Citrix Endpoint Management

Configuration d’un serveur d’attestation de l’intégrité des appareils sur site

Vous pouvez activer l’attestation de l’intégrité des appareils (DHA) pour appareils mobiles Windows 10 et Windows 11 via un serveur Windows local. Pour activer DHA sur site, vous devez d’abord configurer un serveur DHA.

Après la configuration d’un serveur DHA, vous devez créer une stratégie Citrix Endpoint Management pour activer le service DHA sur site. Pour plus d’informations sur la création de cette stratégie, consultez la section Stratégie d’attestation de l’intégrité des appareils.

Configuration requise pour un serveur DHA

  • Un serveur exécutant Windows Server Technical Preview 5 ou version ultérieure, installé à l’aide de l’option d’installation de Desktop Experience.
  • Une ou plusieurs machines clientes Windows 10 et Windows 11. Ces machines doivent avoir TPM 1.2 ou 2.0 exécutant la dernière version de Windows.
  • Ces certificats :
    • Certificat SSL DHA : un certificat SSL x.509 qui s’enchaîne à une racine de confiance d’entreprise avec une clé privée exportable. Ce certificat protège les communications de données DHA en transit, y compris :
      • communications serveur à serveur (service DHA et serveur MDM)
      • communications serveur à client (service DHA et appareil Windows 10 ou Windows 11)
    • Certificat de signature DHA : un certificat x.509 qui est lié à la racine de confiance d’entreprise avec une clé privée exportable. Le service DHA utilise ce certificat pour la signature numérique.
    • Certificat de cryptage DHA : un certificat x.509 qui est lié à la racine de confiance d’entreprise avec une clé privée exportable. Le service DHA utilise également ce certificat pour le cryptage.
  • Choisissez l’un de ces modes de validation de certificat :
    • EKCert : le mode de validation EKCert est optimisé pour les appareils des organisations qui ne sont pas connectées à Internet. Les appareils qui se connectent à un service DHA s’exécutant en mode de validation EKCert n’ont pas d’accès direct à Internet.
    • AIKCert : le mode de validation AIKCert est optimisé pour les environnements opérationnels qui ont accès à Internet. Les appareils qui se connectent à un service DHA s’exécutant en mode de validation AIKCert doivent avoir un accès direct à Internet et pouvoir obtenir un certificat AIK auprès de Microsoft.

Ajouter le rôle de serveur DHA au serveur Windows

  1. Sur le serveur Windows, si le Gestionnaire de serveur n’est pas déjà ouvert, cliquez sur Démarrer, puis sur Gestionnaire de serveur.
  2. Cliquez sur Ajouter des rôles et fonctionnalités.
  3. Sur la page Avant de commencer, cliquez sur Suivant.
  4. Sur la page Sélectionner le type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité, puis sur Suivant.
  5. Sur la page Sélectionner le serveur de destination, cliquez sur Sélectionner un serveur du pool de serveurs, sélectionnez le serveur, puis cliquez sur Suivant.
  6. Sur la page Sélectionner le rôle de serveur, cochez la case Attestation d’intégrité de l’appareil.
  7. Facultatif : cliquez sur Ajouter les fonctionnalités pour installer d’autres services et fonctionnalités de rôle requis.
  8. Cliquez sur Suivant.
  9. Sur la page Sélectionner une fonctionnalité, cliquez sur Suivant.
  10. Sur la page Rôle Serveur Web (IIS), cliquez sur Suivant.
  11. Sur la page Sélectionner les services de rôle, cliquez sur Suivant.
  12. Sur la page Service d’attestation d’intégrité de l’appareil, cliquez sur Suivant.
  13. Sur la page Confirmer les sélections d’installation, cliquez sur Installer.
  14. Une fois l’installation terminée, cliquez sur Fermer.

Ajouter le certificat SSL au magasin de certificats du serveur

  1. Accédez au fichier de certificat SSL et sélectionnez-le.
  2. Pour l’emplacement du magasin, sélectionnez Utilisateur actuel, puis cliquez sur Suivant.

    Gestionnaire de serveur Windows

  3. Tapez le mot de passe affecté à la clé privée.

  4. Assurez-vous que l’option d’importation Inclure toutes les propriétés étendues est sélectionnée. Cliquez sur Suivant.

    Gestionnaire de serveur Windows

  5. Lorsque cette fenêtre s’affiche, cliquez sur Oui.

    Gestionnaire de serveur Windows

  6. Vérifiez que le certificat est installé :

    1. Ouvrez une fenêtre d’invite de commandes.

    2. Tapez mmc et appuyez sur la touche Entrée. Pour afficher les certificats dans le magasin de machines local, vous devez être dans le rôle Administrateur.

