最近想测试 EPM MDM
功能,但是 MDM
必须配合 CSA
才能使用,于是便想搭个 Ivanti Cloud Sevice Application
(云网关) 玩一下
在安装配置的过程中踩过很多坑,所以记录一下配置过程,也方便今后的知识传递
# 系统搭建
由于 Ivanti
提供的 CSA
镜像是包含 CentOS 7
操作系统的 ISO
文件,我们需要在云服务器上搭建这个镜像,这里就需要将我们的 ISO
镜像文件注册到云平台上
我现在用的是华为云的服务器,所以这里就以华为云为例,其它的云平台应该都是大同小异
# ISO 镜像上传
下载 OBS Browiser+
工具将外部镜像文件上传到 OBS
个人桶,请自身根据对应的操作系统平台下载安装
-
Windows x86: https://obs-community.obs.cn-north-1.myhuaweicloud.com/obsbrowserplus/win32/OBSBrowserPlus-HEC-win32.zip
-
Windows x64: https://obs-community.obs.cn-north-1.myhuaweicloud.com/obsbrowserplus/win64/OBSBrowserPlus-HEC-win64.zip
安装 OBS Browiser+
工具后运行打开,随便输入一个 OBS Browiser+
的账号,点击 获取AccessKey
跳转到华为云访问密钥的界面
该账号不需要跟云服务平台账号一致,也跟云服务器平台毫无关系,仅仅是用于区分本地`OBS Browiser+` 登录的账号
点击新增访问密钥,输入密钥描述信息即可创建,创建密钥后可以下载密钥文件,下载后需要保存好密钥文件,该文件仅能下载一次
打开密钥文件,在 OBS Browiser+
上输入对应的 Access Key ID
和 Secret Access Key
即可登录
登录后点击创建桶,填写桶相关的信息后确定保存
进入新建的桶,选择上传 CSA 镜像文件
然后等待镜像文件上传完毕即可
# 创建镜像
镜像上传完毕后,打开华为云的控制台,在服务列表中选择 镜像服务 IMS
选择私有镜像 --> 导入镜像 --> 立即导入
选择你创建桶的区域,镜像类型选择 ISO 镜像,在桶列表选择刚刚上传的 ISO 镜像文件,填写好配置信息,点击立即创建
提交后等待创建完成即可
# 安装服务器
私有镜像创建完毕后,我们需要用此镜像创建一个按需计费的临时弹性云服务器,点击镜像右侧的安装服务器,选择对应的规格,系统会自动安装规格计算得出该服务器每小时的费用
点击确定提交,此时系统会自动为我们创建一台弹性云服务器
可以点击返回弹性云服务器列表查看创建进度
云服务器创建完毕后,点击远程登录 (VNC)
等待操作系统初始化完毕,显示登录界面
然后关闭远程页面,回到弹性云服务器控制台,我们再对该云服务器创建一个私有镜像
创建方式选择创建私有镜像,镜像类型选择系统盘镜像,然后选择刚刚创建好的 CSA 云服务器,点击立即创建
等待系统创建完成即可
镜像创建完毕后,这台临时弹性云服务器已经没有其它可利用价值了,为了避免它掏空我们的腰包,我们需要返回弹性云服务器,把它删除掉
# 切换操作系统
回到我们已经购买好的云服务器,选择切换操作系统,镜像类型选择私有镜像,此时应该可以看到我们前面所创建好的系统盘镜像,选择我们的 CSA 镜像,设置密码选择使用镜像密码,然后点击确定开始重装系统
操作系统切换完毕后,选择远程登录,远程方式选择 VNC
查看是否能够正常登录,在登录界面选择 admin用户
,输入密码 admin
, 点击 Sign In
能够正常登录证明我们的操作系统已经安装完毕,接下来就是配置了
# CSA 配置
进入系统后会自动弹出 CSA
的使用条例,不用管,拉到最下面,直接点击 Accept
更改 CSA
登录密码,更改完后会要求输入新密码重新访问
# 时区设置
在 CSA Web
控制台中选择 System --> Date/time settings --> Time zone
选择对应的时区
# 网络设置
在 System --> Network Setting
, 填写你的 IP地址、DNS服务器、主机名
相关信息,然后 Save
保存
# 网关服务设置
点击 Gateway service
, TLS
选择 TLSv1.2
往下拉找到 Additional host names
在这里添加 CSA
的公网解析记录,然后 Save
即可
