Megosztás a következőn keresztül:


Bővített HTTP

A következőre vonatkozik: Configuration Manager (aktuális ág)

A Microsoft a HTTPS-kommunikáció használatát javasolja az összes Configuration Manager kommunikációs útvonalhoz, de egyes ügyfelek számára kihívást jelent a PKI-tanúsítványok kezelésével kapcsolatos többletterhelés. A továbbfejlesztett HTTP-vel a Configuration Manager biztonságos kommunikációt biztosíthat azáltal, hogy önaláírt tanúsítványokat bocsát ki adott helyrendszereknek.

Ennek a konfigurációnak két elsődleges célja van:

  • A bizalmas ügyfélkommunikáció biztonságossá tételéhez nincs szükség PKI-kiszolgálóhitelesítési tanúsítványokra.

  • Az ügyfelek biztonságosan hozzáférhetnek a terjesztési pontokról származó tartalmakhoz anélkül, hogy hálózati hozzáférési fiókra, PKI-ügyféltanúsítványra vagy Windows-hitelesítésre van szükség.

Minden más ügyfélkommunikáció HTTP-kapcsolaton keresztül történik. A továbbfejlesztett HTTP nem ugyanaz, mint a HTTPS engedélyezése az ügyfélkommunikációhoz vagy a helyrendszerhez.

Megjegyzés:

A PKI-tanúsítványok továbbra is érvényesek az alábbi követelményekkel rendelkező ügyfelek számára:

  • Minden ügyfélkommunikáció HTTPS-en keresztül történik
  • Az aláíró infrastruktúra speciális vezérlése

Ha már használja a PKI-t, a helyrendszerek akkor is az IIS-ben kötött PKI-tanúsítványt használják, ha engedélyezi a továbbfejlesztett HTTP-t.

Forgatókönyvek

A következő forgatókönyvek a továbbfejlesztett HTTP előnyeit élvezik:

1. forgatókönyv: Ügyféltől felügyeleti pontig

Microsoft Entra csatlakoztatott eszközök és eszközök Configuration Manager kiadott jogkivonattal kommunikálhatnak a HTTP-hez konfigurált felügyeleti ponttal, ha engedélyezi a továbbfejlesztett HTTP-t a webhelyen. Ha a kibővített HTTP engedélyezve van, a helykiszolgáló létrehoz egy tanúsítványt a felügyeleti pont számára, amely lehetővé teszi, hogy biztonságos csatornán keresztül kommunikáljon.

Megjegyzés:

Ebben a forgatókönyvben nincs szükség HTTPS-kompatibilis felügyeleti pont használatára, de a továbbfejlesztett HTTP használata helyett támogatott. A HTTPS-kompatibilis felügyeleti pontok használatával kapcsolatos további információkért lásd: Felügyeleti pont engedélyezése HTTPS-hez.

2. forgatókönyv: Ügyfél és terjesztési pont közötti kapcsolat

Egy munkacsoport vagy Microsoft Entra csatlakoztatott ügyfél biztonságos csatornán keresztül hitelesítheti és letöltheti a tartalmat egy HTTP-hez konfigurált terjesztési pontról. Az ilyen típusú eszközök a HTTPS-hez konfigurált terjesztési pontokról is hitelesíthetik és tölthetik le a tartalmakat anélkül, hogy PKI-tanúsítványt kellene megadniuk az ügyfélen. Nehéz ügyfél-hitelesítési tanúsítványt hozzáadni egy munkacsoporthoz vagy Microsoft Entra csatlakoztatott ügyfélhez.

Ez a viselkedés magában foglalja az operációs rendszer központi telepítési forgatókönyveit, amikor a feladatütemezés rendszerindító adathordozóról, PXE-ről vagy Szoftverközpontból fut. További információ: Hálózati hozzáférési fiók.

3. forgatókönyv: Microsoft Entra eszközidentitás

Egy Microsoft Entra csatlakoztatott vagy hibrid Microsoft Entra eszköz, amelybe nem jelentkezett be Microsoft Entra felhasználó, biztonságosan kommunikálhat a hozzárendelt helyével. A felhőalapú eszközidentitás most már elegendő a CMG-vel és a felügyeleti ponttal való hitelesítéshez az eszközközpontú forgatókönyvek esetében. (A felhasználóközpontú forgatókönyvekhez továbbra is szükség van felhasználói jogkivonatra.)

Funkciók

Az alábbi Configuration Manager funkciók támogatják vagy továbbfejlesztett HTTP-t igényelnek:

Megjegyzés:

A szoftverfrissítési pont és a kapcsolódó forgatókönyvek mindig támogatták a biztonságos HTTP-forgalmat az ügyfelekkel és a felhőfelügyeleti átjáróval. Olyan mechanizmust használ, amely a tanúsítvány- vagy jogkivonat-alapú hitelesítéstől eltérő felügyeleti ponttal rendelkezik.

Nem támogatott forgatókönyvek

A továbbfejlesztett HTTP jelenleg nem biztosít minden kommunikációt Configuration Manager. Az alábbi lista összefoglal néhány olyan fő funkciót, amely még mindig HTTP.

  • Ügyfelek közötti társközi kommunikáció tartalomhoz
  • Állapotáttelepítési pont
  • Távoli eszközök
  • Jelentéskészítési szolgáltatási pont

Megjegyzés:

Ez a lista nem teljes.

Előfeltételek

  • HTTP-ügyfélkapcsolatokhoz konfigurált felügyeleti pont. Ezt a beállítást a felügyeleti pont szerepkör tulajdonságainak Általános lapján állíthatja be.

  • HTTP-ügyfélkapcsolatokhoz konfigurált terjesztési pont. Ezt a beállítást a terjesztési pont szerepkör tulajdonságainak Kommunikáció lapján állíthatja be. Ne engedélyezze az Ügyfelek névtelen csatlakozásának engedélyezése beállítást.

  • A Microsoft Entra hitelesítést igénylő forgatókönyvek esetén a felhőfelügyelethez Microsoft Entra azonosítót a webhely előkészítéséhez. Ha nem készíti fel a webhelyet az azonosító Microsoft Entra, továbbra is engedélyezheti a továbbfejlesztett HTTP-t.

  • Csak a 3. forgatókönyv esetében: A Windows 10 vagy újabb támogatott verzióját futtató és Microsoft Entra azonosítóhoz csatlakoztatott ügyfél. Az ügyfélnek szüksége van erre a konfigurációra Microsoft Entra eszközhitelesítéshez.

Megjegyzés:

A Configuration Manager-ügyfél által támogatottakon kívül nincsenek operációsrendszer-verzióra vonatkozó követelmények.

A hely konfigurálása

  1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Helykonfiguráció elemet, és válassza a Helyek csomópontot. Jelölje ki a webhelyet, és válassza a menüszalag Tulajdonságok elemét .

  2. Váltson a Kommunikációbiztonság lapra. Válassza a HTTPS vagy a HTTP lehetőséget. Ezután engedélyezze a Configuration Manager által létrehozott tanúsítványok használata HTTP-helyrendszerekhez beállítást.

Tipp

Várjon 30 percet, amíg a felügyeleti pont megkapja és konfigurálja az új tanúsítványt a helyről.

A kibővített HTTP-t a központi adminisztrációs helyhez (CAS) is engedélyezheti. Használja ugyanezt a folyamatot, és nyissa meg a CAS tulajdonságait. Ez a művelet csak az SMS-szolgáltató szerepkörhöz engedélyezi a továbbfejlesztett HTTP-t a CAS-ban. Ez nem egy globális beállítás, amely a hierarchia összes webhelyére vonatkozik.

További információ arról, hogy az ügyfél hogyan kommunikál a felügyeleti ponttal és a terjesztési ponttal ezzel a konfigurációval: Kommunikáció az ügyfelektől a helyrendszerekhez és szolgáltatásokhoz.

A tanúsítvány ellenőrzése

Ezeket a tanúsítványokat a Configuration Manager-konzolon tekintheti meg. Lépjen az Adminisztráció munkaterületre, bontsa ki a Biztonság csomópontot, és válassza a Tanúsítványok csomópontot . Keresse meg az SMS-kiállító főtanúsítványt és az SMS-kibocsátó gyökér által kiadott helykiszolgálói szerepkörtanúsítványokat.

Ha engedélyezi a továbbfejlesztett HTTP-t, a helykiszolgáló létrehoz egy SMS-szerepkör SSL-tanúsítvány nevű önaláírt tanúsítványt. Ezt a tanúsítványt a fő SMS-kiállító tanúsítvány állítja ki. A felügyeleti pont hozzáadja ezt a tanúsítványt a 443-at porthoz kötött alapértelmezett IIS-webhelyhez.

