Accueil > SCCM > SCCM – Certificats Management et PKI pour SCCM 2012 SP1 (Part1)

SCCM – Certificats Management et PKI pour SCCM 2012 SP1 (Part1)

sccm20124 Bonjour à tous,

Nous allons voir dans ce “long” post, quels sont les certificats dont à besoin SCCM, pour être en mode https, le nombre de modèles certificats que vous avez besoin de créer, et voir  comment mettre en place la partie sécurité dans SCCM.

Dans cette première partie, nous allons voir comment installer une autorité de certificat et nous allons seulement créer les modèles et générer les certificats en question sur le serveur SCCM. Dans la seconde partie, il sera question ensuite d’utiliser ce qu’on a fait afin de passer SCCM dans un mode sécurisé.

La partie AMT/ Intel VPro sera traité à part et ne sera pas abordé ici…

Les certificats que nous allons ici détailler seront :
– Certificat Serveur Web SCCM (Pour SUP, MP et DP)
– Certificat pour les points de distribution (Pour le rôle de OSD/PXE)
– Certificat pour les points de distribution (Cloud-Based) (Cloud DP – Windows Azure)
– Certificat pour les postes de travail (Concernant les clients SCCM)
– Certificat pour la gestion des Mobile Devices (Mobile Devices Management)

Les étapes de ce post (Part 1):
– Installation du Service AD CS (Step 1)
– Création d’une stratégie de groupe Active Directory (Step 2)
– Création des modèles de certificats (Step 3)
– Publication des modèles de certificats dans l’infrastructure ou environnement (Step 4)
– Génération des certificats sur le serveur SCCM (Step 5)

L’environnement de test est pour ma part :
– 1 Serveur Contrôleur de domaine (avec Windows 2008 R2 Enterprise)
– 1 Serveur Microsoft ConfigMgr 2012 SP1 avec SQL

Les rôles MP, DP, etc. se trouvant sur le même Serveur SCCM

Prérequis : Avoir un serveur Windows 2008 R2 Enterprise, membre de votre AD, ceci pour installer le rôle d’Autorité de certification (AD CS) – Pour moi, ce sera mon contrôleur de domaine.

Etape 1 – Installation de l’autorité de certification et des services associés
Ouvrir la console Gestionnaire de Serveur sur votre serveur qui hébergera ce rôle.

1 – Sélectionner l’item Rôles
2 – Cliquer sur Ajouter un rôle
3 – Cliquer sur Suivant afin de passer la page ‘Avant de commencer
4 – Cocher le rôle Services de certificats Active directory, et enfin cliquer sur Suivant
5 – Cliquer sur Suivant afin de passer la page the AD CS
6 – Cocher le service Autorité de certification
7 – Cocher le service Inscription de l’autorité de certification via le Web  
8 – Sélectionner (ou vérifier) que le mode Enterprise soit bien choisi, puis cliquer sur Suivant 
9 – Sélectionner (ou vérifier) que l’option Autorité de certification racine soit bien choisie, puis cliquer sur Suivant
10 – Sélectionner l’option Créer une nouvelle clé privée, puis cliquer sur Suivant.
11 – Accepter les paramètres par valeurs par défauts (2048) puis cliquer sur Suivant.
12 – Accepter les paramètres par défaut (Vous pouvez aussi renommer le nom commun de l’autorité de certification), puis cliquer sur Suivant
13 – Accepter (ou modifier) la période de validité (5 années, par défaut), puis cliquer sur Suivant.
14 – Accepter (ou modifier) l’endroit où sera installée la base de donnée, puis cliquer sur Suivant.
15 – Cliquer sur Suivant concernant le sommaire d’installation de Microsoft IIS
16 – Accepter les rôles et services de Microsoft IIS, puis cliquer sur Suivant.
17 – Confirmer l’installation en cliquant sur Installer
18 – L’installation démarre… 
19 – Un fois terminée, cliquer sur Fermer

Etape 2 – Configuration de la stratégie de groupe concernant l’Auto-inscription des certificats

1 – Lancer la console MMC de Gestion de stratégie de groupe
2 – Créer une nouvelle stratégie de groupe : Stratégie d’Auto-inscription des certificats clients, cliquer sur Ok pour valider

image 

3 – Cliquer-droit sur votre nouvelle stratégie (Stratégie d’Auto-inscription des certificats clients) , puis sélectionner Modifier, La console : Editeur de gestion des stratégie de groupe apparait alors…
4 – Depuis la console Editeur de gestion des stratégie de groupe se rendre comme suit :

image

5 – Double-cliquer sur Client des services de certificats – inscription automatique, puis sélectionner les options comme suit (encadrés rouges) afin d’activer l’auto-inscription et de configurer les options et conditions de renouvellement :

image

6 – Fermer la console MMC Editeur de gestion des stratégie de groupe
7 – Depuis la console de Gestion de stratégie de groupe, lier et activer votre nouvelle stratégie de groupe à votre environnement, regroupant vos Serveur et vos postes de travail (OU Servers et Workstations) qui seront clients de votre infrastructure
8 – Fermer la console MMC : Editeur de gestion des stratégie de groupe

Etape 3 – Création et configuration des modèles de certificats
Nous allons dans cette section, créer les modèle de certificats qui serviront à SCCM. Les certificats a créer est en fonction des environnement et rôles que vous voulez mettre en place au sein de votre site / Nous allons détailler les modèle de certificats suivants (Rappel) :

– Certificat Serveur Web SCCM (SUP, MP et DP)
– Certificat pour les points de distribution (OSD/PXE)
– Certificat pour les points de distribution (Cloud-Based) (Cloud DP – Windows Intune)
– Certificat pour les postes de travail (En fait pour les clients SCCM)
– Certificat pour la gestion des Mobile Devices (Mobile Devices Management)

Création du modèle de Certificat pour les postes de travail
Cette procédure permet de créer un modèle de certificat pour les postes de travail clients de System Center 2012 Configuration Manager.

1 – Ouvrir la console MMC Autorité de certification, cliquer-droit sur Modèles de certificats puis sélectionner Gérer 
2 – Depuis la Console des modèles de certificats, cliquer-droit sur le modèle Authentification de station de travail, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Client Certificate
6 – Aller dans l’onglet Sécurité, puis en plus des droits de Inscrire (Enroll) ajouter les droits de Lecture (Read) et d’Inscription automatique (Autoenroll) concernant le groupe “Ordinateurs du domaine (<Domain>\Domain Computers Group) 
7 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat
8 – Ne fermer pas la console : Console des modèles de certificat

Récapitulatif :
Onglet de Sécurité -> Domain Computers : Inscrire / Lecture / Inscription Auto.

Création du modèle de Certificat pour les points de distribution
Créer un groupe Active Directory ConfigMgr IIS Servers, puis insérer vos serveurs SCCM 2012 exécutant Microsoft IIS 

1 – Depuis la console  Console des modèles de certificat
2 – Cliquer-droit sur le modèle Authentification de station de travail, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Client Distribution Point Certificate
6 – Aller dans l’onglet Traitement de la demande, puis sélectionner Autoriser l’exportation de la clé privée
7 – Aller dans l’onglet Sécurité, puis supprimer le droit Inscrire (Enroll) au groupe Administrateurs de l’entreprise (<Domain>\Enterprise Admins) dans la listes de utilisateurs et groupes
8 – Ajouter le groupe Active directory ConfigMgr IIS Servers regroupant vos serveurs SCCM; Attribuer-lui le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
9 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.
10 – Ne fermer pas la console : Console des modèles de certificat

Récapitulatif :
Onglet Sécurité -> ConfigMgr IIS Servers : Inscrire / Lecture
Onglet Sécurité -> Administrateurs de l’entreprise : Lecture / Ecriture
Onglet Traitement de la demande –> Autoriser l’exportation de la clé privée

Création du modèle de Certificat Serveur Web SCCM
Créer un groupe Active Directory ConfigMgr IIS Servers, puis insérer vos serveurs SCCM 2012 exécutant Microsoft IIS (Hébergeant des rôles comme le Management Point, Software Updates Point, etc.).

1 – Depuis la console Console des modèles de certificat
2 – Cliquer-droit sur le modèle Serveur Web, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Web Server Certificate
6 – Aller dans l’onglet Sécurité, puis supprimer le droit d’Inscrire (Enroll) aux groupes Administrateurs de l’entreprise (<Domain>\Enterprise Admins) et Administrateurs du domaine (<Domain>\Domain Admins) dans la listes des utilisateurs et groupes 
7 – Ajouter le groupe Active directory ConfigMgr IIS Servers regroupant vos serveurs SCCM 
8 – Attribuer à ce nouveau groupe le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
9 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.

Récapitulatif :
Onglet Sécurité -> ConfigMgr IIS Servers : Inscrire / Lecture
Onglet Sécurité -> Administrateurs de l’entreprise : Lecture / Ecriture
Onglet Sécurité -> Admins du domaine : Lecture / Ecriture

Création du modèle de Certificat pour les points de distribution (Cloud-Based) – Service Pack 1 de SCCM uniquement et Facultatif si vous n’utiliser pas la Cloud
Créer un groupe Active Directory ConfigMgr Site Servers, puis insérer vos serveurs SCCM 2012 exécutant Microsoft IIS

1 – Depuis la console Console des modèles de certificat
2 – Cliquer-droit sur le modèle Serveur Web, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Cloud-Based Distribution Point Certificate
6 – Aller dans l’onglet Traitement de la demande, puis sélectionner Autoriser l’exportation de la clé privée 
7 – Aller dans l’onglet Sécurité, puis supprimer le droit Inscrire (Enroll) au groupe Administrateurs de l’entreprise (<Domain>\Enterprise Admins) dans la listes des utilisateurs et groupes 
8 – Ajouter le groupe Active directory ConfigMgr Site Servers regroupant vos serveurs SCCM; Attribuer-lui le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
9 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.

Récapitulatif :
Onglet Sécurité -> ConfigMgr Site Servers : Inscrire / Lecture
Onglet Sécurité -> Administrateurs de l’entreprise : Lecture / Ecriture
Onglet Traitement de la demande –> Autoriser l’exportation de la clé privée

Création du modèle de Certificat pour la gestion des Mobiles Devices
Créer un groupe Active Directory ConfigMgr Mobile Devices Users

1 – Depuis la console Console des modèles de certificat
2 – Cliquer-droit sur le modèle Session authentifiée, et choisir Dupliquer le modèle dans le menu contextuel
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important)
4 – Cliquer sur OK
5 – Spécifier un Nom complet du modèle (ConfigMgr Mobile Device Enrollment Certificate)
6 – Aller dans l’onglet Nom du sujet, puis sélectionner Construire à partir de ces informations Active directory (Build from this Active Directory information)
7 – Spécifier Nom Commun (Common Name) dans le champ Format du nom du sujet (Subject Name format)
8 – Décocher la case Nom de l’utilisateur principal (UPN) (User principal Name (UPN)) dans la section Inclure cette information dans le nom de substitution du sujet (Include this information in alternate subject Name)
9 – Aller dans l’onglet Sécurité, puis ajouter le groupe Active directory ConfigMgr Mobile Devices Users ; Attribuer-lui le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
10 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.

Récapitulatif :
Onglet Nom du sujet -> Construire à partir de ces informations Active directory
Onglet Nom du sujet -> Nom Commun
Onglet Nom du sujet -> Nom de l’utilisateur principal (UPN)
Onglet Sécurité -> ConfigMgr Mobile Devices Users : Inscrire / Lecture

Etape 4 – Publication de vos nouveaux modèles de certificat dans votre autorité de certification
Une fois es modèles les certificats créés, depuis la console Autorité de certification, cliquer-droit sur Modèles de Certificat, sélectionner Nouveau, puis Modèle de certificat à délivrer. Sélectionner vos 5 nouveaux modèles de certificats (Utiliser la touche CTRL ou SHIFT pour la multi-sélection); Une fois sélectionnés, cliquer sur OK afin de les importer. Ceux-ci devraient apparaitre dans le magasin de modèles de certificats disponibles.

image

image

Fermer la console Autorité de certification une fois les modèles importés.

Etape 5 – Demande et génération des certificats sur vos serveurs SCCM
A ce stade, passer en ligne de commande gpupdate.exe /force sur vos serveurs, ou si cela ne suffit pas, redémarrer-les, ceci afin qu’ils prennent conscience de leurs droits concernant les nouveaux modèle de certificats, créés.

Faire ce qu’il suit pour les modèles de certificat suivants :
– Certificat Serveur Web SCCM
– Certificat pour les points de distribution 
– Certificat pour les points de distribution (Cloud-Based)

1 – Cliquer sur Démarrer (Start), click Exécuter (Run), and type mmc.exe. Dans la console, cliquer sur Fichier (file), puis sur (Add/Remove Snap-in)µ
2 – Depuis la boite de dialogue Ajouter/Supprimer un composant logiciel enfichable… (Add or Remove Snap-ins), sélectionner Certificats (Certificats) dans les Composant logiciels enfichables disponibles, puis cliquer sur Ajouter (Add)
3 – Depuis la boite de dialogue Certificate snap-in, sélectionner Un compte d’ordinateur (Computer Account) puis cliquer sur Suivant
4 – Sélectionner L’ordinateur Local (L’ordinateur sur lequel cette console s’exécute) (Local computer : (the computer this console is running on)), puis cliquer sur Terminer et enfin sur OK.
5 – Depuis la console, développer l’item Certificats (Ordinateur Local), et cliquer sur Personnel (Personal)
6 – Cliquer-droit ensuite sur Personnel\Certificats, sélectionner Toutes les Tâches (All Tasks), et enfin sélectionner Demander un nouveau certificat (Request New Certificate)
7 – Concernant la 1ère page Avant de commencer (Before You Begin), cliquer sur Suivant, et encore sur Suivant
8 – Depuis la page Demander des Certificats sélectionner, dans la liste des certificats disponibles, le Certificat correspondant au rôle que votre serveur endossera (IIS, WEB, etc.)

ConfigMgr Web Server Certificate
Concernant uniquement le certificat ConfigMgr Web Server Certificate, cliquer sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaire. Cliquer ici pour configurer les paramètres. 
9 – Puis renseigner et Ajouter > le FQDN de votre serveur SCCM avec un FQDN interne valide et un FQDN externe valide si vous voulez publier votre serveur de site sur Internet.

image

Comprendre ce qu’il faut renseigner ici concernant le certificat Web pour SCCM.
– Si le système de site SCCM accepte uniquement les connexions clientes en mode intranet, et que le nom de domaine complet de celui-ci est server1.internal.contoso.com dans ce mode de connexion, renseigner uniquement server1.internal.contoso.com

– Si le système de site SCCM accepte à la fois les connexions clientes en mode intranet et internet, et que le nom de domaine complet interne de celui-ci est server1.internal.contoso.com, renseigner alors server1.internal.contoso.com puis ajouter-le. Pour le mode internet, renseigner le FQDN que devront utiliser les clients SCCM pour joindre le serveur de site depuis l’extérieur (Internet), par exemple server.contoso.com puis ajouter-le.

ConfigMgr Cloud-Based Distribution Point Certificate
(Uniquement pour la version SP1 de SCCM et facultatif si vous n’utilisez pas le Cloud)
Concernant uniquement le certificat ConfigMgr Cloud-Based Distribution Point Certificate cliquer sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaire. Cliquer ici pour configurer les paramètres.
9 – Puis renseigner  le FQDN de votre serveur avec un FQDN externe valide Internet, par exemple :

image

NOTE : La traduction française dans le Technet n’est pas disponible à ce jour. L’étape concernant ce certificat n’est pas documenté…Ce certificat est utilisé pour chiffrer les données et authentifier les clients auprès du point de distribution se trouvant dans le Cloud. Ce certificat doit être exportés puis importé lorsque vous créez un point de distribution basés sur le Cloud.

10 – Puis cliquer sur OK pour valider votre choix
11 – Une fois les information renseignées, cliquer sur Inscription (Enroll)
12 – L’assistant doit confirmer que le certificat que vous avez choisi, a bien été généré
13 – Cliquer sur Terminer (Finish), une fois le certificat généré.
14 – Ne pas fermer la console MMC

Concernant le certificat Certificat pour les postes de travail, celui-ci sera publié ou déployé par stratégie GPO

Etape 6 – Exportation des certificats générés pour le rôle de point de distribution et Point de distribution Cloud-based (SP1 seulement)
Cette partie explique comment exporter les certificats afin de les injecter dans SCCM. Depuis la console MMC-Certificats, dans Certificats\Personnel\Certificats, repérer les certificats :

– ConfigMgr client Distribution point Certificate
– ConfigMgr Cloud-based distribution point certificats (Facultatif, si vous n’utilisez pas le Cloud)

Pour ces deux certificats uniquement, faire les étapes suivantes :

1 – Cliquer-droit sur le certificat que vous avez choisi, sélectionnez Toutes les tâches, puis cliquez sur Exporter.
2 – Dans l’Assistant Exportation de certificats, cliquez sur Suivant.
3 – Dans la page Exporter la clé privée, sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant
4 – Sur la page Format de fichier d’exportation, assurez-vous que l’option Personal Information Exchange – PKCS #12 (.PFX) est bien sélectionnée.
5 – Dans la page Mot de passe, spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis cliquez sur Suivant.
6 – Dans la page Fichier à exporter, spécifiez le nom du fichier que vous voulez exporter, puis cliquez sur Suivant.
7 – Pour fermer l’Assistant, cliquez sur Terminer sur la page Assistant Exportation de certificat, puis cliquez sur OK dans la boîte de dialogue de confirmation.
8 – Fermez la fenêtre Certificats (ordinateur local)

Stockez le fichier de façon sécurisée et vérifiez que vous pouvez y accéder à partir de la console

Vous devez donc désormais avoir en votre possession au moins 1 fichier PFX – Voire 2, si vous êtes en SP1 de SCCM et que vous voulez utiliser un point de distribution dans la Cloud

fin de cette 1ère partie…

Sources et articles Microsoft
Step-by-Step Example Deployment of the PKI Certificates for Configuration Manager: Windows Server 2008 Certification Authority http://technet.microsoft.com/en-us/library/gg682023.aspx#BKMK_clientdistributionpoint2008_cm2012

Enfin, post est susceptible d’évoluer ou d’être corrigé, en cas d’erreur. Ce sujet est complexe et chronophage, où il est facile de se tromper, alors faite attention. N’hésitez pas me signaler toute erreur qui se serait glissée.

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , , , ,
  1. Aucun commentaire pour l’instant.
  1. février 8, 2013 à 7:12

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :