代理安全证书和可信证书

Endpoint Manager 采用了基于证书的身份验证模式。设备代理要向已授权的核心服务器验证身份，以防止未经授权的核心服务器访问客户端。每个核心服务器都有一个唯一的证书和私钥，它是 Endpoint Manager 安装程序在第一次安装该核心服务器或汇总核心服务器时创建的。

私钥和证书文件包括：

• <keyname>.key:.key 文件是核心服务器的私钥，该文件只驻留在核心服务器上。一旦此密钥泄密，就无法保障核心服务器与设备之间的通信安全。请保护好此密钥。例如，不要使用电子邮件来传递密钥信息。
• <keyname>.crt:.crt 文件包含核心服务器的公钥。.crt 文件是以用户友好的方式显示的公钥内容，可以从中查看有关该密钥的详细信息。
• <hash>.0:.0 文件是可信证书文件，其内容与 .crt 文件相同。不过，该文件的命名方式使得计算机能够在包含许多不同证书的文件夹中迅速找到该证书文件。其名称是证书主题信息的哈希值（校验和）。要确定特定证书的哈希文件名，请查看 <keyname>.crt 文件。该文件中包含一个 .ini 文件部分 [LDMS]。hash=value 对指示 <hash> 值。

获得哈希值的另一个方法是使用 openssl 应用程序，该程序存储在 \Program Files\LANDesk\Shared Files\Keys 文件夹中。使用以下命令行，该程序就会显示与证书相关联的哈希值：

openssl.exe x509 -in <keyname>.crt -hash -noout

所有密钥都存储在核心服务器上的 \Program Files\LANDesk\Shared Files\Keys 目录中。<hash>.0 公钥也存在于 ldlogon 文件夹中，该目录为它的指定默认目录。<keyname> 是在安装 Endpoint Manager 时提供的证书名称。在安装时最好提供描述性的密钥名称，如使用核心服务器的名称（甚至使用其全限定名称）作为密钥名（例如：ldcore 或 ldcore.org.com）。这样，在多核心服务器的环境中更易于识别证书/私钥文件。

应该将核心服务器的 Keys 文件夹的内容备份在一个安全可靠的地方。如果由于某种原因需要重新安装或更换核心服务器，则将原核心的证书添加到新核心之前，无法管理该核心服务器的设备。

受管设备证书

Ivanti® Endpoint Manager 2016 版针对 Windows 设备引入了一种基于证书的全新客户端安全模式。当激活这种安全模式时，只有具备有效证书的设备才能解密安全核心服务器数据。 自 2020 年的版本起，系统会默认启用此安全模式。

证书在受管设备上的保存位置为：

• C:\Program Files (x86)\LANDesk\Shared Files\cbaroot\broker

这里包含 3 个文件：

• broker.key:私钥。该密钥应受保护。只有管理员拥有它的相关权限。
• broker.csr:发送至要签名的核心的证书签名请求。
• broker.crt:X509 证书格式的公钥。