Dela via


Konfigurera certifikat för betrodd kommunikation med lokal MDM

Gäller för: Konfigurationshanteraren (current branch)

Configuration Manager lokal hantering av mobila enheter (MDM) kräver att du konfigurerar platssystemrollerna för betrodd kommunikation med hanterade enheter. Du behöver två typer av certifikat:

  • Ett webbservercertifikat i IIS på servrarna som är värdar för de platssystemroller som krävs. Om en server är värd för flera platssystemroller behöver du bara ett certifikat för den servern. Om varje roll finns på en separat server behöver varje server ett separat certifikat.

  • Det betrodda rotcertifikatet för certifikatutfärdare (CA) som utfärdar webbservercertifikaten. Installera det här rotcertifikatet på alla enheter som behöver ansluta till platssystemrollerna.

Om du använder Active Directory Certificate Services för domänanslutna enheter kan de installeras automatiskt på alla enheter. För icke-domänanslutna enheter installerar du det betrodda rotcertifikatet på något annat sätt.

För massregistrerade enheter kan du inkludera certifikatet i registreringspaketet. För användarregistrerade enheter måste du lägga till certifikatet via e-post, webbnedladdning eller någon annan metod.

Om du använder en offentlig och globalt betrodd certifikatprovider för att utfärda servercertifikaten kan du undvika att behöva installera det betrodda rotcertifikatet manuellt på varje enhet. De flesta enheter litar internt på dessa offentliga myndigheter. Den här metoden är ett användbart alternativ för användarregistrerade enheter, i stället för att installera certifikatet på annat sätt.

Viktigt

Det finns många sätt att konfigurera certifikaten för betrodd kommunikation mellan enheter och platssystemservrarna för lokal MDM. Informationen i den här artikeln är ett exempel på ett sätt att göra det. Den här metoden kräver Active Directory Certificate Services, med en certifikatutfärdare och webbregistreringsrollen för certifikatutfärdare. Mer information finns i Active Directory Certificate Services.

Publicera CRL

Som standard använder Active Directory-certifikatutfärdare (CA) LDAP-baserade listor över återkallade certifikat (CRL). Den tillåter anslutningar till listan över återkallade certifikat för domänanslutna enheter. Om du vill tillåta att icke-domänanslutna enheter litar på certifikat som utfärdats från certifikatutfärdare lägger du till en HTTP-baserad CRL.

  1. På den server som kör certifikatutfärdare för din webbplats går du till Start-menyn , väljer Administrationsverktyg och väljer Certifikatutfärdare.

  2. I konsolen Certifikatutfärdare högerklickar du på CertificateAuthority och väljer sedan Egenskaper.

  3. I Egenskaper för CertificateAuthority växlar du till fliken Tillägg . Kontrollera att Välj tillägg är inställt på CRL Distribution Point (CDP).

  4. Välj http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl. Välj sedan följande alternativ:

    • Inkludera i listor över återkallade certifikat. Klienter använder detta för att hitta Delta CRL-platser.

    • Inkludera i CDP-tillägget för utfärdade certifikat.

    • Inkludera i IDP-tillägget för utfärdade CRL:er

  5. Växla till fliken Avsluta modul . Välj Egenskaper och välj sedan Tillåt att certifikat publiceras till filsystemet. Du ser ett meddelande om att starta om Active Directory Certificate Services.

  6. Högerklicka på Återkallade certifikat, välj Alla aktiviteter och välj sedan Publicera.

  7. I fönstret Publicera CRL väljer du endast Delta CRL och väljer sedan OK för att stänga fönstret.

Skapa certifikatmallen

Certifikatutfärdare använder webbservercertifikatmallen för att utfärda certifikat för de servrar som är värdar för platssystemrollerna. Dessa servrar är SSL-slutpunkter för betrodd kommunikation mellan platssystemrollerna och registrerade enheter.

  1. Skapa en domänsäkerhetsgrupp med namnet ConfigMgr MDM-servrar. Lägg till datorkontona för platssystemservrarna i gruppen.

  2. Högerklicka på Certifikatmallar i konsolen Certifikatutfärdare och välj Hantera. Den här åtgärden läser in konsolen Certifikatmallar.

  3. Högerklicka på posten som visar webbservern i kolumnen Mallvisningsnamn i resultatfönstret och välj sedan Duplicera mall.

  4. I fönstret Duplicera mall väljer du Windows 2003 Server, Enterprise Edition eller Windows 2008 Server, Enterprise Edition och väljer sedan OK.

    Tips

    Configuration Manager stöder Windows 2008 Server-certifikatmallar, även kallade V3- eller kryptografi: CNG-certifikat (Next Generation). Mer information finns i översikten över CNG v3-certifikat.

    Om certifikatutfärdare körs på Windows Server 2012 eller senare visas inte alternativet för certifikatmallsversion i det här fönstret. När du har duplicerat mallen väljer du versionen på fliken Kompatibilitet för mallegenskaperna.

  5. I fönstret Egenskaper för ny mall går du till fliken Allmänt och anger ett mallnamn. Certifikatutfärdare använder det här namnet för att generera de webbcertifikat som ska användas på Configuration Manager platssystem. Skriv till exempel ConfigMgr MDM-webbserver.

  6. Växla till fliken Ämnesnamn och välj Skapa från Active Directory-information. För format för ämnesnamn anger du DNS-namn. Om UPN (User Principal Name) har valts inaktiverar du alternativet för alternativt ämnesnamn.

