启用 SCCM 增强 HTTP 配置的简单指南

---

在这篇文章中，我将向您展示如何启用 SCCM 增强的 HTTP 配置。我们还将讨论 SCCM 中的增强 HTTP 配置到底是什么、如何启用它以及增强 HTTP 证书、SMS 角色 SSL 证书。

增强 HTTP 配置功能首次作为预发布功能在 SCCM 1806 中引入。但是从 SCCM 1810 开始，此增强型 HTTP 功能不再是预发布功能。

最近，我发布了有关 SCCM 2103 先决条件检查警告的指南，内容涉及为 HTTPS 或增强型 HTTP 启用站点系统角色。从 SCCM 2103 开始，您将需要选择HTTPS 通信或增强型 HTTP 配置。您必须计划仅将站点配置为 HTTPS，或者将 Configuration Manager 生成的证书用于 HTTP 站点系统。如果您不在两者之间进行选择，您可能会在 SCCM 2103 更新安装过程中遇到警告。

什么是 SCCM 增强型 HTTP 配置？

SCCM 增强型 HTTP 可保护敏感客户端通信，无需 PKI 服务器身份验证证书。在 ConfigMgr 中启用 SCCM 增强型 HTTP 配置时，站点服务器会为管理点生成证书，允许其通过安全通道进行通信。如果启用 SCCM 增强型 HTTP，加入 Azure Active Directory (Azure AD) 的设备以及具有 ConfigMgr 颁发令牌的设备可以与为 HTTP 配置的管理点进行通信。

Microsoft 推荐什么 - HTTPS 或增强型HTTP ？

Microsoft 建议对所有 Configuration Manager 通信路径使用 HTTPS 通信。然而，由于管理 PKI 证书的开销，为 SCCM 实施 PKI 证书对于某些客户来说可能具有挑战性。

SCCM 增强型 HTTP 配置安全吗？

是的，增强的 HTTP 配置是安全的。当您在 SCCM 中启用增强型 HTTP 配置时，您可以保护敏感客户端通信，而无需 PKI 服务器身份验证证书。客户端可以安全地访问分发点的内容，无需网络访问帐户、客户端 PKI 证书和 Windows 身份验证。

如何启用 SCCM 增强型 HTTP 配置

启用 SCCM 增强 HTTP 的步骤如下。

• 启动 SCCM 控制台。
• 导航至管理 > 概述 > 站点配置 > 站点。
• 选择您的主站点服务器。右键单击主服务器并选择属性。
• 在“通信安全”选项卡中的“站点系统设置”下，启用选项HTTPS 或增强型 HTTP。
• 启用使用 Configuration Manager 为 HTTP 站点系统生成的证书。

注意

在 SCCM 中启用增强 HTTP 配置的过程对于管理中心站点也保持相同。使用相同的过程，然后打开管理中心站点的属性。此操作仅为管理中心站点上的 SMS 提供程序角色启用增强型 HTTP。它不是适用于层次结构中所有站点的全局设置。

启用 SCCM 增强型 HTTP 后会发生什么？

启用 SCCM 增强 HTTP 配置时，站点服务器会生成名为 SMS 角色 SSL 证书的自签名证书。以下是访问 SMS 角色 SSL 证书的步骤。

• 登录 SCCM 服务器。
• 单击开始 > 运行，然后键入命令certlm.msc。
• 在“证书 - 本地计算机”下，展开个人 > 证书。
• 您可以在其中找到短信角色 SSL 证书。此增强型 HTTP 证书由根 SMS 颁发证书颁发。

此外，管理点将此证书添加到绑定到端口 443 的 IIS 默认网站。在管理点服务器上，访问 IIS 管理器。右键单击默认网站，然后单击编辑绑定。选择HTTPS，然后单击编辑。在编辑站点绑定中，确保您在 SSL 证书选项下看到 SMS 角色 SSL 证书。

监控 MEMCM 中的增强型 HTTP 配置

启用增强 HTTP 配置后，要查看配置的状态，请查看管理点服务器上的 mpcontrol.log。我发现以下几行与增强的 HTTP 配置相关。

Successfully performed Management Point availability check against local computer.
SSL is not enabled. SMS_MP_CONTROL_MANAGER
Using thread token for request SMS_MP_CONTROL_MANAGER
Call to HttpSendRequestSync succeeded for port 80 with status code 200, text: OK SMS_MP_CONTROL_MANAGER
Http test request succeeded. SMS_MP_CONTROL_MANAGER

SCCM 增强型 HTTP SMS 颁发证书

当您在 SCCM 中启用增强 HTTP 配置时，还可以在 ConfigMgr 控制台中找到 SMS 颁发证书。这是配置管理器为增强 HTTP 功能而创建的自签名证书。

• 启动配置管理器控制台。
• 转到管理\概述\安全\证书。
• 查找短信颁发证书。

当您右键单击短信颁发证书并单击属性时，您可能会注意到证书显示为不受信任，因为它没有放置在受信任的根证书颁发机构存储中。要消除该错误，请单击安装证书，并确保将 SMS 颁发证书放置在受信任的根证书颁发机构存储中。

服务器上的 SCCM 增强型 HTTP 证书

服务器上的 ConfigMgr 增强型 HTTP 证书位于以下路径证书 - 本地计算机 > SMS > 证书。以下是在服务器上创建的 SCCM 增强型 HTTP 证书。

Certificate Issued ToCertificate Issued ByEnhanced HTTP Certificate Friendly NameSite ServerSite ServerSite Server Signing CertificateSite System IdentificationSite System IdentificationSite System Identification CertificateSMSSMSSMS Encryption CertificateSMSSMSSMS Signing CertificateSMS Pin Reset EncryptionSMS Pin Reset EncryptionSMS Pin Reset Encryption CertificateSMS ProviderSMS ProviderSMS Provider role certificateSMS User ServiceSMS User ServiceSMS User Service CertificateConfigMgr Server NameSMS IssuingSMS Role SSL Certificate

客户端计算机上的 SCCM 增强型 HTTP 证书

以下是在客户端计算机上创建的 SCCM 增强型 HTTP 证书。 E-HTTP 证书位于以下路径证书 - 本地计算机 > SMS > 证书。

Certificate Issued ToCertificate Issued ByEnhanced HTTP Certificate Friendly NameSMSSMSSMS Signing CertificateSMSSMSSMS Encryption Certificate

Configuration Manager 增强型 HTTP 常见问题解答

以下是与 Configuration Manager 增强 HTTP 配置相关的一些常见问题。

什么是 SCCM 增强型 HTTP？

SCCM 增强型 HTTP 功能可保护敏感客户端通信，无需 SCCM 中的 PKI 服务器身份验证证书。

如何启用 SCCM 增强 HTTP 配置？

导航到管理 > 概述 > 站点配置 > 站点。右键单击主服务器并选择属性。在“通信安全”选项卡中启用“HTTPS”或“增强型 HTTP”选项。为 HTTP 站点系统启用使用 Configuration Manager 生成的证书。

SCCM 增强型 HTTP 配置的安全性如何？

增强的 HTTP 配置是安全的。当您在 SCCM 中启用增强型 HTTP 配置时，您可以保护敏感客户端通信，而无需 PKI 服务器身份验证证书。客户端可以安全地访问分发点的内容，无需网络访问帐户、客户端 PKI 证书和 Windows 身份验证。

什么是短信角色 SSL 证书？

SMS 角色 SSL 证书增强型 HTTP 证书由根 SMS 颁发证书颁发。启用 SCCM 增强 HTTP 配置时，站点服务器会生成名为 SMS 角色 SSL 证书的自签名证书。

SCCM 增强型 HTTP 证书的位置？

SCCM 增强型 HTTP 证书位于以下路径 - 证书 - 本地计算机 > SMS > 证书。

如何在 SCCM 中查看增强型 HTTP 配置的状态？

要查看增强型 HTTP 配置的状态，请查看站点服务器上的 mpcontrol.log。