Gary Blok

8 maj 2020

Bygga ett CM Lab - Cloud Management Gateway (CMG) - Cert PreReq [13]

Hej, så jag går tillbaka till att arbeta med mitt labb, och nu lägger jag till en Cloud Management Gateway (CMG). Om du följde med, är du redo för var jag hämtar.

Antaganden, du har en intern Enterprise CA -installation och du kommer att använda din interna CA för att stödja CMG och erforderliga certifikat.

Se Certificate Authority Post för att hjälpa dig att konfigurera din CA om du inte har gjort det än.

Jag ska också nämna att detta INTE är det enda sättet att ställa in CMG, du kan göra det utan en intern certifikatutfärdare och använda ett certifikat från en tredje parts certifikatutfärdare, men jag tänker inte täcka det här.

Rekommenderad läsning / visning:

MS Docs: Konfigurera molnhanteringsgateway för Configuration Manager
Youtube: Cloud Management Gateway - ConfigMgr CB och molnplattformen Microsoft (Steve Rachui @steverac)
Youtube: Så här konfigurerar du Cloud Management Gateway (CMG) i Microsoft SCCM (Justin Chalfant @SetupConfigMgr)

Fullständig avslöjande, det är de tre föremålen jag använde för att ställa in CMG, och jag rekommenderar dem starkt. Så varför fortsätta? MS Docs är bra, men jag är en visuell kille och gillar att se bilderna. Videorna är fantastiska, men då måste du bli bra på att pausa videor och arbeta igenom det. Det är bara en fråga om personliga preferenser. Jag ger kredit till dessa tre saker för att jag utbildade mig för att kunna skapa detta innehåll.

Med det här introet bakom, låt oss lägga upp hur vi ska gå igenom det här:

Skapa det erforderliga certifikatet som behövs (lägre i detta inlägg)
Se till att arbetsstationerna får sina klientcertifikat [Lab Setup -inlägg 14]
Prata förkrav för Azure Portal
Konfigurera Azure Connection i CM Console
Bekräfta anslutningen i Azure Portal
Starta CMG Setup i CM
Bekräfta CMG-installationen i Azure

Med den konturen, låt oss komma igång.

Skapa nödvändiga certifikat

Så, vilka certifikat behövs? [MS Docs]

Klientautentiseringskort (på var och en av klientmaskinerna) [MS Docs]
Web Cert för CMG-enhet. [MS Docs]
Root CA-certifikat

Client Auth Cert:

Så förhoppningsvis ställer du in din CA, ställer in Client Auth Cert till Auto Enroll och alla dina klienter har certifikatet. För en bra genomgång har Justin det också på Video: [YouTube @ 9:26]

Du skapar en duplikat av Workstation Cert, Ge den vad du vill och lägg sedan till domändatorer för att ha läs-, registrerings- och autoenroll -säkerhetsrättigheter.

På arbetsstationerna registrerar de sig automatiskt och får detta efter nästa policyuppdatering:

Webbcertifikat för CMG-enhet:

Här gör du en kopia av webbservercertifikatet och konfigurerar några saker. Justins video gör bra jobb med att förklara detta också.

Du måste kunna exportera den privata nyckeln

Ämnesnamn: Ange i begäran: eftersom vi måste ange det för CMG

Här har jag ställt in det på en grupp servrar, så jag kan registrera mig från vilken som helst av dem för att skapa certifikatet att exportera. Nu på en av mina webbservrar kan jag begära certifikatet:

Välj CMG-certifikatet, lägg till DNS-namnet. Använd antingen det exakta DNS-namnet på din CMG eller använd ett jokertecken så att du kan ange det senare under installationen. Vi kommer att ta upp det mer i ett framtida inlägg.

Nu när vi har det måste vi exportera det

Ja, exportera den privata nyckeln!

Spara sedan cert pfx -filen för användning när vi konfigurerar CMG -saker.

Rot CA Export:

Även om det finns flera sätt att få det här, så här gjorde jag det, eftersom jag redan var här:

Certificate Authority Console -> Högerklicka på Server -> Egenskaper -> Allmänt -> Visa certifikat -> Detaljer -> Kopiera till fil... -> Nästa

DER (.CER) är vad vi behöver.

Spara sedan den på en plats.

En sak till som vi vill göra i CM är att tillåta CM att använda PKI-certifikatet. [MS Docs]
Administrationsnod -> Webbplatskonfiguration -> Webbplatser -> Egenskaper -> Fliken Kommunikationssäkerhet

Här har jag kontrollerat Använd PKI när det är tillgängligt och sedan lagt till Root CA-certifikatet

Detta cert och andra kommer att användas på andra ställen, men det börjar bli tillräckligt länge för nu. Håll dig kvar för nästa inlägg.

Relaterade blogginlägg:

Cloud Management Gateway (CMG) - Azure -prenumeration [14]

Cloud Management Gateway (CMG) - Azure Services Connection [15]

Cloud Management Gateway (CMG) - Konfigurera CMG i konsolen [16]

Cloud Management Gateway (CMG) - Post CMG Config [17]

Cloud Management Gateway (CMG) - Klient CMG -slutpunkter [18]

Se hur Right Click Tools förändrar hur system hanteras.

Öka produktiviteten direkt med vår begränsade, kostnadsfria Community Edition.

Kom igång med Right Click Tools idag:

ladda ner gratis

Ladda ner gratisversionen av Right Click Tools

Företagsstöd

Vi är här för att hjälpa

Läs mer

Har du en fråga?