Der schnelle Weg zu Intel EMA.
Da in den Anleitungen von Intel zum Thema EMA und Zertifikaten relativ wenig zu den eigentlichen Zertifikaten gesagt wird, schreibe ich hier im Blog mal kurz meine aktuellen Erkenntnisse zusammen. – Für wen Lesen nichts ist, ganz am Ende dieses Beitrags gibts das Ganze auch nochmal als Youtube Video.
- Windows Server 2022 installieren (muss komplett auf „Englisch/USA“ lokalisiert sein!)
- SQL Server 2022 Express installieren (ebenfalls Englisch!)
- Einen Domainnamen/Subdomain von extern auf die öffentliche Server-IP lenken (Port 8080 & 443), z.B. amt.meinedomain.de (Wichtig! Kann nicht mehr geändert werden)
- Intel EMA Installation (Single Server)
- Hier muss bei Installation sofort der später von aussen erreichbare Domainname eingetragen sein, lässt sich nicht mehr ändern, also z.B. amt.meinedomain.de
- Einrichtung User GLOBALADMIN (wird später kaum benutzt) -> Username = Mailadresse
- Nach Installation Test: Erreicht man von aussen die gesetzte https://amt.meinedomain.de ?
- Einrichtung User TENANT-ADMIN (wird ständig gebraucht) -> Username = Mailadresse
- Im IIS des Servers ganz oben beim Servernamen auf „server certificates“ Doppelklicken und rechts einen CSR Certificate Request generieren (RSA 2048)
Dann abspeichern. Der Inhalt der Datei muss in den CSR-Request beim Anbieter https://psw-group.de kopiert werden, die ein geeignetes vPro Zertifikat anbieten. (Das Zertifikat ist sehr speziell, man kann nur AMT geeignete Zertifkate nehmen)
In der Bestellung kopiert man dann den im IIS generierten CSR rein, füllt die Domain mit amt.meinedomain.de aus und achtet darauf, das die gewählte Validierungsmailadresse erreichbar ist, z.B. admin@meinedomain.de
Man bekommt von Sectigo/Comodo dann nach kurzer Zeit eine Validierungsmail die man bestätigen muss. Danach dauert es ein paar Minuten, dann kann man die generierten Zertifikate bei PSW-Group herunterladen.
Für den IIS und den EMA Server benötigt man die „Einzelzertifikate“ im CER Format.
Im IIS geht man nun wie im oberen Schritt bereits beschrieben an die Stelle wo man auch den CSR erstellt hat, wählt dann aber die untere Option „Complete Certificate Request“.
Man nimmt das generierte AMT-Zertifikat und importiert es im Modus „Web Hosting“.
Zum Aktivieren des Zertifikates geht man nun im IIS auf die „Default Web Site“ und wählt rechts „Bindings“.
Hier editiert man den vorhandenen 443 Eintrag welchen das Intel EMA Setup angelegt hat und baut unten das offizielle Intel AMT Zertifikat für die Domain ein.
Jetzt muss man über den Tenant Admin im EMA selbst noch alle 4x Zertifikate hinterlegen. In meinem Fall (bei Sectigo der PSW-Group) waren das 4 Stück. Einmal ROOT, zweimal „Intermediate“ und einmal das eigene Zertifikat für die Domain amt.meinedomain.de
Dazu wählt man das Zahnrad und geht über Upload und wählt 4x nacheinander die 4x einzelnen CER Dateien, die man von PSW enthält.
Da somit ein gültiges AMT PKI Zertifikat inklusive der Zertifikatskette hinterlegt ist, kann man nun die Agentenpakete (EMAAgent) und ein „Intel AMT Profile“ mit AutoEnrollment einrichten.
Wie im obigen Screenshot zu sehen, sollte „User Consent“, also der Benutzer muss jeder Fernwartung zustimmen, nicht angehakt sein um administrativ die volle Kontrolle über das Gerät zu haben (z.B. Fernwartung in den BIOS Bereich, Remote Boot von Files im Storage).
Wichtig: Die hier vorgestellte Version von Intel vPro 1.14.2 ist brandaktuell vom Februar 2025. In dieser Version werden wohl nur noch Intel AMT Versionen größer 11.0 unterstützt. Aktuell habe ich leider nur ein privates Lenovo T440 mit Intel AMT v9.5, welches nicht mehr für Intel CIRA supportet ist. – Ich bin aber schon dabei mir ein moderneres Testgerät zu besorgen, um zu prüfen, ob die hier vorgestellte Anleitung auch wirklich Intel CIRA Tunnel zur „Jederzeit“-Fernwartung aktiviert.
Hier das Ganze auch nochmal als Video: