Şirket içi MDM ile güvenilir iletişimler için sertifikaları ayarlama
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager şirket içi mobil cihaz yönetimi (MDM), yönetilen cihazlarla güvenilir iletişimler için site sistemi rollerini yapılandırmanızı gerektirir. İki tür sertifikaya ihtiyacınız vardır:
Gerekli site sistem rollerini barındıran sunucularda IIS'de bir web sunucusu sertifikası . Bir sunucu birden çok site sistemi rolü barındırıyorsa, o sunucu için yalnızca bir sertifikaya ihtiyacınız vardır. Her rol ayrı bir sunucudaysa, her sunucunun ayrı bir sertifikaya ihtiyacı vardır.
Web sunucusu sertifikalarını veren sertifika yetkilisinin (CA) güvenilen kök sertifikası. Bu kök sertifikayı site sistem rollerine bağlanması gereken tüm cihazlara yükleyin.
Etki alanına katılmış cihazlar için Active Directory Sertifika Hizmetleri'ni kullanıyorsanız, bu sertifikalar tüm cihazlara otomatik olarak yüklenebilir. Etki alanına katılmamış cihazlar için güvenilen kök sertifikayı başka bir yolla yükleyin.
Toplu kaydedilen cihazlar için sertifikayı kayıt paketine ekleyebilirsiniz. Kullanıcı tarafından kaydedilen cihazlar için sertifikayı e-posta, web indirme veya başka bir yöntem aracılığıyla eklemeniz gerekir.
Sunucu sertifikalarını vermek için genel ve genel olarak güvenilen bir sertifika sağlayıcısı kullanıyorsanız, güvenilen kök sertifikayı her cihaza el ile yüklemek zorunda kalmaktan kaçınabilirsiniz. Çoğu cihaz yerel olarak bu kamu yetkililerine güvenir. Bu yöntem, sertifikayı başka yollarla yüklemek yerine kullanıcı tarafından kaydedilen cihazlar için kullanışlı bir alternatiftir.
Önemli
Cihazlar ve şirket içi MDM için site sistemi sunucuları arasındaki güvenilir iletişimler için sertifikaları ayarlamanın birçok yolu vardır. Bu makaledeki bilgiler, bunu yapmak için bir örnektir. Bu yöntem, bir sertifika yetkilisi ve sertifika yetkilisi web kaydı rolüne sahip Active Directory Sertifika Hizmetleri gerektirir. Daha fazla bilgi için bkz. Active Directory Sertifika Hizmetleri.
CRL'yi yayımlama
Varsayılan olarak, Active Directory sertifika yetkilisi (CA) LDAP tabanlı sertifika iptal listelerini (CRL) kullanır. Etki alanına katılmış cihazlar için CRL'ye bağlantılara izin verir. Etki alanına katılmamış cihazların CA'dan verilen sertifikalara güvenmesine izin vermek için HTTP tabanlı bir CRL ekleyin.
Siteniz için sertifika yetkilisini çalıştıran sunucuda Başlat menüsüne gidin, Yönetim Araçları'nı seçin ve Sertifika Yetkilisi'ni seçin.
Sertifika Yetkilisi konsolunda CertificateAuthority'ye sağ tıklayın ve özellikler'i seçin.
CertificateAuthority özellikleri'nde Uzantılar sekmesine geçin. Uzantı seç seçeneğinin CRL Dağıtım Noktası (CDP) olarak ayarlandığından emin olun.
öğesini seçin
http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
. Ardından aşağıdaki seçenekleri belirleyin:CRL'lere dahil edin. İstemciler Delta CRL konumlarını bulmak için bunu kullanır.
Verilen sertifikaların CDP uzantısına dahil edin.
Verilen CRL'lerin IDP uzantısına ekle
Modülden Çık sekmesine geçin. Özellikler'i ve ardından Sertifikaların dosya sisteminde yayımlanmasına izin ver'i seçin. Active Directory Sertifika Hizmetleri'ni yeniden başlatmak için bir bildirim görürsünüz.
İptal Edilen Sertifikalar'a sağ tıklayın, Tüm Görevler'i ve ardından Yayımla'yı seçin.
CRL Yayımla penceresinde Yalnızca Delta CRL'yi seçin ve ardından pencereyi kapatmak için Tamam'ı seçin.
Sertifika şablonunu oluşturma
CA, site sistem rollerini barındıran sunucular için sertifika vermek üzere web sunucusu sertifika şablonunu kullanır. Bu sunucular, site sistemi rolleri ile kayıtlı cihazlar arasındaki güvenilir iletişimler için SSL uç noktaları olacaktır.
ConfigMgr MDM sunucuları adlı bir etki alanı güvenlik grubu oluşturun. Site sistem sunucularının bilgisayar hesaplarını gruba ekleyin.
Sertifika Yetkilisi konsolunda Sertifika Şablonları'na sağ tıklayın ve Yönet'i seçin. Bu eylem Sertifika Şablonları konsolunu yükler.
Sonuçlar bölmesinde, Şablon Görünen Adı sütununda Web Sunucusu'nu görüntüleyen girdiye sağ tıklayın ve Ardından Şablonu Çoğalt'ı seçin.
Yinelenen Şablon penceresinde Windows 2003 Server, Enterprise Sürümü veya Windows 2008 Server'ı seçin, Enterprise Sürümü ve ardından Tamam'ı seçin.
İpucu
Configuration Manager, V3 veya Şifreleme: Yeni Nesil (CNG) sertifikaları olarak da bilinen Windows 2008 Server sertifika şablonlarını destekler. Daha fazla bilgi için bkz. CNG v3 sertifikalarına genel bakış.
CA'nız Windows Server 2012 veya sonraki sürümlerde çalışıyorsa, bu pencerede sertifika şablonu sürümü seçeneği gösterilmez. Şablonu çoğaltdıktan sonra, şablon özelliklerinin Uyumluluk sekmesinde sürümü seçin.
Yeni Şablonun Özellikleri penceresindeki Genel sekmesinde bir şablon adı girin. CA, Configuration Manager site sistemlerinde kullanılacak web sertifikalarını oluşturmak için bu adı kullanır. Örneğin, ConfigMgr MDM web sunucusu yazın.
Konu Adı sekmesine geçin ve Active Directory bilgilerinden Derle'yi seçin. Konu adı biçimi için DNS adını belirtin. Kullanıcı Asıl Adı (UPN) seçiliyse, alternatif konu adı seçeneğini devre dışı bırakın.
Güvenlik sekmesine geçin.
Domain Admins ve Enterprise Admins güvenlik gruplarından Kaydetme iznini kaldırın.
Ekle'yi seçin ve güvenlik grubunuzun adını girin. Örneğin, ConfigMgr MDM sunucuları. Pencereyi kapatmak için Tamam'ı seçin.
Bu grup için Kaydet iznini seçin. Okuma iznini kaldırmayın.
Değişikliklerinizi kaydetmek için Tamam'ı seçin ve Sertifika Şablonları konsolunu kapatın.
Sertifika Yetkilisi konsolunda Sertifika Şablonları'na sağ tıklayın, Yeni'yi ve ardından Sertifika Şablonu'nu seçerek Sorun'u seçin.
Sertifika Şablonlarını Etkinleştir penceresinde yeni şablonu seçin. Örneğin, ConfigMgr MDM web sunucusu. Ardından Pencereyi kaydetmek ve kapatmak için Tamam'ı seçin.
Sertifikayı isteme
Bu işlem, IIS için web sunucusu sertifikasının nasıl istendiği açıklanır. Bu işlemi, şirket içi MDM rollerinden birini barındıran her site sistem sunucusu için gerçekleştirin.
Rollerden birini barındıran site sistemi sunucusunda yönetici olarak bir komut istemi açın. Boş bir Microsoft Yönetim Konsolu açmak için girin
mmc
.Konsol penceresinde Dosya menüsüne gidin ve Ek Bileşen Ekle/Kaldır'ı seçin.
Kullanılabilir ek bileşenler listesinden Sertifikalar'ı ve ardından Ekle'yi seçin.
Sertifikalar ek bileşeni penceresinde Bilgisayar hesabı'nı seçin. Yerel bilgisayarı yönetmek için İleri'yi ve ardından Son'u seçin.
Ek Bileşen Ekle veya Kaldır penceresinden çıkmak için Tamam'ı seçin.
Sertifikalar (Yerel Bilgisayar) seçeneğini genişletin ve Kişisel depoyu seçin. Eylem menüsüne gidin, Tüm Görevler'i seçin ve Yeni Sertifika İste'yi seçin. Bu eylem, daha önce oluşturduğunuz şablonu kullanarak yeni bir sertifika oluşturmak için Active Directory Sertifika Hizmetleri ile iletişim kurar.
