代理程式安全性和信任憑證
Endpoint Manager 使用以憑證為基礎的身份驗證模式。裝置代理程式要向已授權的核心伺服器驗證身份,以防止未經授權的核心伺服器存取用戶端。每個核心伺服器都有一個唯一的憑證和私密金鑰,它是 Endpoint Manager 安裝程式在您第一次安裝該核心伺服器或匯總核心伺服器時建立的。
私密金鑰和憑證檔案內含:
- <keyname>.key:.key 檔案是核心伺服器的私密金鑰,該檔案只駐留在核心伺服器上。一旦此密鑰洩密,就無法保障核心伺服器與裝置之間的通訊安全。請保護好此密鑰。例如,不要使用電子郵件來傳遞密鑰資訊。
- <keyname>.crt:.crt 檔案含有核心伺服器的公開金鑰。.crt 檔案是以方便檢視的方式顯示的公開金鑰內容,您可以從中檢視有關該密鑰的詳細資訊。
- <hash>.0:.0 檔案是信任憑證檔案,其內容與 .crt 檔案相同。不過,該檔案的命名方式使得電腦能夠在含有許多不同憑證的資料夾中迅速找到該憑證檔案。其名稱是憑證主題資訊的雜湊值 (總和)。若要確定特定憑證的雜湊檔案名稱,請檢視 <keyname>.crt 檔案。該檔案中含有一個 .ini 檔案部分 [LDMS]。hash=value 對指示 <hash> 值。
獲得雜湊值的另一個方法是使用 openssl 應用程式,這個程式儲存在 \Program Files\LANDesk\Shared Files\Keys 資料夾中。使用以下指令列,這個程式就會顯示與憑證相關聯的雜湊值:
openssl.exe x509 -in <keyname>.crt -hash -noout
所有密鑰都儲存在核心伺服器上的 \Program Files\LANDesk\Shared Files\Keys 目錄中。<hash>.0 公用密鑰也存在於 ldlogon 資料夾中,該目錄為它的指定預設資料夾。<keyname> 是您在安裝 Endpoint Manager 時提供的憑證名稱。在安裝時最好提供描述性的密鑰名稱,如使用核心伺服器的名稱 (甚至使用其完整名稱) 作為密鑰名稱 (例如:ldcore 或 ldcore.org.com)。這樣一來,在多核心伺服器的環境中更易於識別不同的憑證/私密金鑰檔案。
您應該將核心伺服器的 Keys 資料夾的內容備份在一個安全可靠的地方。如果由於某種原因您需要重新安裝或更換核心伺服器,在將原始核心伺服器的憑證新增到新核心伺服器之前,您將無法管理該核心伺服器的裝置。
受管理裝置憑證
Ivanti® Endpoint Manager 2016 版對於 Windows 裝置採用新的用戶端憑證式安全性模型。此安全模型啟動時,只有具備有效憑證的裝置才能將安全核心伺服器資料解密。 此安全性模式從 2020 版開始為預設啟用。
在受管理裝置上,憑證儲存於下列位置:
- C:\Program Files (x86)\LANDesk\Shared Files\cbaroot\broker
有三個檔案:
- broker.key:私密金鑰。這應該受保護。僅管理員擁有其權限。
- broker.csr:對於將簽署的核心傳送的憑證簽署要求。
- broker.crt:X509 憑證格式的公開金鑰。