配置本地设备运行状况认证服务器

您可以通过本地Windows服务器为Windows 10和Windows 11移动设备启用DHA (Device Health Attestation)功能。若要启用本地DHA，首先需要配置DHA服务器。

DHA服务器配置完成后，需要创建Endpoint Management策略启用本地DHA服务。有关信息，请参见设备健康状况认证设备策略．

安装DHA服务器的前提条件

• 运行Windows server技术预览5或更高版本的服务器，使用“桌面体验”安装选项进行安装。
• 一台或多台Windows 10和Windows 11客户端设备。这些设备必须有TPM 1.2或2.0，运行最新版本的Windows。
• 这些证书:
  • DHA SSL证书:一个x使用可导出的私钥链接到企业受信任根的SSL证书。此证书保护传输中的DHA数据通信，包括:
    • 服务器到服务器(DHA服务和MDM服务器)通信
    • 服务器到客户端(DHA服务和Windows 10或Windows 11设备)的通信
  • DHA签名证书:一个x.509证书，它使用可导出的私钥链接到企业受信任的根目录。DHA服务使用该证书进行数字签名。
  • DHA加密证书:一个x.509证书，它使用可导出的私钥链接到企业受信任的根目录。DHA服务也使用该证书进行加密。
• 请选择以下证书验证模式之一:
  • EKCert:EKCert验证模式针对未连接到Internet的组织中的设备进行了优化。以EKCert验证模式连接到DHA服务的设备不能直接访问Internet。
  • AIKCert:AIKCert验证模式针对能够访问Internet的操作环境进行了优化。连接到运行在AIKCert验证模式下的DHA服务的设备必须能够直接访问Internet，并且能够从Microsoft获得AIK证书。

在Windows服务器中添加DHA服务器角色

1. 在Windows服务器上，如果“服务器管理器”尚未打开，请单击开始然后点击服务器管理器．
2. 点击添加角色和功能．
3. 在在开始之前页面,点击下一个．
4. 在选择安装类型页面,点击基于角色或基于特性的安装，然后按下一个．
5. 在选择目标服务器页面,点击从服务器池中选择一台服务器，选择服务器，单击下一个．
6. 在选择服务器角色页中，选中“设备运行状况认证”复选框。
7. 可选:点击添加功能安装其他所需的角色服务和功能。
8. 点击下一个．
9. 在选择功能S页面，点击下一个．
10. 在Web服务器角色(IIS)页面,点击下一个．
11. 在选择角色服务页面,点击下一个．
12. 在设备运行状况认证服务页面,点击下一个．
13. 在确认安装选择页面,点击安装．
14. 安装完成后，单击关闭．

将SSL证书添加到服务器证书存储中

1. 进入SSL证书文件并选择它。

2. 对于商店位置，请选择当前用户然后点击下一个．

3. 输入私钥密码。

4. 确保导入选项包括所有扩展属性被选中。点击下一个．

5. 出现此窗口时，单击是的．

6. 确认证书已安装:

   1. 打开命令提示符窗口。

   2. 类型mmc并按Enter键。要查看本地机器存储中的证书，必须具有Administrator角色。

   3. 在“文件”菜单中，单击添加/删除连接．

   4. 点击添加．

   5. 在“添加独立管理单元”对话框中，选择证书．

   6. 点击添加．

   7. 在“证书管理单元”对话框中选择我的用户账号．(如果您是作为服务帐户持有人登录，请选择服务帐户)。

   8. 在“选择计算机”对话框中，单击完成．

7. 去服务器管理器> IIS并选择服务器证书从图标列表中。

8. 从操作菜单中选择进口…，导入SSL证书。

检索并保存证书的指纹

1. 在“文件资源管理器”搜索栏中键入mmc．

2. 在“控制台根”窗口中，单击文件>添加/删除管理单元．

3. 从可用的管理单元中选择证书，并将其添加到选定的管理单元中。

4. 选择我的用户账号．

5. 选择证书，单击好吧．

6. 双击证书并选择细节选项卡。向下滚动查看证书指纹。

7. 将指纹复制到文件中。在PowerShell命令中使用拇指指纹时，请删除空格。

安装签名和加密证书

在Windows服务器上运行这些PowerShell命令来安装签名和加密证书。

替换占位符ReplaceWithThumbprint并将其括在双引号内，如图所示。

$key = Get-ChildItem证书:\LocalMachine\My | Where-Object{$_。- Thumbprint -like "ReplaceWithThumbprint"} $keyname = $key.PrivateKey.CspKeyContainerInfo。UniqueKeyContainerName $keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\" + $keyname icacls $keypath /grant IIS_IUSRS ':R 

解压TPM根证书，安装信任证书包

在Windows服务器上执行以下命令:

mkdir .\TrustedTpm扩展-F:\* .\TrustedTpm。\TrustedTpm cd .\TrustedTpm .\setup。cmd < !——NeedCopy >

配置DHA服务

在Windows服务器上执行此命令配置DHA服务。

替换占位符ReplaceWithThumbprint。

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint -SigningCertificateThumbprint ReplaceWithThumbprint -SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint -SupportedAuthenticationSchema "AikCertificate" 

在Windows服务器上执行以下命令设置DHA服务的证书链策略:

$policy = Get-DHASCertificateChainPolicy撤销模式= "NoCheck" Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy 

按照以下方式回答这些提示:

确认确定要执行此操作吗?在目标器“[机器名称]”上执行“Install-DeviceHealthAttestation”操作。[Y]是[A]全部是[N]否[L]全部不是[S]暂停[?]帮助(默认是“Y”):A添加SSL绑定到网站'默认网站'。添加SSL绑定?[Y]是[N]否[S]暂停[?]帮助(默认为“Y”):Y将应用程序池“devicehealthattestation_appppool”添加到IIS。添加应用程序池?[Y]是[N]否[S]暂停[?]帮助(默认为“Y”):Y添加web应用程序“DeviceHealthAttestation”到网站“默认网站”。 Add web application? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'. Add firewall rule? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Setting initial configuration for Device Health Attestation Service. Set initial configuration? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Registering User Access Logging. Register User Access Logging? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y 

检查配置

在服务器端执行以下命令，检查DHASActiveSigningCertificate是否激活。

Get-DHASActiveSigningCertificate

如果证书处于激活状态，则显示证书类型(签名)和指纹。

在服务器端执行以下命令，检查DHASActiveSigningCertificate是否激活

替换占位符ReplaceWithThumbprint并将其括在双引号内，如图所示。

Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force Get-DHASActiveEncryptionCertificate 

如果证书处于活动状态，则会显示指纹。

要执行最后的检查，转到这个URL:

https:// < dha.myserver.com > / DeviceHeathAttestation / ValidateHealthCertificate / v1

如果DHA服务正在运行，则显示“Method not allowed”。