Certificaten instellen voor vertrouwde communicatie met on-premises MDM
Van toepassing op: Configuration Manager (current branch)
Configuration Manager beheer van on-premises mobiele apparaten (MDM) vereist dat u de sitesysteemrollen configureert voor vertrouwde communicatie met beheerde apparaten. U hebt twee typen certificaten nodig:
Een webservercertificaat in IIS op de servers die de vereiste sitesysteemrollen hosten. Als één server als host fungeert voor meerdere sitesysteemfuncties, hebt u slechts één certificaat voor die server nodig. Als elke rol zich op een afzonderlijke server bevindt, heeft elke server een afzonderlijk certificaat nodig.
Het vertrouwde basiscertificaat van de certificeringsinstantie (CA) die de webservercertificaten uitgeeft. Installeer dit basiscertificaat op alle apparaten die verbinding moeten maken met de sitesysteemrollen.
Als u Active Directory Certificate Services gebruikt voor apparaten die lid zijn van een domein, kunnen deze certificaten automatisch op alle apparaten worden geïnstalleerd. Voor apparaten die niet lid zijn van een domein, installeert u het vertrouwde basiscertificaat op een andere wijze.
Voor apparaten die bulksgewijs zijn ingeschreven, kunt u het certificaat opnemen in het inschrijvingspakket. Voor door de gebruiker ingeschreven apparaten moet u het certificaat toevoegen via e-mail, webdownload of een andere methode.
Als u een openbare en wereldwijd vertrouwde certificaatprovider gebruikt om de servercertificaten uit te geven, kunt u voorkomen dat u het vertrouwde basiscertificaat handmatig op elk apparaat hoeft te installeren. De meeste apparaten vertrouwen deze overheidsinstanties zelf. Deze methode is een handig alternatief voor door de gebruiker ingeschreven apparaten, in plaats van het certificaat op een andere manier te installeren.
Belangrijk
Er zijn veel manieren om de certificaten in te stellen voor vertrouwde communicatie tussen apparaten en de sitesysteemservers voor on-premises MDM. De informatie in dit artikel is een voorbeeld van een manier om dit te doen. Voor deze methode is Active Directory Certificate Services vereist, met een certificeringsinstantie en de webinschrijvingsrol van de certificeringsinstantie. Zie Active Directory Certificate Services voor meer informatie.
De CRL publiceren
Standaard gebruikt de Active Directory-certificeringsinstantie (CA) op LDAP gebaseerde certificaatintrekkingslijsten (CRL's). Hiermee staat u verbindingen met de CRL toe voor apparaten die lid zijn van een domein. Voeg een op HTTP gebaseerde CRL toe om niet-aan een domein gekoppelde apparaten toe te staan certificaten te vertrouwen die zijn uitgegeven door de CA.
Ga op de server waarop de certificeringsinstantie voor uw site wordt uitgevoerd naar het menu Start , selecteer Systeembeheer en kies Certificeringsinstantie.
Klik in de console Certificeringsinstantie met de rechtermuisknop op CertificateAuthority en selecteer vervolgens Eigenschappen.
Ga in Eigenschappen van CertificateAuthority naar het tabblad Extensies. Zorg ervoor dat Extensie selecteren is ingesteld op CRL-distributiepunt (CDP).
Selecteer
http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
. Selecteer vervolgens de volgende opties:Opnemen in CRL's. Clients gebruiken dit om Delta CRL-locaties te vinden.
Opnemen in CDP-extensie van uitgegeven certificaten.
Opnemen in de IDP-extensie van uitgegeven CRL's
Ga naar het tabblad Module afsluiten . Selecteer Eigenschappen en selecteer vervolgens Toestaan dat certificaten naar het bestandssysteem worden gepubliceerd. U ziet een melding om Active Directory Certificate Services opnieuw te starten.
Klik met de rechtermuisknop op Ingetrokken certificaten, selecteer Alle taken en kies vervolgens Publiceren.
Selecteer in het venster CRL publiceren de optie Alleen Delta CRL en selecteer vervolgens OK om het venster te sluiten.
