Настройка сертификатов для доверенного взаимодействия с локальной средой MDM
Относится к Configuration Manager (Current Branch)
Configuration Manager локального управления мобильными устройствами (MDM) требуется настроить роли системы сайта для доверенного взаимодействия с управляемыми устройствами. Требуется два типа сертификатов:
Сертификат веб-сервера в службах IIS на серверах, на котором размещены необходимые роли системы сайта. Если на одном сервере размещено несколько ролей системы сайта, для этого сервера требуется только один сертификат. Если каждая роль находится на отдельном сервере, каждому серверу требуется отдельный сертификат.
Доверенный корневой сертификат центра сертификации (ЦС), который выдает сертификаты веб-сервера. Установите этот корневой сертификат на всех устройствах, которым необходимо подключиться к ролям системы сайта.
Если вы используете службы сертификатов Active Directory для присоединенных к домену устройств, они могут автоматически устанавливать эти сертификаты на всех устройствах. Для устройств, не присоединенных к домену, установите доверенный корневой сертификат другими способами.
Для устройств с массовой регистрацией сертификат можно включить в пакет регистрации. Для зарегистрированных пользователем устройств необходимо добавить сертификат с помощью электронной почты, веб-скачивания или другого метода.
Если для выдачи сертификатов сервера используется общедоступный и глобально доверенный поставщик сертификатов, можно избежать необходимости вручную устанавливать доверенный корневой сертификат на каждом устройстве. Большинство устройств изначально доверяют этим государственным органам. Этот метод является полезной альтернативой для зарегистрированных пользователем устройств, а не для установки сертификата другими способами.
Важно!
Существует множество способов настройки сертификатов для доверенного обмена данными между устройствами и серверами системы сайта для локальных MDM. Сведения, приведенные в этой статье, являются примером одного из способов этого. Для этого метода требуются службы сертификатов Active Directory с центром сертификации и ролью веб-регистрации центра сертификации. Дополнительные сведения см. в разделе Службы сертификатов Active Directory.
Публикация списка отзыва сертификатов
По умолчанию центр сертификации Active Directory использует списки отзыва сертификатов (CCL) на основе LDAP. Он позволяет подключаться к списку отзыва сертификатов для устройств, присоединенных к домену. Чтобы разрешить устройствам, не присоединенным к домену, доверять сертификатам, выданным из ЦС, добавьте список отзыва сертификатов на основе HTTP.
На сервере, на котором запущен центр сертификации для вашего сайта, перейдите в меню Пуск , выберите Администрирование и центр сертификации.
В консоли центра сертификации щелкните правой кнопкой мыши пункт CertificateAuthority и выберите Пункт Свойства.
В разделе Свойства CertificateAuthority перейдите на вкладку Расширения. Убедитесь, что для параметра Select extension задано значение Точка распространения CRL (CDP).
Выберите .
http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
Затем выберите следующие параметры:Включите в списки отзыва сертификатов. Клиенты используют его для поиска расположений разностного списка отзыва сертификатов.
Включите в расширение CDP выданных сертификатов.
Включить в расширение поставщика удостоверений выданные списки отзыва сертификатов
Перейдите на вкладку Выход из модуля . Выберите Свойства, а затем — Разрешить публикацию сертификатов в файловой системе. Вы увидите уведомление о перезапуске служб сертификатов Active Directory.
Щелкните правой кнопкой мыши отозванные сертификаты, выберите Все задачи, а затем — Опубликовать.
В окне Публикация списка отзыва сертификатов выберите Только разностный список отзыва сертификатов, а затем нажмите кнопку ОК , чтобы закрыть окно.
Создание шаблона сертификата
ЦС использует шаблон сертификата веб-сервера для выдачи сертификатов для серверов, на котором размещены роли системы сайта. Эти серверы будут конечными точками SSL для доверенного взаимодействия между ролями системы сайта и зарегистрированными устройствами.
Создайте группу безопасности домена с именем ConfigMgr MDM Servers. Добавьте в группу учетные записи компьютеров серверов системы сайта.
В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление. Это действие загружает консоль "Шаблоны сертификатов".
В области результатов щелкните правой кнопкой мыши запись с отображением веб-сервера в столбце Отображаемое имя шаблона , а затем выберите пункт Дублировать шаблон.
В окне Повторяющийся шаблон выберите Windows 2003 Server, выпуск Enterprise или Windows 2008 Server выпуск Enterprise, а затем нажмите кнопку ОК.
Совет
Configuration Manager поддерживает шаблоны сертификатов Windows 2008 Server, также известные как сертификаты V3 или Cryptography: Next Generation (CNG). Дополнительные сведения см. в статье Обзор сертификатов CNG версии 3.
Если ЦС работает на Windows Server 2012 или более поздней версии, в этом окне не отображается параметр для версии шаблона сертификата. После дублирования шаблона выберите версию на вкладке Совместимость свойств шаблона.
В окне Свойства нового шаблона на вкладке Общие введите имя шаблона. ЦС использует это имя для создания веб-сертификатов, которые будут использоваться в системах сайта Configuration Manager. Например, введите ConfigMgr MDM Web Server.
Перейдите на вкладку Имя субъекта и выберите Сборка из сведений Active Directory. Для формата имени субъекта укажите DNS-имя. Если выбрано имя участника-пользователя (UPN), отключите параметр для альтернативного имени субъекта.
