Konfigurieren eines lokalen Device Health Attestation-Servers
Sie können Device Health Attestation (DHA) für mobile Windows 10- und Windows 11-Geräte über einen lokalen Windows-Server aktivieren. Um DHA lokal zu aktivieren, konfigurieren Sie zuerst einen DHA-Server.
-
Nachdem Sie den DHA-Server konfiguriert haben, erstellen Sie eine Citrix Endpoint Management-Richtlinie, um den lokalen DHA-Dienst zu aktivieren. Weitere Informationen finden Sie unter Geräterichtlinie für Device Health Attestation.
-
Voraussetzungen für einen DHA-Server
- Ein Server mit Windows Server Technical Preview 5 oder höher, installiert mit der Installationsoption „Desktopdarstellung“.
- Ein oder mehrere Windows 10- und Windows 11-Clientgeräte. Diese Geräte müssen über TPM 1.2 oder 2.0 verfügen und die neueste Windows-Version ausführen.
- Diese Zertifikate:
- DHA-SSL-Zertifikat: Ein X.509-SSL-Zertifikat, das mit einem vertrauenswürdigen Unternehmensstamm verkettet ist und einen exportierbaren privaten Schlüssel besitzt. Dieses Zertifikat schützt die DHA-Datenkommunikation während der Übertragung, einschließlich:
- Server-zu-Server-Kommunikation (DHA-Dienst und MDM-Server)
- Server-zu-Client-Kommunikation (DHA-Dienst und ein Windows 10- oder Windows 11-Gerät)
- DHA-Signaturzertifikat: Ein X.509-Zertifikat, das mit einem vertrauenswürdigen Unternehmensstamm verkettet ist und einen exportierbaren privaten Schlüssel besitzt. Der DHA-Dienst verwendet dieses Zertifikat für die digitale Signatur.
- DHA-Verschlüsselungszertifikat: Ein X.509-Zertifikat, das mit einem vertrauenswürdigen Unternehmensstamm verkettet ist und einen exportierbaren privaten Schlüssel besitzt. Der DHA-Dienst verwendet dieses Zertifikat auch für die Verschlüsselung.
- Wählen Sie einen dieser Zertifikatsvalidierungsmodi:
- EKCert: Der EKCert-Validierungsmodus ist für Geräte in Organisationen optimiert, die nicht mit dem Internet verbunden sind. Geräte, die sich mit einem im EKCert-Validierungsmodus ausgeführten DHA-Dienst verbinden, haben keinen direkten Internetzugang.
- AIKCert: Der AIKCert-Validierungsmodus ist für Betriebsumgebungen optimiert, die Internetzugang haben. Geräte, die sich mit einem im AIKCert-Validierungsmodus ausgeführten DHA-Dienst verbinden, müssen direkten Internetzugang haben und können ein AIK-Zertifikat von Microsoft erhalten.
- Ein oder mehrere Windows 10- und Windows 11-Clientgeräte. Diese Geräte müssen über TPM 1.2 oder 2.0 verfügen und die neueste Windows-Version ausführen.
Hinzufügen der DHA-Serverrolle zum Windows-Server
- Klicken Sie auf dem Windows-Server, falls der Server-Manager noch nicht geöffnet ist, auf Start und dann auf Server-Manager.
- Klicken Sie auf Rollen und Features hinzufügen.
- Klicken Sie auf der Seite Vorbemerkungen auf Weiter.
- Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation und dann auf Weiter.
- Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, wählen Sie den Server aus und klicken Sie dann auf Weiter.
- Wählen Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Device Health Attestation aus.
- Optional: Klicken Sie auf Features hinzufügen, um andere erforderliche Rollendienste und Features zu installieren.
- Klicken Sie auf Weiter.
- Klicken Sie auf der Seite Features auswählen auf Weiter.
- Klicken Sie auf der Seite Webserver (IIS) auf Weiter.
- Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.
- Klicken Sie auf der Seite Device Health Attestation-Dienst auf Weiter.
- Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
- Wenn die Installation abgeschlossen ist, klicken Sie auf Schließen.
Hinzufügen des SSL-Zertifikats zum Zertifikatspeicher des Servers
- Navigieren Sie zur SSL-Zertifikatsdatei und wählen Sie sie aus.
-
Wählen Sie für den Speicherort Aktueller Benutzer und klicken Sie dann auf Weiter.
-
Geben Sie das Kennwort für den privaten Schlüssel ein.
-
Stellen Sie sicher, dass die Importoption Alle erweiterten Eigenschaften einschließen ausgewählt ist. Klicken Sie auf Weiter.
-
Wenn dieses Fenster angezeigt wird, klicken Sie auf Ja.
-
Bestätigen Sie, dass das Zertifikat installiert ist:
-
Öffnen Sie ein Eingabeaufforderungsfenster.
-
Geben Sie
mmcein und drücken Sie die Eingabetaste. Um Zertifikate im lokalen Computerspeicher anzuzeigen, müssen Sie die Administratorrolle innehaben. -
Klicken Sie im Menü „Datei“ auf Snap-In hinzufügen/entfernen.
-
Klicken Sie auf Hinzufügen.
-
Wählen Sie im Dialogfeld „Eigenständiges Snap-In hinzufügen“ die Option Zertifikate aus.
-
Klicken Sie auf Hinzufügen.
-
Wählen Sie im Dialogfeld „Zertifikate-Snap-In“ die Option Mein Benutzerkonto aus. (Wenn Sie als Dienstkontoinhaber angemeldet sind, wählen Sie Dienstkonto aus.)
-
Klicken Sie im Dialogfeld „Computer auswählen“ auf Fertig stellen.
-
-
Gehen Sie zu Server-Manager > IIS und wählen Sie Serverzertifikate aus der Liste der Symbole aus.
-
Wählen Sie im Menü „Aktion“ die Option Importieren…, um das SSL-Zertifikat zu importieren.
Abrufen und Speichern des Zertifikat-Fingerabdrucks
- Geben Sie in der Suchleiste des Datei-Explorers
mmcein. -
Klicken Sie im Fenster „Konsolenstamm“ auf Datei > Snap-In hinzufügen/entfernen.
-
Wählen Sie das Zertifikat aus einem verfügbaren Snap-In aus und fügen Sie es den ausgewählten Snap-Ins hinzu.
-
Wählen Sie Mein Benutzerkonto aus.
-
Wählen Sie das Zertifikat aus und klicken Sie auf OK.
-
Doppelklicken Sie auf das Zertifikat und wählen Sie die Registerkarte Details aus. Scrollen Sie nach unten, um den Zertifikat-Fingerabdruck anzuzeigen.
- Kopieren Sie den Fingerabdruck in eine Datei. Entfernen Sie die Leerzeichen, wenn Sie den Fingerabdruck in PowerShell-Befehlen verwenden.
Installieren der Signatur- und Verschlüsselungszertifikate
Führen Sie diese PowerShell-Befehle auf dem Windows-Server aus, um die Signatur- und Verschlüsselungszertifikate zu installieren.
Ersetzen Sie den Platzhalter ReplaceWithThumbprint und setzen Sie ihn wie gezeigt in doppelte Anführungszeichen.
$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"}
$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\" + $keyname icacls $keypath /grant IIS_IUSRS`:R
<!--NeedCopy-->
Extrahieren des TPM-Stammzertifikats und Installieren des vertrauenswürdigen Zertifikatpakets
Führen Sie diese Befehle auf dem Windows-Server aus:
mkdir .\TrustedTpm
expand -F:\* .\TrustedTpm.cab .\TrustedTpm
cd .\TrustedTpm
.\setup.cmd
<!--NeedCopy-->
Konfigurieren des DHA-Dienstes
Führen Sie diesen Befehl auf dem Windows-Server aus, um den DHA-Dienst zu konfigurieren.
Ersetzen Sie den Platzhalter ReplaceWithThumbprint.
Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint
-SigningCertificateThumbprint ReplaceWithThumbprint
-SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint
-SupportedAuthenticationSchema "AikCertificate"
<!--NeedCopy-->
Führen Sie diese Befehle auf dem Windows-Server aus, um die Zertifikatskettenrichtlinie für den DHA-Dienst einzurichten:
$policy = Get-DHASCertificateChainPolicy
$policy.RevocationMode = "NoCheck"
Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy
<!--NeedCopy-->
Antworten Sie auf diese Eingabeaufforderungen wie folgt:
Confirm
Are you sure you want to perform this action?
Performing the operation "Install-DeviceHealthAttestation" on target "[Machine Name]".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
Adding SSL binding to website 'Default Web Site'.
Add SSL binding?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Adding application pool 'DeviceHealthAttestation_AppPool' to IIS.
Add application pool?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'.
Add web application?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'.
Add firewall rule?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Setting initial configuration for Device Health Attestation Service.
Set initial configuration?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Registering User Access Logging.
Register User Access Logging?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
<!--NeedCopy-->
Überprüfen der Konfiguration
Um zu überprüfen, ob das DHASActiveSigningCertificate aktiv ist, führen Sie diesen Befehl auf dem Server aus:
Get-DHASActiveSigningCertificate
Wenn das Zertifikat aktiv ist, werden der Zertifikatstyp (Signatur) und der Fingerabdruck angezeigt.
Um zu überprüfen, ob das DHASActiveSigningCertificate aktiv ist, führen Sie diese Befehle auf dem Server aus:
Ersetzen Sie den Platzhalter ReplaceWithThumbprint und setzen Sie ihn wie gezeigt in doppelte Anführungszeichen.
Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force
Get-DHASActiveEncryptionCertificate
<!--NeedCopy-->
Wenn das Zertifikat aktiv ist, wird der Fingerabdruck angezeigt.
Führen Sie eine abschließende Überprüfung durch, indem Sie diese URL aufrufen:
https://<dha.myserver.com>/DeviceHeathAttestation/ValidateHealthCertificate/v1
Wenn der DHA-Dienst ausgeführt wird, wird „Methode nicht zulässig“ angezeigt.
In diesem Artikel
- Voraussetzungen für einen DHA-Server
- Hinzufügen der DHA-Serverrolle zum Windows-Server
- Hinzufügen des SSL-Zertifikats zum Zertifikatspeicher des Servers
- Abrufen und Speichern des Zertifikat-Fingerabdrucks
- Installieren der Signatur- und Verschlüsselungszertifikate
- Extrahieren des TPM-Stammzertifikats und Installieren des vertrauenswürdigen Zertifikatpakets
- Konfigurieren des DHA-Dienstes
- Überprüfen der Konfiguration