  7. Växla till fliken Säkerhet .

    1. Ta bort behörigheten Registrera från säkerhetsgrupperna Domänadministratörer och Företagsadministratörer .

    2. Välj Lägg till och ange namnet på säkerhetsgruppen. Till exempel ConfigMgr MDM-servrar. Välj OK för att stänga fönstret.

    3. Välj behörigheten Registrera för den här gruppen. Ta inte bort läsbehörigheten .

  8. Välj OK för att spara ändringarna och stäng konsolen Certifikatmallar.

  9. I konsolen Certifikatutfärdare högerklickar du på Certifikatmallar, väljer Ny och väljer sedan Certifikatmall som ska utfärdas.

  10. I fönstret Aktivera certifikatmallar väljer du den nya mallen. Till exempel ConfigMgr MDM-webbserver. Välj sedan OK för att spara och stänga fönstret.

Begär certifikatet

Den här processen beskriver hur du begär webbservercertifikatet för IIS. Gör den här processen för varje platssystemserver som är värd för en av rollerna för lokal MDM.

  1. Öppna en kommandotolk som administratör på platssystemservern som är värd för en av rollerna. Ange mmc för att öppna en tom Microsoft-hanteringskonsolen.

  2. I konsolfönstret går du till menyn Arkiv och väljer Lägg till/ta bort snapin-modul.

    1. Välj Certifikat i listan över tillgängliga snapin-moduler och välj Lägg till.

    2. I snapin-modulen Certifikat väljer du Datorkonto. Välj Nästa och sedan Slutför för att hantera den lokala datorn.

    3. Välj OK för att avsluta fönstret Lägg till eller ta bort snapin-modul.

  3. Expandera Certifikat (lokal dator) och välj det personliga arkivet. Gå till åtgärdsmenyn , välj Alla aktiviteter och välj Begär nytt certifikat. Den här åtgärden kommunicerar med Active Directory Certificate Services för att skapa ett nytt certifikat med hjälp av mallen som du skapade tidigare.

    1. I guiden Certifikatregistrering går du till sidan Innan du börjar och väljer Nästa.

    2. På sidan Välj princip för certifikatregistrering väljer du Active Directory-registreringsprincip och sedan Nästa.

    3. Välj din webbservercertifikatmall (ConfigMgr MDM-webbserver) och välj sedan Registrera.

    4. När certifikatet har begärts väljer du Slutför.

Varje server behöver ett unikt webbservercertifikat. Upprepa den här processen för varje server som är värd för en av de nödvändiga platssystemrollerna. Om en server är värd för alla platssystemroller behöver du bara begära ett webbservercertifikat.

Binda certifikatet

Nästa steg är att binda det nya certifikatet till webbservern. Följ den här processen för varje server som är värd för platssystemrollerna för registreringsplatsen och registreringsproxyplatsen . Om en server är värd för alla platssystemroller behöver du bara göra den här processen en gång.

Obs!

Du behöver inte göra den här processen för platssystemrollerna för distributionsplatser och enhetshanteringsplatser. De får automatiskt det certifikat som krävs under registreringen.

  1. På den server som är värd för registreringsplatsen eller registreringsproxyplatsen går du till Start-menyn , väljer Administrationsverktyg och väljer IIS-hanteraren.

  2. I listan över anslutningar väljer du standardwebbplatsen och sedan Redigera bindningar.

    1. I fönstret Webbplatsbindningar väljer du https och sedan Redigera.

    2. I fönstret Redigera webbplatsbindning väljer du det nyligen registrerade certifikatet för SSL-certifikatet. Välj OK för att spara och välj sedan Stäng.

  3. I IIS-hanterarens konsol går du till listan över anslutningar och väljer webbservern. I åtgärdspanelen till höger väljer du Starta om. Den här åtgärden startar om webbservertjänsten.

Exportera det betrodda rotcertifikatet

Active Directory Certificate Services installerar automatiskt det certifikat som krävs från certifikatutfärdare på alla domänanslutna enheter. Om du vill hämta certifikatet som krävs för att icke-domänanslutna enheter ska kunna kommunicera med platssystemrollerna exporterar du det från certifikatet som är bundet till webbservern.

  1. I IIS-hanteraren väljer du Standardwebbplats. I åtgärdspanelen till höger väljer du Bindningar.

  2. I fönstret Webbplatsbindningar väljer du https och sedan Redigera.

  3. Välj webbservercertifikatet och välj Visa.

  4. I egenskaperna för webbservercertifikatet växlar du till fliken Certifieringssökväg . Välj roten för certifieringssökvägen och välj Visa certifikat.

  5. I egenskaperna för rotcertifikatet växlar du till fliken Information och väljer sedan Kopiera till fil.

  6. I guiden Certifikatexport går du till sidan Välkommen och väljer Nästa.

  7. Välj DER-kodad binär X.509 (. CER) som format och välj Nästa.

  8. Ange en sökväg och ett filnamn för att identifiera det här betrodda rotcertifikatet. För filnamnet klickar du på Bläddra..., väljer en plats för att spara certifikatfilen, namnger filen och väljer Nästa.

  9. Granska inställningarna och välj Slutför för att exportera certifikatet till filen.

Beroende på certifikatutfärdardesignen kan du behöva exportera ytterligare underordnade CA-rotcertifikat. Upprepa den här processen för att exportera de andra certifikaten i webbservercertifikatets certifieringssökväg.

Nästa steg