SCCM PKI Yapılandırması

Bu yazıda ortamınızda bulunan SCCM yapınızın tamamıyla HTTPS çalışmasını için gerekli olan işlemleri anlatmaya çalışacağım.

3 Adet Certificate Template oluşturmamız gerekiyor.

Clients Certificate: Tüm SCCM ajanı yüklenecek bilgisayarlarda bu sertifika olmalı. Client/Server dağıtılması gerekli.
Web Server Certificate: MP, DP, SUP gibi Site System rollerin olduğu sunuculara dağıtılması gerekli.
WinPE Images: Opsiyonel. Ortamdaki tüm DP ve MP’ler HTTPS ise F12 OSD dağıtımı için gerekli.

Başlamadan önce ortamdaki tüm SCCM sunucularını bir grup altında toplamak faydalı olacaktır. Aşağıdakine benzer isimde bir gurup oluşturarak SCCM yapınızdaki MP/DP/SUP/Site Server gibi rollerin olduğu sunucuların bilgisayar hesaplarını bu guruba üye yapın.

Clients Certificate Template Oluşturma Adımları:

Certification Authority konsolu açılır. Certificate Templates sağ tık Manage komutu tıklanır.

Açılan Templates listesinden “Workstation Authentication” a gelinir ve sağ tık “Duplicate Template” komutu seçilir.

Compatibility sekmesinde aşağıdaki resimlerdeki gibi ayarlamalar yapılır.

Template Display Name alanına istediğiniz gibi bir isim girebilirsiniz. Ben “SCCM Client Server Certificate” ismini vererek devam ediyorum. Üretilecek sertifikanın geçerlilik süresi de yine size kalmış ben 5 yıl olarak ilerleyeceğim

Security sekmesine gelinerek Domain Computers seçilerek Read, Enroll, Autoenroll hakları verilir.

Son olarak aşağıdaki ayar yapılarak “OK” butonuna basılır.

IIS – Web Server Certificate Template Oluşturma Adımları:

Certification Authority konsolu açılır. Certificate Templates sağ tık Manage komutu tıklanır.

Açılan Templates listesinden “Web Server” a gelinir ve sağ tık “Duplicate Template” komutu seçilir.

Compatibility sekmesinde aşağıdaki resimlerdeki gibi ayarlamalar yapılır.

Template Display Name alanına istediğiniz gibi bir isim girebilirsiniz. Ben “SCCM Web Server Certificate” ismini vererek devam ediyorum. Üretilecek sertifikanın geçerlilik süresi de yine size kalmış ben 5 yıl olarak ilerleyeceğim.

Security sekmesine gelinerek SCCM Sunucusunun Computer Objesi seçilerek Read, Enroll, hakları verilir.

NOT: Ortamınızda PKI üzerinden erişim sağlamak istediğiniz birden fazla MP, DP vbg sunucularınız var ise, AD üzerinde bir Security Group oluşturarak bu sunucuların Computer objelerini bu guruba üye yapınız ve aşağıdaki ekranda o gurubu gösteriniz.

Son olarak aşağıdaki ayar yapılarak “OK” butonuna basılır.

Özellikle İnternet Client olarak kullanacaksanız aşağıdaki alanı Supply in the request şeklinde de bırakabilirsiniz.

DP – WinPE Images Certificate Template Oluşturma Adımları:

Certification Authority konsolu açılır. Certificate Templates sağ tık Manage komutu tıklanır.

Açılan Templates listesinden “Workstation Authentication” a gelinir ve sağ tık “Duplicate Template” komutu seçilir.

Compatibility sekmesinde aşağıdaki resimlerdeki gibi ayarlamalar yapılır.

Template Display Name alanına istediğiniz gibi bir isim girebilirsiniz. Ben “SCCM WinPE Certificate” ismini vererek devam ediyorum. Üretilecek sertifikanın geçerlilik süresi de yine size kalmış ben 5 yıl olarak ilerleyeceğim.

Request Handling sekmesine gelinerek “Allow private key to be exported” kutucuğu işaretlenir. Server 2008 R2 CA kullananlar Minimum Key Size olarak 2048 seçmeliler

Security sekmesine gelinerek SCCM Sunucusunun Computer Objesi seçilerek Read, Enroll, hakları verilir.

Son olarak aşağıdaki ayar yapılarak “OK” butonuna basılır.

Aşağıdaki resimde de görüldüğü gibi Template oluşturma adımları tamamlandı artık dağıtım adımlarına geçebiliriz.

Sertifikaların Deployment Adımları

Certification Authority konsolu açılır. Certificate Templates sağ tık New > Certificate Template to Issue komutu tıklanır.

Oluşturduğumuz 3 template seçilir ve OK butonuna basılır.

Görünüm aşağıdaki gibidir.

Client sertifikasını dağıtmak için yeni bir GPO oluşturuyoruz. İsteyenler var olan bir GPO’da kullanabilirler.

Oluşturduğumuz GPO ya sağ tık Edit diyerek içine giriyoruz.

Aşağıdaki “Renew… “kutucuğunu da işaretliye bilirsiniz.

GPO hazır, “Link an Existing GPO” komutu ile sertifikalı iletişim kurulması istenen bilgisayarların olduğu bir OU ya eklenir. Ben en tepeden ekliyorum

Client Öncesi

Sonrası

SCCM Server Öncesi

SCCM Server Sonrası

Daha sonra aldığımız sertifikası IIS Manager üzerinden seçiyoruz.

Sıra SCCM konsolu üzerinden MP rolüne HTTPS çalışacağını söyleyeme geldi.

HTTPS için aşağıdaki ayar yapılır. OK tuşunan basıldıktan sonra MPsetup.log açılır ve süreç takip edilir. Sonrasında da rolün sağlıklı çalışıp çalışmadığı MPControl.log dan takip edilir.

MP Test URL e girildiğinde hata mesajı alınacaktır. MpControl.log da hata yoksa bu kontrol gerekli değil ama yine de bakmak isteyenler için çözüm için DP sertifikasını SCCM sunucusuna yüklüyoruz. Sonra kaldırabilirsiniz amacımız TEST etmek

MP Test URL: https://sccm/sms_mp/.sms_aut?mplist