Обмен ключами между главными серверами

Устройства взаимодействуют только с теми главными серверами и главными серверами объединения, для которых имеется соответствующий файл доверенного сертификата. Например, у вас имеется три главных сервера, каждый из которых управляет 5000 устройств. У вас также есть главный сервер объединения, который управляет всеми 15000 устройств. Каждый главный сервер имеет свой сертификат и закрытые ключи. По умолчанию агенты устройства, развернутые из каждого главного сервера, будут взаимодействовать только с тем главным сервером, с которого было развернуто программное обеспечение устройства.

Есть два основных способа обмена ключами между главными серверами и главными серверами объединения:

  1. Распространение доверенного сертификата каждого главного сервера (файл <hash>.0) на устройства и соответствующие им главные серверы. Этот способ обеспечивает самый высокий уровень безопасности.
  2. Копирование закрытого ключа и сертификатов на каждый главный сервер. Этот способ не требует никаких операций с устройствами, но он более рискованный, поскольку предполагает копирование закрытого ключа.

В нашем примере, если необходимо добиться того, чтобы главный сервер объединения и веб-консоль могли управлять устройствами со всех трех главных серверов, необходимо распространить доверенный сертификат главного сервера объединения (файл <hash>.0) на все устройства, а также скопировать этот файл в папку ldlogon каждого главного сервера. Для получения дополнительной информации см. следующий раздел. В качестве альтернативы можно скопировать файлы сертификата/закрытого ключа с каждого из этих трех главных серверов на главный сервер объединения. В этом случае каждое устройство сможет найти соответствующий закрытый ключ для своего главного сервера на главном сервере объединения. Для получения дополнительной информации см. раздел Копирование файлов сертификата/закрытого ключа с одного главного сервера на другой.

Если необходимо, чтобы один главный сервер смог управлять устройствами другого главного сервера, можно выполнить ту же операцию либо распространить доверенный сертификат на устройства или скопировать файлы сертификата/открытого ключа с одного главного сервера на другой.

При копировании сертификатов с одного автономного главного сервера на другой (а не на главный сервер объединения) возникает дополнительная проблема. Главный сервер не сможет управлять устройствами другого главного сервера, если сначала не получит результаты сканирования инвентаризации от этих устройств. Одним из способов получения данных сканирования инвентаризации другим главным сервером является планирование задания сканирования инвентаризации с использованием специальной командной строки, которая передает результаты сканирования на нужный главный сервер. При наличии большого числа главных серверов рекомендуется использовать главный сервер объединения и web-консоль, что позволяет упростить управление устройствами с различных главных серверов. Главные серверы объединения автоматически получают данные сканирования инвентаризации от всех устройств на объединяемых ими главных серверах.