Cuma, 28 Temmuz 2017

System Center Configuration Manager Sertifikasyon Gereksinimleri ve HTTPS ayarları nasıl yapılır ?

System Center Configuration Manager kurulumu yaparaken bu sertifikasyon işlemlerini yapmadıysanız aşağıdaki uyarı mesajını almanız kaçılmaz olur, aşağıdaki işlemlerini uyguladıysanız ilgili uyarı karşınıza çıkmaz.

Warning: IIS HTTPS Configuration for managment point

Warning: IIS HTTPS Configuration for distribution point

Internet Information Services (IIS) website bindings for HTTPS communication protocol is required for some site roles. If you have selected to install site roles requiring HTTPS, please configure IIS website bindings on the specified server with a valid PKI server certificate.

1) İstemci için sertifika oluşturma

Sertifikasyon ayarlarını yapmak için ilk öncelikle Active Directory Certificate Servisine ihtiyacınız var.
Kurulum işlemini bitirdikten sonra Certification Authority konsolu üzerinden

Certificate Template > Certificate Template to Issue > Workstation Authentication aktif hale getirilir .

Aktif hale getirikten sonra Certificate Templates bölümüden Sertifikasyon Yönetim konsolu açılır.

Workstation Authentication üzerinde “Deduplication Template” seçilerek yeni sertifika oluşturulur.
Bu sertifika Client’lar için oluşturulur. Adı ve Geçerlilik tarihi belirlenir.

Subject Name sekmesinde “DNS name” seçilir böylelikle DNS’e göre adres şekillenmiş olur .

“Security” sekmesinde ise “Domain Computers” grubuna Read, Enroll ve Autoenroll hakları verilir. Böylelikle tüm istemciler üzerinde bu sertifika okunup, otomatik olarak kabul edilecektir.

2) Web sunucu için sertifika oluşturma

Bu sefer Web üzerinde erişimler için bir sertifika oluşturmamız gerekiyor, burada önemli olan nokta ise Sertifika taslakları üzerinde Web Server’i seçmemiz olacaktır. Web Server üzerinde Deduplication Certificate diyerek yeni bir sertifika oluşturuyoruz. Adını ve geçerlik tarihini değiştiriyoruz.

SCMM kuracağımız makinenin içinde bulunduğu Secuirty grubunu “Security” sekmesinde Read ve Enroll haklarına sahip olmasını sağlanır.

Subject Name sekmesinde ise “DNS name” belirtilir.

HTTPS erişimi için ilgili Web Server sertifikası oluşturulmuş oldu.

3) WinPe için sertifika oluşturma

Ardından Win PE için de “Workstation
Authentication” oluşturulur.

Subject Name “DNS Name” olarak belirtilir.

Diğer oluşturduğumuz sertifikalara ek olarak WinPE serfikası oluşturulken “Export” edilebilir olması gerekir. Bu yüzden “Request Handling” sekmesinde “Allow Private key to be exported” seçilir.

SCMM kuracağımız makinenin içinde bulunduğu Secuirty grubunu “Security” sekmesinde Enroll haklarına sahip olmasını sağlanır.

Böylelikle 3 adet sertifika oluşturmuş olduk. Oluşturulan bu sertifikaların da aktif hale getirilmesi gerekir.

4) Group Policy ile sertifika dağıtımı

Aktif hale getirilen bu sertifikaların ilgili server ve istemcilerde aktif olabilmesi için Group Policy üzerinden bu yayımlanan sertifikaların kabul işlemi için ilgili policy düzenlenir.

Bu işlemler bittikte sora ise Komut İstemci’de gpupdate /force komutu kullanılarak sertifkalar gerçeli olur.

System Center Configuration Manager kurulan sunucu üzerinde HTTPS ayarlarına geçilir.

Microsoft Management Console açılır ve Certificates bölümünden “Computer” seçilir ve Personel>Certificates bölümüne bakılır.

Request New Certificate diyerek client ve web server için oluşturuğumuz sertifikalar aktif hale getirilir.

İsterseniz SCMM için kullandığınız sunucu yada farklı bir sunucu üzerinden “WinPE” için oluşturulan sertifikayı “Export” edilir.

5) SCCM Sunucu üzerinde HTTPS için Bindings oluşturma

IIS üzerinde ise Bindigs ayarları yapılır. HTTPS üzerinden ilgili sunucular SCCM sunucunuza erişebileceklerdir.

Görüldüğü gibi herhangi bir şekilde HTTPS erişimi ile ilgili uyarı almadan SCCM kurulumunu yapabilirsiniz.

Speaker and Author at @UnifyTurkiye. Interested in Microsoft @Azure, Cloud Technologys and Disaster Recovery. He is working ESET Turkey.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir