增强型 HTTP

  • 项目

适用于: Configuration Manager(current branch)

Microsoft 建议对所有Configuration Manager通信路径使用 HTTPS 通信,但由于管理 PKI 证书的开销,对某些客户来说,这具有挑战性。 借助增强的 HTTP,Configuration Manager可以通过向特定站点系统颁发自签名证书来提供安全通信。

此配置有两个主要目标:

  • 无需 PKI 服务器身份验证证书即可保护敏感客户端通信。

  • 客户端可以从分发点安全地访问内容,而无需网络访问帐户、客户端 PKI 证书或Windows 身份验证。

所有其他客户端通信都通过 HTTP 进行。 增强型 HTTP 与为客户端通信或站点系统启用 HTTPS 不同。

注意

对于具有以下要求的客户,PKI 证书仍然是一个有效的选项:

  • 所有客户端通信都通过 HTTPS 进行
  • 签名基础结构的高级控制

如果已在使用 PKI,则站点系统使用 IIS 中绑定的 PKI 证书,即使启用增强型 HTTP 也是如此。

应用场景

以下方案受益于增强的 HTTP:

方案 1:客户端到管理点

如果为站点启用增强的 HTTP,Microsoft Entra联接的设备和具有Configuration Manager颁发的令牌的设备可以与为 HTTP 配置的管理点通信。 启用增强型 HTTP 后,站点服务器会为管理点生成证书,以便通过安全通道进行通信。

注意

此方案不需要使用已启用 HTTPS 的管理点,但支持将其用作使用增强 HTTP 的替代方法。 有关使用启用了 HTTPS 的管理点的详细信息,请参阅 为 HTTPS 启用管理点

方案 2:客户端到分发点

工作组或已加入Microsoft Entra的客户端可以通过安全通道从为 HTTP 配置的分发点进行身份验证和下载内容。 这些类型的设备还可以从为 HTTPS 配置的分发点进行身份验证和下载内容,而无需在客户端上提供 PKI 证书。 将客户端身份验证证书添加到工作组或已加入Microsoft Entra客户端具有挑战性。

此行为包括操作系统部署方案,其中包含从启动媒体、PXE 或软件中心运行的任务序列。 有关详细信息,请参阅 网络访问帐户

方案 3:Microsoft Entra设备标识

Microsoft Entra加入或混合Microsoft Entra设备(没有Microsoft Entra用户登录)可以安全地与其分配的站点通信。 基于云的设备标识现在足以在以设备为中心的方案中使用 CMG 和管理点进行身份验证。 (以用户为中心的方案仍然需要用户令牌。)

功能

以下Configuration Manager功能支持或需要增强的 HTTP:

注意

软件更新点和相关方案始终支持客户端和云管理网关的安全 HTTP 流量。 它使用与基于证书或令牌的身份验证不同的管理点的机制。

不支持的方案

增强型 HTTP 目前无法保护Configuration Manager中的所有通信。 以下列表汇总了仍为 HTTP 的一些关键功能。

  • 内容客户端对等通信
  • 状态迁移点
  • 远程工具
  • Reporting Services 点

注意

此列表并不详尽。

先决条件

  • 为 HTTP 客户端连接配置的管理点。 在管理点角色属性的“ 常规 ”选项卡上设置此选项。

  • 为 HTTP 客户端连接配置的分发点。 在分发点角色属性的“ 通信 ”选项卡上设置此选项。 不要启用 “允许客户端匿名连接”选项。

  • 对于需要Microsoft Entra身份验证的方案,请载入站点以Microsoft Entra ID 进行云管理。 如果不将站点载入到Microsoft Entra ID,仍可以启用增强型 HTTP。

  • 仅适用于方案 3:运行受支持版本的 Windows 10 或更高版本并加入到Microsoft Entra ID 的客户端。 客户端需要此配置进行Microsoft Entra设备身份验证。

注意

除了Configuration Manager客户端支持的要求之外,没有 OS 版本要求。

配置站点

  1. 在Configuration Manager控制台中,转到“管理”工作区,展开“站点配置”,然后选择“站点”节点。 选择网站,然后在功能区中选择“属性”。

  2. 切换到“ 通信安全性 ”选项卡。选择 HTTPS 或 HTTP 的选项。 然后启用“为 HTTP 站点系统使用Configuration Manager生成的证书”选项。

提示

等待最多 30 分钟,以便管理点从站点接收和配置新证书。

还可以为管理中心站点启用增强的 HTTP (CAS) 。 使用相同的过程,并打开 CAS 的属性。 此操作仅为 CAS 上的 SMS 提供程序角色启用增强的 HTTP。 它不是应用于层次结构中的所有站点的全局设置。

有关客户端如何使用此配置与管理点和分发点通信的详细信息,请参阅 从客户端到站点系统和服务之间的通信

验证证书

可以在Configuration Manager控制台中看到这些证书。 转到 “管理 ”工作区,展开“ 安全性”,然后选择“ 证书” 节点。 查找 SMS 颁发 根证书和由 SMS 颁发根颁发的站点服务器角色证书。

启用增强型 HTTP 时,站点服务器将生成名为 SMS 角色 SSL 证书的自签名证书。 此证书由根 SMS 颁发证书颁发 。 管理点将此证书添加到绑定到端口 443 的 IIS 默认网站。

若要查看配置的状态,请查看 mpcontrol.log

概念图

此图总结并可视化了Configuration Manager中增强的 HTTP 功能的一些main方面。

增强的 HTTP 功能的概念图。

  • 建议使用Microsoft Entra ID 进行连接,但可选。 它支持需要Microsoft Entra身份验证的方案。

  • 为增强的 HTTP 启用站点选项时,站点会向站点系统(如管理点和分发点角色)颁发自签名证书。

  • 由于站点系统仍针对 HTTP 连接进行配置,客户端通过 HTTPS 与其通信。

常见问题解答

增强的 HTTP 有哪些好处?

main好处是减少纯 HTTP 的使用,这是一种不安全的协议。 Configuration Manager默认会尝试确保安全,Microsoft 希望让你能够轻松确保设备的安全。 启用基于 PKI 的 HTTPS 是一种更安全的配置,但对于许多客户来说,这很复杂。 如果无法执行 HTTPS,请启用增强的 HTTP。 Microsoft 建议使用此配置,即使你的环境当前未使用任何支持它的功能。

重要

从 Configuration Manager 版本 2103 开始,将弃用允许 HTTP 客户端通信的站点。 为 HTTPS 或增强 HTTP 配置站点。 有关详细信息,请参阅 为仅 HTTPS 或增强的 HTTP 启用站点

是否需要使用Microsoft Entra ID 来启用增强型 HTTP?

否。 受益于增强 HTTP 的许多方案和功能依赖于Microsoft Entra身份验证。 无需将站点加入到Microsoft Entra ID,即可启用增强的 HTTP。 然后,它支持管理服务等功能,减少对网络访问帐户的需求。 仅当支持功能之一需要时,才需要Microsoft Entra ID。

注意

即使不直接使用管理服务 REST API,某些Configuration Manager功能也会本机使用它,包括部分Configuration Manager控制台。

客户端如何与站点系统通信?

启用增强型 HTTP 时,站点会向站点系统颁发证书。 例如,管理点和分发点。 然后,这些站点系统可以在当前支持的方案中支持安全通信。

从客户端的角度来看,管理点向每个客户端颁发令牌。 客户端使用此令牌来保护与站点系统的通信。 该行为与操作系统版本无关,Configuration Manager客户端支持的行为。

如果某些站点系统已是 HTTPS,是否可以启用增强型 HTTP?

能。 站点系统始终首选 PKI 证书。 例如,一个管理点已有 PKI 证书,但其他管理点没有。 为站点启用增强型 HTTP 时,HTTPS 管理点将继续使用 PKI 证书。 其他管理点使用站点颁发的证书来增强 HTTP。

后续步骤