Nastavení certifikátů pro důvěryhodnou komunikaci s místním MDM
Platí pro: Configuration Manager (Current Branch)
Configuration Manager místní správa mobilních zařízení (MDM) vyžaduje, abyste nakonfigurovali role systému lokality pro důvěryhodnou komunikaci se spravovanými zařízeními. Potřebujete dva typy certifikátů:
Certifikát webového serveru ve službě IIS na serverech hostujících požadované role systému lokality. Pokud jeden server hostuje více rolí systému lokality, potřebujete pro tento server jenom jeden certifikát. Pokud je každá role na samostatném serveru, potřebuje každý server samostatný certifikát.
Důvěryhodný kořenový certifikát certifikační autority (CA), která vydává certifikáty webového serveru. Nainstalujte tento kořenový certifikát na všechna zařízení, která se potřebují připojit k rolím systému lokality.
Pokud u zařízení připojených k doméně používáte službu Active Directory Certificate Services, může tato služba tyto certifikáty automaticky nainstalovat na všechna zařízení. V případě zařízení, která nejsou připojená k doméně, nainstalujte důvěryhodný kořenový certifikát jiným způsobem.
U hromadně zaregistrovaných zařízení můžete certifikát zahrnout do registračního balíčku. U zařízení zaregistrovaných uživatelem musíte certifikát přidat e-mailem, stažením z webu nebo jinou metodou.
Pokud k vydávání certifikátů serveru používáte veřejného a globálně důvěryhodného zprostředkovatele certifikátů, můžete se vyhnout ruční instalaci důvěryhodného kořenového certifikátu na každé zařízení. Většina zařízení těmto veřejným orgánům nativně důvěřuje. Tato metoda je užitečnou alternativou pro zařízení zaregistrovaná uživatelem místo instalace certifikátu jinými prostředky.
Důležité
Existuje mnoho způsobů, jak nastavit certifikáty pro důvěryhodnou komunikaci mezi zařízeními a servery systému lokality pro místní MDM. Informace v tomto článku jsou příkladem jednoho způsobu, jak to udělat. Tato metoda vyžaduje službu Active Directory Certificate Services s certifikační autoritou a rolí webového zápisu certifikační autority. Další informace najdete v tématu Active Directory Certificate Services.
Publikování seznamu CRL
Ve výchozím nastavení používá certifikační autorita (CA) služby Active Directory seznamy odvolaných certifikátů (CRL) založené na protokolu LDAP. Umožňuje připojení k seznamu CRL pro zařízení připojená k doméně. Pokud chcete zařízením, která nejsou připojená k doméně, povolit důvěřovat certifikátům vydaným z certifikační autority, přidejte seznam CRL založený na protokolu HTTP.
Na serveru, na kterém běží certifikační autorita pro vaši lokalitu, přejděte do nabídky Start , vyberte Nástroje pro správu a zvolte Certifikační autorita.
V konzole Certifikační autorita klikněte pravým tlačítkem na CertificateAuthority a pak vyberte Vlastnosti.
Ve vlastnostech CertificateAuthority přepněte na kartu Rozšíření. Ujistěte se, že možnost Vybrat rozšíření je nastavená na distribuční bod seznamu CRL (CDP).
Vyberte
http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
. Pak vyberte následující možnosti:Zahrnout do seznamů CRL. Klienti ho používají k vyhledání umístění rozdílového seznamu CRL.
Zahrnout do rozšíření CDP vydaných certifikátů.
Zahrnout do rozšíření IDP vydaných seznamů CRL
Přepněte na kartu Ukončit modul . Vyberte Vlastnosti a pak vyberte Povolit publikování certifikátů do systému souborů. Zobrazí se oznámení o restartování služby Active Directory Certificate Services.
Klikněte pravým tlačítkem na Odvolané certifikáty, vyberte Všechny úlohy a pak zvolte Publikovat.
V okně Publish CRL (Publikovat seznam CRL) vyberte Delta CRL only (Jenom rozdílový seznam CRL) a pak výběrem OK okno zavřete.
Vytvoření šablony certifikátu
Certifikační autorita používá šablonu certifikátu webového serveru k vydávání certifikátů pro servery, které jsou hostiteli rolí systému lokality. Tyto servery budou koncové body SSL pro důvěryhodnou komunikaci mezi rolemi systému lokality a zaregistrovanými zařízeními.
Vytvořte skupinu zabezpečení domény s názvem Servery MDM ConfigMgr. Přidejte do skupiny účty počítačů serverů systému lokality.
V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů a zvolte Spravovat. Tato akce načte konzolu Šablony certifikátů.
V podokně výsledků klikněte pravým tlačítkem myši na položku Webový server ve sloupci Zobrazovaný název šablony a pak vyberte Duplikovat šablonu.
V okně Duplikovat šablonu vyberte Windows 2003 Server, edice Enterprise nebo Windows 2008 Server, edice Enterprise a pak vyberte OK.
Tip
Configuration Manager podporuje šablony certifikátů systému Windows 2008 Server, označované také jako certifikáty V3 nebo Cryptography: Next Generation (CNG). Další informace najdete v tématu Přehled certifikátů CNG v3.
Pokud vaše certifikační autorita běží na Windows Server 2012 nebo novějším, nezobrazí se v tomto okně možnost pro verzi šablony certifikátu. Po duplikování šablony vyberte verzi na kartě Kompatibilita vlastností šablony.
V okně Vlastnosti nové šablony zadejte na kartě Obecné název šablony. Certifikační autorita používá tento název k vygenerování webových certifikátů, které se použijí v systémech Configuration Manager lokality. Zadejte například ConfigMgr MDM web server.
Přepněte na kartu Název subjektu a vyberte Sestavit z informací služby Active Directory. Jako formát názvu subjektu zadejte název DNS. Pokud je vybraná možnost Hlavní název uživatele (UPN), zakažte možnost alternativního názvu subjektu.
Přepněte na kartu Zabezpečení .
Odeberte oprávnění k registraci ze skupin zabezpečení Domain Admins a Enterprise Admins .
Vyberte Přidat a zadejte název skupiny zabezpečení. Například servery ConfigMgr MDM. Výběrem OK okno zavřete.
Vyberte oprávnění k registraci pro tuto skupinu. Neodebíjejte oprávnění ke čtení .
Kliknutím na OK uložte změny a zavřete konzolu Šablony certifikátů.
V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony certifikátů, vyberte Nový a pak zvolte Šablona certifikátu, která se má vystavit.
V okně Povolit šablony certifikátů vyberte novou šablonu. Například webový server ConfigMgr MDM. Potom vyberte OK a okno uložte a zavřete.
Žádost o certifikát
Tento proces popisuje, jak požádat o certifikát webového serveru pro službu IIS. Tento proces proveďte pro každý server systému lokality, který je hostitelem jedné z rolí pro místní SPRÁVU mobilních zařízení (MDM).
Na serveru systému lokality, který je hostitelem jedné z rolí, otevřete příkazový řádek jako správce. Zadáním
mmc
příkazu otevřete prázdnou konzolu pro správu Microsoft.V okně konzoly přejděte do nabídky Soubor a vyberte Přidat nebo odebrat modul snap-in.
V seznamu dostupných modulů snap-in zvolte Certifikáty a vyberte Přidat.
V okně modulu snap-in Certifikáty zvolte Účet počítače. Vyberte Další a pak vyberte Dokončit , abyste mohli spravovat místní počítač.
Výběrem OK zavřete okno Přidat nebo odebrat modul snap-in.
Rozbalte položku Certifikáty (místní počítač) a vyberte osobní úložiště. Přejděte do nabídky Akce , vyberte Všechny úkoly a zvolte Požádat o nový certifikát. Tato akce komunikuje se službou Active Directory Certificate Services a vytvoří nový certifikát pomocí šablony, kterou jste vytvořili dříve.
V Průvodci zápisem certifikátu na stránce Než začnete vyberte Další.
Na stránce Vybrat zásady zápisu certifikátu vyberte Zásady zápisu služby Active Directory a pak vyberte Další.
Vyberte šablonu certifikátu webového serveru (ConfigMgr MDM Web Server) a pak vyberte Registrovat.
Jakmile si vyžádá certifikát, vyberte Dokončit.
Každý server potřebuje jedinečný certifikát webového serveru. Tento postup opakujte pro každý server, který je hostitelem jedné z požadovaných rolí systému lokality. Pokud jeden server hostuje všechny role systému lokality, stačí požádat o jeden certifikát webového serveru.
Vytvoření vazby certifikátu
Dalším krokem je vytvoření vazby nového certifikátu k webovému serveru. Tento postup použijte pro každý server, který je hostitelem rolí systému lokality bodu registrace a zprostředkačního bodu registrace . Pokud je jeden server hostitelem všech rolí systému lokality, stačí tento proces provést pouze jednou.
Poznámka
Tento proces nemusíte provádět pro role systému lokality distribučního bodu a bodu správy zařízení. Během registrace automaticky obdrží požadovaný certifikát.
Na serveru, který je hostitelem bodu registrace nebo zprostředkujícího bodu registrace, přejděte do nabídky Start , vyberte Nástroje pro správu a zvolte Správce služby IIS.
V seznamu Připojení vyberte výchozí web a pak vyberte Upravit vazby.
V okně Vazby webu vyberte https a pak vyberte Upravit.
V okně Upravit vazbu webu vyberte nově zaregistrovaný certifikát pro certifikát SSL. Vyberte OK a uložte je a pak vyberte Zavřít.
V konzole Správce služby IIS vyberte v seznamu Připojení webový server. Na panelu akcí na pravé straně vyberte Restartovat. Tato akce restartuje službu webového serveru.
Export důvěryhodného kořenového certifikátu
Služba Active Directory Certificate Services automaticky nainstaluje požadovaný certifikát z certifikační autority na všechna zařízení připojená k doméně. Pokud chcete získat certifikát, který se vyžaduje pro komunikaci zařízení, která nejsou připojená k doméně, s rolemi systému lokality, exportujte ho z certifikátu vázaného na webový server.
Ve Správci služby IIS vyberte výchozí web. Na panelu Akcí na pravé straně vyberte Vazby.
V okně Vazby webu vyberte https a pak vyberte Upravit.
Vyberte certifikát webového serveru a vyberte Zobrazit.
Ve vlastnostech certifikátu webového serveru přepněte na kartu Cesta k certifikátu. Vyberte kořen certifikační cesty a vyberte Zobrazit certifikát.
Ve vlastnostech kořenového certifikátu přepněte na kartu Podrobnosti a pak vyberte Kopírovat do souboru.
V Průvodci exportem certifikátu na úvodní stránce vyberte Další.
Vyberte binární soubor X.509 s kódováním DER (. CER) jako formát a vyberte Další.
Zadejte cestu a název souboru pro identifikaci tohoto důvěryhodného kořenového certifikátu. Jako název souboru klikněte na Procházet..., zvolte umístění pro uložení souboru certifikátu, pojmenujte soubor a vyberte Další.
Zkontrolujte nastavení a vyberte Dokončit a exportujte certifikát do souboru.
V závislosti na návrhu certifikační autority možná budete muset exportovat další kořenové certifikáty podřízené certifikační autority. Tento postup opakujte, pokud chcete exportovat ostatní certifikáty v cestě k certifikátu webového serveru.