Selamlar,
Bu yazımızda ortamımıza SCCM kurulumu yapmadan önce gerekli olan sertifikasyon yapılandırmasını nasıl yapacağımızı ele alıyor olacağız.
Yerel ortamımızda kurulu bir adet sertifika sunucusuna ihtiyacımız var. Eğer kurulu değilse hızlı bir şekilde belirlenen bir sunucu üzerine sertifika rolü yüklenir.
Kurulum sağlandıktan sonra Certification Authority mmc paneli açılır. Tüm sertifika ayarlarımızı bu panel üzerinden gerçekleştireceğiz.
İşlem yapacağımız sertifika şablonlarından bahsetmek gerekirse ilgili sertifikalar ile Sunucu ve istemci cihazlarının kaydolma işlemlerinin başlangıç adımı olacaktır.
Web Server şablonu: SCCM rollerimizden birini barındıran herhangi bir sunucu için kullanacağız. Bundan dolayı yönetim noktası veya dağıtım noktası olan bir sunucunun veya yazılım güncelleştirme noktası ve bunların hepsi bilgileri istemcilere aktarma mekanizması olarak IIS rolünü kullanır. Böylece bunu HTTPS için ayarlamak ve kimlik doğrulamayı kullanmak için bu makinelerin herhangi birinde bir web sunucu sertifika şablonuna ve bir web sunucusu sertifikasına ihtiyacımız olacak. Bu sertifika, özel anahtarının dışa aktarılmasına izin vermeyen ve yalnızca Configuration Manager ile değil, diğer web türleri içinde oluşturduğunuz web sunucusu ve web hizmeti için ortak olan oldukça basit bir sertifikadır.
Web Server with Private Key: Özel anahtarın dışa aktarılmasını destekleyen ikinci bir şablona ihtiyacımız var. Bulut tabanlı bir dağıtım noktası oluştururken veya daha sonra oluşturulurken kullanacağımız sertifikadır. Dağıtım noktası dışında olan alanlarda kullanılacak sertifikanın özel anahtarının olması gerekmektedir. Bu sertifika yine SCCM sunucu odaklı bileşenleri için kullanılacaktır. Ancak Workstation yönelik bazı bileşenlere veya masaüstü bileşenlerinede sahibiz. Bunun için Workstation Authentication sertifikası oluşturacağız.
Workstation Authentication: Bu şablonda AD etki alanımızda bulunan masaüstlerine ve daha sonra Ad alanına eklenecek masaüstü sistemlerimize otomatik olarak kaydolan sertifikadır. Böylece ortamımıza dahil olan yeni pc hesabı SCCM kullanıcısı olacak ve kontrol ortamımızdan geçecek. Bu sertifikayı Group Policy aracılığıyla uyguluyor olacağız. Bu sertifikamızda Web Server sertifikası gibi özel anahtarı içermez.
Workstation Authentication with Private Key: Özel anahtarın dışa aktarılmasını sağlayan dördüncü bir şablon oluşturmamız gerekir. Çoğu durumda, söz konusu makine sertifika içinkaydolduktan sonra bu özel anahtarın makineden çıkarılmasını istemezsiniz. Ancak, web sunucu sertifikalarımızda olduğu gibi, zaman zaman ihtiyaç duyduğunuz durumlar da vardır. Burada, dağıtım noktası yüklü olan site sistemlerine sahip olduğumuzda, özel anahtarının dışa aktarılmasını sağlayan bir Workstation kimlik doğrulama sertifikası yüklememiz gerekir. Daha sonra işletim sistemlerini dağıtmak için önyükleme diskleri oluşturduğumuzda bu sertifikaya dosya tabanlı bir biçimde de ihtiyacımız olacak.
Certificatio Authority konsolü üzerinde Certificate Templates üzerine sağ tıklanıp Manage butonu aracılığıyla Templates Console açılır.
Web Server ve Workstation Authentication Templateleri üzerine sağ tıklanıp iki kere şablonların kopyası oluşturulur.
