Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows Device Portal (WDP) biedt een manier voor apparaatbeheerders om een aangepast certificaat te installeren voor gebruik in HTTPS-communicatie.
Hoewel u dit op uw eigen pc kunt doen, is deze functie voornamelijk bedoeld voor ondernemingen met een bestaande certificaatinfrastructuur.
Een bedrijf kan bijvoorbeeld een certificeringsinstantie (CA) hebben die wordt gebruikt voor het ondertekenen van certificaten voor intranetwebsites die via HTTPS worden geleverd. Deze functie maakt gebruik van die infrastructuur.
Overzicht
WDP genereert standaard een zelfondertekende basis-CA en gebruikt deze vervolgens om SSL-certificaten te ondertekenen voor elk eindpunt waarop het luistert. Dit omvat localhost, 127.0.0.1en ::1 (IPv6 localhost).
Ook opgenomen zijn de hostnaam van het apparaat (bijvoorbeeld https://LivingRoomPC) en elk koppelings-lokaal IP-adres dat aan het apparaat is toegewezen (maximaal twee [IPv4, IPv6] per netwerkadapter).
U kunt de link-local IP-adressen voor een apparaat zien door in de WDP naar het hulpprogramma Netwerken te kijken. Ze beginnen met 10. of 192. voor IPv4 of fe80: voor IPv6.
In de standaardinstelling kan een certificaatwaarschuwing worden weergegeven in uw browser vanwege de niet-vertrouwde basis-CA. Het SSL-certificaat dat door WDP wordt geleverd, wordt met name ondertekend door een basis-CA die niet wordt vertrouwd door de browser of pc. Dit kan worden opgelost door een nieuwe vertrouwde basis-CA te maken.
Een basis-CA maken
Dit moet alleen worden gedaan als uw bedrijf (of thuis) geen certificaatinfrastructuur heeft ingesteld en slechts één keer moet worden uitgevoerd. Met het volgende PowerShell-script maakt u een basis-CA met de naam WdpTestCA.cer. Als u dit bestand installeert bij de vertrouwde basiscertificeringsinstanties van de lokale computer, zorgt u ervoor dat uw apparaat SSL-certificaten vertrouwt die zijn ondertekend door deze basis-CA. U kunt (en moet) dit .cer bestand installeren op elke pc die u wilt verbinden met WDP.
$CN = "PickAName"
$OutputPath = "c:\temp\"
# Create root certificate authority
$FilePath = $OutputPath + "WdpTestCA.cer"
$Subject = "CN="+$CN
$rootCA = New-SelfSignedCertificate -certstorelocation cert:\currentuser\my -Subject $Subject -HashAlgorithm "SHA512" -KeyUsage CertSign,CRLSign
$rootCAFile = Export-Certificate -Cert $rootCA -FilePath $FilePath
Zodra dit is gemaakt, kunt u het WdpTestCA.cer-bestand gebruiken om SSL-certificaten te ondertekenen.
Een SSL-certificaat maken met de basis-CA
SSL-certificaten hebben twee essentiële functies: uw verbinding beveiligen via versleuteling en controleren of u daadwerkelijk communiceert met het adres dat wordt weergegeven in de browserbalk (Bing.com, 192.168.1.37, enzovoort) en niet met een kwaadwillende derde partij.
Met het volgende PowerShell-script wordt een SSL-certificaat voor het localhost eindpunt gemaakt. Elk eindpunt waarop WDP luistert, heeft een eigen certificaat nodig; u kunt het $IssuedTo argument in het script vervangen door elk van de verschillende eindpunten voor uw apparaat: de hostnaam, localhost en de IP-adressen.
$IssuedTo = "localhost"
$Password = "PickAPassword"
$OutputPath = "c:\temp\"
$rootCA = Import-Certificate -FilePath C:\temp\WdpTestCA.cer -CertStoreLocation Cert:\CurrentUser\My\
# Create SSL cert signed by certificate authority
$IssuedToClean = $IssuedTo.Replace(":", "-").Replace(" ", "_")
$FilePath = $OutputPath + $IssuedToClean + ".pfx"
$Subject = "CN="+$IssuedTo
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -Subject $Subject -DnsName $IssuedTo -Signer $rootCA -HashAlgorithm "SHA512"
$certFile = Export-PfxCertificate -cert $cert -FilePath $FilePath -Password (ConvertTo-SecureString -String $Password -Force -AsPlainText)
Als u meerdere apparaten hebt, kunt u de pfx-bestanden van localhost opnieuw gebruiken, maar u moet nog steeds IP-adres- en hostnaamcertificaten voor elk apparaat afzonderlijk maken.
Wanneer de bundel pfx-bestanden wordt gegenereerd, moet u deze in de WDP laden.
Windows-apparaatportal inrichten met de certificering(en)
Voor elk PFX-bestand dat u voor een apparaat hebt gemaakt, moet u de volgende opdracht uitvoeren vanaf een opdrachtprompt met verhoogde bevoegdheid.
WebManagement.exe -SetCert <Path to .pfx file> <password for pfx>
Zie hieronder voor voorbeeldgebruik:
WebManagement.exe -SetCert localhost.pfx PickAPassword
WebManagement.exe -SetCert --1.pfx PickAPassword
WebManagement.exe -SetCert MyLivingRoomPC.pfx PickAPassword
Nadat u de certificaten hebt geïnstalleerd, start u de service opnieuw op zodat de wijzigingen van kracht kunnen worden:
sc stop webmanagement
sc start webmanagement
Aanbeveling
IP-adressen kunnen na verloop van tijd veranderen. Veel netwerken gebruiken DHCP om IP-adressen uit te geven, zodat apparaten niet altijd hetzelfde IP-adres krijgen dat ze eerder hadden. Als u een certificaat voor een IP-adres op een apparaat hebt gemaakt en het adres van dat apparaat is gewijzigd, genereert WDP een nieuw certificaat met behulp van het bestaande zelfondertekende certificaat en wordt het certificaat dat u hebt gemaakt, niet meer gebruikt. Hierdoor wordt de waarschuwingspagina voor certificaten opnieuw weergegeven in uw browser. Daarom raden we u aan verbinding te maken met uw apparaten via hun hostnamen, die u kunt instellen in de Windows-apparaatportal. Deze blijven hetzelfde, ongeacht IP-adressen.