    3. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

    4. Cliquez sur Ajouter.

    5. Dans la boîte de dialogue Ajout d’un composant logiciel enfichable autonome, sélectionnez Certificats.

    6. Cliquez sur Ajouter.

    7. Dans la boîte de dialogue Composant logiciel enfichable Certificats, sélectionnez Mon compte d’utilisateur. (Si vous êtes connecté en tant que titulaire d’un compte de service, sélectionnez Compte de service.)

    8. Dans la boîte de dialogue Sélectionner un ordinateur, cliquez sur Terminer.

      Gestionnaire de serveur Windows

  7. Accédez à Gestionnaire de serveur > IIS et sélectionnez Certificats de serveur dans la liste des icônes.

    Gestionnaire de serveur Windows

  8. À partir du menu Action, sélectionnez Importer… pour importer le certificat SSL.

    Gestionnaire de serveur Windows

Récupérer et enregistrer l’empreinte numérique du certificat

  1. Dans la barre de recherche Explorateur de fichiers, tapez mmc.
  2. Dans la fenêtre Racine de la console, cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable.

    Explorateur de fichiers Windows

  3. Sélectionnez le certificat d’un composant logiciel enfichable disponible et ajoutez-le aux composants logiciels enfichables sélectionnés.

    Ajouter ou supprimer des composants logiciels enfichables Windows

  4. Sélectionnez Mon compte d’utilisateur.

    Ajouter ou supprimer des composants logiciels enfichables Windows

  5. Sélectionnez le certificat et cliquez sur OK.

    Ajouter ou supprimer des composants logiciels enfichables Windows

  6. Cliquez deux fois sur le certificat, puis sélectionnez l’onglet Détails. Faites défiler la liste vers le bas pour afficher l’empreinte numérique du certificat.

    Ajouter ou supprimer des composants logiciels enfichables Windows

  7. Copiez l’empreinte numérique dans un fichier. Supprimez les espaces lors de l’utilisation de l’empreinte numérique dans les commandes PowerShell.

Installer les certificats de signature et de cryptage

Exécutez ces commandes PowerShell sur le serveur Windows pour installer les certificats de signature et de cryptage.

Remplacez l’espace réservé ReplaceWithThumbprint et placez-le à l’intérieur des guillemets doubles comme indiqué.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"}

$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName

$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys" + $keyname icacls $keypath /grant IIS_IUSRS`:R

<!--NeedCopy-->

Extraire le certificat racine du module de plateforme sécurisée (TPM) et installer le package de certificat de confiance

Exécutez ces commandes sur le serveur Windows :

mkdir .\TrustedTpm

expand -F:* .\TrustedTpm.cab .\TrustedTpm

cd .\TrustedTpm

.\setup.cmd
<!--NeedCopy-->

Configurer le service DHA

Exécutez cette commande sur le serveur Windows pour configurer le service DHA.

Remplacez l’espace réservé ReplaceWithThumbprint.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint

-SigningCertificateThumbprint ReplaceWithThumbprint

-SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint

-SupportedAuthenticationSchema "AikCertificate"
<!--NeedCopy-->

Exécutez ces commandes sur le serveur Windows pour configurer la stratégie de chaîne de certificat pour le service DHA :

$policy = Get-DHASCertificateChainPolicy

$policy.RevocationMode = "NoCheck"

Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy
<!--NeedCopy-->

Répondez aux invites suivantes :

  Confirm

    Are you sure you want to perform this action?

    Performing the operation "Install-DeviceHealthAttestation" on target "[Machine Name]".

    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

    Adding SSL binding to website 'Default Web Site'.

    Add SSL binding?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding application pool 'DeviceHealthAttestation_AppPool' to IIS.

    Add application pool?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'.

    Add web application?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'.

    Add firewall rule?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Setting initial configuration for Device Health Attestation Service.

    Set initial configuration?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Registering User Access Logging.

    Register User Access Logging?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
<!--NeedCopy-->

Vérifier la configuration

Pour vérifier si le certificat DHASActiveSigningCertificate est actif, exécutez cette commande sur le serveur :

Get-DHASActiveSigningCertificate

Si le certificat est actif, le type de certificat (signature) et l’empreinte numérique sont affichés.

Pour vérifier si le certificat DHASActiveSigningCertificate est actif, exécutez ces commandes sur le serveur

Remplacez l’espace réservé ReplaceWithThumbprint et placez-le à l’intérieur des guillemets doubles comme indiqué.

Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force

Get-DHASActiveEncryptionCertificate
<!--NeedCopy-->

Si le certificat est actif, l’empreinte numérique est affichée.

Pour effectuer une dernière vérification, accédez à cette URL :

https://<dha.myserver.com>/DeviceHeathAttestation/ValidateHealthCertificate/v1

Si le service DHA est en cours d’exécution, le message « Méthode non autorisée » est affiché.

Contrôle de service DHA