четверг, 4 июля 2013 г.

SCCM 2012 SP1 и компьютеры на базе MAC OS X 10.6 - 8

Сегодня опробовали новую фишку в функционале SCCM 2012 SP1 - управление MAC OS X.

Напомню, что в данном релизе функционал клиента SCCM 2012 SP1 для MAC OS реализован следующий:

  • Инвентаризация ПО и аппаратного обеспечения;
  • Развёртывание ПО;
  • Параметры соответсвтия желаемой конфигурации (DCM в 2007 или Compliance в 2012);
  • Сетевое обнаружение компьютеров MAC



Сам процесс развёртывания клиента достаточно лёгкий и неплохо описан на TechNet.

Однако в процессе установки возникла проблема: обнаружилось, что если сертификаты, выпущены с центра сертификации на базе Windows Server, у которого используется алгоритм подписи RSASSA-PSS, то MAC OS X не может обработать такой сертификат. (Возможно из-за разницы в реализации и версиях криптографии на базе  алгоритма RSA у Apple и Microsoft, http://rsapss.hboeck.de/rsapss-1.0.2.pdf стр. 27-28, либо разнице в используемых видах RSASSA но это надо проверять).

Скриншот ЦС который основан на RSASSA-PSS

 
 
ЦС с настройками  по-умолчанию, на котором всё отработало



Основной симптом: невозможность открыть ссылку https  в Safari на сервере с IIS, для которого был сделан сертификат на таком СА шаблона веб-сервер.  С SHA1 RSA работает без проблем. Если посмотреть что происходит в Safari Develop mode в разделе Web Inspector можно обнаружить информационное сообщение, которое говорит о несоответствии сертификата. В Internet Explorer в этот момент всё работает и ссылка открывается по SSL.

Другие алгоритмы не для подписей CA не проверяли, так что извините :)

Пока что прорабатываем вопрос с авторазвёртыванием клиента SCCM на MAC OS.

И в заключении несколько скриншотов с нашего демо-облака