• Artigo

Como criar perfis de certificado PFX no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2

O Configuration Manager 2012 SP2 permite provisionar arquivos de troca de informações pessoais (.pfx) para dispositivos do usuário. Os arquivos PFX podem ser usados para gerar certificados específicos do usuário para dar suporte à troca de dados criptografados. Os certificados PFX podem ser criados no Configuration Manager ou importados. Com o Configuration Manager 2012 SP2, os certificados PFX, sejam novos ou importados, podem ser implantados em dispositivos iOS, Android e em dispositivos com Windows 10. Estes arquivos podem ser implantados em vários dispositivos para dar suporte à comunicação de PKI baseada no usuário.

System_CAPS_tipDica

Um guia passo a passo que descreve esse processo também está disponível em Como criar e implantar perfis de certificado PFX no Configuration Manager.

Criar e implantar perfis de certificado PFX (Troca de Informações Pessoais)

Como criar e implantar um perfil de certificado PFX (Troca de Informações Pessoais)

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. No espaço de trabalho Ativos e Conformidade, expanda Configurações de Conformidade, expanda Acesso ao Recurso da Empresa e clique em Perfis de Certificado.

  3. Na guia Início, no grupo Criar, clique em Criar Perfil Certificado. O Assistente para Criar Perfil de Certificado é aberto.

  4. Na página Geral do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

    - **Nome**: insira um nome exclusivo para o perfil de certificado. Você pode usar no máximo 256 caracteres.

- **Descrição**: forneça uma descrição que dê uma visão geral do perfil de certificado e outras informações relevantes que ajudem a identificá-lo no console do Gerenciador de Configurações. Você pode usar no máximo 256 caracteres.

- **Especifique o tipo de perfil de certificado que deseja criar**: Escolha um dos seguintes tipos de perfil de certificado:

    - **Certificado da AC confiável**: Selecione este tipo de perfil de certificado se deseja implantar uma autoridade de certificação (AC) raiz confiável, ou intermediar o certificado da AC para formar uma cadeia de confiança de certificado para quando o usuário, ou dispositivo, precisar autenticar outro dispositivo. Por exemplo, o dispositivo pode ser um servidor RADIUS ou VPN (rede virtual privada). Você também deve configurar um perfil de certificado de autoridade de certificação confiável antes de criar um perfil de certificado SCEP. Neste caso, o certificado de autoridade de certificação confiável tem que ser o certificado confiável raiz da AC que emitirá o certificado para o usuário ou dispositivo.

    - **Configurações do SCEP**: Selecione este tipo de perfil de certificado se desejar solicitar um certificado para um usuário ou dispositivo, usando o SCEP e o serviço da função de Serviço de Registro de Dispositivo de Rede.

    - **Troca de Informações Pessoais – Configurações do PKCS \#12 (PFX) – importação**: Selecione esta opção para importar um certificado PFX.

  5. Na janela Propriedades do Certificado do assistente Criar Perfil de Certificado, especifique o local onde o certificado PFX será armazenado nos dispositivos de destino.

    - **Instalar em um TPM (Trusted Platform Module), se houver**

- **Instalar em um TPM (Trusted Platform Module); caso contrário, ocorrerá uma falha**

- **Instalar o Provedor de Armazenamento de Chaves de Software**

    Clique em Avançar.

  6. Na janela Plataformas com Suporte do assistente para Criar Perfil de Certificado, especifique quais sistemas operacionais ou plataformas podem receber o arquivo PFX importado.

    - **Windows 10**

- **iPhone**

- **iPad**

- **Android**

  7. Clique em Próximo, examine a página Resumo e feche o assistente.

  8. O perfil de certificado que contém o arquivo PFX agora está disponível do espaço de trabalho Perfis de Certificado. No espaço de trabalho Ativos e Conformidade, vá para Configurações de Conformidade > Acesso aos Recursos da Empresa > Perfis de Certificado e clique com o botão direito do mouse para implantar o novo certificado nas coleções de Usuários.

  9. Usando o SDK para Windows 8.1 disponível no Centro de Download (https://go.microsoft.com/fwlink/?LinkId=613525, implante um Script para Criar PFX. O Script para Criar PFX adicionado no Configuration Manager 2012 SP2 adiciona uma classe SMS_ClientPfxCertificate ao SDK. Esta classe inclui os seguintes métodos:

    - ImportForUser

- DeleteForUser

    Exemplo de script:

      $EncryptedPfxBlob = "<blob>" $Password = "abc" $ProfileName = "PFX_Profile_Name" $UserName = "ComputerName\Administrator" #New pfx $WMIConnection = ([WMIClass]"\\nksccm\root\SMS\Site_MDM:SMS_ClientPfxCertificate") $NewEntry = $WMIConnection.psbase.GetMethodParameters("ImportForUser") $NewEntry.EncryptedPfxBlob = $EncryptedPfxBlob $NewEntry.Password = $Password $NewEntry.ProfileName = $ProfileName $NewEntry.UserName = $UserName $Resource = $WMIConnection.psbase.InvokeMethod("ImportForUser",$NewEntry,$null)

    As seguintes variáveis de script devem ser modificadas para o seu script:

    - \<blob\> = O blob com criptografia PFX base64

- $Password = A senha do arquivo PFX

- $ProfileName = O nome do perfil PFX

- ComputerName = nome do computador host