Configurar un servidor Device Health Attestation local

Por Sanket Mishra

Puede habilitar Device Health Attestation (DHA) para dispositivos móviles con Windows 10 o Windows 11 a través de un servidor Windows local. Para habilitar DHA local, primero debe configurar un servidor DHA.

Después de configurar el servidor DHA, cree una directiva de XenMobile Server para habilitar el servicio DHA local. Para obtener información sobre cómo crear esta directiva, consulteDirectiva德Device Health Attestation.

Requisitos previos para un servidor DHA

• Un servidor con Windows Server Technical Preview 5 o una versión posterior, instalado mediante la opción de instalación “Experiencia de escritorio”.
• Uno o varios dispositivos cliente con Windows 10 o Windows 11. Estos dispositivos deben tener TPM 1.2 o 2.0 con la versión más reciente de Windows.
• Los certificados:
  • Certificado SSL de DHA.Un certificado SSL x.509 encadenado a un certificado raíz empresarial de confianza con una clave privada exportable. Este certificado protege las comunicaciones de datos DHA en tránsito, incluidas las comunicaciones de servidor a servidor (servicio DHA y servidor MDM) y de servidor a cliente (servicio DHA y dispositivo Windows 10 o Windows 11).
  • Certificado de firma de DHA.Un certificado x.509 encadenado a un certificado raíz empresarial de confianza con una clave privada exportable. El servicio DHA usa este certificado para la firma digital.
  • Certificado de cifrado de DHA.Un certificado x.509 encadenado a un certificado raíz empresarial de confianza con una clave privada exportable. El servicio DHA también utiliza este certificado para el cifrado.
• Elija uno de estos modos de validación de certificados:
  • EKCert.El modo de validación EKCert está optimizado para dispositivos en organizaciones que no están conectadas a Internet. Los dispositivos que se conectan a un servicio DHA que se ejecuta en modo de validación EKCert no tienen acceso directo a Internet.
  • AIKCert.El modo de validación AIKCert está optimizado para entornos operativos que sí tienen acceso a Internet. Los dispositivos que se conectan a un servicio DHA que se ejecuta en modo de validación AIKCert deben tener acceso directo a Internet y pueden obtener un certificado AIK de Microsoft.

Agregar el rol del servidor DHA al servidor Windows

1. En el servidor窗户,如果el Administrador德爵士vidores aún no está abierto, haga clic enInicioy luego enAdministrador de servidores.
2. Haga clic enAgregar roles y características.
3. En la páginaAntes de empezar, haga clic enSiguiente.
4. En la páginaSeleccionar tipo de instalación, haga clic enInstalación basada en características o en roles, y luego haga clic enSiguiente.
5. En la páginaSeleccionar servidor de destino, marqueSeleccionar un servidor del grupo de servidores, seleccione el servidor y luego haga clic enSiguiente.
6. En la páginaSeleccionar roles de servidor, marque la casilla “Atestación de estado de dispositivo”.
7. Opcional: Haga clic enAgregar característicaspara instalar otros servicios y funciones que requiera el rol.
8. Haga clic enSiguiente.
9. En la páginaSeleccionar características, haga clic enSiguiente.
10. En la páginaRol de servidor web (IIS), haga clic enSiguiente.
11. En la páginaSeleccionar servicios de rol, haga clic enSiguiente.
12. En la páginaServicio de atestación de mantenimiento del dispositivo, haga clic enSiguiente.
13. En la páginaConfirmar selecciones de instalación, haga clic enInstalar.
14. Cuando termine la instalación, haga clic enCerrar.

Agregar el certificado SSL al almacén de certificados del servidor

1. Vaya al archivo del certificado SSL y selecciónelo.

2. SeleccioneUsuario actualcomo la ubicación del almacén y haga clic enSiguiente.

   

3. Escriba la contraseña de la clave privada.

4. Compruebe que la opción de importaciónIncluir todas las propiedades extendidasestá seleccionada. Haga clic enSiguiente.

   

5. Cuando aparezca esta ventana, haga clic enSí.

   

6. Confirme que el certificado está instalado:

   1. Abra la ventana del símbolo del sistema.

   2. Escribammcy presione la tecla ENTRAR. Para ver los certificados ubicados en el almacén de la máquina local, debe tener el rol Administrador.

   3. En el menú “Archivo”, haga clic enAgregar o quitar complemento.

   4. Haga clic enAgregar.

   5. En el cuadro de diálogo “Agregar un complemento independiente”, seleccioneCertificados.

   6. Haga clic enAgregar.

   7. En el cuadro de diálogo del complemento “Certificados”, seleccioneMi cuenta de usuario. (Si ha iniciado sesión como titular de la cuenta de servicio, seleccioneCuenta de servicio.)

   8. En el cuadro de diálogo “Seleccionar equipo”, haga clic enFinalizar.

      

7. Vaya aAdministrador de servidores > IISy seleccioneCertificados de servidorentre los iconos de la lista.

   

8. En el menú “Acción”, seleccioneImportar…para importar el certificado SSL.

   

Recuperar y guardar la huella digital del certificado

1. En la barra de búsqueda del Explorador de archivos, escribammc.

2. En la ventana “Raíz de consola”, haga clic enArchivo > Agregar o quitar complemento.

   

3. Seleccione el certificado del complemento disponible y agréguelo a los complementos seleccionados.

   

4. SeleccioneMi cuenta de usuario.

   

5. Seleccione el certificado y haga clic enAceptar.

   

6. Haga doble clic en el certificado y en la fichaDetalles. Desplácese hacia abajo para ver la huella digital del certificado.

   

7. Copie la huella digital a un archivo. Elimine los espacios cuando use la huella digital en los comandos de PowerShell.

Instalar los certificados de firma y cifrado

Ejecute estos comandos de PowerShell en el servidor Windows para instalar los certificados de firma y cifrado.

Reemplace el marcador de posición ReplaceWithThumbprint y escríbalo entre comillas dobles, como se muestra a continuación.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"} $keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName $keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys" + $keyname icacls $keypath /grant IIS_IUSRS`:R 

Extraer el certificado raíz de TPM e instalar el paquete de certificado de confianza

Ejecute estos comandos en el servidor Windows:

mkdir .\TrustedTpm expand -F:* .\TrustedTpm.cab .\TrustedTpm cd .\TrustedTpm .\setup.cmd 

Configurar el servicio DHA

Ejecute este comando en el servidor Windows para configurar el servicio DHA.

Reemplace el marcador de posición ReplaceWithThumbprint.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint -SigningCertificateThumbprint ReplaceWithThumbprint -SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint -SupportedAuthenticationSchema "AikCertificate" 

Ejecute estos comandos en el servidor Windows para configurar la directiva de cadena de certificados para el servicio DHA:

$policy = Get-DHASCertificateChainPolicy $policy.RevocationMode = "NoCheck" Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy 

Responda a estas indicaciones de la siguiente manera:

Confirm Are you sure you want to perform this action? Performing the operation "Install-DeviceHealthAttestation" on target "WIN-N27D1FKCEBT". [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A Adding SSL binding to website 'Default Web Site'. Add SSL binding? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding application pool 'DeviceHealthAttestation_AppPool' to IIS. Add application pool? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'. Add web application? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'. Add firewall rule? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Setting initial configuration for Device Health Attestation Service. Set initial configuration? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Registering User Access Logging. Register User Access Logging? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y 

Consultar la configuración

Para comprobar si DHASActiveSigningCertificate está activo, ejecute este comando en el servidor:

Get-DHASActiveSigningCertificate

Si el certificado está activo, aparece el tipo de certificado (de firma) y la huella digital.

Para comprobar si DHASActiveSigningCertificate está activo, ejecute estos comandos en el servidor.

Reemplace el marcador de posición ReplaceWithThumbprint y escríbalo entre comillas dobles, como se muestra a continuación.

Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force Get-DHASActiveEncryptionCertificate 

Si el certificado está activo, se muestra la huella digital.

Para realizar una comprobación final, vaya a la dirección URL:

https:///DeviceHeathAttestation/ValidateHealthCertificate/v1

Si el servicio DHA se está ejecutando, se muestra “Método no permitido”.