Konfigurowanie certyfikatów na potrzeby zaufanej komunikacji z lokalnym rozwiązaniem MDM

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Configuration Manager lokalne zarządzanie urządzeniami przenośnymi (MDM) wymaga skonfigurowania ról systemu lokacji pod kątem zaufanej komunikacji z urządzeniami zarządzanymi. Potrzebne są dwa typy certyfikatów:

  • Certyfikat serwera internetowego w usługach IIS na serwerach hostujących wymagane role systemu lokacji. Jeśli jeden serwer hostuje wiele ról systemu lokacji, potrzebny jest tylko jeden certyfikat dla tego serwera. Jeśli każda rola znajduje się na oddzielnym serwerze, każdy serwer potrzebuje oddzielnego certyfikatu.

  • Zaufany certyfikat główny urzędu certyfikacji wystawiający certyfikaty serwera internetowego. Zainstaluj ten certyfikat główny na wszystkich urządzeniach, które muszą łączyć się z rolami systemu lokacji.

W przypadku urządzeń przyłączonych do domeny, jeśli używasz usług certyfikatów Active Directory, można automatycznie zainstalować te certyfikaty na wszystkich urządzeniach. W przypadku urządzeń, które nie są przyłączone do domeny, zainstaluj zaufany certyfikat główny w inny sposób.

W przypadku urządzeń zarejestrowanych zbiorczo można dołączyć certyfikat do pakietu rejestracji. W przypadku urządzeń zarejestrowanych przez użytkownika należy dodać certyfikat za pośrednictwem poczty e-mail, pobierania internetowego lub innej metody.

Jeśli używasz publicznego i globalnie zaufanego dostawcy certyfikatów do wystawiania certyfikatów serwera, możesz uniknąć konieczności ręcznej instalacji zaufanego certyfikatu głównego na każdym urządzeniu. Większość urządzeń natywnie ufa tym władzom publicznym. Ta metoda jest przydatną alternatywą dla urządzeń zarejestrowanych przez użytkownika zamiast instalowania certyfikatu za pomocą innych środków.

Ważna

Istnieje wiele sposobów konfigurowania certyfikatów na potrzeby zaufanej komunikacji między urządzeniami a serwerami systemu lokacji dla lokalnego rozwiązania MDM. Informacje zawarte w tym artykule są przykładem jednego ze sposobów, aby to zrobić. Ta metoda wymaga usług certyfikatów Active Directory z urzędem certyfikacji i rolą rejestracji internetowej urzędu certyfikacji. Aby uzyskać więcej informacji, zobacz Usługi certyfikatów Active Directory.

Publikowanie listy CRL

Domyślnie urząd certyfikacji usługi Active Directory używa list odwołania certyfikatów (CRL) opartych na protokole LDAP. Umożliwia ona połączenia z listą CRL dla urządzeń przyłączonych do domeny. Aby zezwolić urządzeniom nieprzyłączonym do domeny na ufanie certyfikatom wystawionym przez urząd certyfikacji, dodaj listę CRL opartą na protokole HTTP.

  1. Na serwerze z uruchomionym urzędem certyfikacji witryny przejdź do menu Start , wybierz pozycję Narzędzia administracyjne, a następnie wybierz pozycję Urząd certyfikacji.

  2. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję CertificateAuthority, a następnie wybierz pozycję Właściwości.

  3. We właściwościach CertificateAuthority przejdź do karty Rozszerzenia. Upewnij się, że opcja Wybierz rozszerzenie jest ustawiona na punkt dystrybucji listy CRL (CDP).

  4. Wybierz pozycję http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl. Następnie wybierz następujące opcje:

    • Uwzględnij w listach CRL. Klienci używają tej funkcji do znajdowania lokalizacji listy CRL różnicowych.

    • Dołącz do rozszerzenia CDP wystawionych certyfikatów.

    • Dołącz do rozszerzenia IDP wystawionych list CRL

  5. Przejdź do karty Moduł zakończenia . Wybierz pozycję Właściwości, a następnie wybierz pozycję Zezwalaj na publikowanie certyfikatów w systemie plików. Zostanie wyświetlone powiadomienie o ponownym uruchomieniu usług certyfikatów Active Directory.

  6. Kliknij prawym przyciskiem myszy pozycję Odwołane certyfikaty, wybierz pozycję Wszystkie zadania, a następnie wybierz pozycję Publikuj.

  7. W oknie Publikowanie listy CRL wybierz pozycję Tylko lista CRL delty, a następnie wybierz przycisk OK , aby zamknąć okno.