De certificaatsjabloon maken
De CA gebruikt de webservercertificaatsjabloon om certificaten uit te geven voor de servers die als host fungeren voor de sitesysteemrollen. Deze servers zijn SSL-eindpunten voor vertrouwde communicatie tussen de sitesysteemrollen en ingeschreven apparaten.
Maak een domeinbeveiligingsgroep met de naam ConfigMgr MDM-servers. Voeg aan de groep de computeraccounts van de sitesysteemservers toe.
Klik in de console certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen en kies Beheren. Met deze actie wordt de console Certificaatsjablonen geladen.
Klik in het resultatenvenster met de rechtermuisknop op de vermelding die Webserver weergeeft in de kolom Weergavenaam van sjabloon en selecteer sjabloon dupliceren.
Selecteer in het venster Sjabloon duplicerende optie Windows 2003 Server, Enterprise Edition of Windows 2008 Server, Enterprise Edition en selecteer vervolgens OK.
Tip
Configuration Manager ondersteunt Certificaatsjablonen voor Windows 2008 Server, ook wel bekend als V3- of Cryptografie: Volgende generatie (CNG)-certificaten. Zie Overzicht van CNG v3-certificaten voor meer informatie.
Als uw CA wordt uitgevoerd op Windows Server 2012 of hoger, wordt in dit venster de optie voor de certificaatsjabloonversie niet weergegeven. Nadat u de sjabloon hebt gedupliceerd, selecteert u de versie op het tabblad Compatibiliteit van de sjablooneigenschappen.
Voer in het venster Eigenschappen van nieuwe sjabloon op het tabblad Algemeen een sjabloonnaam in. De CA gebruikt deze naam om de webcertificaten te genereren die worden gebruikt op Configuration Manager sitesystemen. Typ bijvoorbeeld ConfigMgr MDM-webserver.
Ga naar het tabblad Onderwerpnaam en selecteer Opbouwen vanuit Active Directory-gegevens. Geef voor de indeling van de onderwerpnaam de DNS-naam op. Als UPN (User Principal Name) is geselecteerd, schakelt u de optie voor een alternatieve onderwerpnaam uit.
Ga naar het tabblad Beveiliging .
Verwijder de machtiging Inschrijven uit de beveiligingsgroepen Domeinbeheerders en Ondernemingsadministreert .
Selecteer Toevoegen en voer de naam van uw beveiligingsgroep in. Bijvoorbeeld ConfigMgr MDM-servers. Selecteer OK om het venster te sluiten.
Selecteer de machtiging Inschrijven voor deze groep. Verwijder de leesmachtiging niet.
Selecteer OK om uw wijzigingen op te slaan en sluit de console Certificaatsjablonen.
Klik in de console certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen, selecteer Nieuw en kies vervolgens Certificaatsjabloon die u wilt uitgeven.
Selecteer in het venster Certificaatsjablonen inschakelen de nieuwe sjabloon. Bijvoorbeeld ConfigMgr MDM-webserver. Selecteer vervolgens OK om het venster op te slaan en te sluiten.
Het certificaat aanvragen
In dit proces wordt beschreven hoe u het webservercertificaat voor IIS aanvraagt. Voer dit proces uit voor elke sitesysteemserver die als host fungeert voor een van de rollen voor on-premises MDM.
Open op de sitesysteemserver die als host fungeert voor een van de rollen een opdrachtprompt als beheerder. Voer in
mmc
om een lege Microsoft-beheerconsole te openen.Ga in het consolevenster naar het menu Bestand en selecteer Module toevoegen/verwijderen.
Kies Certificaten in de lijst met beschikbare modules en selecteer Toevoegen.
Kies in het venster Certificaten-module de optie Computeraccount. Selecteer Volgende en selecteer vervolgens Voltooien om de lokale computer te beheren.
Selecteer OK om het venster Module toevoegen of verwijderen te sluiten.
