So migrieren Sie Configuration Manager von HTTP zu HTTPS

So migrieren Sie Configuration Manager von HTTP zu HTTPS – Schritt-für-Schritt-Anleitung.

1. Erstellen Sie die Zertifikatvorlage (ConfigMGR -Clients (wenn der Arbeitsplatz noch nicht vorhanden ist), ConfigMGR IIS -Server, und configMGR DP -Server);
2. Fordern Sie die Zertifikate an;
3. Auf den IIS -Servern, Ändern Sie die Bindung, um den HTTPS-Port zuzulassen (default 443) und wählen Sie das Zertifikat aus;
4. Exportieren Sie die Root-CA (und jede andere CA) Zertifikat und importieren Sie es in SCCM. Notiz, Zwingen Sie den SCCM nicht, PKI zu verwenden, stattdessen, Erlauben Sie ihm die Verwendung von HTTP oder HTTPS;
5. Für jeden Kunden, Bestätigen Sie, dass das Client -Zertifikat auf PKI eingestellt ist (Sie können ganz einfach HKLMSoftwareMicrosoftCCMHttpsState und HKLMSoftwareMicrosoftCCMPKICertReady überprüfen). Oder Sie können überprüfen, ob Clients nicht zur HTTPS-Kommunikation in der Lage sind;
6. Bestätigen Sie, dass Sie zu HTTPS navigieren können://;
7. Vom Server, Bestätigen Sie, dass Sie für das ausgewählte Zertifikat zur CRL navigieren können;
8. Vom Kunden, Bestätigen Sie, dass Sie für das Zertifikat zur CRL navigieren können;
9. Auf der Konsole, Fügen Sie die Spalte „Client-Zertifikat“ hinzu und bestätigen Sie, dass es für alle Clients auf „PKI“ eingestellt ist (Es kann einige Tage/Woche dauern, bis dies abgeschlossen ist);
10. Sobald alle Maschinen für die Verwendung von HTTPS bereit sind, Migrieren Sie den MP und überprüfen Sie die Protokolle: MPSetup, MPMSI & MPControl;
11. Auf der Kundenseite, Überprüfen Sie das CCMMessaging -Protokoll.

Jetzt ist es an der Zeit, mit der Migration und dem Testen aller anderen Rollen zu beginnen:

Für DistributionPoint:

- Importieren Sie das neue DP -Zertifikat und setzen Sie es für die Verwendung von HTTPS ein;

Für Anwendungskatalog:

- Stellen Sie die IIS -Bindungen auf, um ein IIS -Zertifikat zu verwenden;

– Sie können die Website des App-Katalogs ganz einfach von HTTP auf HTTPS umstellen, Jedoch, Für den App-Katalog-Webservice ist dies nicht möglich. in diesem Fall, Sie müssen es deinstallieren und erneut installieren.

Für Software-Update-Punkt:

- Setzen Sie die IIS -Bindung, um ein IIS -Zertifikat zu verwenden;

– Führen Sie WSUSUtil.exe aus, um SSL zu konfigurieren (Überprüfen Sie ServerCertificateName und PortNumber unter HKLMSoftwareMicrosoftUpdate ServicesServerSetup);

- Ändern Sie die SUP, um SSL zu verwenden, und bestätigen Sie, dass es funktioniert;

– APIRemoting30 erzwingen, ClientWebService, DSSAuthWebService, ServerSyncWebService, und SimpleAuthwebservice nur SSL verwenden.