Udostępnij za pośrednictwem


Rozszerzony protokół HTTP

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Firma Microsoft zaleca używanie komunikacji HTTPS dla wszystkich Configuration Manager ścieżek komunikacyjnych, ale jest to trudne dla niektórych klientów ze względu na obciążenie związane z zarządzaniem certyfikatami infrastruktury kluczy publicznych. Dzięki ulepszonemu protokołowi HTTP Configuration Manager może zapewnić bezpieczną komunikację, wystawiając certyfikaty z podpisem własnym do określonych systemów lokacji.

Istnieją dwa główne cele dla tej konfiguracji:

  • Komunikację z klientem poufnym można zabezpieczyć bez konieczności używania certyfikatów uwierzytelniania serwera PKI.

  • Klienci mogą bezpiecznie uzyskiwać dostęp do zawartości z punktów dystrybucji bez konieczności używania konta dostępu do sieci, certyfikatu PKI klienta lub uwierzytelniania systemu Windows.

Cała inna komunikacja z klientem odbywa się za pośrednictwem protokołu HTTP. Rozszerzony protokół HTTP to nie to samo, co włączanie protokołu HTTPS na potrzeby komunikacji klienta lub systemu lokacji.

Uwaga

Certyfikaty infrastruktury kluczy publicznych są nadal prawidłową opcją dla klientów z następującymi wymaganiami:

  • Cała komunikacja z klientem odbywa się za pośrednictwem protokołu HTTPS
  • Zaawansowana kontrola nad infrastrukturą podpisywania

Jeśli już używasz infrastruktury PKI, systemy lokacji używają certyfikatu infrastruktury kluczy publicznych powiązanego w usługach IIS, nawet jeśli włączono rozszerzony protokół HTTP.

Scenariuszy

Z rozszerzonego protokołu HTTP korzystają następujące scenariusze:

Scenariusz 1. Klient do punktu zarządzania

Microsoft Entra dołączone urządzenia i urządzenia z tokenem wystawionym Configuration Manager mogą komunikować się z punktem zarządzania skonfigurowanym dla protokołu HTTP, jeśli włączono rozszerzony protokół HTTP dla lokacji. Po włączeniu rozszerzonego protokołu HTTP serwer lokacji generuje certyfikat dla punktu zarządzania, dzięki czemu może komunikować się za pośrednictwem bezpiecznego kanału.

Uwaga

Ten scenariusz nie wymaga użycia punktu zarządzania z obsługą protokołu HTTPS, ale jest obsługiwany jako alternatywa dla używania rozszerzonego protokołu HTTP. Aby uzyskać więcej informacji na temat korzystania z punktu zarządzania z obsługą protokołu HTTPS, zobacz Włączanie punktu zarządzania dla protokołu HTTPS.

Scenariusz 2. Klient do punktu dystrybucji

Klient przyłączony do grupy roboczej lub Microsoft Entra może uwierzytelniać i pobierać zawartość za pośrednictwem bezpiecznego kanału z punktu dystrybucji skonfigurowanego pod kątem protokołu HTTP. Tego typu urządzenia mogą również uwierzytelniać i pobierać zawartość z punktu dystrybucji skonfigurowanego dla protokołu HTTPS bez konieczności używania certyfikatu PKI na kliencie. Dodawanie certyfikatu uwierzytelniania klienta do grupy roboczej lub Microsoft Entra przyłączonych klientów jest trudne.

To zachowanie obejmuje scenariusze wdrażania systemu operacyjnego z sekwencją zadań uruchomioną z nośnika rozruchowego, środowiska PXE lub Centrum oprogramowania. Aby uzyskać więcej informacji, zobacz Konto dostępu do sieci.

Scenariusz 3: tożsamość urządzenia Microsoft Entra

Urządzenie Microsoft Entra przyłączone lub hybrydowe Microsoft Entra bez logowania Microsoft Entra użytkownik może bezpiecznie komunikować się z przypisaną lokacją. Tożsamość urządzenia oparta na chmurze jest teraz wystarczająca do uwierzytelniania za pomocą usługi CMG i punktu zarządzania w scenariuszach zorientowanych na urządzenia. (Token użytkownika jest nadal wymagany w scenariuszach zorientowanych na użytkownika).

