Configurer des certificats pour les communications approuvées avec la gestion des appareils mobiles local
S’applique à : Gestionnaire de Configuration (branche actuelle)
Configuration Manager gestion locale des appareils mobiles (GPM) nécessite que vous configuriez les rôles de système de site pour les communications approuvées avec des appareils gérés. Vous avez besoin de deux types de certificats :
Un certificat de serveur web dans IIS sur les serveurs hébergeant les rôles de système de site requis. Si un serveur héberge plusieurs rôles de système de site, vous n’avez besoin que d’un seul certificat pour ce serveur. Si chaque rôle se trouve sur un serveur distinct, chaque serveur a besoin d’un certificat distinct.
Certificat racine approuvé de l’autorité de certification qui émet les certificats de serveur web. Installez ce certificat racine sur tous les appareils qui doivent se connecter aux rôles de système de site.
Pour les appareils joints à un domaine, si vous utilisez les services de certificats Active Directory, ces certificats peuvent être installés automatiquement sur tous les appareils. Pour les appareils non joints à un domaine, installez le certificat racine approuvé par d’autres moyens.
Pour les appareils inscrits en bloc, vous pouvez inclure le certificat dans le package d’inscription. Pour les appareils inscrits par l’utilisateur, vous devez ajouter le certificat par e-mail, téléchargement web ou autre méthode.
Si vous utilisez un fournisseur de certificats public et globalement approuvé pour émettre les certificats de serveur, vous pouvez éviter d’avoir à installer manuellement le certificat racine approuvé sur chaque appareil. La plupart des appareils font confiance en mode natif à ces autorités publiques. Cette méthode est une alternative utile pour les appareils inscrits par l’utilisateur, au lieu d’installer le certificat par d’autres moyens.
Importante
Il existe de nombreuses façons de configurer les certificats pour les communications approuvées entre les appareils et les serveurs de système de site pour la gestion des appareils mobiles locaux. Les informations contenues dans cet article sont un exemple d’une façon de procéder. Cette méthode nécessite les services de certificats Active Directory, avec une autorité de certification et le rôle d’inscription web de l’autorité de certification. Pour plus d’informations, consultez Services de certificats Active Directory.
Publier la liste de révocation de certificats
Par défaut, l’autorité de certification Active Directory utilise des listes de révocation de certificats basées sur LDAP. Il autorise les connexions à la liste de révocation de certificats pour les appareils joints à un domaine. Pour autoriser les appareils non joints à un domaine à approuver les certificats émis à partir de l’autorité de certification, ajoutez une liste de révocation de certificats basée sur HTTP.
Sur le serveur exécutant l’autorité de certification pour votre site, accédez au menu Démarrer , sélectionnez Outils d’administration, puis choisissez Autorité de certification.
Dans la console Autorité de certification, cliquez avec le bouton droit sur CertificateAuthority, puis sélectionnez Propriétés.
Dans Propriétés CertificateAuthority, basculez vers l’onglet Extensions. Assurez-vous que l’option Sélectionner l’extension est définie sur CDP (CRL Distribution Point).
Sélectionnez
http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
. Sélectionnez ensuite les options suivantes :Inclure dans les listes de révocation de certificats. Les clients l’utilisent pour rechercher les emplacements de liste de révocation de certificats Delta.
Inclure dans l’extension CDP des certificats émis.
Inclure dans l’extension IDP des listes de révocation de certificats émises
Basculez vers l’onglet Quitter le module . Sélectionnez Propriétés, puis Autoriser la publication des certificats dans le système de fichiers. Vous verrez un avis de redémarrage des services de certificats Active Directory.
Cliquez avec le bouton droit sur Certificats révoqués, sélectionnez Toutes les tâches, puis choisissez Publier.
Dans la fenêtre Publier la liste de révocation de certificats, sélectionnez Liste de révocation de certificats Delta uniquement, puis sélectionnez OK pour fermer la fenêtre.
