upload successful

最近想测试 EPM MDM 功能,但是 MDM 必须配合 CSA 才能使用,于是便想搭个 Ivanti Cloud Sevice Application (云网关) 玩一下

在安装配置的过程中踩过很多坑,所以记录一下配置过程,也方便今后的知识传递

# 系统搭建

由于 Ivanti 提供的 CSA 镜像是包含 CentOS 7 操作系统的 ISO 文件,我们需要在云服务器上搭建这个镜像,这里就需要将我们的 ISO 镜像文件注册到云平台上

我现在用的是华为云的服务器,所以这里就以华为云为例,其它的云平台应该都是大同小异

# ISO 镜像上传

下载 OBS Browiser+ 工具将外部镜像文件上传到 OBS 个人桶,请自身根据对应的操作系统平台下载安装

安装 OBS Browiser+ 工具后运行打开,随便输入一个 OBS Browiser+ 的账号,点击 获取AccessKey 跳转到华为云访问密钥的界面

该账号不需要跟云服务平台账号一致,也跟云服务器平台毫无关系,仅仅是用于区分本地`OBS Browiser+` 登录的账号

upload successful

点击新增访问密钥,输入密钥描述信息即可创建,创建密钥后可以下载密钥文件,下载后需要保存好密钥文件,该文件仅能下载一次

upload successful

打开密钥文件,在 OBS Browiser+ 上输入对应的 Access Key ID Secret Access Key 即可登录

upload successful

登录后点击创建桶,填写桶相关的信息后确定保存

upload successful

进入新建的桶,选择上传 CSA 镜像文件

upload successful

然后等待镜像文件上传完毕即可

upload successful

# 创建镜像

镜像上传完毕后,打开华为云的控制台,在服务列表中选择 镜像服务 IMS

upload successful

选择私有镜像 --> 导入镜像 --> 立即导入

upload successful

选择你创建的区域,镜像类型选择 ISO 镜像,在桶列表选择刚刚上传的 ISO 镜像文件,填写好配置信息,点击立即创建

upload successful

提交后等待创建完成即可

upload successful

# 安装服务器

私有镜像创建完毕后,我们需要用此镜像创建一个按需计费临时弹性云服务器,点击镜像右侧的安装服务器,选择对应的规格,系统会自动安装规格计算得出该服务器每小时的费用

upload successful

点击确定提交,此时系统会自动为我们创建一台弹性云服务器

upload successful

可以点击返回弹性云服务器列表查看创建进度

upload successful

云服务器创建完毕后,点击远程登录 (VNC)

upload successful

等待操作系统初始化完毕,显示登录界面

upload successful

然后关闭远程页面,回到弹性云服务器控制台,我们再对该云服务器创建一个私有镜像

upload successful

创建方式选择创建私有镜像,镜像类型选择系统盘镜像,然后选择刚刚创建好的 CSA 云服务器,点击立即创建
upload successful

等待系统创建完成即可

upload successful

镜像创建完毕后,这台临时弹性云服务器已经没有其它可利用价值了,为了避免它掏空我们的腰包,我们需要返回弹性云服务器,把它删除掉

upload successful

upload successful

# 切换操作系统

回到我们已经购买好的云服务器,选择切换操作系统,镜像类型选择私有镜像,此时应该可以看到我们前面所创建好的系统盘镜像,选择我们的 CSA 镜像,设置密码选择使用镜像密码,然后点击确定开始重装系统

upload successful

upload successful

操作系统切换完毕后,选择远程登录,远程方式选择 VNC

upload successful

查看是否能够正常登录,在登录界面选择 admin用户 ,输入密码 admin , 点击 Sign In

upload successful

能够正常登录证明我们的操作系统已经安装完毕,接下来就是配置了

# CSA 配置

进入系统后会自动弹出 CSA 的使用条例,不用管,拉到最下面,直接点击 Accept

upload successful

更改 CSA 登录密码,更改完后会要求输入新密码重新访问

upload successful

# 时区设置

CSA Web 控制台中选择 System --> Date/time settings --> Time zone 选择对应的时区

upload successful

# 网络设置

System --> Network Setting , 填写你的 IP地址、DNS服务器、主机名 相关信息,然后 Save 保存

upload successful

# 网关服务设置

点击 Gateway serviceTLS 选择 TLSv1.2

upload successful

往下拉找到 Additional host names 在这里添加 CSA 的公网解析记录,然后 Save 即可

upload successful

# 配置 CSA Service 密码

点击 Users ,在 service 账号右侧的 Set Password 配置一个连接密码,该账号主要是用于 EPM 连接,可以跟 admin 设置不一样的密码

upload successful

# 激活 CSA

点击 Activation --> Activate Now 开始激活 CSA

upload successful

# 证书配置

通过上面的配置,如果云服务器的安全组没有拦截 443 端口的话,那么我们应该可以在自己的电脑上通过浏览器访问 CSA 的控制台了

如果不能在从互联网访问CSA,请检查CSA的网络配置是否有误,以及云服务器的安全组是否允许该端口流量入站

我们从自己的电脑访问 CSA 控制台,点击 Manage CSA certificates --> Create CRS 创建证书申请请求

填写相关信息,这里重要的是 Common Name 信息,其它的随意,然后点击 Create

upload successful

点击 Display 可查看申请证书请求文件 CSR 内容

upload successful

接下来就是申请证书,我这里以华为云测试证书为演示

登录华为云证书管理控制台,在 SSL 证书管理界面创建测试证书,点击申请证书

upload successful

证书请求文件选择自己生成 CSR, 复制前面在 CSA 上申请的 CSR,点击下一步

upload successful

填写公司联系人信息,点击提交申请

upload successful

此时会提示 DNS验证

upload successful

点击可以查看验证步骤,根据步骤去 DNS解析 配置即可

upload successful

DNS域名解析 添加对应的 TXT记录 ,添加完返回证书界面验证即可

upload successful

验证通过后下载证书

upload successful

upload successful

下载后解压,打开 cert文件 ,复制里面的所有内容

upload successful

回到 CSA 证书管理界面,点击 Add CSA Certificate , 粘贴 cert文件 的内容,然后保存

upload successful

此时 CSA 服务将重启,需要等待一段时间,等待证书添加完毕后,访问 CSA 应该会提示证书错误,我们需要删除所有的自签名证书,只留下我们刚刚申请的证书

upload successful

然后重启 CSA 服务器

upload successful

重启后再访问 CSA 证书就生效啦,是不是很简单 ^ _ ^

upload successful

SSL 证书是 MDM 的必要条件,如果不需要 MDM 功能可以不用配置 SSL 证书

# Remote Tunnel

如果需要对外网的设备进行远程控制,那么就必须配置一个 Remote Tunnel 服务,该服务可以安装在任意一台在公网的 LinuxWindows 设备,但是通常我们会将该服务安装在 CSA 这台设备上,毕竟谁的钱都不是大风刮来的,完全没有必要另外单独搞一台设备安装这个 Remote Tunnel 服务

先看一下 Remote Tunnel 的通信架构图

upload successfu

由图得知,外部设备需要能够访问 Remote Tunnel 服务器的 TCP 44345 端口, RCViewer 需要能够访问 Remote Tunnel 服务器的 TCP 44344 端口, Core Server 需要能够访问 Remote Tunnel 服务器的 TCP 44346 端口,所以我们的 CSA 需要在防火墙入站规则放行 TCP 443、44344、44345、44346 这几个端口

安装步骤如下:

  1. 使用 SSH 连接 CSA Server,用 sudo su 切换到 root 账户
  2. 使用 curl -O -sSL https://download.ivanti.com/product/CSA/46/tunnel_install_centos7.tar.gz 下载安装文件
  3. 解压 tunnel_install_centos7.tar.gz
  4. 切换到 centos7 目录
  5. 执行安装脚本
  6. 安装完使用 ss 命令查看对应端口是否处在监听状态

upload successful

# EPM 设置

# 添加 CSA 服务器

EPM 控制台依次点击 配置 --> 管理 Cloud Services Appliance , 填写 CSA 相关信息,密码是 CSA service 账号的密码,可不要搞错了哦

upload successful

点击应用添加

upload successful

添加成功

upload successful

# 添加 Remote Tunnel

EPM 控制台依次点击 配置 --> 管理 远程控制隧道 ,填写 隧道 相关信息

upload successful

# 客户端连通性策略启用 CSA 和 Tunnel 策略

代理设置中找到客户端连通性策略,在 Cloud Services Appliance 启用 CSA通信 ,并将左侧可用项CSA 移动到右侧已选项

upload successful

点击 远程控制隧道 ,启用 远程隧道通信 ,将左侧可用项Tunnel 移动到右侧已选项

upload successful

到此 CSA 的所有相关配置都基本完成了,此时生成新的代理安装包在外网的设备上安装便可进行管理,后续我再研究一下 MDM 的功能

此文章已被阅读次数:正在加载...Edited on

Give me a cup of [coffee]~( ̄▽ ̄)~*

Bob WeChat Pay

WeChat Pay

Bob PayPal

PayPal

Bob Alipay

Alipay