A konfiguráció állapotának megtekintéséhez tekintse át az mpcontrol.log fájlt.

Fogalmi diagram

Ez a diagram a Configuration Manager továbbfejlesztett HTTP-funkcióinak néhány fő aspektusát foglalja össze és jeleníti meg.

A továbbfejlesztett HTTP-funkciók fogalmi diagramja.

  • A Microsoft Entra-azonosítóval való kapcsolat ajánlott, de nem kötelező. Lehetővé teszi az Microsoft Entra hitelesítést igénylő forgatókönyveket.

  • Ha engedélyezi a helybeállítást a továbbfejlesztett HTTP-hez, a hely önaláírt tanúsítványokat ad ki a helyrendszereknek, például a felügyeleti pontnak és a terjesztési pont szerepköreinek.

  • A HTTP-kapcsolatokhoz konfigurált helyrendszerek használata esetén az ügyfelek HTTPS-kapcsolaton keresztül kommunikálnak velük.

Gyakori kérdések

Mik a továbbfejlesztett HTTP előnyei?

A fő előnye a tiszta HTTP használatának csökkentése, amely egy nem biztonságos protokoll. Configuration Manager alapértelmezés szerint a biztonságra törekszik, és a Microsoft szeretné megkönnyíteni az eszközök biztonságossá tételét. A PKI-alapú HTTPS engedélyezése biztonságosabb konfiguráció, de ez sok ügyfél számára összetett lehet. Ha nem tudja elvégezni a HTTPS-t, engedélyezze a továbbfejlesztett HTTP-t. A Microsoft akkor is javasolja ezt a konfigurációt, ha a környezet jelenleg nem használja az azt támogató funkciókat.

Fontos

A 2103-Configuration Manager verziótól kezdődően a HTTP-ügyfélkommunikációt lehetővé tevő webhelyek elavultak. Konfigurálja a webhelyet HTTPS-hez vagy továbbfejlesztett HTTP-hez. További információ: A webhely engedélyezése csak HTTPS-kapcsolaton vagy továbbfejlesztett HTTP-kapcsolaton.

A bővített HTTP engedélyezéséhez Microsoft Entra azonosítót kell használnom?

Nem. A továbbfejlesztett HTTP számos forgatókönyve és funkciója Microsoft Entra hitelesítésre támaszkodik. A továbbfejlesztett HTTP-t anélkül engedélyezheti, hogy regisztrálja a webhelyet az azonosító Microsoft Entra. Ezután támogatja az olyan szolgáltatásokat, mint az adminisztrációs szolgáltatás, valamint a hálózati hozzáférési fiók iránti korlátozott igény. Csak akkor van szüksége Microsoft Entra azonosítóra, ha az egyik kiegészítő funkcióhoz szükség van rá.

Megjegyzés:

Még ha közvetlenül nem is használja a REST API felügyeleti szolgáltatást, néhány Configuration Manager szolgáltatás natív módon használja, beleértve a Configuration Manager konzol egyes részeit is.

Hogyan kommunikálnak az ügyfelek a helyrendszerekkel?

Ha engedélyezi a továbbfejlesztett HTTP-t, a hely tanúsítványokat ad ki a helyrendszereknek. Például a felügyeleti pont és a terjesztési pont. Ezután ezek a helyrendszerek támogatják a biztonságos kommunikációt a jelenleg támogatott forgatókönyvekben.

Ügyfél szempontjából a felügyeleti pont minden ügyfelet jogkivonattal ad ki. Az ügyfél ezt a jogkivonatot használja a helyrendszerekkel való kommunikáció biztonságossá tételéhez. Ez a viselkedés az operációs rendszer verziófüggetlen, a Configuration Manager-ügyfél által támogatottaktól eltérő.

Ha egyes helyrendszerek már HTTPS-alapúak, engedélyezhetem a továbbfejlesztett HTTP-t?

Igen, A helyrendszerek mindig a PKI-tanúsítványt részesítik előnyben. Például az egyik felügyeleti pont már rendelkezik PKI-tanúsítvánnyal, mások viszont nem. Ha engedélyezi a továbbfejlesztett HTTP-t a webhelyen, a HTTPS felügyeleti pont továbbra is a PKI-tanúsítványt használja. A többi felügyeleti pont a hely által kibocsátott tanúsítványt használja a továbbfejlesztett HTTP-hez.

Következő lépések