Configurar perfis de certificado no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteNota

As informações deste tópico aplicam-se apenas às versões do System Center 2012 R2 Configuration Manager.

Antes de poder utilizar o Gestor de configuração para inscrever certificados em dispositivos e para utilizadores, terá de realizar os passos de configuração que este tópico descreve.

Utilize a tabela seguinte para os passos, detalhes e mais informações sobre como configurar a inscrição de certificados no Gestor de configuração. Antes de começar, verifique a existência de quaisquer pré-requisitos listados em Pré-requisitos para perfis de certificado no Configuration Manager.

Depois de concluir estes passos e verificar a instalação, pode configurar e implementar perfis de certificado. Para mais informações, consulte Como Criar Perfis de Certificado no Configuration Manager.

Passos

Detalhes

Mais informações

Passo 1: Instalar e configurar o Serviço de Inscrição de Dispositivos de Rede e dependências

O serviço de função Serviço de Inscrição de Dispositivos de Rede para Serviços de Certificados do Active Directory (AD CS) tem de estar em execução no sistema operativo Windows Server R2 de 2012.

System_CAPS_importantImportante

Tem de concluir os passos de configuração adicionais antes de poder utilizar o Serviço de Inscrição de Dispositivos de Rede com o Gestor de configuração.

Consulte Passo 1: Instalar e Configurar o Serviço de Inscrição de Dispositivos de Rede e Dependências neste tópico.

Passo 2: Instalar e configurar o ponto de registo de certificados

Tem de instalar pelo menos um ponto de registo de certificados. Este ponto de registo pode estar num site de administração central ou num site principal.

Consulte Passo 2: Instalar e Configurar o Ponto de Registo de Certificados neste tópico.

Passo 3: Instalar o Módulo de Política do Gestor de configuração

Instale o Módulo de Política no servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede.

Consulte Passo 3: Instalar o Módulo de política do Configuration Manager neste tópico.

Utilize as informações seguintes quando os passos da tabela anterior exigirem procedimentos adicionais.

Tem de instalar e configurar o serviço de função Serviço de Inscrição de Dispositivos de Rede para Serviços de Certificados do Active Directory (AD CS), alterar as permissões de segurança nos modelos de certificados, implementar um certificado de cliente de infraestrutura de chave pública (PKI) e editar o registo para aumentar o limite do tamanho predefinido do URL do IIS (Serviços de Informação Internet). Se necessário, também tem de configurar a autoridade de certificação (AC) emissora para permitir um período de validade personalizado.

System_CAPS_importantImportante

Antes de configurar o Gestor de configuração para funcionar com o Serviço de Inscrição de Dispositivos de Rede, verifique a instalação e configuração do Serviço de Inscrição de Dispositivos de Rede. Se estas dependências não estiverem a funcionar corretamente, terá dificuldade em resolver problemas de inscrição de certificados utilizando o Gestor de configuração.

  1. Num servidor que esteja a executar o Windows Server R2 de 2012, instale e configure o serviço de função Serviço de Inscrição de Dispositivos de Rede para a função de servidor Serviços de Certificados do Active Directory. Para mais informações, consulte Orientação do Serviço de Inscrição de Dispositivos de Rede na biblioteca Serviços de Certificados do Active Directory na TechNet.

  2. Verifique e, se necessário, modifique as permissões de segurança para os modelos de certificados que o Serviço de Inscrição de Dispositivos de Rede está a utilizar:

    • Para a conta que executa a consola do Gestor de configuração: permissão de Leitura.

      Esta permissão é necessária. Assim, quando executa o Assistente para Criar Perfil de Certificado, pode procurar para selecionar o modelo de certificado que pretende utilizar quando cria um perfil de definições de SCEP. A seleção de um modelo de certificado é sinónimo de que algumas definições no assistente são automaticamente preenchidas. Logo, há menos para si para configurar e é menor o risco de escolha de definições que não são compatíveis com os modelos de certificados que o Serviço de Inscrição de Dispositivos de Rede está a utilizar.