Sertifika Kaydı sihirbazının Başlamadan Önce sayfasında İleri'yi seçin.
Sertifika Kayıt İlkesi Seç sayfasında Active Directory Kayıt İlkesi'ni ve ardından İleri'yi seçin.
Web sunucusu sertifika şablonunuzu (ConfigMgr MDM Web Sunucusu) ve ardından Kaydet'i seçin.
Sertifika istendikten sonra Son'u seçin.
Her sunucunun benzersiz bir web sunucusu sertifikasına ihtiyacı vardır. Gerekli site sistemi rollerinden birini barındıran her sunucu için bu işlemi yineleyin. Bir sunucu tüm site sistemi rollerini barındırıyorsa tek bir web sunucusu sertifikası istemeniz yeterlidir.
Sertifikayı bağlama
Sonraki adım, yeni sertifikayı web sunucusuna bağlamaktır. Kayıt noktası ve kayıt proxy noktası site sistem rollerini barındıran her sunucu için bu işlemi izleyin. Bir sunucu tüm site sistemi rollerini barındırıyorsa, bu işlemi yalnızca bir kez yapmanız gerekir.
Not
Dağıtım noktası ve cihaz yönetim noktası site sistemi rolleri için bu işlemi yapmanız gerekmez. Kayıt sırasında gerekli sertifikayı otomatik olarak alır.
Kayıt noktasını veya kayıt proxy noktasını barındıran sunucuda Başlat menüsüne gidin, Yönetim Araçları'nı seçin ve IIS Yöneticisi'ni seçin.
Bağlantılar listesinde Varsayılan Web Sitesi'ni ve ardından Bağlamaları Düzenle'yi seçin.
Site Bağlamaları penceresinde https'yi ve ardından Düzenle'yi seçin.
Site Bağlamasını Düzenle penceresinde SSL sertifikası için yeni kaydedilen sertifikayı seçin. Kaydetmek için Tamam'ı ve ardından Kapat'ı seçin.
IIS Yöneticisi konsolundaki Bağlantılar listesinde web sunucusunu seçin. Sağ taraftaki Eylem panelinde Yeniden Başlat'ı seçin. Bu eylem web sunucusu hizmetini yeniden başlatır.
Güvenilen kök sertifikayı dışarı aktarma
Active Directory Sertifika Hizmetleri, etki alanına katılmış tüm cihazlara CA'dan gerekli sertifikayı otomatik olarak yükler. Etki alanına katılmamış cihazların site sistem rolleri ile iletişim kurması için gereken sertifikayı web sunucusuna bağlı sertifikadan dışarı aktarın.
IIS Yöneticisi'nde Varsayılan Web Sitesi'ni seçin. Sağ taraftaki Eylem panelinde Bağlamalar'ı seçin.
Site Bağlamaları penceresinde https'yi ve ardından Düzenle'yi seçin.
Web sunucusu sertifikasını ve ardından Görünüm'ü seçin.
Web sunucusu sertifikasının özelliklerinde Sertifika Yolu sekmesine geçin. Sertifika yolunun kökünü seçin ve Sertifikayı Görüntüle'yi seçin.
Kök sertifikanın özelliklerinde Ayrıntılar sekmesine geçin ve Ardından Dosyaya Kopyala'yı seçin.
Sertifika Dışarı Aktarma Sihirbazı'nın Hoş Geldiniz sayfasında İleri'yi seçin.
DER ile kodlanmış ikili X.509 ( seçeneğini belirleyin. CER) yazın ve İleri'yi seçin.
Bu güvenilen kök sertifikayı tanımlamak için bir yol ve dosya adı girin. Dosya adı olarak Gözat... öğesine tıklayın, sertifika dosyasını kaydetmek için bir konum seçin, dosyayı adlandırın ve İleri'yi seçin.
Ayarları gözden geçirin ve sertifikayı dosyaya aktarmak için Son'u seçin.
Sertifika yetkilisi tasarımınıza bağlı olarak, ek alt CA kök sertifikalarını dışarı aktarmanız gerekebilir. Web sunucusu sertifikasının sertifika yolundaki diğer sertifikaları dışarı aktarmak için bu işlemi yineleyin.