Configuration d’un serveur d’attestation de l’intégrité des appareils sur site

Contribution de Sanket Mishra

Vous pouvez activer l’attestation de l’intégrité des appareils (DHA) pour appareils mobiles Windows 10 et Windows 11 via un serveur Windows local. Pour activer DHA sur site, vous devez d’abord configurer un serveur DHA.

Après la configuration d’un serveur DHA, vous devez créer une stratégie XenMobile Server pour activer le service DHA sur site. Pour plus d’informations sur la création de cette stratégie, consultez la sectionStratégie d’attestation de l’intégrité des appareils.

Configuration requise pour un serveur DHA

• Un serveur exécutant Windows Server Technical Preview 5 ou version ultérieure, installé à l’aide de l’option d’installation de Desktop Experience.
• Une ou plusieurs machines clientes Windows 10 et Windows 11. Ces machines doivent avoir TPM 1.2 ou 2.0 exécutant la dernière version de Windows.
• Ces certificats :
  • Certificat SSL DHA.Un certificat SSL x.509 qui s’enchaîne à une racine de confiance d’entreprise avec une clé privée exportable. Ce certificat protège les communications de données DHA en transit, y compris les communications serveur à serveur (service DHA et serveur MDM) et serveur à client (service DHA et appareil Windows 10 ou Windows 11).
  • Certificat de signature DHA.Un certificat x.509 qui est lié à la racine de confiance d’entreprise avec une clé privée exportable. Le service DHA utilise ce certificat pour la signature numérique.
  • Certificat de chiffrement DHA.Un certificat x.509 qui est lié à la racine de confiance d’entreprise avec une clé privée exportable. Le service DHA utilise également ce certificat pour le cryptage.
• Choisissez两个de ces模式de验证证书ificat :
  • EKCert.Le mode de validation EKCert est optimisé pour les appareils des organisations qui ne sont pas connectées à Internet. Les appareils qui se connectent à un service DHA s’exécutant en mode de validation EKCert n’ont pas d’accès direct à Internet.
  • AIKCert.Le mode de validation AIKCert est optimisé pour les environnements opérationnels qui ont accès à Internet. Les appareils qui se connectent à un service DHA s’exécutant en mode de validation AIKCert doivent avoir un accès direct à Internet et pouvoir obtenir un certificat AIK auprès de Microsoft.

Ajouter le rôle de serveur DHA au serveur Windows

1. Sur le serveur Windows, si le Gestionnaire de serveur n’est pas déjà ouvert, cliquez surDémarrer, puis surGestionnaire de serveur.
2. Cliquez surAjouter des rôles et fonctionnalités.
3. Sur la pageAvant de commencer, cliquez surSuivant.
4. Sur la pageSélectionner le type d’installation, cliquez surInstallation basée sur un rôle ou une fonctionnalité, puis surSuivant.
5. Sur la pageSélectionner le serveur de destination, cliquez surSélectionner un serveur du pool de serveurs, sélectionnez le serveur, puis cliquez surSuivant.
6. Sur la pageSélectionner le rôle de serveur, cochez la case Attestation d’intégrité de l’appareil.
7. Facultatif : cliquez surAjouter les fonctionnalitéspour installer d’autres services et fonctionnalités de rôle requis.
8. Cliquez surSuivant.
9. Sur la pageSélectionner une fonctionnalité, cliquez surSuivant.
10. Sur la pageRôle Serveur Web (IIS), cliquez surSuivant.
11. Sur la pageSélectionner les services de rôle, cliquez surSuivant.
12. Sur la pageService d’attestation d’intégrité de l’appareil, cliquez surSuivant.
13. Sur la pageConfirmer les sélections d’installation, cliquez surInstaller.
14. Une fois l’installation terminée, cliquez surFermer.

Ajouter le certificat SSL au magasin de certificats du serveur

1. Accédez au fichier de certificat SSL et sélectionnez-le.

2. SélectionnezUtilisateur actuelcomme emplacement du magasin et cliquez surSuivant.

   

3. Tapez le mot de passe affecté à la clé privée.

4. Assurez-vous que l’option d’importationInclure toutes les propriétés étenduesest sélectionnée. Cliquez surSuivant.

   

5. Lorsque cette fenêtre s’affiche, cliquez surOui.

   

6. Vérifiez que le certificat est installé :

   1. Ouvrez une fenêtre d’invite de commandes.

   2. Tapezmmcet appuyez sur la touche Entrée. Pour afficher les certificats dans le magasin de machines local, vous devez être dans le rôle Administrateur.

   3. Dans le menu Fichier, cliquez surAjouter/Supprimer un composant logiciel enfichable.

   4. Cliquez surAjouter.

   5. Dans la boîte de dialogue Ajout d’un composant logiciel enfichable autonome, sélectionnezCertificats.

   6. Cliquez surAjouter.

   7. Dans la boîte de dialogue Composant logiciel enfichable Certificats, sélectionnezMon compte d’utilisateur.(Si vous êtes connecté en tant que titulaire de compte de service, sélectionnezCompte de service.）

   8. Dans la boîte de dialogue Sélectionner un ordinateur, cliquez surTerminer.

      

7. Accédez àGestionnaire de serveur > IISet sélectionnezCertificats de serveurdans la liste des icônes.

   

8. À partir du menu Action, sélectionnezImporter…pour importer le certificat SSL.

   

Récupérer et enregistrer l’empreinte numérique du certificat

1. Dans la barre de recherche Explorateur de fichiers, tapezmmc.

2. Dans la fenêtre Racine de la console, cliquez surFichier > Ajouter/Supprimer un composant logiciel enfichable….

   

3. Sélectionnez le certificat du composant logiciel enfichable disponible et ajoutez-le aux composants logiciels enfichables sélectionnés.

   

4. SélectionnezMon compte d’utilisateur.

   

5. Sélectionnez le certificat et cliquez surOK.

   

6. Cliquez deux fois sur le certificat, puis sélectionnez l’ongletDétails. Faites défiler la liste vers le bas pour afficher l’empreinte numérique du certificat.

   

7. Copiez l’empreinte numérique dans un fichier. Supprimez les espaces lors de l’utilisation de l’empreinte numérique dans les commandes PowerShell.

Installer les certificats de signature et de cryptage

Exécutez ces commandes PowerShell sur le serveur Windows pour installer les certificats de signature et de cryptage.

Remplacez l’espace réservé ReplaceWithThumbprint et placez-le à l’intérieur des guillemets doubles comme indiqué.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"} $keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName $keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys" + $keyname icacls $keypath /grant IIS_IUSRS`:R 

Extraire le certificat racine du module de plateforme sécurisée (TPM) et installer le package de certificat de confiance

Exécutez ces commandes sur le serveur Windows :

mkdir \ TrustedTpm扩大- f: *。\ TrustedTpm。出租车。\TrustedTpm cd .\TrustedTpm .\setup.cmd 

Configurer le service DHA

Exécutez cette commande sur le serveur Windows pour configurer le service DHA.

Remplacez l’espace réservé ReplaceWithThumbprint.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint -SigningCertificateThumbprint ReplaceWithThumbprint -SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint -SupportedAuthenticationSchema "AikCertificate" 

Exécutez ces commandes sur le serveur Windows pour configurer la stratégie de chaîne de certificat pour le service DHA :

$policy = Get-DHASCertificateChainPolicy $policy.RevocationMode = "NoCheck" Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy 

Répondez aux invites suivantes :

确认你是确定要执行此活动on? Performing the operation "Install-DeviceHealthAttestation" on target "WIN-N27D1FKCEBT". [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A Adding SSL binding to website 'Default Web Site'. Add SSL binding? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding application pool 'DeviceHealthAttestation_AppPool' to IIS. Add application pool? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'. Add web application? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'. Add firewall rule? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Setting initial configuration for Device Health Attestation Service. Set initial configuration? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Registering User Access Logging. Register User Access Logging? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y 

Vérifier la configuration

Pour vérifier si le certificat DHASActiveSigningCertificate est actif, exécutez cette commande sur le serveur :

Get-DHASActiveSigningCertificate

Si le certificat est actif, le type de certificat (signature) et l’empreinte numérique sont affichés.

Pour vérifier si le certificat DHASActiveSigningCertificate est actif, exécutez ces commandes sur le serveur

Remplacez l’espace réservé ReplaceWithThumbprint et placez-le à l’intérieur des guillemets doubles comme indiqué.

Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force Get-DHASActiveEncryptionCertificate 

Si le certificat est actif, l’empreinte numérique est affichée.

倒effectuer une dernière vérification, accédez à cette URL :

https:///DeviceHeathAttestation/ValidateHealthCertificate/v1

Si le service DHA est en cours d’exécution, le message « Méthode non autorisée » est affiché.