Požadované certifikáty
K základnímu provozu potřebujeme tři typy certifikátů. Doporučeným řešením je vytvořit si šablony pro každý typ certifikátu a ty využít.
Na klientovi je potřeba certifikát pro autentizaci počítače. Může jít o certifikát ze šablony Workstation Authentication (případně i Computer), který se musí nacházet v osobním počítačovém úložišti (Computer Certificate Store - Personal).
Na serveru jsou potřeba různé certifikáty pro různé role. Tam, kde se používá IIS, tedy Management point, Distribution point, Software update point, State migration point, Enrollment point, Enrollment proxy point, Application Catalog web service point, Application Catalog website point, potřebujeme SSL certifikát pro autentizaci serveru a šifrování komunikace. Může jít o certifikát ze šablony Web Server. Stejný certifikát je třeba i na SQL serveru.
Pro role Management point, State migration point, Distribution point je potřeba klientský certifikát, takže opět šablona Workstation Authentication. Certifikáty musí být opět v počítačovém úložišti. Pro Distribution Point je potřeba, aby byl certifikát exportovatelný i s privátním klíčem.
Podrobně jsou požadavky popsány v dokumentu PKI Certificate Requirements for Configuration Manager.
Pozn.: Pokud si budeme vytvářet vlastní šablony, tak je důležité, že nejsou podporovány verze Windows Server 2008 (to nejde o verzi CA, ale o verzi šablony, kterou volíme při vytváření).
Pro distribuci certifikátů na klienty můžeme s výhodou použít Autoenrollment, tedy automatické vydávání certifikátů dle dané šablony. Podrobné informace o přípravě PKI nalezneme v dokumentu Step-by-Step Example Deployment of the PKI Certificates for Configuration Manager: Windows Server 2008 Certification Authority.
Konfigurace SCCM serveru
Vycházím z toho, že máme připravené certifikáty dle předchozí kapitoly a ty se nachází v počítačovém certifikačním úložišti na každé stanici/serveru. Ještě jeden dokument, který více obecně popisuje plánování certifikátů pro SCCM Planning for Security in Configuration Manager.
Nastavení certifikátu v IIS
SSL certifikát, který se bude používat pro role využívající IIS, musíme nastavit na dané IIS Site. To provedeme pomocí Internet Information Services (IIS) Manager.
- rozklikneme náš server
- rozklikneme Sites
- pravděpodobně máme SCCM nainstalováno pod Default Web Site
- klikneme na naši Site pravým tlačítkem a zvolíme Edit Bindings
- vybereme https a klikneme na tlačítko Edit
- pod SSL certificate zvolíme náš připravený certifikát
Pozn.: Ověření základní funkčnosti certifikátu můžeme provést tak, že se z klienta připojíme pomocí webového prohlížeče na server. Zkusit můžeme třeba https://sccm12.firma.local/ccm_system/request
, neměli bychom dostat žádnou chybu certifikátu nebo nedostupnou stránku. Chybu ale přesto dostaneme a to 403: Access is Denied.
Nastavení komunikace na SCCM
Vynucení použití HTTPS můžeme nastavit buď na jednotlivých rolích nebo pro celou Site. Zde si předvedeme nastavení na Site, kde stejně musíme zadat kořenový certifikát CA. Budeme potřebovat v souboru uložený certifikát CA.
- Administration - Site Configuration - Sites
- pravým tlačítkem klikneme na Site a zvolíme Properties
- přepneme se na záložku Client Computer Communication
- nahoře můžeme přepnout použití na HTTPS only
- dole v části Trusted Root Certification Authorities klikneme na tlačítko Set
- kliknutím na ikonu oranžové hvězdičky vybereme nový soubor s certifikátem
- potvrdíme OK
Nastavení pro Distribution Point (DP)
Jako přípravu potřebujeme mít k dispozici v souboru vyexportovaný certifikát, který jsme pro DP vystavili, ve formátu PKCS #12 (PFX), tedy včetně privátního klíče.
- Administration - Distribution Points
- pravým tlačítkem klikneme náš DP a zvolíme Properties
- (nebo také Administration - Site Configuration - Servers and Site Systems Roles klikneme pravým tlačítkem na roli Distribution Point)
- na záložce General vybereme Import certificate a klikneme na Browse
- najdeme náš soubor s certifikátem a zadáme jeho heslo
- potvrdíme tlačítkem OK
Kontrola komunikace klienta
Na klientovi můžeme zkontrolovat, zda komunikuje pomocí HTTP či HTTPS.
- otevřeme Control Panel
- otevřeme Configuration Manager
- na záložce General je položka Client certificate
- může zde být hodnota PKI (to znamená komunikace přes HTTPS) nebo self-signed (HTTP)
Zatím zde nejsou žádné komentáře.