    • Para a conta de Serviço SCEP que o conjunto aplicacional do Serviço de Inscrição de Dispositivos de Rede utiliza: permissões de Leitura e Inscrição.

      Este requisito não é específico de Gestor de configuração mas faz parte de configurar o Serviço de Inscrição de Dispositivos de Rede. Para mais informações, consulte Orientação do Serviço de Inscrição de Dispositivos de Rede na biblioteca Serviços de Certificados do Active Directory na TechNet.

    System_CAPS_tipSugestão

    Para identificar os modelos de certificados que o Serviço de Inscrição de Dispositivos de Rede está a utilizar, veja a seguinte chave de registo no servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

    System_CAPS_noteNota

    Estas são as permissões de segurança predefinidas que serão convenientes para a maior parte dos ambientes. No entanto, pode utilizar uma configuração de segurança alternativa. Para mais informações, consulte Planear permissões do modelo de certificado para perfis de certificado no Configuration Manager.

  3. Implemente neste servidor um certificado PKI que suporta a autenticação de cliente. É possível que já disponha de um certificado adequado instalado no computador que pode utilizar ou poderá ter de (ou preferir) implementar um certificado especificamente para esta finalidade. Para mais informações sobre os requisitos para este certificado, consulte os detalhes de “Servidores a executar o Módulo de Política do Configuration Manager com o serviço de função Serviço de Inscrição de Dispositivos de Rede” na secção Certificados PKI para servidores do tópico Requisitos de Certificado PKI para o Configuration Manager.

    System_CAPS_tipSugestão

    Se necessitar de ajuda para implementar este certificado, pode utilizar as instruções para Implementar o Certificado de Cliente nos Pontos de Distribuição do tópico Exemplo Passo a Passo de Implementação dos Certificados PKI para o Configuration Manager: Autoridade de Certificação do Windows Server 2008, uma vez que os requisitos de certificados são os mesmos com uma exceção:

    • Não selecione a caixa de verificação Permitir que a chave privada seja exportada no separador Processamento de Pedidos das propriedades para o modelo de certificado.

    Não tem de exportar este certificado com a chave privada porque poderá procurar o arquivo local do Computador e selecioná-lo quando configura o Módulo de Política do Gestor de configuração.

  4. Localize o certificado de raiz ao qual o certificado de autenticação de cliente está encadeado. Em seguida, exporte este certificado da AC de raiz para um ficheiro de certificados (. cer). Guarde este ficheiro numa localização segura à qual pode aceder em segurança quando, posteriormente, instalar e configurar o servidor do sistema de sites para o ponto de registo de certificados.

  5. No mesmo servidor, utilize o editor de registo para aumentar o limite do tamanho predefinido do URL do IIS, definindo os seguintes valores DWORD de chaves de registo no HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

    • Defina a chave MaxFieldLength para 65534.

    • Defina a chave MaxRequestBytes para 16777216.

    Para obter mais informações, consulte o artigo 820129: Definições de registo do Http.sys do Windows na Base de Dados de Conhecimento Microsoft.

  6. No mesmo servidor, no Gestor de Serviços de Informação Internet (IIS), modifique as definições de filtragem de pedidos para a aplicação de /certsrv/mscep e, em seguida, reinicie o servidor. Na caixa de diálogo Editar Definições da Filtragem de Pedidos, as definições de Limites de Pedidos devem ser as seguintes:

    • Comprimento máximo de conteúdo permitido (Bytes): 30000000

    • Comprimento máximo de URL (Bytes): 65534

    • Cadeia máxima de consulta (Bytes): 65534

    Para mais informações sobre estas definições e como configurá-las, consulte Limites de Pedidos na Biblioteca de Referência do IIS.

  7. Se pretender poder pedir um certificado que tenha um período de validade inferior ao modelo de certificado que está a utilizar: Esta configuração está desativada por predefinição para uma AC empresarial. Para ativar esta opção numa AC empresarial, utilize a ferramenta da linha de comandos Certutil e, em seguida, pare e reinicie o serviço de certificados utilizando os seguintes comandos:

    1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

    Para mais informações, consulte Ferramentas e Definições dos Serviços de Certificados na biblioteca de Tecnologias PKI na TechNet.

