Product Documentation

Configurar un servidor Device Health Attestation local

Sanket Mishra

Puede habilitar Device Health Attestation (DHA) para dispositivos móviles Windows 10 a través de un servidor Windows local. Para habilitar DHA local, primero debe configurar un servidor DHA.

Después de configurar el servidor DHA, cree una directiva de XenMobile Server para habilitar el servicio DHA local. Para obtener información sobre cómo crear esta directiva, consulte Directiva de Device Health Attestation.

Requisitos previos para un servidor DHA

  • Un servidor con Windows Server Technical Preview 5 o una versión posterior, instalado mediante la opción de instalación “Experiencia de escritorio”.
  • Uno o varios dispositivos de cliente Windows 10. Estos dispositivos deben tener TPM 1.2 o 2.0 con la versión más reciente de Windows.
  • Los certificados:
    • Certificado SSL de DHA. Un certificado SSL x.509 encadenado a un certificado raíz empresarial de confianza con una clave privada exportable. Este certificado protege las comunicaciones de datos DHA en tránsito, incluidas las comunicaciones de servidor a servidor (servicio DHA y servidor MDM) y de servidor a cliente (servicio DHA y dispositivo Windows 10).
    • Certificado de firma de DHA. Un certificado x.509 encadenado a un certificado raíz empresarial de confianza con una clave privada exportable. El servicio DHA usa este certificado para la firma digital.
    • Certificado de cifrado de DHA. Un certificado x.509 encadenado a un certificado raíz empresarial de confianza con una clave privada exportable. El servicio DHA también utiliza este certificado para el cifrado.
  • Elija uno de estos modos de validación de certificados:
    • EKCert. El modo de validación EKCert está optimizado para dispositivos en organizaciones que no están conectadas a Internet. Los dispositivos que se conectan a un servicio DHA que se ejecuta en modo de validación EKCert no tienen acceso directo a Internet.
    • AIKCert. El modo de validación AIKCert está optimizado para entornos operativos que sí tienen acceso a Internet. Los dispositivos que se conectan a un servicio DHA que se ejecuta en modo de validación AIKCert deben tener acceso directo a Internet y pueden obtener un certificado AIK de Microsoft.

Agregar el rol del servidor DHA al servidor Windows

  1. En el servidor Windows, si el Administrador de servidores aún no está abierto, haga clic en Inicio y luego en Administrador de servidores.
  2. Haga clic en Agregar roles y características.
  3. En la página Antes de empezar, haga clic en Siguiente.
  4. En la página Seleccionar tipo de instalación, haga clic en Instalación basada en características o en roles, y luego haga clic en Siguiente.
  5. En la página Seleccionar servidor de destino, marque Seleccionar un servidor del grupo de servidores, seleccione el servidor y luego haga clic en Siguiente.
  6. En la página Seleccionar roles de servidor, marque la casilla “Atestación de estado de dispositivo”.
  7. Opcional: Haga clic en Agregar características para instalar otros servicios y características que requiera el rol.
  8. Haga clic en Siguiente.
  9. En la página Seleccionar características, haga clic en Siguiente.
  10. En la página Rol de servidor web (IIS), haga clic en Siguiente.
  11. En la página Seleccionar servicios de rol, haga clic en Siguiente.
  12. En la página Servicio de atestación de mantenimiento del dispositivo, haga clic en Siguiente.
  13. En la página Confirmar selecciones de instalación, haga clic en Instalar.
  14. Cuando termine la instalación, haga clic en Cerrar.

Agregar el certificado SSL al almacén de certificados del servidor

  1. Vaya al archivo del certificado SSL y selecciónelo.
  2. Seleccione Usuario actual como la ubicación del almacén y haga clic en Siguiente.

    Imagen del Administrador de servidores de Windows

  3. Escriba la contraseña de la clave privada.

  4. Compruebe que la opción de importación Incluir todas las propiedades extendidas está seleccionada. Haga clic en Siguiente.

    Imagen del Administrador de servidores de Windows

  5. Cuando aparezca esta ventana, haga clic en .

    Imagen del Administrador de servidores de Windows

  6. Confirme que el certificado está instalado:

    1. Abra la ventana del símbolo del sistema.

    2. Escriba mmc y presione la tecla ENTRAR. Para ver los certificados ubicados en el almacén de la máquina local, debe tener el rol Administrador.