Créer le modèle de certificat
L’autorité de certification utilise le modèle de certificat de serveur web pour émettre des certificats pour les serveurs hébergeant les rôles de système de site. Ces serveurs seront des points de terminaison SSL pour les communications approuvées entre les rôles de système de site et les appareils inscrits.
Créez un groupe de sécurité de domaine nommé Serveurs GPM ConfigMgr. Ajoutez au groupe les comptes d’ordinateur des serveurs de système de site.
Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer. Cette action charge la console Modèles de certificats.
Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Serveur web dans la colonne Nom complet du modèle , puis sélectionnez Dupliquer le modèle.
Dans la fenêtre Modèle en double, sélectionnez Windows 2003 Server, Êdition Entreprise ou Windows 2008 Server, Êdition Entreprise, puis sélectionnez OK.
Conseil
Configuration Manager prend en charge les modèles de certificat Windows 2008 Server, également appelés certificats V3 ou Chiffrement : Nouvelle génération (CNG). Pour plus d’informations, consultez Vue d’ensemble des certificats CNG v3.
Si votre autorité de certification s’exécute sur Windows Server 2012 ou une version ultérieure, cette fenêtre n’affiche pas l’option de version du modèle de certificat. Après avoir dupliqué le modèle, sélectionnez la version sous l’onglet Compatibilité des propriétés du modèle.
Dans la fenêtre Propriétés du nouveau modèle , sous l’onglet Général , entrez un nom de modèle. L’autorité de certification utilise ce nom pour générer les certificats web qui seront utilisés sur Configuration Manager systèmes de site. Par exemple, tapez Serveur web GPM ConfigMgr.
Basculez vers l’onglet Nom de l’objet, puis sélectionnez Générer à partir des informations Active Directory. Pour le format du nom de l’objet, spécifiez nom DNS. Si nom d’utilisateur principal (UPN) est sélectionné, désactivez l’option pour un autre nom d’objet.
Basculez vers l’onglet Sécurité .
Supprimez l’autorisation Inscrire des groupes de sécurité Administrateurs de domaine et Administrateurs d’entreprise .
Sélectionnez Ajouter, puis entrez le nom de votre groupe de sécurité. Par exemple, serveurs GPM ConfigMgr. Sélectionnez OK pour fermer la fenêtre.
Sélectionnez l’autorisation Inscrire pour ce groupe. Ne supprimez pas l’autorisation Lecture .
Sélectionnez OK pour enregistrer vos modifications, puis fermez la console Modèles de certificats.
Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, sélectionnez Nouveau, puis modèle de certificat à émettre.
Dans la fenêtre Activer les modèles de certificat , sélectionnez le nouveau modèle. Par exemple, serveur web GPM ConfigMgr. Sélectionnez ensuite OK pour enregistrer et fermer la fenêtre.
Demander le certificat
Ce processus explique comment demander le certificat de serveur web pour IIS. Effectuez ce processus pour chaque serveur de système de site qui héberge l’un des rôles pour la gestion des appareils mobiles locaux.
Sur le serveur de système de site qui héberge l’un des rôles, ouvrez une invite de commandes en tant qu’administrateur. Entrez
mmc
pour ouvrir une console de gestion Microsoft vide.Dans la fenêtre de console, accédez au menu Fichier , puis sélectionnez Ajouter/supprimer un composant logiciel enfichable.
Choisissez Certificats dans la liste des composants logiciels enfichables disponibles, puis sélectionnez Ajouter.
Dans la fenêtre de composant logiciel enfichable Certificats, choisissez Compte d’ordinateur. Sélectionnez Suivant, puis Terminer pour gérer l’ordinateur local.
Sélectionnez OK pour quitter la fenêtre Ajouter ou supprimer un composant logiciel enfichable.
Développez Certificats (ordinateur local) et sélectionnez le magasin personnel . Accédez au menu Action , sélectionnez Toutes les tâches, puis choisissez Demander un nouveau certificat. Cette action communique avec les services de certificats Active Directory pour créer un certificat à l’aide du modèle que vous avez créé précédemment.
Dans l’Assistant Inscription de certificat, dans la page Avant de commencer, sélectionnez Suivant.
Dans la page Sélectionner une stratégie d’inscription de certificat, sélectionnez Stratégie d’inscription Active Directory, puis Suivant.
Sélectionnez votre modèle de certificat de serveur web (Serveur web GPM ConfigMgr), puis sélectionnez Inscrire.
Une fois qu’il a fait la demande du certificat, sélectionnez Terminer.
Chaque serveur a besoin d’un certificat de serveur web unique. Répétez ce processus pour chaque serveur qui héberge l’un des rôles de système de site requis. Si un serveur héberge tous les rôles de système de site, vous devez simplement demander un certificat de serveur web.
Lier le certificat
L’étape suivante consiste à lier le nouveau certificat au serveur web. Suivez ce processus pour chaque serveur qui héberge les rôles de système de site de point d’inscription et de point proxy d’inscription . Si un serveur héberge tous les rôles de système de site, vous ne devez effectuer ce processus qu’une seule fois.
Remarque
Vous n’avez pas besoin d’effectuer ce processus pour les rôles de système de site de point de distribution et de point de gestion des appareils. Ils reçoivent automatiquement le certificat requis lors de l’inscription.
Sur le serveur hébergeant le point d’inscription ou le point de proxy d’inscription, accédez au menu Démarrer , sélectionnez Outils d’administration, puis choisissez Gestionnaire des services Internet.
Dans la liste connexions, sélectionnez le site web par défaut, puis modifier les liaisons.
Dans la fenêtre Liaisons de site, sélectionnez https, puis Modifier.
Dans la fenêtre Modifier la liaison de site, sélectionnez le certificat nouvellement inscrit pour le certificat SSL. Sélectionnez OK pour enregistrer, puis fermer.
Dans la console du Gestionnaire des services Internet, dans la liste connexions, sélectionnez le serveur web. Dans le panneau Action à droite, sélectionnez Redémarrer. Cette action redémarre le service serveur web.
Exporter le certificat racine approuvé
Les services de certificats Active Directory installent automatiquement le certificat requis à partir de l’autorité de certification sur tous les appareils joints à un domaine. Pour obtenir le certificat requis pour que les appareils non joints à un domaine communiquent avec les rôles de système de site, exportez-le à partir du certificat lié au serveur web.
Dans le Gestionnaire des services Internet, sélectionnez site web par défaut. Dans le panneau Action à droite, sélectionnez Liaisons.
Dans la fenêtre Liaisons de site, sélectionnez https, puis Modifier.
Sélectionnez le certificat de serveur web, puis sélectionnez Afficher.
Dans les propriétés du certificat de serveur web, basculez vers l’onglet Chemin d’accès de certification . Sélectionnez la racine du chemin d’accès de certification, puis sélectionnez Afficher le certificat.
Dans les propriétés du certificat racine, basculez vers l’onglet Détails , puis sélectionnez Copier dans un fichier.
Dans l’Assistant Exportation de certificat, dans la page Bienvenue, sélectionnez Suivant.
Sélectionnez X.509 binaire encodé DER (. CER) comme format, puis sélectionnez Suivant.
Entrez un chemin d’accès et un nom de fichier pour identifier ce certificat racine approuvé. Pour le nom du fichier, cliquez sur Parcourir... , choisissez un emplacement pour enregistrer le fichier de certificat, nommez le fichier, puis sélectionnez Suivant.
Passez en revue les paramètres, puis sélectionnez Terminer pour exporter le certificat dans un fichier.
Selon la conception de votre autorité de certification, vous devrez peut-être exporter des certificats racine d’autorité de certification subordonné supplémentaires. Répétez ce processus pour exporter les autres certificats dans le chemin de certification du certificat de serveur web.