Configurare i certificati per le comunicazioni attendibili con MDM locale

  • Articolo

Si applica a: Configuration Manager (Current Branch)

Configuration Manager gestione dei dispositivi mobili (MDM) locale richiede la configurazione dei ruoli del sistema del sito per le comunicazioni attendibili con dispositivi gestiti. Sono necessari due tipi di certificati:

  • Certificato del server Web in IIS nei server che ospitano i ruoli del sistema del sito necessari. Se un server ospita più ruoli del sistema del sito, è necessario un solo certificato per tale server. Se ogni ruolo si trova in un server separato, per ogni server è necessario un certificato separato.

  • Certificato radice attendibile dell'autorità di certificazione (CA) che rilascia i certificati del server Web. Installare questo certificato radice in tutti i dispositivi che devono connettersi ai ruoli del sistema del sito.

Per i dispositivi aggiunti a un dominio, se si usa Servizi certificati Active Directory, è possibile installare automaticamente questi certificati in tutti i dispositivi. Per i dispositivi non aggiunti a un dominio, installare il certificato radice attendibile con altri mezzi.

Per i dispositivi registrati in blocco, è possibile includere il certificato nel pacchetto di registrazione. Per i dispositivi registrati dall'utente, è necessario aggiungere il certificato tramite posta elettronica, download Web o un altro metodo.

Se si usa un provider di certificati pubblico e attendibile a livello globale per rilasciare i certificati del server, è possibile evitare di dover installare manualmente il certificato radice attendibile in ogni dispositivo. La maggior parte dei dispositivi si fida in modo nativo di queste autorità pubbliche. Questo metodo è un'alternativa utile per i dispositivi registrati dall'utente, anziché installare il certificato tramite altri mezzi.

Importante

Esistono molti modi per configurare i certificati per le comunicazioni attendibili tra i dispositivi e i server del sistema del sito per MDM locale. Le informazioni contenute in questo articolo sono un esempio di un modo per farlo. Questo metodo richiede Servizi certificati Active Directory, con un'autorità di certificazione e il ruolo di registrazione Web dell'autorità di certificazione. Per altre informazioni, vedere Servizi certificati Active Directory.

Pubblicare l'elenco CRL

Per impostazione predefinita, l'autorità di certificazione Active Directory (CA) usa elenchi di revoche di certificati basati su LDAP. Consente le connessioni al CRL per i dispositivi aggiunti a un dominio. Per consentire ai dispositivi non aggiunti a un dominio di considerare attendibili i certificati rilasciati dalla CA, aggiungere un CRL basato su HTTP.

  1. Nel server che esegue l'autorità di certificazione per il sito passare al menu Start , selezionare Strumenti di amministrazione e scegliere Autorità di certificazione.

  2. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su CertificateAuthority e quindi scegliere Proprietà.

  3. Nelle proprietà CertificateAuthority passare alla scheda Estensioni. Assicurarsi che l'estensione Select sia impostata su CRL Distribution Point (CDP).

  4. Selezionare http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl. Selezionare quindi le opzioni seguenti:

    • Includere nei CRL. I client usano questa opzione per trovare le posizioni delta CRL.

    • Includere nell'estensione CDP dei certificati rilasciati.

    • Includere nell'estensione IDP dei CRL rilasciati

  5. Passare alla scheda Exit Module (Esci modulo). Selezionare Proprietà, quindi Selezionare Consenti la pubblicazione di certificati nel file system. Verrà visualizzato un avviso per riavviare Servizi certificati Active Directory.

  6. Fare clic con il pulsante destro del mouse su Certificati revocati, selezionare Tutte le attività e quindi scegliere Pubblica.

  7. Nella finestra Pubblica CRL selezionare Solo CRL delta e quindi selezionare OK per chiudere la finestra.

Creare il modello di certificato

La CA usa il modello di certificato del server Web per rilasciare certificati per i server che ospitano i ruoli del sistema del sito. Questi server saranno endpoint SSL per le comunicazioni attendibili tra i ruoli del sistema del sito e i dispositivi registrati.

  1. Creare un gruppo di sicurezza di dominio denominato Server MDM ConfigMgr. Aggiungere al gruppo gli account computer dei server del sistema del sito.

  2. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci. Questa azione carica la console Modelli di certificato.

  3. Nel riquadro dei risultati fare clic con il pulsante destro del mouse sulla voce che visualizza Server Web nella colonna Nome visualizzato modello e quindi selezionare Duplica modello.

  4. Nella finestra Modello duplicato selezionare Windows 2003 Server, edizione Enterprise o Windows 2008 Server edizione Enterprise e quindi selezionare OK.

    Consiglio

    Configuration Manager supporta i modelli di certificato di Windows 2008 Server, noti anche come certificati V3 o Crittografia: CNG (Next Generation). Per altre informazioni, vedere Panoramica dei certificati CNG v3.

    Se la CA viene eseguita in Windows Server 2012 o versioni successive, questa finestra non mostra l'opzione per la versione del modello di certificato. Dopo aver duplicato il modello, selezionare la versione nella scheda Compatibilità delle proprietà del modello.

  5. Nella scheda Generaledella finestra Proprietà del nuovo modello immettere un nome di modello. La CA usa questo nome per generare i certificati Web che verranno usati nei sistemi del sito Configuration Manager. Ad esempio, digitare ConfigMgr MDM web server.

  6. Passare alla scheda Nome soggetto e selezionare Compila da informazioni di Active Directory. Per il formato del nome del soggetto, specificare il nome DNS. Se l'opzione Nome entità utente (UPN) è selezionata, disabilitare l'opzione per il nome soggetto alternativo.

  7. Passare alla scheda Sicurezza .

    1. Rimuovere l'autorizzazione Registra dai gruppi di sicurezza Domain Admins e Enterprise Admins .

    2. Selezionare Aggiungi e immettere il nome del gruppo di sicurezza. Ad esempio, i server MDM di ConfigMgr. Selezionare OK per chiudere la finestra.

    3. Selezionare l'autorizzazione Registra per questo gruppo. Non rimuovere l'autorizzazione Lettura .

  8. Selezionare OK per salvare le modifiche e chiudere la console Modelli di certificato.

  9. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovo e quindi scegliere Modello di certificato da rilasciare.

  10. Nella finestra Abilita modelli di certificato selezionare il nuovo modello. Ad esempio, il server Web MDM di ConfigMgr. Selezionare quindi OK per salvare e chiudere la finestra.

Richiedere il certificato

Questo processo descrive come richiedere il certificato del server Web per IIS. Eseguire questo processo per ogni server del sistema del sito che ospita uno dei ruoli per MDM locale.

  1. Nel server del sistema del sito che ospita uno dei ruoli aprire un prompt dei comandi come amministratore. Immettere mmc per aprire una console di gestione Microsoft vuota.

  2. Nella finestra della console passare al menu File e selezionare Aggiungi/Rimuovi snap-in.

    1. Scegliere Certificati dall'elenco degli snap-in disponibili e selezionare Aggiungi.

    2. Nella finestra snap-in Certificati scegliere Account computer. Selezionare Avanti e quindi Fine per gestire il computer locale.

    3. Selezionare OK per uscire dalla finestra Aggiungi o Rimuovi snap-in.

  3. Espandere Certificati (computer locale) e selezionare l'archivio personale . Passare al menu Azione , selezionare Tutte le attività e scegliere Richiedi nuovo certificato. Questa azione comunica con Servizi certificati Active Directory per creare un nuovo certificato usando il modello creato in precedenza.

    1. Nella procedura guidata Registrazione certificati, nella pagina Prima di iniziare selezionare Avanti.

    2. Nella pagina Seleziona criteri di registrazione certificati selezionare Criteri di registrazione active directory e quindi selezionare Avanti.

    3. Selezionare il modello di certificato del server Web (server Web MDM ConfigMgr) e quindi selezionare Registra.

    4. Dopo aver richiesto il certificato, selezionare Fine.

Ogni server necessita di un certificato del server Web univoco. Ripetere questo processo per ogni server che ospita uno dei ruoli del sistema del sito necessari. Se un server ospita tutti i ruoli del sistema del sito, è sufficiente richiedere un certificato del server Web.

Associare il certificato

Il passaggio successivo consiste nell'associare il nuovo certificato al server Web. Seguire questo processo per ogni server che ospita i ruoli del sistema del sito del punto di registrazione e del punto proxy di registrazione . Se un server ospita tutti i ruoli del sistema del sito, è necessario eseguire questo processo una sola volta.

Nota

Non è necessario eseguire questo processo per i ruoli del sistema del sito del punto di distribuzione e del punto di gestione dei dispositivi. Ricevono automaticamente il certificato richiesto durante la registrazione.

  1. Nel server che ospita il punto di registrazione o il punto proxy di registrazione passare al menu Start , selezionare Strumenti di amministrazione e scegliere Gestione IIS.

  2. Nell'elenco Connessioni selezionare il sito Web predefinito e quindi selezionare Modifica associazioni.

    1. Nella finestra Associazioni sito selezionare https e quindi selezionare Modifica.

    2. Nella finestra Modifica associazione sito selezionare il certificato appena registrato per il certificato SSL. Selezionare OK per salvare e quindi selezionare Chiudi.

  3. Nell'elenco Connessioni della console di Gestione IIS selezionare il server Web. Nel pannello Azione a destra selezionare Riavvia. Questa azione riavvia il servizio server Web.

Esportare il certificato radice attendibile

Servizi certificati Active Directory installa automaticamente il certificato richiesto dalla CA in tutti i dispositivi aggiunti al dominio. Per ottenere il certificato necessario per consentire ai dispositivi non appartenenti a un dominio di comunicare con i ruoli del sistema del sito, esportarlo dal certificato associato al server Web.

  1. In Gestione IIS selezionare il sito Web predefinito. Nel pannello Azione a destra selezionare Associazioni.

  2. Nella finestra Associazioni sito selezionare https e quindi selezionare Modifica.

  3. Selezionare il certificato del server Web e selezionare Visualizza.

  4. Nelle proprietà del certificato del server Web passare alla scheda Percorso di certificazione . Selezionare la radice del percorso di certificazione e selezionare Visualizza certificato.

  5. Nelle proprietà del certificato radice passare alla scheda Dettagli e quindi selezionare Copia nel file.

  6. Nella pagina Iniziale dell'Esportazione guidata certificati selezionare Avanti.

  7. Selezionare DER encoded binary X.509 (. CER) come formato e selezionare Avanti.

  8. Immettere un percorso e un nome di file per identificare questo certificato radice attendibile. Per il nome del file, fare clic su Sfoglia..., scegliere un percorso per salvare il file del certificato, denominare il file e selezionare Avanti.

  9. Esaminare le impostazioni e selezionare Fine per esportare il certificato nel file.

A seconda della progettazione dell'autorità di certificazione, potrebbe essere necessario esportare altri certificati radice della CA subordinata. Ripetere questo processo per esportare gli altri certificati nel percorso di certificazione del certificato del server Web.

Passaggio successivo

Configurare la registrazione dei dispositivi