Product Documentation

Konfigurieren eines on-premises DHA-Servers zum Nachweis der Geräteintegrität

Sanket Mishra

Sie können den Nachweis der Geräteintegrität (Device Health Attestation, DHA) für mobile Geräte mit Windows 10 über einen on-premises Windows-Server aktivieren. Um DHA on-premises zu aktivieren, konfigurieren Sie zunächst einen DHA-Server.

Nach dem Konfigurieren des DHA-Servers erstellen Sie eine XenMobile Server-Richtlinie, um den DHA-Dienst on-premises zu aktivieren. Informationen zum Erstellen dieser Richtlinie finden Sie unter Geräterichtlinie für Device Health Attestation.

Voraussetzungen für einen DHA-Server

  • Ein Server mit Windows Server Technical Preview 5 oder höher, installiert mit Installationsoption Desktop Experience.
  • Ein oder mehrere Clientgeräte mit Windows 10. Auf diesen Geräten muss TPM 1.2 oder 2.0 mit der aktuellen Version von Windows installiert sein.
  • Folgende Zertifikate:
    • DHA-SSL-Zertifikat. Ein x.509-SSL-Zertifikat in einer Kette mit einem vertrauenswürdigen Unternehmensstammzertifikat mit exportierbarem privatem Schlüssel. Dieses Zertifikat schützt die DHA-Datenkommunikation in der Übertragung, darunter die Kommunikation von Server zu Server (DHA-Service und MDM-Server) und von Server zu Client (DHA-Service und ein Windows 10-Gerät).
    • DHA-Signaturzertifikat. Ein x.509-Zertifikat in einer Kette mit einem vertrauenswürdigen Unternehmensstammzertifikat mit exportierbarem privatem Schlüssel. Der DHA-Service verwendet dieses Zertifikat für die digitale Signatur.
    • DHA-Verschlüsselungszertifikat. Ein x.509-Zertifikat in einer Kette mit einem vertrauenswürdigen Unternehmensstammzertifikat mit exportierbarem privatem Schlüssel. Der DHA-Service verwendet dieses Zertifikat auch für die Verschlüsselung.
  • Wählen Sie eines der folgenden Verfahren für die Zertifikatüberprüfung:
    • EKCert. Der EKCert-Überprüfungsmodus wurde für Geräte in Organisationen optimiert, die nicht mit dem Internet verbunden sind. Geräte, die sich mit einem DHA-Dienst im EKCert-Überprüfungsmodus verbinden, haben keinen Direktzugriff auf das Internet.
    • AIKCert. Der AIKCert-Überprüfungsmodus wurde für Betriebsumgebungen optimiert, die Zugriff auf das Internet haben. Geräte, die sich mit einem DHA-Dienst im AIKCert-Überprüfungsmodus verbinden, benötigen Direktzugriff auf das Internet und können ein AIK-Zertifikat von Microsoft erhalten.

Hinzufügen der DHA-Serverrolle zum Windows-Server

  1. Klicken Sie im Windows-Server (falls der Server-Manager noch nicht geöffnet ist) auf Start und dann auf Server-Manager.
  2. Klicken Sie auf Rollen und Features hinzufügen.
  3. Klicken Sie auf der Seite Vorbereitung auf Weiter.
  4. Klicken Sie auf der Seite Installationstyp wählen auf Rollenbasierte oder featurebasierte Installation und klicken Sie auf Weiter.
  5. Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, wählen Sie den Server aus und klicken Sie auf Weiter.
  6. Aktivieren Sie auf der Seite Serverrolle auswählen das Kontrollkästchen für Device Health Attestation.
  7. Optional: Klicken Sie auf Features hinzufügen, um weitere erforderliche Rollendienste und Features zu installieren.
  8. Klicken Sie auf Weiter.
  9. Klicken Sie auf der Seite Feature auswählen auf Weiter.
  10. Klicken Sie auf der Seite Rolle “Webserver” (IIS) auf Weiter.
  11. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.
  12. Klicken Sie auf der Seite Device Health Attestation Service auf Weiter.
  13. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  14. Nach Abschluss der Installation klicken Sie auf Schließen.

Hinzufügen des SSL-Zertifikats zum Zertifikatspeicher des Servers

  1. Gehen Sie zur SSL-Zertifikatsdatei und wählen Sie sie aus.
  2. Wählen Sie Aktueller Benutzer als Speicherort aus und klicken Sie auf Weiter.

    Abbildung von Windows Server-Manager

  3. Geben Sie das Kennwort für den privaten Schlüssel ein.

  4. Stellen Sie sicher, dass die Importoption Alle erweiterten Eigenschaften mit einbeziehen ausgewählt ist. Klicken Sie auf Weiter.

    Abbildung von Windows Server-Manager

  5. Wenn dieses Fenster angezeigt wird, klicken Sie auf Ja.

    Abbildung von Windows Server-Manager

  6. Bestätigen Sie, dass das Zertifikat installiert ist:

    1. Öffnen Sie ein Eingabeaufforderungsfenster.

    2. Geben Sie mmc ein und drücken Sie die Eingabetaste. Zur Anzeige der Zertifikate im Speicher der lokalen Maschine müssen Sie die Administratorrolle haben.

    3. Klicken Sie im Menü “Datei” auf Snap-In hinzufügen/entfernen.

    4. Klicken Sie auf Hinzufügen.

    5. Wählen Sie im Dialogfeld “Eigenständiges Snap-In hinzufügen” die Option Zertifikate.

    6. Klicken Sie auf Hinzufügen.

    7. Wählen Sie im Dialogfeld “Zertifikat-Snap-In” die Option Eigenes Benutzerkonto. (Wenn Sie als Dienstkontoinhaber angemeldet sind, wählen Sie Dienstkonto.)

    8. Klicken Sie im Dialogfeld “Computer auswählen” auf Fertig stellen.

      Abbildung von Windows Server-Manager

  7. Navigieren Sie zu Server-Manager > IIS und wählen Sie das Symbol Serverzertifikate aus.

    Abbildung von Windows Server-Manager

  8. Wählen Sie im Menü “Aktion” den Befehl Importieren…, um das SSL-Zertifikat zu importieren.

    Abbildung von Windows Server-Manager

Abrufen und Speichern des Zertifikatfingerabdrucks

  1. Geben Sie in der Suchleiste des Datei-Explorers mmc ein.
  2. Klicken Sie im Fenster “Konsolenstamm” auf Datei > Snap-In hinzufügen/entfernen….

    Abbildung von Windows Explorer

  3. Wählen Sie das Zertifikat in der Liste der verfügbaren Snap-Ins aus und fügen Sie es den ausgewählten Snap-Ins hinzu.

    Abbildung des Dialogfelds "Snap-Ins hinzufügen bzw. entfernen"

  4. Wählen Sie Eigenes Benutzerkonto.

    Abbildung des Dialogfelds "Snap-Ins hinzufügen bzw. entfernen"

  5. Wählen Sie das Zertifikat aus und klicken Sie auf OK.

    Abbildung des Dialogfelds "Snap-Ins hinzufügen bzw. entfernen"

  6. Doppelklicken Sie auf das Zertifikat und wählen Sie die Registerkarte Details. Führen Sie einen Bildlauf nach unten durch, um den Fingerabdruck des Zertifikats anzuzeigen.

    Abbildung des Dialogfelds "Snap-Ins hinzufügen bzw. entfernen"

  7. Kopieren Sie den Fingerabdruck in eine Datei. Entfernen Sie die Leerstellen, wenn Sie den Fingerabdruck in PowerShell-Befehlen verwenden.

Installieren der Signatur- und Verschlüsselungszertifikate

Mit folgenden PowerShell-Befehlen können Sie die Signatur- und Verschlüsselungszertifikate auf dem Windows-Server installieren:

Ersetzen Sie den Platzhalter “ReplaceWithThumbprint” und schließen Sie ihn wie gezeigt in Anführungszeichen ein.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"}

$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName

$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys" + $keyname icacls $keypath /grant IIS_IUSRS`:R

Extrahieren des TPM-Stammzertifikats und Installieren des Pakets vertrauenswürdiger Zertifikate

Führen Sie folgende Befehle auf dem Windows-Server aus:

mkdir .\TrustedTpm

expand -F:* .\TrustedTpm.cab .\TrustedTpm

cd .\TrustedTpm

.\setup.cmd

Konfigurieren des DHA-Diensts

Führen Sie folgenden Befehl auf dem Windows-Server aus, um den DHA-Dienst zu konfigurieren.

Ersetzen Sie den Platzhalter “ReplaceWithThumbprint”.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint

-SigningCertificateThumbprint ReplaceWithThumbprint

-SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint

-SupportedAuthenticationSchema "AikCertificate"

Führen Sie folgende Befehle auf dem Windows-Server aus, um die Richtlinie “Zertifikatskette” für den DHA-Dienst einzurichten:

$policy = Get-DHASCertificateChainPolicy

$policy.RevocationMode = "NoCheck"

Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy

Reagieren Sie auf die Eingabeaufforderungen wie folgt:

  Confirm

    Are you sure you want to perform this action?

    Performing the operation "Install-DeviceHealthAttestation" on target "WIN-N27D1FKCEBT".

    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

    Adding SSL binding to website 'Default Web Site'.

    Add SSL binding?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding application pool 'DeviceHealthAttestation_AppPool' to IIS.

    Add application pool?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'.

    Add web application?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'.

    Add firewall rule?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Setting initial configuration for Device Health Attestation Service.

    Set initial configuration?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Registering User Access Logging.

    Register User Access Logging?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

Überprüfen der Konfiguration

Um zu prüfen, ob das Zertifikat “DHASActiveSigningCertificate” aktiviert wurde, führen Sie folgenden Befehl auf dem Server aus:

Get-DHASActiveSigningCertificate

Wenn das Zertifikat aktiv ist, werden der Zertifikatstyp (Signatur) und der Fingerabdruck angezeigt.

Um zu prüfen, ob das Zertifikat “DHASActiveSigningCertificate” aktiviert wurde, führen Sie folgende Befehle auf dem Server aus

Ersetzen Sie den Platzhalter “ReplaceWithThumbprint” und schließen Sie ihn wie gezeigt in Anführungszeichen ein.

Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force

Get-DHASActiveEncryptionCertificate

Wenn das Zertifikat aktiv ist, wird der Fingerabdruck angezeigt.

Rufen Sie zum Durchführen einer letzten Prüfung diese URL auf:

https://<dha.myserver.com>/DeviceHeathAttestation/ValidateHealthCertificate/v1

Wenn der DHA-Dienst ausgeführt wird, wird “Methode unzulässig” angezeigt.

Abbildung der DHA-Dienstprüfung