Перейдите на вкладку Безопасность .
Удалите разрешение Регистрация из групп безопасности "Администраторы домена" и "Администраторы предприятия ".
Выберите Добавить и введите имя группы безопасности. Например, серверы MDM ConfigMgr. Нажмите кнопку ОК , чтобы закрыть окно.
Выберите разрешение Регистрация для этой группы. Не удаляйте разрешение на чтение .
Нажмите кнопку ОК , чтобы сохранить изменения, и закройте консоль шаблоны сертификатов.
В консоли центра сертификации щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать, а затем выберите Шаблон сертификата для выдачи.
В окне Включить шаблоны сертификатов выберите новый шаблон. Например, веб-сервер MDM ConfigMgr. Затем нажмите кнопку ОК , чтобы сохранить и закрыть окно.
Запрос сертификата
Этот процесс описывает, как запросить сертификат веб-сервера для IIS. Выполните этот процесс для каждого сервера системы сайта, на котором размещается одна из ролей для локального MDM.
На сервере системы сайта, на котором размещена одна из ролей, откройте командную строку от имени администратора. Введите
mmc
, чтобы открыть пустую консоль управления Майкрософт.В окне консоли перейдите в меню Файл и выберите Добавить и удалить оснастку.
Выберите Сертификаты в списке доступных оснасток и нажмите кнопку Добавить.
В окне оснастки Сертификаты выберите Учетная запись компьютера. Нажмите кнопку Далее, а затем нажмите кнопку Готово , чтобы управлять локальным компьютером.
Нажмите кнопку ОК , чтобы выйти из окна Добавление или удаление оснастки.
Разверните узел Сертификаты (локальный компьютер) и выберите Личное хранилище. Перейдите в меню Действие , выберите Все задачи и выберите Запросить новый сертификат. Это действие взаимодействует со службами сертификатов Active Directory для создания нового сертификата с помощью ранее созданного шаблона.
В мастере регистрации сертификатов на странице Перед началом работы нажмите кнопку Далее.
На странице Выбор политики регистрации сертификатов выберите Политика регистрации Active Directory, а затем нажмите кнопку Далее.
Выберите шаблон сертификата веб-сервера (ConfigMgr MDM Web Server) и нажмите кнопку Регистрация.
После запроса сертификата нажмите кнопку Готово.
Каждому серверу требуется уникальный сертификат веб-сервера. Повторите этот процесс для каждого сервера, на котором размещена одна из необходимых ролей системы сайта. Если на одном сервере размещаются все роли системы сайта, необходимо просто запросить один сертификат веб-сервера.
Привязка сертификата
Следующим шагом является привязка нового сертификата к веб-серверу. Выполните этот процесс для каждого сервера, на котором размещены роли системы сайта точки регистрации и прокси-точки регистрации . Если на одном сервере размещаются все роли системы сайта, необходимо выполнить этот процесс только один раз.
Примечание.
Вам не нужно выполнять этот процесс для ролей системы сайта точки распространения и точки управления устройствами. Они автоматически получают необходимый сертификат во время регистрации.
На сервере, на котором размещена точка регистрации или прокси-точка регистрации, перейдите в меню Пуск , выберите Администрирование и выберите Диспетчер IIS.
В списке Подключений выберите веб-сайт по умолчанию, а затем выберите Изменить привязки.
В окне Привязки сайта выберите https, а затем — Изменить.
В окне Изменение привязки сайта выберите только что зарегистрированный сертификат для SSL-сертификата. Нажмите кнопку ОК , чтобы сохранить, а затем нажмите кнопку Закрыть.
В консоли диспетчера IIS в списке Подключения выберите веб-сервер. На панели Действий справа выберите Перезапустить. Это действие перезапускает службу веб-сервера.
Экспорт доверенного корневого сертификата
Службы сертификатов Active Directory автоматически устанавливают необходимый сертификат из ЦС на всех устройствах, присоединенных к домену. Чтобы получить сертификат, необходимый для устройств, не присоединенных к домену, для взаимодействия с ролями системы сайта, экспортируйте его из сертификата, привязанного к веб-серверу.
В диспетчере IIS выберите веб-сайт по умолчанию. На панели Действие справа выберите Привязки.
В окне Привязки сайта выберите https, а затем — Изменить.
Выберите сертификат веб-сервера и нажмите кнопку Вид.
В свойствах сертификата веб-сервера перейдите на вкладку Путь сертификации . Выберите корень пути сертификации и выберите Просмотреть сертификат.
В свойствах корневого сертификата перейдите на вкладку Сведения и выберите Копировать в файл.
В мастере экспорта сертификатов на странице Приветствие нажмите кнопку Далее.
Выберите двоичный файл X.509 в кодировке DER (. CER) в качестве формата и нажмите кнопку Далее.
Введите путь и имя файла, чтобы определить этот доверенный корневой сертификат. Для имени файла нажмите кнопку Обзор..., выберите расположение для сохранения файла сертификата, присвойте файлу имя и нажмите кнопку Далее.
Просмотрите параметры и нажмите кнопку Готово , чтобы экспортировать сертификат в файл.
В зависимости от структуры центра сертификации может потребоваться экспортировать дополнительные подчиненные корневые сертификаты ЦС. Повторите этот процесс, чтобы экспортировать другие сертификаты в пути сертификации сертификата веб-сервера.