen, die über Zugriff auf das Internet verfügen.AIKCert Validation Mode is optimized for operational environments that do have access to the Internet. Geräte, die eine Verbindung mit einem DHA-Dienst herstellen, der im AIKCert-Validierungsmodus ausgeführt wird, müssen direkten Zugriff auf das Internet haben und können ein AIK-Zertifikat von Microsoft bekommen.Devices connecting to a DHA service running in AIKCert validation mode must have direct access to the Internet and are able to get an AIK certificate from Microsoft.

Installieren und Konfigurieren des DHA-Diensts unter Windows Server 2016Install and configure the DHA service on Windows Server 2016

Verwenden Sie die folgenden Abschnitte, um DHA unter Windows Server 2016 zu installieren und konfigurieren.Use the following sections to get DHA installed and configured on Windows Server 2016.

VoraussetzungenPrerequisites

Um einen lokalen DHA-Dienst einzurichten und zu überprüfen, benötigen Sie Folgendes:In order to set up and verify a DHA on-premises service, you need:

  • Einen Server, auf dem Windows Server 2016 ausgeführt wird.A server running Windows Server 2016.
  • (Mindestens) ein Windows 10-Clientgerät mit einer TPM (Version 1.2 oder 2.0), das sich im Zustand „klar/bereit“ befindet und den aktuellen Windows Insider-Build ausführt.One (or more) Windows 10 client devices with a TPM (either 1.2 or 2.0) that is in a clear/ready state running the latest Windows Insider build.
  • Entscheiden Sie sich zwischen einer Ausführung im EKCert- oder AIKCert-Validierungsmodus.Decide if you are going to run in EKCert or AIKCert validation mode.
  • Die folgenden Zertifikate stehen zur Verfügung:The following certificates:
    • DHA-SSL-Zertifikat: Ein x.509-SSL-Zertifikat, das über eine Enterprise Trusted Root mit einem exportierbaren privaten Schlüssel verkettet ist.DHA SSL certificate An x.509 SSL certificate that chains to an enterprise trusted root with an exportable private key. Dieses Zertifikat schützt DHA-Datenkommunikation im Transit einschließlich Server-zu-Server-Kommunikation (DHA-Dienst und MDM-Server) und Server-zu-Client-Kommunikation (DHA-Dienst und ein Windows 10-Gerät).This certificate protects DHA data communications in transit including server to server (DHA service and MDM server) and server to client (DHA service and a Windows 10 device) communications.
    • DHA-Signaturzertifikat: Ein x.509-Zertifikat, das über eine Enterprise Trusted Root mit einem exportierbaren privaten Schlüssel verkettet ist.DHA signing certificate An x.509 certificate that chains to an enterprise trusted root with an exportable private key. Der DHA-Dienst verwendet dieses Zertifikat zum digitalen Signieren.The DHA service uses this certificate for digital signing.
    • DHA-Verschlüsselungszertifikat: Ein x.509-Zertifikat, das über eine Enterprise Trusted Root mit einem exportierbaren privaten Schlüssel verkettet ist.DHA encryption certificate An x.509 certificate that chains to an enterprise trusted root with an exportable private key. Der DHA-Dienst verwendet dieses Zertifikat auch zur Verschlüsselung.The DHA service also uses this certificate for encryption.

Installieren von Windows Server 2016Install Windows Server 2016

Installieren Sie Windows Server 2016 mithilfe Ihrer bevorzugten Installationsmethode, wie z.B. Windows-Bereitstellungsdienste, oder Ausführen des Installationsprogramms von startbaren Medien, einem USB-Laufwerk oder dem lokalen Dateisystem.Install Windows Server 2016 using your preferred installation method, such as Windows Deployment Services, or running the installer from bootable media, a USB drive, or the local file system. Wenn Sie jetzt zum ersten Mal den lokalen DHA-Dienst konfigurieren, sollten Sie Windows Server 2016 mit der Installationsoption Desktopdarstellung installieren.If this is the first time you are configuring the DHA on-premises service, you should install Windows Server 2016 using the Desktop Experience installation option.

Hinzufügen der Serverrolle „Integritätsnachweis für Geräte“Add the Device Health Attestation server role

Sie können die Serverrolle „Integritätsnachweis für Geräte“ und ihre Abhängigkeiten mithilfe des Server-Managers installieren.You can install the Device Health Attestation server role and its dependencies by using Server Manager.

Nachdem Sie Windows Server 2016 installiert haben, wird das Gerät neu gestartet und der Server-Manager geöffnet.After you've installed Windows Server 2016, the device restarts and opens Server Manager. Wenn der Server-Manager nicht automatisch startet, klicken Sie auf Start und dann auf Server-Manager.If Server manager doesn't start automatically, click Start, and then click Server Manager.

  1. Klicken Sie auf Rollen und Features hinzufügen.Click Add roles and features.
  2. Klicken Sie auf der Seite Vorbereitung auf Weiter.On the Before you begin page, click Next.
  3. Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation, und klicken Sie anschließend auf Weiter.On the Select installation type page, click Role-based or feature-based installation, and then click Next.
  4. Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, treffen Sie Ihre Wahl, und klicken Sie dann auf Weiter.On the Select destination server page, click Select a server from the server pool, select the server, and then click Next.
  5. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Integritätsnachweis für Geräte.On the Select server roles page, select the Device Health Attestation check box.
  6. Klicken Sie auf Features hinzufügen, um andere erforderliche Rollendienste und Features zu installieren.Click Add Features to install other required role services and features.
  7. Klicken Sie auf Weiter.Click Next.
  8. Klicken Sie auf der Seite Features auswählen auf Weiter.On the Select features page, click Next.
  9. Klicken Sie auf der Seite Webserverrolle (IIS) auf Weiter.On the Web Server Role (IIS) page, click Next.
  10. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.On the Select role services page, click Next.
  11. Klicken Sie auf der Seite Integritätsnachweis für Geräte auf Weiter.On the Device Health Attestation Service page, click Next.
  12. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.On the Confirm installation selections page, click Install.
  13. Klicken Sie nach dem Abschluss der Installation auf Schließen.When the installation is done, click Close.

Installieren der Signatur- und VerschlüsselungszertifikateInstall the signing and encryption certificates

Installieren Sie mit dem folgenden Windows PowerShell-Skript die Signatur- und Verschlüsselungszertifikate.Using the following Windows PowerShell script to install the signing and encryption certificates. Weitere Informationen zum Fingerabdruck finden Sie unter Gewusst wie: Abrufen des Fingerabdrucks eines Zertifikats.For more information about the thumbprint, see How to: Retrieve the Thumbprint of a Certificate.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "<thumbprint>"}
$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\" + $keyname
icacls $keypath /grant <username>`:R

#<thumbprint>: Certificate thumbprint for encryption certificate or signing certificate
#<username>: Username for web service app pool, by default IIS_IUSRS

Installieren des vertrauenswürdigen TPM-StammzertifikatpaketsInstall the trusted TPM roots certificate package

Um das vertrauenswürdige TPM-Stammzertifikatpaket zu installieren, müssen Sie es extrahieren, ggf. Zertifikatketten entfernen, die von Ihrer Organisation nicht als vertrauenswürdig eingestuft werden, und „setup.cmd“ ausführen.To install the trusted TPM roots certificate package, you must extract it, remove any trusted chains that are not trusted by your organization, and then run setup.cmd.

Herunterladen des vertrauenswürdigen TPM-StammzertifikatpaketsDownload the trusted TPM roots certificate package

Vor der Installation des Zertifikat Pakets können Sie die aktuelle Liste der vertrauenswürdigen TPM-Stämme von herunterladen https://go.microsoft.com/fwlink/?linkid=2097925 .Before you install the certificate package, you can download the latest list of trusted TPM roots from https://go.microsoft.com/fwlink/?linkid=2097925.

Wichtig: Stellen Sie vor der Installation des Pakets sicher, dass es von Microsoft digital signiert ist.Important: Before installing the package, verify that it is digitally signed by Microsoft.

Extrahieren des vertrauenswürdigen ZertifikatpaketsExtract the trusted certificate package

Extrahieren Sie das vertrauenswürdige Zertifikatspaket durch Ausführen der folgenden Befehle.Extract the trusted certificate package by running the following commands.

mkdir .\TrustedTpm
expand -F:* .\TrustedTpm.cab .\TrustedTpm

Entfernen der Zertifikatketten für TPM-Hersteller, die von Ihrer Organisation nicht als vertrauenswürdig eingestuft werden (optional)Remove the trust chains for TPM vendors that are not trusted by your organization (Optional)

Löschen Sie die Ordner für alle Zertifikatketten von TPM-Herstellern, die von Ihrer Organisation nicht als vertrauenswürdig eingestuft werden.Delete the folders for any TPM vendor trust chains that are not trusted by your organization.

Hinweis: Im AIK-Zertifikatmodus ist der Microsoft-Ordner zum Überprüfen der von Microsoft ausgestellten AIK-Zertifikate erforderlich.Note: If using AIK Certificate mode, the Microsoft folder is required to validate Microsoft issued AIK certificates.

Installieren des vertrauenswürdigen ZertifikatpaketsInstall the trusted certificate package

Installieren Sie das vertrauenswürdige Zertifikatpaket durch Ausführen des Setupskripts aus der CAB-Datei.Install the trusted certificate package by running the setup script from the .cab file.

.\setup.cmd

Konfigurieren des Integritätsnachweises für GeräteConfigure the Device Health Attestation service

Sie können Windows PowerShell verwenden, um den lokalen DHA-Dienst zu konfigurieren.You can use Windows PowerShell to configure the DHA on-premises service.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint <encryption> -SigningCertificateThumbprint <signing> -SslCertificateStoreName My -SslCertificateThumbprint <ssl> -SupportedAuthenticationSchema "<schema>"

#<encryption>: Thumbprint of the encryption certificate
#<signing>: Thumbprint of the signing certificate
#<ssl>: Thumbprint of the SSL certificate
#<schema>: Comma-delimited list of supported schemas including AikCertificate, EkCertificate, and AikPub

Konfigurieren der Zertifikatketten-RichtlinieConfigure the certificate chain policy

Konfigurieren Sie die Zertifikatketten-Richtlinie durch Ausführen des folgenden Windows PowerShell-Skripts.Configure the certificate chain policy by running the following Windows PowerShell script.

$policy = Get-DHASCertificateChainPolicy
$policy.RevocationMode = "NoCheck"
Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy

DHA-VerwaltungsbefehleDHA management commands

Hier finden Sie einige Windows PowerShell-Beispiele, die Ihnen helfen können, den DHA-Dienst zu verwalten.Here are some Windows PowerShell examples that can help you manage the DHA service.

Erstmaliges Konfigurieren des DHA-DienstsConfigure the DHA service for the first time

Install-DeviceHealthAttestation -SigningCertificateThumbprint "<HEX>" -EncryptionCertificateThumbprint "<HEX>" -SslCertificateThumbprint "<HEX>" -Force

Entfernen der DHA-DienstkonfigurationRemove the DHA service configuration

Uninstall-DeviceHealthAttestation -RemoveSslBinding -Force

Abrufen des aktiven SignaturzertifikatsGet the active signing certificate

Get-DHASActiveSigningCertificate

Festlegen des aktiven SignaturzertifikatsSet the active signing certificate

Set-DHASActiveSigningCertificate -Thumbprint "<hex>" -Force

Hinweis: Dieses Zertifikat muss auf dem Server bereitgestellt werden, der den DHA-Dienst im Zertifikatspeicher LocalMachine\My ausführt.Note: This certificate must be deployed on the server running the DHA service in the LocalMachine\My certificate store. Wenn das aktive Signaturzertifikat festgelegt ist, wird das vorhandene aktive Signaturzertifikat in die Liste der inaktiven Signaturzertifikate verschoben.When the active signing certificate is set, the existing active signing certificate is moved to the list of inactive signing certificates.

Liste der inaktiven SignaturzertifikateList the inactive signing certificates

Get-DHASInactiveSigningCertificates

Entfernen beliebiger inaktiver SignaturzertifikateRemove any inactive signing certificates

Remove-DHASInactiveSigningCertificates -Force
Remove-DHASInactiveSigningCertificates  -Thumbprint "<hex>" -Force

Hinweis: Nur ein inaktives Zertifikat (beliebigen Typs) kann zu einem beliebigen Zeitpunkt im Dienst vorhanden sein.Note: Only one inactive certificate (of any type) may exist in the service at any time. Zertifikate sollten aus der Liste der inaktiven Zertifikate entfernt werden, sobald sie nicht mehr benötigt werden.Certificates should be removed from the list of inactive certificates once they are no longer required.

Abrufen des aktiven VerschlüsselungszertifikatsGet the active encryption certificate

Get-DHASActiveEncryptionCertificate

Festlegen des aktiven VerschlüsselungszertifikatsSet the active encryption certificate

Set-DHASActiveEncryptionCertificate -Thumbprint "<hex>" -Force

Das Zertifikat muss auf dem Gerät im Zertifikatspeicher LocalMachine\My bereitgestellt werden.The certificate must be deployed on the device in the LocalMachine\My certificate store.

Wenn das aktive Verschlüsselungszertifikat festgelegt ist, wird das vorhandene aktive Verschlüsselungszertifikat in die Liste der inaktiven Verschlüsselungszertifikate verschoben.When the active encryption certificate is set, the existing active encryption certificate is moved to the list of inactive encryption certificates.

Liste der inaktiven VerschlüsselungszertifikateList the inactive encryption certificates

Get-DHASInactiveEncryptionCertificates

Entfernen beliebiger inaktiver VerschlüsselungszertifikateRemove any inactive encryption certificates

Remove-DHASInactiveEncryptionCertificates -Force
Remove-DHASInactiveEncryptionCertificates -Thumbprint "<hex>" -Force

Abrufen der X509ChainPolicy-KonfigurationGet the X509ChainPolicy configuration

Get-DHASCertificateChainPolicy

Ändern der X509ChainPolicy-KonfigurationChange the X509ChainPolicy configuration

$certificateChainPolicy = Get-DHASInactiveEncryptionCertificates
$certificateChainPolicy.RevocationFlag = <X509RevocationFlag>
$certificateChainPolicy.RevocationMode = <X509RevocationMode>
$certificateChainPolicy.VerificationFlags = <X509VerificationFlags>
$certificateChainPolicy.UrlRetrievalTimeout = <TimeSpan>
Set-DHASCertificateChainPolicy = $certificateChainPolicy

DHA-DienstberichterstellungDHA service reporting

Im Folgenden finden Sie eine Liste der Meldungen des DHA-Diensts an die MDM-Lösung:The following are a list of messages that are reported by the DHA service to the MDM solution:

  • 200 HTTP OK.200 HTTP OK. Das Zertifikat wird zurückgegeben.The certificate is returned.
  • 400 ungültige Anforderung.400 Bad request. Ungültiges Anforderungsformat, ungültiges Integritätszertifikat, keine Übereinstimmung bei Zertifikatsignatur, ungültiges Integritätsnachweisblob oder ungültiges Integritätsstatusblob.Invalid request format, invalid health certificate, certificate signature does not match, invalid Health Attestation Blob, or an invalid Health Status Blob. Die Antwort enthält auch, wie im Antwortschema beschrieben, eine Nachricht mit einem Fehlercode und eine Fehlermeldung, die für die Diagnose verwendet werden kann.The response also contains a message, as described by the response schema, with an error code and an error message that can be used for diagnostics.
  • 500 interner Server Fehler.500 Internal server error. Dies kann geschehen, wenn Probleme auftreten, die verhindern, dass der Dienst Zertifikate ausstellt.This can happen if there are issues that prevent the service from issuing certificates.
  • 503 Einschränkung lehnt Anforderungen ab, um eine Überlastung des Servers zu verhindern.503 Throttling is rejecting requests to prevent server overloading.