# 配置 CSA Service 密码
点击 Users
,在 service
账号右侧的 Set Password
配置一个连接密码,该账号主要是用于 EPM
连接,可以跟 admin
设置不一样的密码
# 激活 CSA
点击 Activation --> Activate Now
开始激活 CSA
# 证书配置
通过上面的配置,如果云服务器的安全组没有拦截 443 端口的话,那么我们应该可以在自己的电脑上通过浏览器访问 CSA 的控制台了
如果不能在从互联网访问CSA,请检查CSA的网络配置是否有误,以及云服务器的安全组是否允许该端口流量入站
我们从自己的电脑访问 CSA 控制台,点击 Manage CSA certificates --> Create CRS
创建证书申请请求
填写相关信息,这里重要的是 Common Name
信息,其它的随意,然后点击 Create
点击 Display
可查看申请证书请求文件 CSR
内容
接下来就是申请证书,我这里以华为云测试证书为演示
登录华为云证书管理控制台,在 SSL 证书管理界面创建测试证书,点击申请证书
证书请求文件选择自己生成 CSR, 复制前面在 CSA 上申请的 CSR,点击下一步
填写公司联系人信息,点击提交申请
此时会提示 DNS验证
点击可以查看验证步骤,根据步骤去 DNS解析
配置即可
在 DNS域名解析
添加对应的 TXT记录
,添加完返回证书界面验证即可
验证通过后下载证书
下载后解压,打开 cert文件
,复制里面的所有内容
回到 CSA 证书管理界面,点击 Add CSA Certificate
, 粘贴 cert文件
的内容,然后保存
此时 CSA
服务将重启,需要等待一段时间,等待证书添加完毕后,访问 CSA
应该会提示证书错误,我们需要删除所有的自签名证书,只留下我们刚刚申请的证书
然后重启 CSA 服务器
重启后再访问 CSA
证书就生效啦,是不是很简单 ^ _ ^
SSL 证书是 MDM 的必要条件,如果不需要 MDM 功能可以不用配置 SSL 证书
# Remote Tunnel
如果需要对外网的设备进行远程控制,那么就必须配置一个 Remote Tunnel
服务,该服务可以安装在任意一台在公网的 Linux
或 Windows
设备,但是通常我们会将该服务安装在 CSA
这台设备上,毕竟谁的钱都不是大风刮来的,完全没有必要另外单独搞一台设备安装这个 Remote Tunnel
服务
先看一下 Remote Tunnel
的通信架构图
由图得知,外部设备需要能够访问 Remote Tunnel
服务器的 TCP 44345
端口, RCViewer
需要能够访问 Remote Tunnel
服务器的 TCP 44344
端口, Core Server
需要能够访问 Remote Tunnel
服务器的 TCP 44346
端口,所以我们的 CSA
需要在防火墙入站规则放行 TCP 443、44344、44345、44346
这几个端口
安装步骤如下:
- 使用 SSH 连接 CSA Server,用 sudo su 切换到 root 账户
- 使用 curl -O -sSL https://download.ivanti.com/product/CSA/46/tunnel_install_centos7.tar.gz 下载安装文件
- 解压 tunnel_install_centos7.tar.gz
- 切换到 centos7 目录
- 执行安装脚本
- 安装完使用 ss 命令查看对应端口是否处在监听状态
# EPM 设置
# 添加 CSA 服务器
在 EPM
控制台依次点击 配置 --> 管理 Cloud Services Appliance
, 填写 CSA
相关信息,密码是 CSA service
账号的密码,可不要搞错了哦
点击应用添加
添加成功
# 添加 Remote Tunnel
在 EPM
控制台依次点击 配置 --> 管理 远程控制隧道
,填写 隧道
相关信息
# 客户端连通性策略启用 CSA 和 Tunnel 策略
在代理设置中找到客户端连通性策略,在 Cloud Services Appliance
启用 CSA通信
,并将左侧可用项的 CSA
移动到右侧已选项
点击 远程控制隧道
,启用 远程隧道通信
,将左侧可用项的 Tunnel
移动到右侧已选项
到此 CSA
的所有相关配置都基本完成了,此时生成新的代理安装包在外网的设备上安装便可进行管理,后续我再研究一下 MDM
的功能