Piszki Lab

Analiza przypadku w języku przodków…

SCEP w środowisku Horizon View

| 0 comments

Zacznę od truizmu, uruchamianie środowiska VMware bez własnego Urzędu Certyfikacji, jest bez sensu. Samo podpisane certyfikaty to same problemy, w bardziej rozbudowanych konfiguracjach wręcz blokujące dalszą rozbudowę środowiska. Jeżeli w naszym środowisku opieramy się o domenę Active Directory Microsoftu, wtedy też najlepiej jest korzystać z CA dostarczanego z Windows Server (w naszym przypadku, 2008 R2).

Instalując i konfigurując środowisko View, prędzej czy później dojdziemy do momentu, od którego najlepiej by było, aby wszystkie sprzętowe terminale miały wystawiane własne certyfikaty. W tym wpisie podam sposób uruchomienia całości dla terminali z procesorem PCoIP firmy Teradici (w naszym przypadku HP t310). Zrobimy to za pomocą protokołu Simple Certificate Enrollment Protocol oraz dla ułatwienia, konsoli zarządzającej terminalami (Teradici PCoIP Management Console).

Implementacja protokołu SCEP według Microsoftu to Network Device Enrollment Service (NDES). Jest to rola Active Directory Certificate Service, zgodnie z dokumentacją, rola ta, powinna być instalowana na innym serwerze niż serwer główny CA (Enterprise). Najlepiej i najprościej jest doinstalować tę rolę do serwera DHCP obsługującego terminale. Instalacja NDES jest opisana tu i tu, i jak widać, jest bardzo prosta.

Jedyne miejsce w którym można się naciąć, to rejestr w którym podajemy nazwy wzorcowych certyfikatów (template). Na poniższym rysunku, w linii pierwszej mamy prawidłowy wpis, czyli własna nazwa domyślnego certyfikatu IPSec (Offline Request) a w kolejnych, nieprawidłowe (domyślne) wpisy  IPSec Intermediate.

ndes

Jeśli tego nie poprawimy, to wchodząc na adres naszego Urzędu Rejestracji (RA) https://ugdhcp1.pulab.local/certsrv/mscep_admin/ dostaniemy następujący komunikat (zamiast poprawnie wyświetlonego Challenge Password):

The Network Device Enrollment Service cannot provide its password because the user does not have Enroll permissions on the configured certificate template, or the certification authority is not enabled to issue certificates based on the configured certificate template.

Na tej stronie mamy opisy potencjalnych błędów jakie mogą nas nękać w trakcie instalacji NDES. Na stronie Teradici, mamy mały artykuł w bazie wiedzy, który pozwala nam uniknąć kolejnej miny, serwer SCEP musi być zainstalowany w tej samej sieci w której funkcjonują terminale PCoIP.

Po poprawnym skonfigurowaniu całości, otrzymujemy, jakże miły dla naszych oczu, komunikat:

scep1

Co dalej? Dalej pobieramy Management Console, jest to maszyna wirtualna którą najlepiej od razu wciągnąć do naszego środowiska vCenter za pomocą VMware Convertera (maszyna jest przygotowana do działania w VMware Player). Poprawne skonfigurowanie środowiska dla terminali wymaga przygotowania odpowiedniego rekordu DNS SRV oraz DHCP Vendor Class, całość jest opisana w dokumentacji. Gdy mamy działającą konsolę, tworzymy profil którego częścią będą ustawienia SCEP, zakładam tutaj, że wykorzystujemy Windows Server 2008R2 który umożliwia przygotowanie nie wygasającego Challenge Password. Każdy nowo wpięty do sieci terminal zostanie przypisany do profilu dzięki czemu otrzyma on od razu parę klucz+certyfikat. Tak wygenerowana para może być użyta przy protokole 802.1X, aczkolwiek nie można tego ustawić w profilu globalnym i trzeba ręcznie ustawić to na każdym urządzeniu. Pytania? Uśmiech

Oceń ten artykuł:
[Total: 0 Average: 0]

Dodaj komentarz

Required fields are marked *.