  8. Certifique-se de que o Serviço de Inscrição de Dispositivos de Rede está a funcionar, utilizando a ligação seguinte como exemplo: https://server.contoso.com/certsrv/mscep/mscep.dll. Deverá ver a página Web incorporada do Serviço de Inscrição de Dispositivos de Rede. Esta página Web explica o que o serviço é e explica que os dispositivos de rede utilizam o URL para submeter pedidos de certificados.

Agora que o Serviço de Inscrição de Dispositivos de Rede e dependências estão configurados, está pronto para instalar e configurar o ponto de registo de certificados.

Tem de instalar e configurar pelo menos um ponto de registo de certificados na hierarquia do Gestor de configuração e pode instalar esta função de sistema de sites no site de administração central ou num site principal.

System_CAPS_importantImportante

Antes de instalar o ponto de registo de certificados, consulte a secção do tópico , para obter os requisitos do sistema operativo e dependências para o ponto de registo de certificados.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Configuração do Site, clique em Servidores e Funções de Sistema de Sites e selecione o servidor que pretende utilizar para o ponto de registo de certificados.

  3. No separador Home Page, no grupo Servidor, clique em Adicionar Funções do Sistema de Sites.

  4. Na página Geral, especifique as definições gerais do sistema de sites e clique em Seguinte.

  5. Na página de Proxy, clique em Seguinte. O ponto de registo de certificados não utiliza as definições de proxy de Internet.

  6. Na página Seleção da Função do Sistema, selecione o Ponto de registo de certificados na lista de funções disponíveis e, de seguida, clique em Seguinte.

  7. Na página Ponto de Registo de Certificados, aceite ou altere as predefinições e clique em Adicionar.

  8. Na caixa de diálogo Adicionar URL e Certificado da AC de Raiz, especifique o seguinte e clique em OK:

    1. URL para o Serviço de Inscrição de Dispositivos de Rede: Especifique o URL no seguinte formato: https://<server_FQDN>/certsrv/mscep/mscep.dll. Por exemplo, se o FQDN do seu servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede for server1.contoso.com, digite https://server1.contoso.com/certsrv/mscep/mscep.dll.

    2. Certificado da AC de Raiz: Procure e selecione o ficheiro de certificado (.cer) que criou e guardou no Passo 1: Instalar e configurar o Serviço de Inscrição de Dispositivos de Rede e dependências. Este certificado da AC de raiz permite que o ponto de registo de certificados valide o certificado de autenticação de cliente que o Módulo de Política do Gestor de configuração utilizará.

    System_CAPS_noteNota

    Se estiver a utilizar mais do que um servidor a executar o Serviço de Inscrição de Dispositivos de Rede, clique em Adicionar para especificar os detalhes para os outros servidores.

  9. Clique em Seguinte e conclua o assistente.

  10. Aguarde alguns minutos para deixar a instalação chegar ao fim e, em seguida, verifique se o ponto de registo de certificados foi instalado com êxito através de qualquer um dos seguintes métodos:

    • Na área de trabalho Monitorização, expanda o Estado do Sistema, clique em Estado do Componentes e procure mensagens de estado no componente SMS_CERTIFICATE_REGISTRATION_POINT.

    • No servidor do sistema de sites, utilize o ficheiro <Caminho de Instalação do ConfigMgr>\Logs\crpsetup.log e o ficheiro <Caminho de Instalação do ConfigMgr>\Logs\crpmsi.log. Uma instalação com êxito irá devolver um código de saída igual a 0.

    • Utilizando um browser, certifique-se de que se consegue ligar ao URL do ponto de registo de certificados — por exemplo, https://server1.contoso.com/CMCertificateRegistration. Deverá ver uma página Erro de Servidor para o nome da aplicação, com uma descrição de HTTP 404.

