Instalando e Configurando o Cloud Management Gateway - Parte 1 - Certificados

  • Article

Nesse post, que é o primeiro de uma serie de 3, vamos seguir o passo a passo necessário para instalar e testar o Cloud Management Gateway no seu ambiente de System Center Configuration Manager. O tema desse Post é a criação dos certificados necessários para a infraestrutura do Cloud Management Gateway.
Com a necessidade de mobilidade que temos hoje em dia fica muito difícil gerenciar um ambiente com notebooks ou até mesmo computadores que não têm acesso a rede corporativa da empresa. O que nos leva a buscar alternativas que possam gerenciar esses dispositivos.
O Cloud Management Gateway é uma das opções que temos utilizando o System Center Configuration Manager, e a mesma se destaca devido a facilidade de implementação sem a necessidade de gerenciar a infraestrutura que sustenta esse serviço. Para instalar e configurar precisamos seguir os seguintes passos;

Passo 1: Configuração de certificados necessários.
Passo 2: Upload do certificado de gerenciamento do Azure.
Passo 3: Configuração do Cloud Management Gateway.
Passo 4: Configuração de client certification authentication no primary site.
Passo 5: Adicionar a site system role de cloud management gateway connector point.
Passo 6: Configurar MP e SUP para permitir tráfego cloud management gateway.
Passo 7: Configurar clientes para o cloud management gateway.

Ao implementar o Cloud Management Gateway no ambiente temos que ter em mente que ele da suporte a Deployment de Software utilizando o Cloud Distribution Point para distribuir conteúdo, Software Update e Management Point. Ele é pre-release adicionado na versão 1610, é suportado em ambiente de produção, na próxima Build pode sofrer alteraçoes e para habilitar essa feature precisando primeiro permitir na hierarchy settings a utilização de features pre-release conforme o post nesse Link.

Configuração de certificados necessários.
  • Certificado Cloud Management Gateway.

Na CA do seu domínio acesse o Certificate Templates(Executar > MMC > Add Snap-ins > Certificate Templates) e selecione o Web Server conforme abaixo. Logo após clique com o direito e Duplicate Template.

03-Cert_CMG_thumb1

Na guia General de um nome ao certificado e, se necessário, altere o periodo de validade. Acesse a guia Request Handling, marque a opção Allow private key to be exported e na guia Security adicione um grupo de segurança que o servidor SCCM seja membro ou crie um selecionando para ele as opções Enroll e Read.
Aplique e de OK finalizando o template.

04-Cert_CMG_thumb2 05 Cert_CMG 06 Cert_CMG

Agora vamos publicar o template já configurado acessando o Certification Authority(Executar > certsrv.msc). Clique com o direito em Certificate Template, New e Certificate Template to issue.

08-Cert_CMG_thumb1

Selecione o Template que configuramos e clique em OK.

09-Cert_CMG_thumb1

Agora no Servidor do SCCM vá em Certificates(Executar > certlm.msc), Personal, clique com o direito em All tasks e Request New Certificate conforme abaixo. Logo após clique em Next e selecione Active Directory Enrollment Policy.

11-Cert_CMGResquest_thumb1

Selecione o template que configuramos e clique em More Informarion. Na guia Subject selecione o Type Common Name e digite o nome que dará ao Cloud Management Gateway.
Existe uma observação nesse ponto. Antes de digitar o common name vá ao Portal do Azure, clique em adicionar um cloud services e em DNS name verifique se o nome desejado está disponível ou já esta sendo utilizado. Caso não estiver em uso, cancele a ação e adicione o Common Name NOMEDisponivel.cloudapp.net.
Clique em Apply, Ok, Next e Finish.

14 Cert_CMGResquest 16 Cert_CMGResquest

Agora que temos o certificado selecione o mesmo e clique em Export conforme abaixo.

19-Cert_CMGExport_thumb1

Na janela que abriu selecione as opções conforme abaixo definindo uma senha(anote, você irá utilizar.), um local para salvar o certificado e clique em Finish.
PRONTO…. Menos um certificado rs!

21 Cert_CMGExport 22 Cert_CMGExport 23 Cert_CMGExport 25 Cert_CMGExport

  • Certificado Clientes do System Center Configuration Manager.

Na CA do seu domínio acesse novamente o Certificate Templates e selecione o Workstation Authentication conforme abaixo. Logo após clique com o direito e Duplicate Template.

01 Cert_Client

Na aba General dê um nome ao template, em security no grupo Domain Computers selecione em Allow as opções conforme abaixo.

02 Cert_Client 03 Cert_Client

Em certificate templates clique com o direito e selecione a opção certificate template to issue.

04 Cert_Client 05 Cert_Client

Selecione o Certificate Template criado e clique em OK.

06 Cert_Client

Agora é necessário fazer o request do certificado para os computadores ou criar uma GPO para fazer o autoenroll do certificado.
Após fazer o request do certificado verifiquei se o mesmo está localizado em Personal > Certificates conforme abaixo.

08 Cert_ExpRoot

Selecione o certificado, clique com o direito e em Open.

09 Cert_ExpRoot

Nas opções do certificado clique na guia Certification Path e logo após clique em View Certificate.
Na próxima janela clique na guia Details e depois em Copy to File para fazer o Export do Root Certificate.

10 Cert_ExpRoot 12 Cert_ExpRoot

Na janela que abriu selecione as opções conforme abaixo para fazer o export do Root Certificate e clique em Finish.

13 Cert_ExpRoot 14 Cert_ExpRoot 15 Cert_ExpRoot 16 Cert_ExpRoot

  • Certificado de gerenciamento do Azure.

Com o comando powershell abaixo vamos agora criar o certificado para gerenciamento do Azure e logo após fazer o export do mesmo. Altere o nome do domínio e a sua senha e execute o comando para criar o certificado.

Create:
$cert = New-SelfSignedCertificate –DnsName Seudominio.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 2048 -KeySpec "KeyExchange" $password = ConvertTo-SecureString -String "SuaSenha" -Force -AsPlainText
Export PFX
Export-PfxCertificate -Cert $Cert -FilePath ".\my-cert-file.pfx" -password $password

01 Cert_MgmtAzure

Depois de criar o certificado .pfx vamos agora fazer o export do mesmo para um arquivo .cer para fazer o upload no Azure.

Export .Cer:
Export-Certificate -type Cert -Cert $cert -FilePath ".\my-cert-file.cer"

02 Cert_MgmtAzure

No Portal do Azure acesse Subscription, selecione a Subscription que você irá utilizar para o Cloud Management Gateway clique em Management Certificates e em upload.

03-Cert_AzureImport_thumb3

Selecione o certificado(.cer) criado e clique em Open.

04 Cert_AzureImport

Agora que já fez o upload do certificado pode fechar o portal do Azure.

05-Cert_AzureImport_thumb2

Finalizamos agora a parte dos certificados e temos o Client Root Certificate(CliRoot.cer), Cloud Management Gateway Certificate(FXCMCMG.pfx) e o Azure Management Certificate(FXCORP.cer e FXCORP.pfx).

image_thumb1[1]

 

Acesse as próximas publicações para completar a configuração do seu Cloud Management Gateway.

Clique Aqui

 

Clique Aqui

 

 

Conteúdo criado e publicado por:
Jeovan M Barbosa
Microsoft PFE
Configuration Manager