Gemeinsame Nutzung von Schlüsseln unter Coreservern
Geräte kommunizieren nur mit Coreservern und Rollup-Coreservern, für die sie eine übereinstimmende Datei für ein vertrauenswürdiges Zertifikat haben. Angenommen, Sie verfügen über drei Coreserver, von denen jeder 5.000 Geräte verwaltet. Außerdem setzen Sie einen Rollup-Coreserver für die Verwaltung aller 15.000 Geräte ein. Jeder Coreserver hat ein eigenes Zertifikat und private Schlüssel. Zudem kommunizieren die Geräteagenten, die Sie von dem jeweiligen Coreserver aus bereitstellen, standardmäßig nur mit dem Coreserver, von dem aus die Gerätesoftware bereitgestellt wird.
Es gibt zwei Hauptmethoden für die gemeinsame Schlüsselnutzung von Coreservern und Rollup-Coreservern:
- Verteilung des vertrauenswürdigen Zertifikats eines jeden Coreservers (Datei "<hash>.0") an Geräte und ihre entsprechenden Coreserver. Dies ist die sicherste Methode.
- Kopieren des privaten Schlüssels und der Zertifikate auf die einzelnen Coreserver. Auf den Geräten müssen hierfür keine Änderungen vorgenommen werden. Da Sie jedoch den privaten Schlüssel kopieren müssen, ist das Risiko größer.
Wenn Sie in diesem Beispiel möchten, dass der Rollup-Core und die Webkonsole Geräte von allen drei Cores verwalten, müssen Sie das vertrauenswürdige Zertifikat des Rollup-Cores (Datei "<hash>.0") auf alle Geräte verteilen und dieselbe Datei in den ldlogon-Ordner eine jeden Coreservers kopieren. Nähere Informationen hierzu finden Sie im nächsten Abschnitt. Alternativ können Sie auch das Zertifikat/den privaten Schlüssel von jedem der drei Coreserver auf den Rollup-Core kopieren. Auf diese Weise findet jedes Gerät den passenden privaten Schlüssel für seinen Coreserver auf dem Rollup-Coreserver. Weitere Informationen finden Sie unter Kopieren von Dateien für Zertifikate/private Schlüssel von Coreserver nach Coreserver.
Wenn ein Core Geräte eines anderen Cores verwalten soll, können Sie dasselbe Verfahren anwenden und entweder das vertrauenswürdige Zertifikat auf Geräte verteilen oder die Datei des Zertifikats/öffentlichen Schlüssels unter den Cores verteilen.
Wenn Sie Zertifikate unter eigenständigen Coreservern (keine Rollup-Cores) kopieren, kommt noch folgendes Problem hinzu. Ein Core ist nicht in der Lage, die Geräte eines anderen Core zu verwalten, es sei denn, er erhält vorab Zugriff auf einen Inventarscan der betreffenden Geräte. Eine Möglichkeit, Inventarscans auf einen anderen Core zu übertragen, besteht darin, einen Auftrag für einen Inventarscan zu planen, der den Scan mithilfe einer benutzerdefinierten Befehlszeile an den neuen Core weiterleitet. In einer Konfiguration mit mehreren Coreservern ist die Verwendung eines Rollup-Cores und der Webkonsole eine einfachere Möglichkeit, Geräte über mehrere Cores hinweg zu verwalten. Rollup-Cores erhalten automatisch Inventarscan-Daten von allen Geräten auf den Cores, für die ein Rollup durchgeführt wird.