Şablonları oluştururken ben bu isimleri kullandım. SCCM Web Server, SCCM Web Server – with Private Key, SCCM Workstation Authentication, SCCM Workstation Authentication – with Private Key
SCCM Web Server şablona giriş yaparak Subject Name sekmesi altında bulunan ayarları aşağıdaki resimde olduğu gibi. Build from this AD information alanını aktifleştirip, Subject name format alanı DNS Name olarak güncellendi. Include this information in alternate subject name alanıda aynı şekilde DNS name olarak güncelliyorum. Bu işlem tüm şablonlarda yapılacaktır. (Subject Name altında bulunan alan)
Security sekmesi altında ise Domain Computers grubunu ekleyerek Read ve Enroll yetkileri Allow olarak tanımlıyorum. Bu işlemde tüm şablonlarda gerçekleştirilmesi gerekmektedir.
SCCM Web Server – with Private Key özelliklerine girdiğimde ise yukardaki işlemlerin aynısını gerçekleştirip yanı sıra Request Handling sekmesinden “Allow private key to be exported” seçeneğini aktifleştiriyoruz. Aynı işlem SCCM Workstation Authentication – with Private Key şablonunda da yapılır.
Tüm sertifika şablonlarında yapılması gerekenleri belirttikten sonra bazı farklı işlemleri yapmamız gereken sertifikalarımız mevcut.
SCCM Workstation Authentication özelliklerinde Security sekmesi altında Domain Computers seçeneğinde Autoenroll tiki seçilerek işlem aktifleştirilir.
Oluşturulan templatelerin uygulanabilmesi için Certification Authority mmc konsolunda Certificate Templates seçeneğine sağ tıklanır, New-> Certificate Template to Issue seçeneği seçilir.
Aktifleştirilecek sertifika templatelerinin hepsi seçilip Ok butonu ile birlikte ilerlenir.
SCCM sunucumuz üzerine SCCM Web Server sertifikamızı uygulayalım.
Sunucu üzerinde MMC konsolunu açıp, Snap-In alanından Certificates alanı seçilip Computer Account seçilir.
Konsol üzerinden yeni sertifikamızı eklemek için Personel sekmesine sağ tıklanıp, All Tasks-> Request New Certificate seçeneği seçilir.
Select Certificate Enrollment Policy sekmesinde AD Enrollment Policy seçilip Next diyerek ilerlenir.
Oluşturduğumuz tüm şablonlar burada listelenir. SCCM Web Server şablonu seçilerek Enroll denilerek işlem başlatılır.
Sistemimizi yeniden başlattıktan sonra Certificates konsolunda Personel sekmesi altına sertifikamızın geldiği ve geçerli olduğu bilgisi görülür.
Bu yaptığımız işlem sadece sunucu sistemi tarafına yönelikti. Ayrıca Workstation kimlik doğrulama sertifikalarını istemcilerimize dağıtmamız gerekiyor. Tahmin edilebileceği gibi ortamdaki tüm istemcilere manuel bu işlemi yapmak zulüm olacak ve gözden kaçan makineler olacaktır ve bunun yanı sıra büyük bir zaman kaybı yanı sıra iş yükü oluşturacaktır.
Sunucu ve istemcilerimizi ayrı bir OU içerisine topladığımızı var sayarak. İstemcilerin bulunduğu OU üzerinde yeni bir Policy oluşturulur. Computer Configuration -> Policies -> Windows Settings -> Security Settings-> Public Key Policies sekmelerine giriş yapılır. Certificate Services Client – Auto Enrollment yapılandırılması açılıp. Configuration Model alanı Not Configured seçeneği Enabled olarak güncellenir.
Açılan sayfada Renew expired certificates ve Update certificates that use certificate templates seçenekleri aktifleştirilir.
Policy işlemlerimiz bittikten sonra ilgili OU altında bulunan sistemlerimizden bir tanesini reboot edip sertifikamızın oluşup, oluşmadığını MMC konsol üzerinden kontrol edebiliriz.
SCCM makelelerimizin devamında görüşmek üzere,