www.SAMURAJ-cz.com 

24.04.2024 Jiří Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

SCCM 2012 - SSL šifrování komunikace s klientem

Čtvrtek, 24.05.2012 19:04 | Samuraj - Petr Bouška |
Komunikace mezi SCCM serverem a klientem může probíhat buď přes HTTP nebo bezpečněji přes šifrovaný HTTPS. Abychom mohli využít HTTPS, tak potřebujeme certifikáty a to pro každou komunikující stranu. Takže se dá říci, že je potřeba vybudovaná infrastruktura PKI (Public Key Infrastructure). Což není nic jiného, nežli vlastní certifikační autorita a patřičné certifikační šablony.

Požadované certifikáty

K základnímu provozu potřebujeme tři typy certifikátů. Doporučeným řešením je vytvořit si šablony pro každý typ certifikátu a ty využít.

Na klientovi je potřeba certifikát pro autentizaci počítače. Může jít o certifikát ze šablony Workstation Authentication (případně i Computer), který se musí nacházet v osobním počítačovém úložišti (Computer Certificate Store - Personal).

Na serveru jsou potřeba různé certifikáty pro různé role. Tam, kde se používá IIS, tedy Management point, Distribution point, Software update point, State migration point, Enrollment point, Enrollment proxy point, Application Catalog web service point, Application Catalog website point, potřebujeme SSL certifikát pro autentizaci serveru a šifrování komunikace. Může jít o certifikát ze šablony Web Server. Stejný certifikát je třeba i na SQL serveru.

Pro role Management point, State migration point, Distribution point je potřeba klientský certifikát, takže opět šablona Workstation Authentication. Certifikáty musí být opět v počítačovém úložišti. Pro Distribution Point je potřeba, aby byl certifikát exportovatelný i s privátním klíčem.

Podrobně jsou požadavky popsány v dokumentu PKI Certificate Requirements for Configuration Manager.

Pozn.: Pokud si budeme vytvářet vlastní šablony, tak je důležité, že nejsou podporovány verze Windows Server 2008 (to nejde o verzi CA, ale o verzi šablony, kterou volíme při vytváření).

Pro distribuci certifikátů na klienty můžeme s výhodou použít Autoenrollment, tedy automatické vydávání certifikátů dle dané šablony. Podrobné informace o přípravě PKI nalezneme v dokumentu Step-by-Step Example Deployment of the PKI Certificates for Configuration Manager: Windows Server 2008 Certification Authority.

Konfigurace SCCM serveru

Vycházím z toho, že máme připravené certifikáty dle předchozí kapitoly a ty se nachází v počítačovém certifikačním úložišti na každé stanici/serveru. Ještě jeden dokument, který více obecně popisuje plánování certifikátů pro SCCM Planning for Security in Configuration Manager.

Nastavení certifikátu v IIS

SSL certifikát, který se bude používat pro role využívající IIS, musíme nastavit na dané IIS Site. To provedeme pomocí Internet Information Services (IIS) Manager.

  • rozklikneme náš server
  • rozklikneme Sites
  • pravděpodobně máme SCCM nainstalováno pod Default Web Site
  • klikneme na naši Site pravým tlačítkem a zvolíme Edit Bindings
  • vybereme https a klikneme na tlačítko Edit
  • pod SSL certificate zvolíme náš připravený certifikát
SCCM 2012 nastavení certifikátu v IIS

Pozn.: Ověření základní funkčnosti certifikátu můžeme provést tak, že se z klienta připojíme pomocí webového prohlížeče na server. Zkusit můžeme třeba https://sccm12.firma.local/ccm_system/request, neměli bychom dostat žádnou chybu certifikátu nebo nedostupnou stránku. Chybu ale přesto dostaneme a to 403: Access is Denied.

Nastavení komunikace na SCCM

Vynucení použití HTTPS můžeme nastavit buď na jednotlivých rolích nebo pro celou Site. Zde si předvedeme nastavení na Site, kde stejně musíme zadat kořenový certifikát CA. Budeme potřebovat v souboru uložený certifikát CA.

  • Administration - Site Configuration - Sites
  • pravým tlačítkem klikneme na Site a zvolíme Properties
  • přepneme se na záložku Client Computer Communication
  • nahoře můžeme přepnout použití na HTTPS only
  • dole v části Trusted Root Certification Authorities klikneme na tlačítko Set
  • kliknutím na ikonu oranžové hvězdičky vybereme nový soubor s certifikátem
  • potvrdíme OK
SCCM 2012 Site - Client Computer Communication

Nastavení pro Distribution Point (DP)

Jako přípravu potřebujeme mít k dispozici v souboru vyexportovaný certifikát, který jsme pro DP vystavili, ve formátu PKCS #12 (PFX), tedy včetně privátního klíče.

  • Administration - Distribution Points
  • pravým tlačítkem klikneme náš DP a zvolíme Properties
  • (nebo také Administration - Site Configuration - Servers and Site Systems Roles klikneme pravým tlačítkem na roli Distribution Point)
  • na záložce General vybereme Import certificate a klikneme na Browse
  • najdeme náš soubor s certifikátem a zadáme jeho heslo
  • potvrdíme tlačítkem OK
SCCM 2012 Distribution Point

Kontrola komunikace klienta

Na klientovi můžeme zkontrolovat, zda komunikuje pomocí HTTP či HTTPS.

  • otevřeme Control Panel
  • otevřeme Configuration Manager
  • na záložce General je položka Client certificate
  • může zde být hodnota PKI (to znamená komunikace přes HTTPS) nebo self-signed (HTTP)
SCCM 2012 Configuration Manager Client
zobrazeno: 9281krát | Komentáře [0]

Autor:

Související články:

System Center Configuration Manager 2012

Články věnované nové verzi nástroje pro instalaci a správu stanic. Umožňuje instalaci OS, aplikací, aktualizace, inventarizaci, správu mobilních zařízení, správu napájení, ad.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách