Про публикацию CRL и обработку IIS знака + есть по ССЫЛКЕ
- IIS Servers template (+ad группа (sccm_iis_servers), в которую будут включаться все серверы с ролью IIS (dp, mp, sup,…). Шаблон создается как Duplicate Web Server template. Убедиться, что Compatibility Settings Certification Authority – Windows Server 2003, Certificate Recipient – Windows XP / Server 2003, на вкладке General задать имя шаблона, срок действия сертификата и Renewal период. Убедиться, что на вкладке Request Handling не установлена опция Allow private key to be exported. На вкладке Subject Name выбрать Supply in request. На вкладке Security добавить созданную AD группу sccm_iis_servers, добавить права enroll. В целях безопасности, можно забрать/наделить правами другие группы.
- DP/OSD template (+ad группа (sccm_dp_servers), в которую будут включаться все серверы с ролью Distribution Point. Шаблон создается как Duplicate Workstation Authentication template. Убедиться, что Compatibility Settings Certification Authority – Windows Server 2003, Certificate Recipient – Windows XP / Server 2003, на вкладке General задать имя шаблона, срок действия сертификата и Renewal период. Убедиться, что на вкладке Request Handling установлена опция Allow private key to be exported. На вкладке Subject Name выбрать Supply in request. На вкладке Security добавить созданную AD группу sccm_dp_servers, добавить права enroll. В целях безопасности, можно забрать/наделить правами другие группы, в частности надо убрать права у Domain Computers.
- Client certificate template. Шаблон создается как Duplicate Workstation Authentication template. Убедиться, что Compatibility Settings Certification Authority – Windows Server 2003, Certificate Recipient – Windows XP / Server 2003, на вкладке General задать имя шаблона, срок действия сертификата и Renewal период. Убедиться, что на вкладке Request Handling не установлена опция Allow private key to be exported. На вкладке Subject Name выбрать Build from this Active Directory information и выбрать только опцию DNS name. На вкладке Security для группы Domain Computers установить разрешающие права Read, Enroll, Autoenroll
- выбрать Configuration model – Enabled
- выбрать Renew expired certificates, update pending certificates, and remove revoked certificates
- выбрать Update certificates that use certificate templates
- Открываем на сервере оснастку Certificates
- Кликаем правой кнопкой мышки на Personal – Certificates – All tasks – Request new certificate
- Выбираем шаблон сертификата для IIS серверов и для DP, если сервер так же является DP
- Кликаем на шаблоне для IIS серверов More information is required to enroll for this certificate. Click here to configure settings.
- На вкладке Subject выбираем Alternative name – type DNS и добавляем 2 значения для сервера – netbios name, fqdn (например sccm01, sccm01.test.lab)
- На вкладке General можно так же указать friendly name для сертификата
- Выпускаем сертификаты
- Экспортируем сертификат, выпущенный по шаблону DP/OSD Template вместе с закрытым ключом. Это необходимо проделать либо для каждой DP, либо для какой-то одной.
- Открыть оснастку Internet Information Services (IIS) Manager
- Кликнуть правой кнопкой мыши на Default Web Site – Edit Bindings
- Выбрать https/443 – SSL certificate
- Указать сертификат, выпущенный по шаблону IIS Servers template
- Открыть оснастку Internet Information Services (IIS) Manager
- Кликнуть правой кнопкой мыши на WSUS Administation:– Edit Bindings
- Выбрать https/8531 – SSL certificate
- Указать сертификат, выпущенный по шаблону IIS Servers template
- Для виртуальных директорий APIRemoting30, ClientWebService, DSSAuthWebService, ServerSyncWebService, SimpleAuthWebService выбрать SSL Settings, установить опцию Require SSL и Client Certificate – Ignore, после каждого действия нажимать Apply
- В свойствах сайта Client Computer Communication выбираем HTTPS only
- Если у вас корректно сконфигурирована публикация CRL, то отметить опцию Clients check the certificate revocation list (CRL) for site systems
- Trusted Root Certification Authorities – добавить открытые ключи всех CA, которые выпускают сертификаты для SCCM (Root, Issuing, …)
- Заходим в свойства – General и выбираем HTTPS
- Выбираем Import Certificate и указываем экспортированный сертификат по шаблону DP/OSD Template. Можно использовать один и тот же сертификат для всех DP. Иногда при импорте с удаленной консоли возникает ошибка импорта, поэтому сертификат лучше импортировать с консоли на сайт-сервере.
- В свойствах каждой Management Point указываем Client Connection – HTTPS (логи mpsetup.log, mpcontrol.log)
- В свойствах каждой Software Update Point выставляем опцию Require SSL communication to the WSUS server
На этом переключение на HTTPS закончено.