So migrieren Sie Configuration Manager von HTTP zu HTTPS

So migrieren Sie Konfigurationsmanager von HTTP zu HTTPS – Schritt-für-Schritt-Anleitung.

1. Erstellen Sie die Zertifikat Vorlage (ConfigMgr Kunden (wenn der Arbeitsplatz noch nicht vorhanden ist), ConfigMgr IIS Server, Und ConfigMgr DP-Server);
2. Fordern Sie die Zertifikate an;
3. Auf der IIS Server, Ändern Sie die Bindung, um den HTTPS-Port zuzulassen (Standard 443) und wählen Sie die aus Zertifikat;
4. Exportieren Sie die Root-CA (und jede andere CA) Zertifikat und importieren Sie es in SCCM. Notiz, erzwingen Sie das nicht SCCM PKI zu verwenden, stattdessen, Erlauben Sie ihm die Verwendung von HTTP oder HTTPS;
5. Für jeden Kunden, bestätigen Sie, dass der Kunde Zertifikat ist auf PKI eingestellt (Sie können ganz einfach HKLMSoftwareMicrosoftCCMHttpsState und HKLMSoftwareMicrosoftCCMPKICertReady überprüfen). Oder Sie können überprüfen, ob Clients nicht zur HTTPS-Kommunikation in der Lage sind;
6. Bestätigen Sie, dass Sie zu HTTPS navigieren können://;
7. Vom Server, Bestätigen Sie, dass Sie zur CRL für navigieren können Zertifikat ausgewählt;
8. Vom Kunden, Bestätigen Sie, dass Sie zur CRL für navigieren können Zertifikat;
9. Auf der Konsole, Fügen Sie die Spalte „Client-Zertifikat“ hinzu und bestätigen Sie, dass es für alle Clients auf „PKI“ eingestellt ist (Es kann einige Tage/Woche dauern, bis dies abgeschlossen ist);
10. Sobald alle Maschinen für die Verwendung von HTTPS bereit sind, Migrieren Sie den MP und überprüfen Sie die Protokolle: MPSetup, MPMSI & MPControl;
11. Auf der Kundenseite, Überprüfen Sie die CCM-Nachrichten Protokoll.

Jetzt ist es an der Zeit, mit der Migration und dem Testen aller anderen Rollen zu beginnen:

Für DistributionPoint:

– Importieren Sie den neuen DP Zertifikat und stellen Sie es auf die Verwendung von HTTPS ein;

Für Anwendungskatalog:

– Stellen Sie die ein IIS Bindungen zur Verwendung eines IIS Zertifikat;

– Sie können die Website des App-Katalogs ganz einfach von HTTP auf HTTPS umstellen, Jedoch, Für den App-Katalog-Webservice ist dies nicht möglich. in diesem Fall, Sie müssen es deinstallieren und erneut installieren.

Für Software-Update-Punkt:

– Stellen Sie die ein IIS Bindung zur Verwendung eines IIS Zertifikat;

– Führen Sie WSUSUtil.exe aus, um SSL zu konfigurieren (Überprüfen Sie ServerCertificateName und PortNumber unter HKLMSoftwareMicrosoftUpdate ServicesServerSetup);

– Wechseln Sie das zu verwendende SUP SSL und bestätigen Sie, dass es funktioniert;

– APIRemoting30 erzwingen, ClientWebService, DSSAuthWebService, ServerSyncWebService, und SimpleAuthWebService zu verwenden SSL nur.