Сегодня опробовали новую фишку в функционале SCCM 2012 SP1 - управление MAC OS X.
Напомню, что в данном релизе функционал клиента SCCM 2012 SP1 для MAC OS реализован следующий:
Сам процесс развёртывания клиента достаточно лёгкий и неплохо описан на TechNet.
Однако в процессе установки возникла проблема: обнаружилось, что если сертификаты, выпущены с центра сертификации на базе Windows Server, у которого используется алгоритм подписи RSASSA-PSS, то MAC OS X не может обработать такой сертификат. (Возможно из-за разницы в реализации и версиях криптографии на базе алгоритма RSA у Apple и Microsoft, http://rsapss.hboeck.de/rsapss-1.0.2.pdf стр. 27-28, либо разнице в используемых видах RSASSA но это надо проверять).
Скриншот ЦС который основан на RSASSA-PSS
Основной симптом: невозможность открыть ссылку https в Safari на сервере с IIS, для которого был сделан сертификат на таком СА шаблона веб-сервер. С SHA1 RSA работает без проблем. Если посмотреть что происходит в Safari Develop mode в разделе Web Inspector можно обнаружить информационное сообщение, которое говорит о несоответствии сертификата. В Internet Explorer в этот момент всё работает и ссылка открывается по SSL.
Другие алгоритмы не для подписей CA не проверяли, так что извините :)
Пока что прорабатываем вопрос с авторазвёртыванием клиента SCCM на MAC OS.
И в заключении несколько скриншотов с нашего демо-облака
Напомню, что в данном релизе функционал клиента SCCM 2012 SP1 для MAC OS реализован следующий:
- Инвентаризация ПО и аппаратного обеспечения;
- Развёртывание ПО;
- Параметры соответсвтия желаемой конфигурации (DCM в 2007 или Compliance в 2012);
- Сетевое обнаружение компьютеров MAC
Сам процесс развёртывания клиента достаточно лёгкий и неплохо описан на TechNet.
Однако в процессе установки возникла проблема: обнаружилось, что если сертификаты, выпущены с центра сертификации на базе Windows Server, у которого используется алгоритм подписи RSASSA-PSS, то MAC OS X не может обработать такой сертификат. (Возможно из-за разницы в реализации и версиях криптографии на базе алгоритма RSA у Apple и Microsoft, http://rsapss.hboeck.de/rsapss-1.0.2.pdf стр. 27-28, либо разнице в используемых видах RSASSA но это надо проверять).
Скриншот ЦС который основан на RSASSA-PSS
ЦС с настройками по-умолчанию, на котором всё отработало
Основной симптом: невозможность открыть ссылку https в Safari на сервере с IIS, для которого был сделан сертификат на таком СА шаблона веб-сервер. С SHA1 RSA работает без проблем. Если посмотреть что происходит в Safari Develop mode в разделе Web Inspector можно обнаружить информационное сообщение, которое говорит о несоответствии сертификата. В Internet Explorer в этот момент всё работает и ссылка открывается по SSL.
Другие алгоритмы не для подписей CA не проверяли, так что извините :)
Пока что прорабатываем вопрос с авторазвёртыванием клиента SCCM на MAC OS.
И в заключении несколько скриншотов с нашего демо-облака