Tworzenie szablonu certyfikatu

Urząd certyfikacji używa szablonu certyfikatu serwera sieci Web do wystawiania certyfikatów dla serwerów hostujących role systemu lokacji. Te serwery będą punktami końcowymi protokołu SSL na potrzeby zaufanej komunikacji między rolami systemu lokacji a zarejestrowanymi urządzeniami.

  1. Utwórz grupę zabezpieczeń domeny o nazwie Serwery MDM programu ConfigMgr. Dodaj do grupy konta komputerów serwerów systemu lokacji.

  2. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie wybierz pozycję Zarządzaj. Ta akcja ładuje konsolę Szablony certyfikatów.

  3. W okienku wyników kliknij prawym przyciskiem myszy wpis wyświetlający serwer sieci Web w kolumnie Nazwa wyświetlana szablonu , a następnie wybierz pozycję Duplikuj szablon.

  4. W oknie Duplikuj szablon wybierz pozycję Windows 2003 Server, Enterprise Edition lub Windows 2008 Server, Enterprise Edition, a następnie wybierz przycisk OK.

    Porada

    Configuration Manager obsługuje szablony certyfikatów systemu Windows 2008 Server, znane również jako certyfikaty V3 lub Cryptography: Next Generation (CNG). Aby uzyskać więcej informacji, zobacz CNG v3 certificates overview (Omówienie certyfikatów CNG w wersji 3).

    Jeśli urząd certyfikacji działa w Windows Server 2012 lub nowszym, w tym oknie nie jest wyświetlana opcja wersji szablonu certyfikatu. Po zduplikowaniu szablonu wybierz wersję na karcie Zgodność właściwości szablonu.

  5. W oknie Właściwości nowego szablonu na karcie Ogólne wprowadź nazwę szablonu. Urząd certyfikacji używa tej nazwy do generowania certyfikatów sieci Web, które będą używane w Configuration Manager systemach lokacji. Na przykład wpisz ConfigMgr MDM serwer internetowy.

  6. Przejdź do karty Nazwa podmiotu i wybierz pozycję Kompiluj z informacji usługi Active Directory. Dla formatu nazwy podmiotu określ nazwę DNS. Jeśli wybrano nazwę główną użytkownika (UPN ), wyłącz opcję alternatywnej nazwy podmiotu.

  7. Przejdź do karty Zabezpieczenia .

    1. Usuń uprawnienie Zarejestruj z grup zabezpieczeń Administratorzy domeny i Administratorzy przedsiębiorstwa .

    2. Wybierz pozycję Dodaj i wprowadź nazwę grupy zabezpieczeń. Na przykład serwery MDM programu ConfigMgr. Wybierz przycisk OK , aby zamknąć okno.

    3. Wybierz uprawnienie Zarejestruj dla tej grupy. Nie usuwaj uprawnienia Odczyt .

  8. Wybierz przycisk OK , aby zapisać zmiany, i zamknij konsolę Szablony certyfikatów.

  9. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz pozycję Nowy, a następnie wybierz pozycję Szablon certyfikatu do wystawienia.

  10. W oknie Włączanie szablonów certyfikatów wybierz nowy szablon. Na przykład serwer internetowy mdm programu ConfigMgr. Następnie wybierz przycisk OK , aby zapisać i zamknąć okno.

Żądanie certyfikatu

W tym procesie opisano sposób żądania certyfikatu serwera internetowego dla usług IIS. Wykonaj ten proces dla każdego serwera systemu lokacji, który hostuje jedną z ról lokalnego zarządzania urządzeniami przenośnymi.

  1. Na serwerze systemu lokacji hostującym jedną z ról otwórz wiersz polecenia jako administrator. Wprowadź polecenie mmc , aby otworzyć pustą konsolę zarządzania Microsoft.

  2. W oknie konsoli przejdź do menu Plik i wybierz pozycję Dodaj/Usuń przystawkę.

    1. Wybierz pozycję Certyfikaty z listy dostępnych przystawek i wybierz pozycję Dodaj.

    2. W oknie przystawki Certyfikaty wybierz pozycję Konto komputera. Wybierz pozycję Dalej, a następnie wybierz pozycję Zakończ , aby zarządzać komputerem lokalnym.

    3. Wybierz przycisk OK , aby zamknąć okno Dodaj lub Usuń przystawkę.

  3. Rozwiń węzeł Certyfikaty (komputer lokalny) i wybierz magazyn Osobisty . Przejdź do menu Akcja , wybierz pozycję Wszystkie zadania i wybierz pozycję Zażądaj nowego certyfikatu. Ta akcja komunikuje się z usługami certyfikatów Active Directory w celu utworzenia nowego certyfikatu przy użyciu utworzonego wcześniej szablonu.

    1. W kreatorze rejestracji certyfikatów na stronie Przed rozpoczęciem wybierz pozycję Dalej.

    2. Na stronie Wybieranie zasad rejestracji certyfikatów wybierz pozycję Zasady rejestracji usługi Active Directory, a następnie wybierz pozycję Dalej.

    3. Wybierz szablon certyfikatu serwera internetowego (serwer sieci Web programu ConfigMgr MDM), a następnie wybierz pozycję Zarejestruj.

    4. Po zażądaniu certyfikatu wybierz pozycję Zakończ.

Każdy serwer wymaga unikatowego certyfikatu serwera internetowego. Powtórz ten proces dla każdego serwera, który hostuje jedną z wymaganych ról systemu lokacji. Jeśli jeden serwer hostuje wszystkie role systemu lokacji, wystarczy zażądać jednego certyfikatu serwera internetowego.

Wiązanie certyfikatu

Następnym krokiem jest powiązanie nowego certyfikatu z serwerem internetowym. Postępuj zgodnie z tym procesem dla każdego serwera hostującego role systemu lokacji punktu rejestracji i punktu proxy rejestracji . Jeśli jeden serwer hostuje wszystkie role systemu lokacji, należy wykonać ten proces tylko raz.

Uwaga

Nie musisz wykonywać tego procesu dla ról systemu lokacji punktu dystrybucji i punktu zarządzania urządzeniami. Podczas rejestracji automatycznie otrzymują wymagany certyfikat.

  1. Na serwerze hostującym punkt rejestracji lub punkt proxy rejestracji przejdź do menu Start , wybierz pozycję Narzędzia administracyjne i wybierz pozycję Menedżer usług IIS.

  2. Na liście Połączenia wybierz domyślną witrynę sieci Web, a następnie wybierz pozycję Edytuj powiązania.

    1. W oknie Powiązania witryny wybierz pozycję https, a następnie wybierz pozycję Edytuj.

    2. W oknie Edytowanie powiązania witryny wybierz nowo zarejestrowany certyfikat certyfikatu SSL. Wybierz przycisk OK , aby zapisać, a następnie wybierz pozycję Zamknij.

  3. W konsoli Menedżera usług IIS na liście Połączenia wybierz serwer internetowy. W panelu Akcja po prawej stronie wybierz pozycję Uruchom ponownie. Ta akcja powoduje ponowne uruchomienie usługi serwera internetowego.

Eksportowanie zaufanego certyfikatu głównego

Usługi certyfikatów Active Directory automatycznie instalują wymagany certyfikat z urzędu certyfikacji na wszystkich urządzeniach przyłączonych do domeny. Aby uzyskać certyfikat wymagany do komunikacji z rolami systemu lokacji przez urządzenia nieprzyłączone do domeny, wyeksportuj go z certyfikatu powiązanego z serwerem sieci Web.

  1. W Menedżerze usług IIS wybierz domyślną witrynę sieci Web. W panelu Akcja po prawej stronie wybierz pozycję Powiązania.

  2. W oknie Powiązania witryny wybierz pozycję https, a następnie wybierz pozycję Edytuj.

  3. Wybierz certyfikat serwera internetowego, a następnie wybierz pozycję Wyświetl.

  4. We właściwościach certyfikatu serwera internetowego przejdź do karty Ścieżka certyfikacji . Wybierz katalog główny ścieżki certyfikacji, a następnie wybierz pozycję Wyświetl certyfikat.

  5. We właściwościach certyfikatu głównego przejdź do karty Szczegóły , a następnie wybierz pozycję Kopiuj do pliku.

  6. W Kreatorze eksportu certyfikatów na stronie Powitalnej wybierz pozycję Dalej.

  7. Wybierz pozycję DER encoded binary X.509 (. CER) jako format, a następnie wybierz przycisk Dalej.

  8. Wprowadź ścieżkę i nazwę pliku, aby zidentyfikować ten zaufany certyfikat główny. W polu nazwa pliku kliknij przycisk Przeglądaj..., wybierz lokalizację, w celu zapisania pliku certyfikatu, nadaj mu nazwę, a następnie wybierz pozycję Dalej.

  9. Przejrzyj ustawienia i wybierz pozycję Zakończ , aby wyeksportować certyfikat do pliku.

W zależności od projektu urzędu certyfikacji może być konieczne wyeksportowanie dodatkowych podrzędnych certyfikatów głównych urzędu certyfikacji. Powtórz ten proces, aby wyeksportować inne certyfikaty w ścieżce certyfikacji certyfikatu serwera internetowego.

Następny krok

Konfigurowanie rejestracji urządzeń