Agentensicherheit und vertrauenswürdige Zertifikate
Endpoint Manager verwendet ein zertifikatbasiertes Authentifizierungsmodell. Geräteagenten werden durch autorisierte Coreserver authentifiziert, um den nicht autorisierten Zugriff von Cores auf Clients zu verhindern. Jeder Coreserver verfügt über ein eindeutiges Zertifikat und einen privaten Schlüssel, das/der von Endpoint Manager-Setup beim erstmaligen Installieren des Coreservers oder Rollup-Coreservers erstellt wird.
Dies sind die privaten Schlüssel- und Zertifikatdateien:
- <keyname>.key: Die .key-Datei ist der private Schlüssel für den Coreserver und nur auf dem Coreserver vorhanden. Wenn dieser Schlüssel nicht mehr intakt ist, sind Coreserver und die Gerätekommunikation nicht mehr sicher. Achten Sie auf die Sicherheit dieses Schlüssels. Senden Sie ihn beispielsweise nicht per E-Mail.
- <keyname>.crt: Die .crt-Datei enthält den öffentlichen Schlüssel für den Coreserver. Die .crt-Datei ist eine Version des öffentlichen Schlüssels, die sich leichter anzeigen lässt, um weitere Informationen über den Schlüssel zu erhalten.
- <hash>.0: Die .0-Datei ist eine vertrauenswürdige Zertifikatdatei, deren Inhalt mit der .crt-Datei identisch ist. Ihr Name wird jedoch so gewählt, dass der Computer die Zertifikatdatei in einem Ordner, der viele verschiedene Zertifikate enthält, schnell findet. Der Name ist ein Hash (Prüfsumme) der Subjektinformationen des Zertifikats. Um den Hash-Dateinamen eines bestimmten Zertifikats zu bestimmen, zeigen Sie die <keyname>.crt-Datei an. Die Datei enthält einen .ini-Dateiabschnitt [LDMS]. Das Hash=Wert-Paar gibt den <hash>-Wert an.
Alternativ kann der Hash-Wert auch mithilfe der Anwendung "openssl" bestimmt werden, die im Ordner \Programme\LANDesk\Shared Files\Keys gespeichert ist. Sie zeigt mithilfe der folgenden Befehlszeile den mit einem Zertifikat assoziierten Hash-Wert an:
openssl.exe x509 -in <keyname>.crt -hash -noout
Alle Schlüssel sind auf dem Coreserver gespeichert unter \Programme\LANDesk\Shared Files\Keys. Der öffentliche <hash>.0 Schlüssel befindet sich ebenfalls im ldlogon-Ordner und muss dort standardmäßig abgelegt sein. <keyname> ist der Zertifikatname, der von Ihnen während des Setups von Endpoint Manager angegeben wurde. Während des Setups ist es hilfreich, einen beschreibenden Schlüsselnamen anzugeben, z. B. den Namen des Coreservers (oder sogar dessen vollständig qualifizierten Namen) (Beispiel: ldcore oder ldcore.org.com). Dies vereinfacht die Identifizierung des Zertifikats/des privaten Schlüssels in einer Umgebung mit mehreren Cores.
Sie sollten vom Inhalt des Schlüsselordners Ihres Coreservers eine Sicherungskopie anlegen und diese sicher aufbewahren. Wenn Sie den Coreserver neu installieren oder austauschen müssen, können Sie die Geräte des betreffenden Coreservers so lange nicht verwalten, bis Sie die Zertifikate des ursprünglichen Cores wie unten beschrieben zum neuen Core hinzugefügt haben.
Zertifikate für verwaltete Geräte
Mit Ivanti® Endpoint Manager Version 2016 wird ein neues clientzertifikatbasiertes Sicherheitsmodell für Windows-basierte Geräte eingeführt. Wenn dieses Sicherheitsmodell aktiv ist, können nur Geräte mit gültigen Zertifikaten Daten von sicheren Coreservern entschlüsseln. Dieses Sicherheitsmodell ist ab 2020 standardmäßig aktiviert.
Der Speicherort für die Zertifikate auf verwalteten Geräten ist:
- C:\Programme (x86)\LANDesk\Shared Files\cbaroot\broker
Dort befinden sich drei Dateien:
- broker.key: Privater Schlüssel. Dieser sollte geschützt sein. Nur Administratoren verfügen über Berechtigungen hierfür.
- broker.csr: Zertifikatsignieranforderung, die an den zu signierenden Core gesendet wird.
- broker.crt: Öffentlicher Schlüssel im X509-Zertifikatformat.