  11. Localize o ficheiro de certificado exportado para a AC de raiz que o ponto de registo de certificados criou automaticamente na seguinte pasta no computador do servidor do site primário: <ConfigMgr Installation Path>\inboxes\certmgr.box. Guarde este ficheiro numa localização segura à qual possa aceder em segurança quando, posteriormente, instalar o Módulo de Política do Gestor de configuração no servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede.

    System_CAPS_tipSugestão

    Este certificado não está imediatamente disponível nesta pasta. Poderá ter de aguardar algum tempo (por exemplo, meia hora) antes de o Gestor de configuração copiar o ficheiro para esta localização.

Agora que o ponto de registo de certificados está instalado e configurado, está pronto para instalar o Módulo de Política do Gestor de configuração para o Serviço de Inscrição de Dispositivos de Rede.

Tem de instalar e configurar o Módulo de Política do Gestor de configuração em cada servidor que especificou no Passo 2: Instalar e configurar o ponto de registo de certificados como URL para o Serviço de Inscrição de Dispositivos de Rede nas propriedades do ponto de registo de certificados.

  1. No servidor que executa o Serviço de Inscrição de Dispositivos de Rede, inicie sessão como administrador de domínio e copie os seguintes ficheiros da pasta <ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 no suporte de dados de instalação do Gestor de configuração para uma pasta temporária:

    • PolicyModule.msi

    • PolicyModuleSetup.exe

    Além disso, se tiver uma pasta LanguagePack no suporte de dados de instalação, copie esta pasta e respetivo conteúdo.

  2. A partir da pasta temporária, execute PolicyModuleSetup.exe para iniciar o assistente de Configuração do Módulo de Política do Gestor de configuração.

  3. Na página inicial do assistente, clique em Seguinte, aceite os termos de licenciamento e clique em Seguinte.

  4. Na página Pasta de Instalação, aceite a pasta de instalação predefinida para o módulo de política ou especifique uma pasta alternativa e clique em Seguinte.

  5. Na página Ponto de Registo de Certificados, especifique o URL do ponto de registo de certificados utilizando o FQDN do servidor do sistema de sites e o nome da aplicação virtual que é especificado nas propriedades para o ponto de registo de certificados. O nome de aplicação virtual predefinido é CMCertificateRegistration. Por exemplo, se o servidor do sistema de sites tiver um FQDN do server1.contoso.com e utilizou o nome de aplicação virtual predefinido, especifique https://server1.contoso.com/CMCertificateRegistration.

  6. Aceite a porta predefinida de 443 ou especifique o número da porta alternativa que o ponto de registo de certificados está a utilizar e clique em Seguinte.

  7. Na página Certificado de Cliente do Módulo de Política, procure e especifique o certificado de autenticação de cliente que implementou no Passo 1: Instalar e configurar o Serviço de Inscrição de Dispositivos de Rede e dependências e, em seguida, clique em Seguinte.

  8. Na página Certificado do Ponto de Registo de Certificados, clique em Procurar para selecionar o ficheiro de certificado exportado para a AC de raiz que localizou e guardou no final do Passo 2: Instalar e configurar o ponto de registo de certificados.

    System_CAPS_noteNota

    Se não tiver guardado anteriormente este ficheiro de certificado, o mesmo está localizado em <Caminho de Instalação do ConfigMgr>\inboxes\certmgr.box no computador do servidor do site.

  9. Clique em Seguinte e conclua o assistente.

Agora que concluiu os passos de configuração para instalar o Serviço de Inscrição de Dispositivos de Rede e dependências, o ponto de registo de certificados e o Módulo de Política do Gestor de configuração, está pronto para implementar certificados para utilizadores e dispositivos através da criação e implementação de perfis de certificado. Para mais informações sobre como criar perfis de certificado, consulte Como Criar Perfis de Certificado no Configuration Manager.

Se pretender desinstalar o Módulo de Política do Gestor de configuração, utilize a opção Programas e Funcionalidades do Painel de Controlo.

Mostrar: