Mi blog

Este Blog tiene como intención, mantener informado al Staff de IT con las distintas soluciones de la familia de productos de Microsoft.
El foco del Blog, brinda mi experiencia con la familia de productos de Ms System Center.
Con 20 años de experiencia en los productos de Microsoft, quiero compatir información, mis propias experiencias y mis articulos.

Si tenes dudas existen 2 solapas, dejame tu consulta aquí … pero también mirá la solapa " consultas anteriores" donde existen otras consultas posteadas.


Marcela Berri
Instructor / Consultor Senior IT
MVP - MCT – MCITP – MCTS – MCSA – MAP



jueves, 15 de noviembre de 2012

HTTP vs HTTPS

CM2012 - Pruebas de laboratorio: HTTP vs HTTPS

Este post tiene como objetivo clarificar mediante la implementación de dos escenarios, el comportamiento del Site y la comunicación con sus clientes, utilizando HTTP o HTTPS en la transmisión de datos.

Para entender cuáles son las opciones disponibles para el site y sus clientes, mire el post:  No más Modo Nativo en CfgMgr 2012.

 





Primer escenario:
Unico Management Point en HTTPS

 Objetivo:

Comprobar el comportamiento entre cliente y Site, colocando al MP en HTTPS.


Ambiente:

1 CAS  y  1 Primary Site Server, varios clientes.  El site no tiene estructura de PKI y los clientes no tienen certificados implementados.  El estado del site al momento del test, es óptimo.
 

Procedimiento:

1)   Dentro del workspace de Administración, en las propiedades del Site, solapa “Client Computer Communication” se configura el site para atender “HTTP or HTTPS

2) En mi único MP, cambié sus propiedades a  HTTPS

  
 

3) Generé 2 cambios: Un Nuevo Compliant baseline y realicé el deploy. Por otra parte generé seteos personalizados de cliente para una collection (deshabilitar software inventory) y realicé el deploy. 

4) Forcé varias veces desde el cliente en panel de control, la lectura de políticas de máquina (machine policies)  mientras monitoreaba los logs.
 

Resultados:

Los clientes no bajaron ninguna política y no generaron ningún error en los logs (statusAgent.log/policyEvaluator.log/ccmexec.log)
 

5) Cambié el  MP a HTTP, forcé la lectura de políticas en el cliente y en menos de 1 minuto el cliente comenzó a leer y procesar las políticas previamente asignadas.
 

Conclusión: 

El site recibe requerimientos en HTTP y el cliente usa HTTP, pero no hay ningún site system rol  (MP) que responda.  Para soporte de HTTPS para algunos clientes (x requerimiento) es necesario contar con 2 Management Points, uno configurado con HTTP y otro con HTTPS.  

En el siguiente gráfico, se muestra el log StatusAgent.log (en el cliente) donde se ve cómo se comunica exitosamente con el MP cuando está con HTTP y cómo no logra el contacto al haber cambiado al MP para uso de HTTPS, pese a que le forcé varias veces la lectura de políticas.



  

Segundo escenario:
Site configurado con HTTPS

 
Objetivo: 

Comprobar el comportamiento entre cliente y Site, colocando al Site en HTTPS.

Ambiente:

1 CAS  y  1 Primary Site Server, varios clientes.  El site no tiene estructura de PKI y los clientes no tienen certificados implementados.  El estado del site al momento del test, es óptimo.
 

Procedimiento:

1)   Dentro del workspace de Administración, en las propiedades del Site, solapa “Client Computer Communication” se configura el site para atender “HTTPS only”.
 
 

Con respecto a los settings de cliente, quedó seleccionada, la opción de Use PKI client certificate (client authentication capability) when available.
 

2) En mi único MP, cambié sus propiedades a  HTTP

 

3) Generé 2 cambios: Un Nuevo Compliant baseline y realicé el deploy. Por otra parte generé seteos personalizados de cliente para una collection (deshabilitar software inventory) y realicé el deploy.

4) Forcé varias veces desde el cliente en panel de control, la lectura de políticas de máquina (machine policies)  mientras monitoreaba los logs.
 

Resultados:

Esta vez, los clientes no bajaron ninguna política pero se generaron algunos errores tratando de conectarse al site (statusAgent.log/policyEvaluator.log/ccmexec.log)
 


5) Al cambiar el MP a HTTP nuevamente, forcé la lectura de políticas en el cliente pero no conseguí que procesara.  Luego de esperar unos minutos, hice un restart del  SMSAgentHost y recién ahí el cliente forzó una sincronización completa.


Conclusión:

Al  momento de colocar el Site en escucha de “HTTPS only”, el procesamiento de los clientes no es escuchado si no lo realizan por HTTPS.

El tilde en la opción de Use PKI client certificate (client authentication capability) when available, (en las mismas propiedades del Site), sólo permite que el cliente tenga la capacidad de switchear entre HTTPS o HTTP (modo seguro o no seguro), pero no condiciona al Site Server en absoluto.
 

Para información dela configuración de HTTPS:
 
Saludos.
 
 

No hay comentarios.:

Publicar un comentario

Dejame tu comentario