    3. En el menú “Archivo”, haga clic en Agregar o quitar complemento.

    4. Haga clic en Agregar.

    5. En el cuadro de diálogo “Agregar un complemento independiente”, seleccione Certificados.

    6. Haga clic en Agregar.

    7. En el cuadro del complemento “Certificados”, seleccione Mi cuenta de usuario. (Si ha iniciado sesión como titular de la cuenta de servicio, seleccione Cuenta de servicio.)

    8. En el cuadro de diálogo “Seleccionar equipo”, haga clic en Finalizar.

      Imagen del Administrador de servidores de Windows

  7. Vaya a Administrador de servidores > IIS y seleccione Certificados de servidor entre los iconos de la lista.

    Imagen del Administrador de servidores de Windows

  8. En el menú “Acción”, seleccione Importar… para importar el certificado SSL.

    Imagen del Administrador de servidores de Windows

Recuperar y guardar la huella digital del certificado

  1. En la barra de búsqueda del Explorador de archivos, escriba mmc.
  2. En la ventana “Raíz de consola”, haga clic en Archivo > Agregar o quitar complemento.

    Imagen del Explorador de archivos de Windows

  3. Seleccione el certificado del complemento disponible y agréguelo a los complementos seleccionados.

    Imagen de Agregar o quitar complementos de Windows

  4. Seleccione Mi cuenta de usuario.

    Imagen de Agregar o quitar complementos de Windows

  5. Seleccione el certificado y haga clic en Aceptar.

    Imagen de Agregar o quitar complementos de Windows

  6. Haga doble clic en el certificado y en la ficha Detalles. Desplácese hacia abajo para ver la huella digital del certificado.

    Imagen de Agregar o quitar complementos de Windows

  7. Copie la huella digital a un archivo. Elimine los espacios cuando use la huella digital en los comandos de PowerShell.

Instalar los certificados de firma y cifrado

Ejecute estos comandos de PowerShell en el servidor Windows para instalar los certificados de firma y cifrado.

Reemplace el marcador de posición ReplaceWithThprintprint y escríbalo entre comillas dobles, como se muestra a continuación.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"}

$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName

$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys" + $keyname icacls $keypath /grant IIS_IUSRS`:R

Extraer el certificado raíz de TPM e instalar el paquete de certificado de confianza

Ejecute estos comandos en el servidor Windows:

mkdir .\TrustedTpm

expand -F:* .\TrustedTpm.cab .\TrustedTpm

cd .\TrustedTpm

.\setup.cmd

Configurar el servicio DHA

Ejecute este comando en el servidor Windows para configurar el servicio DHA.

Reemplace el marcador de posición ReplaceWithThprint.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint

-SigningCertificateThumbprint ReplaceWithThumbprint

-SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint

-SupportedAuthenticationSchema "AikCertificate"

Ejecute estos comandos en el servidor Windows para configurar la directiva de cadena de certificados para el servicio DHA:

$policy = Get-DHASCertificateChainPolicy

$policy.RevocationMode = "NoCheck"

Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy

Responda a estas indicaciones de la siguiente manera:

  Confirm

    Are you sure you want to perform this action?

    Performing the operation "Install-DeviceHealthAttestation" on target "WIN-N27D1FKCEBT".

    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

    Adding SSL binding to website 'Default Web Site'.

    Add SSL binding?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding application pool 'DeviceHealthAttestation_AppPool' to IIS.

    Add application pool?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'.

    Add web application?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'.

    Add firewall rule?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Setting initial configuration for Device Health Attestation Service.

    Set initial configuration?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Registering User Access Logging.

    Register User Access Logging?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

Consultar la configuración

Para comprobar si DHASActiveSigningCertificate está activo, ejecute este comando en el servidor:

Get-DHASActiveSigningCertificate

Si el certificado está activo, aparece el tipo de certificado (de firma) y la huella digital.

Para comprobar si DHASActiveSigningCertificate está activo, ejecute estos comandos en el servidor.

Reemplace el marcador de posición ReplaceWithThprintprint y escríbalo entre comillas dobles, como se muestra a continuación.

Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force

Get-DHASActiveEncryptionCertificate

Si el certificado está activo, se muestra la huella digital.

Para realizar una comprobación final, vaya a la dirección URL:

https://<dha.myserver.com>/DeviceHeathAttestation/ValidateHealthCertificate/v1

Si el servicio DHA se está ejecutando, se muestra “Método no permitido”.

Imagen de la comprobación del servicio DHA