Funkcje

Następujące funkcje Configuration Manager obsługują lub wymagają ulepszonego protokołu HTTP:

Uwaga

Punkt aktualizacji oprogramowania i powiązane scenariusze zawsze obsługiwały bezpieczny ruch HTTP z klientami, a także bramą zarządzania chmurą. Używa mechanizmu z punktem zarządzania, który różni się od uwierzytelniania opartego na certyfikatach lub tokenach.

Nieobsługiwane scenariusze

Rozszerzony protokół HTTP nie zabezpiecza obecnie całej komunikacji w Configuration Manager. Poniższa lista zawiera podsumowanie niektórych kluczowych funkcji, które są nadal HTTP.

  • Komunikacja równorzędna klienta dla zawartości
  • Punkt migracji stanu
  • Narzędzia zdalne
  • Punkt usług raportowania

Uwaga

Ta lista nie jest wyczerpująca.

Wymagania wstępne

  • Punkt zarządzania skonfigurowany dla połączeń klienta HTTP. Ustaw tę opcję na karcie Ogólne właściwości roli punktu zarządzania.

  • Punkt dystrybucji skonfigurowany dla połączeń klienta HTTP. Ustaw tę opcję na karcie Komunikacja właściwości roli punktu dystrybucji. Nie włączaj opcji Zezwalaj klientom na anonimowe nawiązywanie połączeń.

  • W przypadku scenariuszy wymagających uwierzytelniania Microsoft Entra dołącz lokację do Microsoft Entra identyfikatora na potrzeby zarządzania chmurą. Jeśli nie dołączasz witryny do Microsoft Entra identyfikatora, nadal możesz włączyć rozszerzony protokół HTTP.

  • Tylko w przypadku scenariusza 3: klient z obsługiwaną wersją Windows 10 lub nowszą i przyłączony do Microsoft Entra identyfikatora. Klient wymaga tej konfiguracji do Microsoft Entra uwierzytelniania urządzenia.

Uwaga

Nie ma żadnych wymagań dotyczących wersji systemu operacyjnego, poza tym, co obsługuje klient Configuration Manager.

Konfigurowanie witryny

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz węzeł Lokacje. Wybierz witrynę i wybierz pozycję Właściwości na wstążce.

  2. Przejdź do karty Zabezpieczenia komunikacji . Wybierz opcję HTTPS lub HTTP. Następnie włącz opcję Użyj certyfikatów generowanych Configuration Manager dla systemów lokacji HTTP.

Porada

Poczekaj do 30 minut, aż punkt zarządzania otrzyma i skonfiguruje nowy certyfikat z lokacji.

Możesz również włączyć rozszerzony protokół HTTP dla centralnej lokacji administracyjnej (CAS). Użyj tego samego procesu i otwórz właściwości cas. Ta akcja umożliwia tylko rozszerzony protokół HTTP dla roli dostawcy programu SMS w cas. Nie jest to ustawienie globalne, które ma zastosowanie do wszystkich lokacji w hierarchii.

Aby uzyskać więcej informacji o tym, jak klient komunikuje się z punktem zarządzania i punktem dystrybucji z tą konfiguracją, zobacz Komunikacja od klientów do systemów lokacji i usług.

Weryfikowanie certyfikatu

Te certyfikaty można wyświetlić w konsoli Configuration Manager. Przejdź do obszaru roboczego Administracja , rozwiń węzeł Zabezpieczenia i wybierz węzeł Certyfikaty . Poszukaj certyfikatu głównego wystawiania wiadomości SMS i certyfikatów roli serwera lokacji wystawionych przez katalog główny wystawiania wiadomości SMS.

Po włączeniu rozszerzonego protokołu HTTP serwer lokacji generuje certyfikat z podpisem własnym o nazwie Certyfikat SSL roli programu SMS. Ten certyfikat jest wystawiany przez certyfikat wystawiania głównego programu SMS . Punkt zarządzania dodaje ten certyfikat do domyślnej witryny sieci Web usług IIS powiązanej z portem 443.

Aby wyświetlić stan konfiguracji, przejrzyj plik mpcontrol.log.

Diagram koncepcyjny

Ten diagram zawiera podsumowanie i wizualizowanie niektórych głównych aspektów rozszerzonej funkcjonalności PROTOKOŁU HTTP w Configuration Manager.

Diagram koncepcyjny z rozszerzonymi funkcjami HTTP.

  • Zalecane jest połączenie z identyfikatorem Microsoft Entra, ale opcjonalne. Umożliwia ona scenariusze wymagające uwierzytelniania Microsoft Entra.

  • Po włączeniu opcji lokacji dla rozszerzonego protokołu HTTP lokacja wystawia certyfikaty z podpisem własnym do systemów lokacji, takich jak punkty zarządzania i role punktu dystrybucji.

  • Gdy systemy lokacji są nadal skonfigurowane pod kątem połączeń HTTP, klienci komunikują się z nimi za pośrednictwem protokołu HTTPS.

Często zadawane pytania

Jakie są korzyści wynikające z rozszerzonego protokołu HTTP?

Główną korzyścią jest zmniejszenie użycia czystego protokołu HTTP, który jest niezabezpieczonym protokołem. Configuration Manager domyślnie stara się być bezpieczna, a firma Microsoft chce ułatwić zabezpieczanie urządzeń. Włączenie protokołu HTTPS opartego na infrastrukturze PKI jest bezpieczniejszą konfiguracją, ale może być skomplikowane dla wielu klientów. Jeśli nie możesz wykonać protokołu HTTPS, włącz rozszerzony protokół HTTP. Firma Microsoft zaleca tę konfigurację, nawet jeśli środowisko nie używa obecnie żadnej z funkcji, które ją obsługują.

Ważna

Począwszy od Configuration Manager wersji 2103, witryny, które zezwalają na komunikację klienta HTTP, są przestarzałe. Skonfiguruj witrynę pod kątem protokołu HTTPS lub rozszerzonego protokołu HTTP. Aby uzyskać więcej informacji, zobacz Włączanie witryny dla protokołu HTTPS lub rozszerzonego protokołu HTTP.

Czy muszę użyć identyfikatora Microsoft Entra, aby włączyć rozszerzony protokół HTTP?

L.p. Wiele scenariuszy i funkcji korzystających z rozszerzonego protokołu HTTP polega na uwierzytelnianiu Microsoft Entra. Rozszerzony protokół HTTP można włączyć bez dołączania witryny do Microsoft Entra identyfikatora. Następnie obsługuje funkcje takie jak usługa administracyjna i mniejsze zapotrzebowanie na konto dostępu do sieci. Identyfikator Microsoft Entra jest potrzebny tylko wtedy, gdy wymaga tego jedna z funkcji pomocniczych.

Uwaga

Nawet jeśli nie używasz bezpośrednio interfejsu API REST usługi administracyjnej, niektóre funkcje Configuration Manager używają go natywnie, w tym części konsoli Configuration Manager.

Jak klienci komunikują się z systemami lokacji?

Po włączeniu rozszerzonego protokołu HTTP lokacja wystawia certyfikaty systemom lokacji. Na przykład punkt zarządzania i punkt dystrybucji. Następnie te systemy lokacji mogą obsługiwać bezpieczną komunikację w obecnie obsługiwanych scenariuszach.

Z perspektywy klienta punkt zarządzania wystawia każdemu klientowi token. Klient używa tego tokenu do zabezpieczania komunikacji z systemami lokacji. To zachowanie jest niezależne od wersji systemu operacyjnego, inne niż to, co obsługuje klient Configuration Manager.

Jeśli niektóre systemy lokacji mają już protokół HTTPS, czy mogę włączyć rozszerzony protokół HTTP?

Tak. Systemy lokacji zawsze preferują certyfikat PKI. Na przykład jeden punkt zarządzania ma już certyfikat PKI, ale inne nie. Po włączeniu rozszerzonego protokołu HTTP dla lokacji punkt zarządzania HTTPS nadal używa certyfikatu PKI. Inne punkty zarządzania używają certyfikatu wystawionego przez lokację dla rozszerzonego protokołu HTTP.

Następne kroki