Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Портал устройств Windows (WDP) позволяет администраторам устройств установить пользовательский сертификат для использования в обмене данными ПО HTTPS.
Хотя вы можете сделать это на своем компьютере, эта функция в основном предназначена для предприятий, имеющих существующую инфраструктуру сертификатов.
Например, у компании может быть центр сертификации (ЦС), который он использует для подписывания сертификатов для веб-сайтов интрасети, обслуживающихся по протоколу HTTPS. Эта функция построена поверх этой инфраструктуры.
Обзор
По умолчанию WDP создает самозаверяющийся корневой ЦС, а затем использует его для подписывания SSL-сертификатов для каждой конечной точки, на которых он прослушивает. К ним относятся localhost, 127.0.0.1и ::1 (локальный сервер IPv6).
Также включены имя узла устройства (например, https://LivingRoomPC) и каждый локальный IP-адрес, назначенный устройству (до двух [IPv4, IPv6] на сетевой адаптер).
Вы можете посмотреть локальные IP-адреса для устройства, используя средство сетевого подключения в WDP. Они начинаются с 10. или 192. для IPv4 или fe80: для IPv6.
В настройке по умолчанию в браузере может появиться предупреждение о сертификате из-за недоверенного корневого ЦС. В частности, сертификат SSL, предоставляемый WDP, подписан корневым УЦ, которому не доверяет браузер или компьютер. Это можно исправить, создав новый доверенный корневой ЦС.
Создание корневого Центра сертификации (ЦС)
Это необходимо сделать только в том случае, если у вашей компании (или дома) нет инфраструктуры сертификатов, и это необходимо сделать только один раз. Следующий скрипт PowerShell осуществляет создание корневого центра сертификации с именем WdpTestCA.cer. Установка этого файла на доверенные корневые центры сертификации локального компьютера приведет к тому, что устройство будет доверять SSL-сертификатам, подписанным этим корневым ЦС. Этот .cer-файл можно установить на каждом компьютере, который требуется подключить к WDP.
$CN = "PickAName"
$OutputPath = "c:\temp\"
# Create root certificate authority
$FilePath = $OutputPath + "WdpTestCA.cer"
$Subject = "CN="+$CN
$rootCA = New-SelfSignedCertificate -certstorelocation cert:\currentuser\my -Subject $Subject -HashAlgorithm "SHA512" -KeyUsage CertSign,CRLSign
$rootCAFile = Export-Certificate -Cert $rootCA -FilePath $FilePath
После создания можно использовать файл WdpTestCA.cer для подписывания SSL-сертификатов.
Создание SSL-сертификата с корневым ЦС
SSL-сертификаты имеют две критически важные функции: защита подключения с помощью шифрования и проверка того, что вы фактически взаимодействуете с адресом, отображаемым в строке браузера (Bing.com, 192.168.1.37 и т. д.), а не злоумышленником.
Следующий скрипт PowerShell создает SSL-сертификат для конечной точки localhost. Каждой конечной точке, которую прослушивает WDP, требуется свой собственный сертификат; аргумент $IssuedTo в скрипте можно заменить на различной конечной точке для вашего устройства: hostname, localhost и IP-адреса.
$IssuedTo = "localhost"
$Password = "PickAPassword"
$OutputPath = "c:\temp\"
$rootCA = Import-Certificate -FilePath C:\temp\WdpTestCA.cer -CertStoreLocation Cert:\CurrentUser\My\
# Create SSL cert signed by certificate authority
$IssuedToClean = $IssuedTo.Replace(":", "-").Replace(" ", "_")
$FilePath = $OutputPath + $IssuedToClean + ".pfx"
$Subject = "CN="+$IssuedTo
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -Subject $Subject -DnsName $IssuedTo -Signer $rootCA -HashAlgorithm "SHA512"
$certFile = Export-PfxCertificate -cert $cert -FilePath $FilePath -Password (ConvertTo-SecureString -String $Password -Force -AsPlainText)
Если у вас несколько устройств, вы можете повторно использовать PFX-файлы localhost, но вам по-прежнему потребуется создать СЕРТИФИКАТЫ IP-адресов и имен узлов для каждого устройства отдельно.
При создании пакета PFX-файлов их необходимо загрузить в WDP.
Настройка портала устройств Windows с использованием сертификатов
Для каждого PFX-файла, созданного для устройства, необходимо выполнить следующую команду из командной строки с повышенными привилегиями.
WebManagement.exe -SetCert <Path to .pfx file> <password for pfx>
См. ниже пример использования:
WebManagement.exe -SetCert localhost.pfx PickAPassword
WebManagement.exe -SetCert --1.pfx PickAPassword
WebManagement.exe -SetCert MyLivingRoomPC.pfx PickAPassword
После установки сертификатов просто перезапустите службу, чтобы изменения вступили в силу:
sc stop webmanagement
sc start webmanagement
Подсказка
С течением времени IP-адреса могут изменяться. Многие сети используют DHCP для выдачи IP-адресов, поэтому устройства не всегда получают тот же IP-адрес, что и раньше. Если вы создали сертификат для IP-адреса на устройстве, а адрес этого устройства изменился, WDP создаст новый сертификат с помощью существующего самозаверяющего сертификата, и он перестанет использовать созданный. Это приведет к повторному отображению страницы предупреждения о сертификате в браузере. По этой причине рекомендуется подключаться к устройствам с помощью имен узлов, которые можно задать на портале устройств Windows. Они будут оставаться неизменными независимо от IP-адресов.