Расширенный протокол HTTP

  • Статья

Относится к Configuration Manager (Current Branch)

Корпорация Майкрософт рекомендует использовать обмен данными по протоколу HTTPS для всех путей связи Configuration Manager, но для некоторых клиентов это сложно из-за дополнительных затрат на управление PKI-сертификатами. Благодаря расширенному протоколу HTTP Configuration Manager могут обеспечить безопасное взаимодействие, выдавая самозаверяющие сертификаты определенным системам сайта.

Для этой конфигурации необходимо выполнить две основные задачи:

  • Вы можете защитить конфиденциальный обмен данными с клиентом без использования сертификатов проверки подлинности PKI-сервера.

  • Клиенты могут безопасно получать доступ к содержимому из точек распространения без необходимости использования учетной записи доступа к сети, PKI-сертификата клиента или проверка подлинности Windows.

Все остальное взаимодействие с клиентом осуществляется по протоколу HTTP. Расширенный протокол HTTP не то же самое, что включение HTTPS для обмена данными с клиентом или системы сайта.

Примечание.

PKI-сертификаты по-прежнему являются допустимым вариантом для клиентов со следующими требованиями:

  • Весь обмен данными между клиентами осуществляется по протоколу HTTPS
  • Расширенное управление инфраструктурой подписывания

Если вы уже используете PKI, системы сайта используют PKI-сертификат, привязанный к IIS, даже если вы включили расширенный ПРОТОКОЛ HTTP.

Сценарии

Преимущества расширенного протокола HTTP можно использовать в следующих сценариях:

Сценарий 1. Клиент — точка управления

Microsoft Entra присоединенные устройства и устройства с Configuration Manager выданным маркером могут взаимодействовать с точкой управления, настроенной для HTTP, если для сайта включен расширенный ПРОТОКОЛ HTTP. Если включен расширенный протокол HTTP, сервер сайта создает сертификат для точки управления, что позволяет ей обмениваться данными через безопасный канал.

Примечание.

Для этого сценария не требуется использовать точку управления с поддержкой HTTPS, но она поддерживается в качестве альтернативы использованию расширенного протокола HTTP. Дополнительные сведения об использовании точки управления с поддержкой HTTPS см. в разделе Включение точки управления для HTTPS.

Сценарий 2. Клиент — точка распространения

Клиент, присоединенный к рабочей группе или Microsoft Entra, может выполнять проверку подлинности и скачивать содержимое через безопасный канал из точки распространения, настроенной для HTTP. Эти типы устройств также могут выполнять проверку подлинности и скачивать содержимое из точки распространения, настроенной для HTTPS, не требуя PKI-сертификата на клиенте. Сложно добавить сертификат проверки подлинности клиента в рабочую группу или Microsoft Entra присоединенный клиент.

Это поведение включает сценарии развертывания ОС с последовательностью задач, выполняемой с загрузочного носителя, PXE или центра программного обеспечения. Дополнительные сведения см. в статье Учетная запись доступа к сети.

Сценарий 3. Microsoft Entra удостоверения устройства

Присоединенное к Microsoft Entra или гибридное устройство Microsoft Entra без Microsoft Entra вошедшего пользователя может безопасно взаимодействовать с назначенным ему сайтом. Облачного удостоверения устройства теперь достаточно для проверки подлинности в CMG и точке управления для сценариев, ориентированных на устройство. (Маркер пользователя по-прежнему требуется для сценариев, ориентированных на пользователя.)

Возможности

Следующие Configuration Manager функции поддерживают или требуют расширенного протокола HTTP:

Примечание.

Точка обновления программного обеспечения и связанные сценарии всегда поддерживали безопасный трафик HTTP с клиентами, а также шлюзом управления облаком. Он использует механизм с точкой управления, которая отличается от проверки подлинности на основе сертификатов или маркеров.

Неподдерживаемые сценарии

Расширенный протокол HTTP в настоящее время не защищает весь обмен данными в Configuration Manager. В следующем списке перечислены некоторые ключевые функции, которые по-прежнему являются HTTP.

  • Одноранговая связь клиента для содержимого
  • Точка миграции состояния
  • Удаленные инструменты
  • Точка служб Reporting Services

Примечание.

Этот список не является исчерпывающим.

Предварительные требования

  • Точка управления, настроенная для подключений клиентов HTTP. Задайте этот параметр на вкладке Общие свойств роли точки управления.

  • Точка распространения, настроенная для подключений клиента HTTP. Задайте этот параметр на вкладке Связь свойств роли точки распространения. Не включайте параметр Разрешить клиентам анонимное подключение.

  • В сценариях, требующих проверки подлинности Microsoft Entra, подойдите к сайту, чтобы Microsoft Entra идентификатор для управления облаком. Если вы не подключены к сайту Microsoft Entra идентификатор, вы по-прежнему можете включить расширенный протокол HTTP.

  • Только для сценария 3. Клиент под управлением поддерживаемой версии Windows 10 или более поздней версии, присоединенный к идентификатору Microsoft Entra. Клиенту требуется эта конфигурация для проверки подлинности Microsoft Entra устройства.

Примечание.

Нет требований к версии ОС, кроме поддерживаемых клиентом Configuration Manager.

Настройка сайта

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Конфигурация сайта и выберите узел Сайты. Выберите сайт и выберите свойства на ленте.

  2. Перейдите на вкладку Безопасность связи . Выберите параметр HTTPS или HTTP. Затем включите параметр Использовать сертификаты, созданные Configuration Manager для систем сайта HTTP.

Совет

Подождите до 30 минут, пока точка управления получит и настроит новый сертификат с сайта.

Вы также можете включить расширенный протокол HTTP для сайта центра администрирования (CAS). Используйте тот же процесс и откройте свойства cas. Это действие включает только расширенный протокол HTTP для роли поставщика SMS в CAS. Это не глобальный параметр, который применяется ко всем сайтам в иерархии.

Дополнительные сведения о том, как клиент взаимодействует с точкой управления и точкой распространения с этой конфигурацией, см. в разделе Взаимодействие клиентов с системами и службами сайта.

Проверка сертификата

Эти сертификаты можно увидеть в консоли Configuration Manager. Перейдите в рабочую область Администрирование , разверните узел Безопасность и выберите узел Сертификаты . Найдите корневой сертификат выдачи SMS и сертификаты роли сервера сайта, выданные корневым каталогом выдачи SMS.

При включении расширенного протокола HTTP сервер сайта создает самозаверяющий сертификат с именем SSL-сертификат роли SMS. Этот сертификат выдается корневым сертификатом выдачи SMS . Точка управления добавляет этот сертификат на веб-сайт IIS по умолчанию, привязанный к порту 443.

Чтобы просмотреть состояние конфигурации, просмотрите файл mpcontrol.log.

Концептуальная схема

На этой схеме суммируются и визуализируются некоторые main аспекты расширенных функций HTTP в Configuration Manager.

Концептуальная схема расширенных функций HTTP.

  • Соединение с идентификатором Microsoft Entra рекомендуется, но необязательно. Он включает сценарии, требующие проверки подлинности Microsoft Entra.

  • При включении параметра сайта для расширенного HTTP сайт выдает самозаверяемые сертификаты в системах сайта, таких как точки управления и роли точки распространения.

  • Так как системы сайта по-прежнему настроены для HTTP-подключений, клиенты взаимодействуют с ними по протоколу HTTPS.

Вопросы и ответы

Каковы преимущества расширенного протокола HTTP?

Преимущество main заключается в сокращении использования чистого протокола HTTP, который является небезопасным протоколом. Configuration Manager пытается обеспечить безопасность по умолчанию, и корпорация Майкрософт хочет упростить защиту ваших устройств. Включение протокола HTTPS на основе PKI является более безопасной конфигурацией, но это может быть сложным для многих клиентов. Если вы не можете выполнить HTTPS, включите расширенный протокол HTTP. Корпорация Майкрософт рекомендует эту конфигурацию, даже если в вашей среде в настоящее время не используются какие-либо функции, которые ее поддерживают.

Важно!

Начиная с Configuration Manager версии 2103, сайты, которые разрешают обмен данными с клиентом HTTP, не рекомендуется использовать. Настройте сайт для HTTPS или расширенного HTTP. Дополнительные сведения см. в статье Включение сайта только для HTTPS или расширенного HTTP.

Нужно ли использовать идентификатор Microsoft Entra для включения расширенного HTTP?

Нет. Во многих сценариях и функциях, которые пользуются преимуществами расширенного протокола HTTP, используется проверка подлинности Microsoft Entra. Вы можете включить расширенный ПРОТОКОЛ HTTP без подключения сайта к идентификатору Microsoft Entra. Затем он поддерживает такие функции, как служба администрирования и снижение потребности в учетной записи доступа к сети. Идентификатор Microsoft Entra требуется только в том случае, если он требуется для одной из вспомогательных функций.

Примечание.

Даже если вы не используете REST API службы администрирования напрямую, некоторые функции Configuration Manager изначально используют его, включая части консоли Configuration Manager.

Как клиенты взаимодействуют с системами сайта?

При включении расширенного ПРОТОКОЛА HTTP сайт выдает сертификаты системам сайта. Например, точка управления и точка распространения. Затем эти системы сайта могут поддерживать безопасную связь в поддерживаемых в настоящее время сценариях.

С точки зрения клиента точка управления выдает каждому клиенту маркер. Клиент использует этот маркер для защиты связи с системами сайта. Это поведение не зависит от версии ОС, за исключением того, что поддерживает клиент Configuration Manager.

Если некоторые системы сайта уже используют протокол HTTPS, можно ли включить расширенный протокол HTTP?

Да. Системы сайта всегда предпочитают PKI-сертификат. Например, одна точка управления уже имеет PKI-сертификат, а другая — нет. При включении расширенного протокола HTTP для сайта точка управления HTTPS продолжает использовать PKI-сертификат. Другие точки управления используют выданный сайтом сертификат для расширенного HTTP.

Дальнейшие действия