Product Documentation

Configurar um servidor de atestado de integridade de dispositivo no local

Sanket Mishra

Você pode ativar o Atestado de Integridade de Dispositivo (DHA, Device Health Attestation) para dispositivos móveis Windows 10 por meio de um Windows Server no local. Para habilitar o DHA no local, você primeiro configura um servidor DHA.

Depois de configurar o servidor DHA, você cria uma política do XenMobile Server para habilitar o serviço DHA local. Para obter informações sobre como criar essa política, consulte a Política de dispositivo de Atestado de Integridade de Dispositivo.

Pré-requisitos para um servidor DHA

  • Um servidor executando o Windows Server Technical Preview 5 ou posterior, instalado usando a opção de instalação do Desktop Experience.
  • Um ou mais dispositivos clientes do Windows 10. Esses dispositivos devem ter o TPM 1.2 ou 2.0 executando a versão mais recente do Windows.
  • Esses certificados:
    • Certificado SSL DHA. Um certificado SSL x.509 que é vinculado a uma raiz confiável corporativa com uma chave privada exportável. Este certificado protege as comunicações de dados DHA em trânsito, incluindo as comunicações servidor a servidor (serviço DHA e servidor MDM) e servidor a cliente (serviço DHA e dispositivo Windows 10).
    • Certificado de assinatura do DHA. Um certificado x.509 que é vinculado a uma raiz confiável corporativa com uma chave privada exportável. O serviço DHA usa esse certificado para assinatura digital.
    • Certificado de criptografia DHA. Um certificado x.509 que é vinculado a uma raiz confiável corporativa com uma chave privada exportável. O serviço DHA também usa esse certificado para criptografia.
  • Escolha um destes modos de validação de certificado:
    • EKCert. O modo de validação EKCert é otimizado para dispositivos em organizações que não estão conectadas à Internet. Os dispositivos que se conectam a um serviço DHA em execução no modo de validação EKCert não têm acesso direto à Internet.
    • AIKCert. O modo de validação AIKCert é otimizado para ambientes operacionais que têm acesso à Internet. Os dispositivos que se conectam a um serviço DHA em execução no modo de validação AIKCert devem ter acesso direto à Internet e estar habilitados a obter um certificado AIK da Microsoft.

Adicione a função de servidor DHA ao Windows Server

  1. No Windows Server, se o Gerenciador de Servidores ainda não estiver aberto, clique em Iniciar e, em seguida, clique em Gerenciador de Servidores.
  2. Clique em Adicionar funções e recursos.
  3. Na página Antes de começar, clique em Avançar.
  4. Na página Selecionar tipo de instalação, clique em Instalação baseada em função ou recurso e clique em Avançar.
  5. Na página Selecionar servidor de destino, clique em Selecionar um servidor no pool de servidor, selecione o servidor e clique em Avançar.
  6. Na página Selecionar funções de servidor, marque a caixa de seleção Atestado de Integridade de Dispositivo.
  7. Opcional: clique em Adicionar recursos para instalar outros serviços e recursos de função necessários.
  8. Clique em Avançar.
  9. Na página Selecionar recursos, clique em Avançar.
  10. Na página Função Servidor Web (IIS), clique em Avançar.
  11. Na páginaSelecionar serviços de função, clique em Avançar.
  12. Na página Serviço de Atestado de Integridade do Dispositivo, clique em Avançar.
  13. Na página Confirmar Seleções de Instalação, clique em Instalar.
  14. Quando a instalação estiver concluída, clique em Fechar.

Adicione o certificado SSL ao repositório de certificados do servidor

  1. Vá até o arquivo de certificado SSL e selecione-o.
  2. Selecione Usuário atual como o local do repositório e clique em Avançar.

    Imagem do Gerenciador do Windows Server

  3. Digite a senha para a chave privada.

  4. Assegure-se de que a opção de importação Incluir todas as propriedades estendidas esteja selecionada. Clique em Avançar.

    Imagem do Gerenciador do Windows Server

  5. Quando esta janela aparecer, clique em Sim.

    Imagem do Gerenciador do Windows Server

  6. Confirme se o certificado está instalado:

    1. Abra uma janela do prompt de comando.

    2. Digite mmc e pressione a tecla Enter. Para exibir certificados no repositório do computador local, você deve estar na função Administrador.