Vouw Certificaten (lokale computer) uit en selecteer het persoonlijke archief. Ga naar het menu Actie , selecteer Alle taken en kies Nieuw certificaat aanvragen. Deze actie communiceert met Active Directory Certificate Services om een nieuw certificaat te maken met behulp van de sjabloon die u eerder hebt gemaakt.
Selecteer in de wizard Certificaatinschrijving op de pagina Voordat u begint de optie Volgende.
Selecteer op de pagina Certificaatinschrijvingsbeleid selecteren de optie Active Directory-inschrijvingsbeleid en selecteer vervolgens Volgende.
Selecteer uw webservercertificaatsjabloon (ConfigMgr MDM-webserver) en selecteer vervolgens Inschrijven.
Nadat het certificaat is aangevraagd, selecteert u Voltooien.
Elke server heeft een uniek webservercertificaat nodig. Herhaal dit proces voor elke server die als host fungeert voor een van de vereiste sitesysteemrollen. Als één server als host fungeert voor alle sitesysteemfuncties, hoeft u slechts één webservercertificaat aan te vragen.
Het certificaat binden
De volgende stap is het binden van het nieuwe certificaat aan de webserver. Volg dit proces voor elke server die als host fungeert voor de sitesysteemrollen inschrijvingspunt en inschrijvingsproxypunt . Als één server als host fungeert voor alle sitesysteemrollen, hoeft u dit proces slechts één keer uit te voeren.
Opmerking
U hoeft dit proces niet uit te voeren voor de sitesysteemrollen distributiepunt en apparaatbeheerpunt. Ze ontvangen automatisch het vereiste certificaat tijdens de inschrijving.
Ga op de server die als host fungeert voor het inschrijvingspunt of het inschrijvingsproxypunt naar het menu Start , selecteer Systeembeheer en kies IIS-beheer.
Selecteer in de lijst met verbindingen de standaardwebsite en selecteer vervolgens Bindingen bewerken.
Selecteer https in het venster Sitebindingen en selecteer vervolgens Bewerken.
Selecteer in het venster Sitebinding bewerken het zojuist ingeschreven certificaat voor het SSL-certificaat. Selecteer OK om op te slaan en selecteer vervolgens Sluiten.
Selecteer in de IIS Manager-console in de lijst met verbindingen de webserver. Selecteer in het deelvenster Actie aan de rechterkant de optie Opnieuw opstarten. Met deze actie wordt de webserverservice opnieuw gestart.
Het vertrouwde basiscertificaat exporteren
Active Directory Certificate Services installeert automatisch het vereiste certificaat van de CA op alle apparaten die lid zijn van een domein. Als u het certificaat wilt ophalen dat is vereist voor apparaten die niet lid zijn van een domein om te communiceren met de sitesysteemrollen, exporteert u het certificaat dat is gebonden aan de webserver.
Selecteer in IIS-beheer de standaardwebsite. Selecteer bindingen in het deelvenster Actie aan de rechterkant.
Selecteer https in het venster Sitebindingen en selecteer vervolgens Bewerken.
Selecteer het webservercertificaat en selecteer Weergeven.
Ga in eigenschappen van het webservercertificaat naar het tabblad Certificeringspad . Selecteer de hoofdmap van het certificeringspad en selecteer Certificaat weergeven.
Ga in de eigenschappen van het basiscertificaat naar het tabblad Details en selecteer vervolgens Kopiëren naar bestand.
Selecteer in de wizard Certificaat exporteren op de welkomstpagina de optie Volgende.
Selecteer DER gecodeerd binair X.509 (. CER) als de indeling en selecteer Volgende.
Voer een pad en bestandsnaam in om dit vertrouwde basiscertificaat te identificeren. Klik voor de bestandsnaam op Bladeren..., kies een locatie om het certificaatbestand op te slaan, geef het bestand een naam en selecteer Volgende.
Controleer de instellingen en selecteer Voltooien om het certificaat naar het bestand te exporteren.
Afhankelijk van het ontwerp van uw certificeringsinstantie moet u mogelijk aanvullende onderliggende CA-basiscertificaten exporteren. Herhaal dit proces om de andere certificaten in het certificeringspad van het webservercertificaat te exporteren.