Vpro

SCCM 2007 Out of Band Management Ayarları

Provisioning Certificate = Gerçek bir CA den alınan sertifika gösterilir (Local CA de olabilir)
Certificate Template = Local de kurduğunuz CA üstünde hazırladığınız Template gösterilir.
MEBx Account = Provisioning işlemi olduktan sonra bilgisayarın ME Setup ekranına girerken kullanılacak parola girilir. (Genelde bilgisayar açılırken Ctrl+p ile girilen bios ekranı. Bu parola ultra komplex olmalı P@ssw0rd iş görür.
Resimdeki gibi 2 kutucukda işaretlenir.


————————————————————————————————–

AMT User Accounts = Windows üzerinden Management Engine (ME)’ye baglanti kurmaya Domain Admin seviyesinde yetkili bir domain user hesabı tanımlanır.
Resimde görülen diğer kutucuklar da işaretlenir.

————————————————————————————————–

Burada bilgisayar Provisioning olmadan önce ME bios ekranına girerken kullanılacak User/Pass bilgisi girilir. Eğer bilgisayaların ME bios giriş şifresini değiştirmediyseniz bu alana hiç bir şey girmenize gerek yoktur. Default User/Pass denenir. (admin/admin)
Eğer bilgisayar önceden Provisioning olmuşsa yada ME parolası değişmişse o bilgileri buradan girmelisiniz ki Provisioning işlemi yapılabilsin.

————————————————————————————————–

V-pro Provisioning için Sertifika Talebi Oluşturmak

V-pro Provisioning işlemi için sertifika gerekmektedir. Bu sertifikayı local’de kuracağınız bir CA dan alabilirsiniz ancak bu durumda bu sertifikanın HAS bilgisini ortamınızdaki tüm bilgisayarlara elle kurmanız gerekmekte. Bununla uğraşmamak için Gerçek bir CA dan (comodo, godaddy vbg) sertifika almanız daha mantıklı olacaktır. Bu yazıda local bir CA yada gerçek bir CA dan nasıl sertifika talep dosyası oluşturacağınızı anlatmaya çalışacağım.

Öncelikle burayı tıklayarak gerekli programı indirin.
ztc.cfg dosyası bizim ayarları yapacağımız yer. Dosyanın içinde değişiklik yapmanız gereken yerler aşağıdaki gibi.

[ req ]
default_bits = 2048    (2048 olduğundan emin olur CA’ler 1024 lük talepleri kabul etmiyorlar)

[ req_distinguished_name ]
C = TR
ST = Turkey
L = Ankara
O = Sertac Topal Ltd. Sti.
OU = Intel(R) Client Setup Certificate   “bu alanın kesinlikle değiştirmeyiniz”
CN = srv-sccmserver.sertac.local  “bu alan çok önemli. Sccm server’ın FQDN adını girmeniz gerekli. içerdeki bilgisayarlar bu isime giderek kendilerini kayı ettirecekler”

Bu ayarları yaptıktan sonra CMD’den “makecsr.bat” çalıştırarak sertifika talep dosyamızı oluşturuyoruz. Komutun çıktısı aşağıdaki gibidir.
———————————–
D:\openssl>makecsr.bat

D:\openssl>openssl req -new -config ztc.cfg -out ztccsr.pem -keyout ztckey.pem
Loading ‘screen’ into random state – done
Generating a 2048 bit RSA private key
..++++++
……………..++++++
writing new private key to ‘ztckey.pem’
—–

D:\openssl>
———————————–

“ztccsr.pem” isminde bir dosya oluştuğunu göreceksiniz.
Birde “ztckey.pem” oluşmuş olacak bu dosyanın içinde de sertifikayı daha sonra export etmemiz için gerekli Private Key bulunmakta. Önemli dosya yani.
“ztccsr.pem”  dosyasını notepad ile açabilirsiniz. İçerisinde CA e gönderilmek için gerekli bilgiler var. Dosyayı sertifikayı alacağımız firmaya gönderiyoruz onlarda bize CRT yada CER uzantılı sertifika dosyamızı gönderecekler. text olarak da gelebilir dert etmeyin. CA dan gelen dosya her ne uzantıda olursa olsun notepad ile açın Farklı kaydet diyerek “ztccert.pem” olarak diğer dosyaların yanına kaydedin.
Sonra CMD üstünden “makepfx.bat” dosyasını çalıştırın. Aynı klasöre “ztccert.pfx” dosyası oluşacak. işte bu bizim SCCM 2007 ye göstermemiz gereken dosya. Bunu alıp SCCM de “Out of Band Management” altındaki “Provisioning Certificate” alanına ekleyin. Eklerken parola sorar makepfx.bat dosyasının içinde belirttiğimiz gibi P@ssw0rd olarak ekleyebilirsiniz. Bu kadar.
“Out of Band Management”  altındaki “Certificate Template” e ne yapacağız diye soranlara Localde bir CA kurmaları gerektiğini hatırlatırım.