Citrix Endpoint Management

Configurar un servidor Device Health Attestation local

Puede habilitar Device Health Attestation (DHA) para dispositivos móviles con Windows 10 o Windows 11 a través de un servidor Windows local. Para habilitar DHA local, primero debe configurar un servidor DHA.

Después de configurar el servidor DHA, cree una directiva de Citrix Endpoint Management para habilitar el servicio DHA local. Para obtener más información, consulte Directiva de Device Health Attestation.

Requisitos previos para un servidor DHA

  • Un servidor con Windows Server Technical Preview 5 o una versión posterior, instalado mediante la opción de instalación “Experiencia de escritorio”.
  • Uno o varios dispositivos cliente con Windows 10 o Windows 11. Estos dispositivos deben tener TPM 1.2 o 2.0 con la versión más reciente de Windows.
  • Los certificados:
    • Certificado SSL de DHA: Un certificado SSL x.509 encadenado a un certificado raíz empresarial de confianza con una clave privada exportable. Este certificado protege las comunicaciones de datos DHA en tránsito, incluidos:
      • comunicaciones de servidor a servidor (servicio DHA y servidor MDM)
      • comunicaciones de servidor a cliente (servicio DHA y un dispositivo con Windows 10 o Windows 11)
    • Certificado de firma de DHA: Un certificado x.509 encadenado a un certificado raíz empresarial de confianza con una clave privada exportable. El servicio DHA usa este certificado para la firma digital.
    • Certificado de cifrado de DHA: Un certificado x.509 encadenado a un certificado raíz empresarial de confianza con una clave privada exportable. El servicio DHA también utiliza este certificado para el cifrado.
  • Elija uno de estos modos de validación de certificados:
    • EKCert: El modo de validación EKCert está optimizado para dispositivos en organizaciones que no están conectadas a Internet. Los dispositivos que se conectan a un servicio DHA que se ejecuta en modo de validación EKCert no tienen acceso directo a Internet.
    • AIKCert: El modo de validación AIKCert está optimizado para entornos operativos que sí tienen acceso a Internet. Los dispositivos que se conectan a un servicio DHA que se ejecuta en modo de validación AIKCert deben tener acceso directo a Internet y pueden obtener un certificado AIK de Microsoft.

Agregar el rol del servidor DHA al servidor Windows

  1. En el servidor Windows, si el Administrador de servidores aún no está abierto, haga clic en Inicio y luego en Administrador de servidores.
  2. Haga clic en Agregar roles y características.
  3. En la página Antes de empezar, haga clic en Siguiente.
  4. En la página Seleccionar tipo de instalación, haga clic en Instalación basada en características o en roles, y luego haga clic en Siguiente.
  5. En la página Seleccionar servidor de destino, marque Seleccionar un servidor del grupo de servidores, seleccione el servidor y luego haga clic en Siguiente.
  6. En la página Seleccionar roles de servidor, marque la casilla Atestación de estado de dispositivo.
  7. Opcional: Haga clic en Agregar características para instalar otros servicios y funciones que requiera el rol.
  8. Haga clic en Siguiente.
  9. En la página Seleccionar características, haga clic en Siguiente.
  10. En la página Rol de servidor web (IIS), haga clic en Siguiente.
  11. En la página Seleccionar servicios de rol, haga clic en Siguiente.
  12. En la página Servicio de atestación de mantenimiento del dispositivo, haga clic en Siguiente.
  13. En la página Confirmar selecciones de instalación, haga clic en Instalar.
  14. Cuando termine la instalación, haga clic en Cerrar.

Agregar el certificado SSL al almacén de certificados del servidor

  1. Vaya al archivo del certificado SSL y selecciónelo.
  2. Seleccione Usuario actual como la ubicación del almacén y haga clic en Siguiente.

    Administrador de servidores de Windows

  3. Escriba la contraseña de la clave privada.

  4. Compruebe que la opción de importación Incluir todas las propiedades extendidas está seleccionada. Haga clic en Siguiente.

    Administrador de servidores de Windows

  5. Cuando aparezca esta ventana, haga clic en .

    Administrador de servidores de Windows

  6. Confirme que el certificado está instalado:

    1. Abra la ventana del símbolo del sistema.

    2. Escriba mmc y pulse la tecla Intro. Para ver los certificados ubicados en el almacén de la máquina local, debe tener el rol Administrador.

    3. En el menú “Archivo”, haga clic en Agregar o quitar complemento.

    4. Haga clic en Agregar.

    5. En el cuadro de diálogo “Agregar un complemento independiente”, seleccione Certificados.

    6. Haga clic en Agregar.

    7. En el cuadro de diálogo del complemento “Certificados”, seleccione Mi cuenta de usuario. (Si ha iniciado sesión como titular de la cuenta de servicio, seleccione Cuenta de servicio.)

    8. En el cuadro de diálogo “Seleccionar equipo”, haga clic en Finalizar.

      Administrador de servidores de Windows

  7. Vaya a Administrador de servidores > IIS y seleccione Certificados de servidor entre los iconos de la lista.

    Administrador de servidores de Windows

  8. En el menú “Acción”, seleccione Importar… para importar el certificado SSL.

    Administrador de servidores de Windows

Recuperar y guardar la huella digital del certificado

  1. En la barra de búsqueda del Explorador de archivos, escriba mmc.
  2. En la ventana “Raíz de consola”, haga clic en Archivo > Agregar o quitar complemento.

    Explorador de archivos de Windows

  3. Seleccione el certificado del complemento disponible y agréguelo a los complementos seleccionados.

    Agregar o quitar complementos de Windows

  4. Seleccione Mi cuenta de usuario.

    Agregar o quitar complementos de Windows

  5. Seleccione el certificado y haga clic en Aceptar.

    Agregar o quitar complementos de Windows

  6. Haga doble clic en el certificado y en la ficha Detalles. Desplácese hacia abajo para ver la huella digital del certificado.

    Agregar o quitar complementos de Windows

  7. Copie la huella digital a un archivo. Elimine los espacios cuando use la huella digital en los comandos de PowerShell.

Instalar los certificados de firma y cifrado

Ejecute estos comandos de PowerShell en el servidor Windows para instalar los certificados de firma y cifrado.

Reemplace el marcador de posición ReplaceWithThumbprint y escríbalo entre comillas dobles, como se muestra a continuación.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"}

$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName

$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys" + $keyname icacls $keypath /grant IIS_IUSRS`:R

<!--NeedCopy-->

Extraer el certificado raíz de TPM e instalar el paquete de certificado de confianza

Ejecute estos comandos en el servidor Windows:

mkdir .\TrustedTpm

expand -F:* .\TrustedTpm.cab .\TrustedTpm

cd .\TrustedTpm

.\setup.cmd
<!--NeedCopy-->

Configurar el servicio DHA

Ejecute este comando en el servidor Windows para configurar el servicio DHA.

Reemplace el marcador de posición ReplaceWithThumbprint.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint

-SigningCertificateThumbprint ReplaceWithThumbprint

-SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint

-SupportedAuthenticationSchema "AikCertificate"
<!--NeedCopy-->

Ejecute estos comandos en el servidor Windows para configurar la directiva de cadena de certificados para el servicio DHA:

$policy = Get-DHASCertificateChainPolicy

$policy.RevocationMode = "NoCheck"

Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy
<!--NeedCopy-->

Responda a estas indicaciones de la siguiente manera:

  Confirm

    Are you sure you want to perform this action?

    Performing the operation "Install-DeviceHealthAttestation" on target "[Machine Name]".

    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

    Adding SSL binding to website 'Default Web Site'.

    Add SSL binding?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding application pool 'DeviceHealthAttestation_AppPool' to IIS.

    Add application pool?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'.

    Add web application?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'.

    Add firewall rule?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Setting initial configuration for Device Health Attestation Service.

    Set initial configuration?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Registering User Access Logging.

    Register User Access Logging?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
<!--NeedCopy-->

Consultar la configuración

Para comprobar si DHASActiveSigningCertificate está activo, ejecute este comando en el servidor:

Get-DHASActiveSigningCertificate

Si el certificado está activo, aparece el tipo de certificado (de firma) y la huella digital.

Para comprobar si DHASActiveSigningCertificate está activo, ejecute estos comandos en el servidor.

Reemplace el marcador de posición ReplaceWithThumbprint y escríbalo entre comillas dobles, como se muestra a continuación.

Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force

Get-DHASActiveEncryptionCertificate
<!--NeedCopy-->

Si el certificado está activo, se muestra la huella digital.

Para realizar una comprobación final, vaya a la dirección URL:

https://<dha.myserver.com>/DeviceHeathAttestation/ValidateHealthCertificate/v1

Si el servicio DHA se está ejecutando, se muestra “Método no permitido”.

Comprobación del servicio DHA