    3. No menu Arquivo, clique em Adicionar/Remover Snap-In.

    4. Clique em Adicionar.

    5. Na caixa de diálogo Adicionar snap-in autônomo, selecione Certificados.

    6. Clique em Adicionar.

    7. Na caixa de diálogo Snap-in de Certificados, selecione Minha conta de usuário. (Se você estiver conectado como titular da conta de serviço, selecione Conta de serviço.)

    8. Na caixa de diálogo Selecionar Computador, clique em Concluir.

      Imagem do Gerenciador do Windows Server

  7. Vá para Gerenciador do Servidor > IIS e selecione Certificados do Servidor na lista de ícones.

    Imagem do Gerenciador do Windows Server

  8. No menu Ação, selecione Importar… para importar o certificado SSL.

    Imagem do Gerenciador do Windows Server

Recupere e salve a impressão digital do certificado

  1. Na barra de pesquisa do Explorador de Arquivos, digite mmc.
  2. Na janela Raiz do Console, clique em Arquivo > Adicionar/Remover Snap-in….

    Imagem do Explorador de Arquivos do Windows

  3. Selecione o certificado do snap-in disponível e adicione-o aos snap-ins selecionados.

    Imagem de Adicionar ou Remover Snap-ins do Windows

  4. Selecione Minha conta de usuário.

    Imagem de Adicionar ou Remover Snap-ins do Windows

  5. Selecione o certificado e clique em OK.

    Imagem de Adicionar ou Remover Snap-ins do Windows

  6. Clique duas vezes no certificado e selecione a guia Detalhes. Role para baixo para ver a impressão digital do certificado.

    Imagem de Adicionar ou Remover Snap-ins do Windows

  7. Copie a impressão digital para um arquivo. Remova os espaços ao usar a impressão digital nos comandos do PowerShell.

Instalar os certificados de assinatura e criptografia

Execute esses comandos do PowerShell no Windows Server para instalar os certificados de assinatura e criptografia.

Substitua o espaço reservado ReplaceWithThumbprint e coloque-o entre aspas duplas, conforme mostrado.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"}

$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName

$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys" + $keyname icacls $keypath /grant IIS_IUSRS`:R

Extraia o certificado raiz do TPM e instale o pacote de certificado confiável

Execute estes comandos no Windows Server:

mkdir .\TrustedTpm

expand -F:* .\TrustedTpm.cab .\TrustedTpm

cd .\TrustedTpm

.\setup.cmd

Configurar o serviço DHA

Execute este comando no Windows Server para configurar o serviço DHA.

Substitua o espaço reservado ReplaceWithThumbprint.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint

-SigningCertificateThumbprint ReplaceWithThumbprint

-SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint

-SupportedAuthenticationSchema "AikCertificate"

Execute esses comandos no Windows Server para configurar a política de cadeia de certificados para o serviço DHA:

$policy = Get-DHASCertificateChainPolicy

$policy.RevocationMode = "NoCheck"

Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy

Responda a estes prompts da seguinte maneira:

  Confirm

    Are you sure you want to perform this action?

    Performing the operation "Install-DeviceHealthAttestation" on target "WIN-N27D1FKCEBT".

    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): A

    Adding SSL binding to website 'Default Web Site'.

    Add SSL binding?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding application pool 'DeviceHealthAttestation_AppPool' to IIS.

    Add application pool?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'.

    Add web application?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'.

    Add firewall rule?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Setting initial configuration for Device Health Attestation Service.

    Set initial configuration?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

    Registering User Access Logging.

    Register User Access Logging?

    [Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y

Verificar a configuração

Para verificar se o DHASActiveSigningCertificate está ativo, execute este comando no servidor:

Get-DHASActiveSigningCertificate

Se o certificado estiver ativo, o tipo de certificado (Assinatura) e a impressão digital serão exibidos.

Para verificar se o DHASActiveSigningCertificate está ativo, execute estes comandod no servidor

Substitua o espaço reservado ReplaceWithThumbprint e coloque-o entre aspas duplas, conforme mostrado.

Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force

Get-DHASActiveEncryptionCertificate

Se o certificado estiver ativo, a impressão digital será exibida.

Para realizar uma verificação final, acesse esta URL:

https://<dha.myserver.com>/DeviceHeathAttestation/ValidateHealthCertificate/v1

Se o serviço DHA estiver sendo executado, será exibido “Método não permitido”.

Imagem da verificação de serviço DHA