Como Criar Perfis de Certificado no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteNota

As informações deste tópico aplicam-se apenas às versões do System Center 2012 R2 Configuration Manager.

Os perfis de certificado do System Center 2012 Configuration Manager integram-se nos Serviços de Certificados do Active Directory e na função Serviço de Inscrição de Dispositivos de Rede para aprovisionar dispositivos geridos com certificados de autenticação, de modo a que os utilizadores possam aceder a recursos da empresa utilizando certificados. As informações neste tópico podem ajudar a criar perfis de certificado no Gestor de configuração.

System_CAPS_importantImportante

Terá de efetuar a configuração para poder criar perfis de certificado. Para mais informações, consulte Configurar perfis de certificado no Configuration Manager.

Utilize os seguintes passos necessários para criar um perfil de certificado utilizando o Assistente para Criar Perfil de Certificado.

Passo

Detalhes

Mais informações

Passo 1: Iniciar o Assistente para Criar Perfil de Certificado

Inicie o assistente na área de trabalho Ativos e Compatibilidade, no nó Definições de Compatibilidade.

Consulte a secção Passo 1: Iniciar o Assistente para Criar Perfil de Certificado deste tópico.

Passo 2: Fornecer informações gerais sobre o perfil de certificado

Forneça informações gerais, como o nome e descrição do perfil do certificado e o tipo de perfil de certificado que pretende criar.

Consulte a secção Passo 2: Fornecer Informações Gerais sobre o Perfil de Certificado deste tópico.

Passo 3: Fornecer informações sobre o perfil de certificado

Forneça informações de configuração para o perfil do certificado.

Consulte a secção Passo 3: Fornecer Informações sobre o Perfil de Certificado deste tópico.

Passo 4: Configurar plataformas suportadas para o perfil de certificado

Especifique os sistemas operativos onde irá instalar o perfil de certificado.

Consulte a secção Passo 4: Configurar Plataformas Suportadas para o Perfil de Certificado deste tópico.

Passo 5: Concluir o assistente

Conclua o assistente para criar o novo perfil de certificado.

Consulte a secção Passo 5: Concluir o Assistente deste tópico.

System_CAPS_cautionCuidado

Se já tiver implementado um certificado utilizando um perfil de certificado do protocolo SCEP (Simple Certificate Enrollment Protocol), a alteração de algumas opções de configuração resultará no pedido de um novo certificado com novos valores. Se o número de pedidos de renovação de certificado for elevado devido a estas alterações, essas renovações poderão provocar um processamento elevado da CPU no servidor com o Serviço de Inscrição de Dispositivos de Rede.

Quando o pedido de certificado for para um cliente da intranet (por exemplo, o Windows 8.1), o certificado original será eliminado quando for pedido um certificado novo que tenha novos valores. No entanto, quando o pedido de certificado é para um cliente gerido com o conector do Microsoft Intune, o certificado original não é eliminado do dispositivo e permanece instalado.

As secções seguintes indicam as definições que originarão um pedido de renovação de certificado.

Utilize as informações seguintes quando os passos da tabela anterior exigirem procedimentos adicionais.

Utilize este procedimento para iniciar o Assistente para Criar Perfil de Certificado.

Para iniciar o Assistente para Criar Perfil de Certificado

  1. Na consola do Gestor de configuração, clique em Ativos e Compatibilidade.

  2. Na área de trabalho Ativos e Compatibilidade, expanda Definições de Compatibilidade, expanda Acesso a Recursos da Empresa e clique em Perfis de Certificado.

  3. No separador Home Page, no grupo Criar, clique em Criar Perfil de Certificado.

Utilize este procedimento para fornecer informações gerais sobre o perfil de certificado.

Para fornecer informações gerais sobre o perfil de certificado

  1. Na página Geral do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

    • Nome: introduza um nome exclusivo para o perfil do certificado. Pode utilizar até 256 carateres.

    • Descrição: Forneça uma descrição que proporcione uma descrição geral do perfil de certificado e outras informações relevantes que ajudem a identificá-lo na consola do Gestor de configuração. Pode utilizar até 256 carateres.

    • Especificar o tipo de perfil de certificado que pretende criar: escolha um dos seguintes tipos de perfil de certificado:

      • Certificado de AC fidedigna: selecione este tipo de perfil de certificado se pretender implementar um certificado de autoridade de certificação (AC) de raiz ou de AC intermediária fidedigna para formar uma cadeia de certificação quando o utilizador ou o dispositivo tiver de autenticar outro dispositivo. Por exemplo, o dispositivo poderá ser um servidor RADIUS (Remote Authentication Dial-In User Service) ou um servidor de rede privada virtual (VPN). Tem também de configurar um perfil de certificado de AC fidedigna para poder criar um perfil de certificado SCEP. Neste caso, o certificado de AC fidedigna tem de ser o certificado de raiz fidedigna para a AC que emitirá o certificado para o utilizador ou o dispositivo.

      • Definições do protocolo SCEP (Simple Certificate Enrollment Protocol): selecione este tipo de perfil de certificado se pretender pedir um certificado para um utilizador ou dispositivo utilizando o protocolo SCEP (Simple Certificate Enrollment Protocol) e o serviço de função Serviço de Inscrição de Dispositivos de Rede.

Utilize um dos seguintes procedimentos para configurar informações de perfil de certificado para certificados de AC fidedigna e certificados SCEP no perfil de certificado.

System_CAPS_importantImportante

Tem de configurar pelo menos um perfil de certificado de AC fidedigna para poder criar um perfil de certificado SCEP.

Para configurar um certificado de AC fidedigna

  1. Na página Certificado de AC fidedigna do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

    • Ficheiro do certificado: clique em Importar e procure o ficheiro de certificado que pretende utilizar.

    • Arquivo de destino: Para dispositivos que tenham mais do que um armazenamento de certificados, selecione onde pretende armazenar o certificado. Para dispositivos que têm apenas um armazenamento, esta definição é ignorada.

  2. Utilize o valor Thumbprint do certificado para verificar se importou o certificado correto.

Para configurar informações de certificado SCEP

  1. Na página Inscrição SCEP do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

    • Repetições: especifique o número de vezes que o dispositivo repete automaticamente o pedido de certificado ao servidor com o Serviço de Inscrição de Dispositivos de Rede em execução. Esta definição suporta o cenário onde um gestor de AC tem de aprovar um pedido de certificado antes de ser aceite. Esta definição é normalmente utilizada para ambientes de alta segurança ou se tiver uma AC emissora autónoma, em vez de uma AC empresarial. Também poderá utilizar esta definição para fins de teste, para poder inspecionar as opções de pedido de certificado antes de a AC emissora processar o pedido de certificado. Utilize esta definição com a definição Intervalo entre repetições (minutos).

    • Intervalo entre repetições (minutos): especifique o intervalo, em minutos, entre cada tentativa de inscrição quando utilizar a aprovação do gestor de AC antes de a AC emissora processar o pedido de certificado. Se utilizar a aprovação do gestor para fins de teste, provavelmente pretenderá especificar um valor baixo, de modo a não esperar muito tempo para que o dispositivo repita o pedido de certificado após a aprovação do pedido. No entanto, se utilizar a aprovação do gestor numa rede de produção, é provável que pretenda especificar um valor maior para dar tempo suficiente ao administrador da AC para verificar e aprovar ou negar aprovações pendentes.

    • Limiar de renovação (%): Especifique a percentagem da duração do certificado que permanece antes de o dispositivo pedir renovação do certificado.

    • Fornecedor de Armazenamento de Chaves (KSP): Especifique onde será armazenada a chave do certificado. Escolha um dos seguintes valores:

      • Instalar no Trusted Platform Module (TPM), se estiver presente: instala a chave no TPM. Se o TPM não estiver presente, a chave será instalada no fornecedor de armazenamento da chave de software.

      • Instalar no Trusted Platform Module (TPM), caso contrário falhar: instala a chave no TPM. Se o módulo TPM não estiver presente, a instalação falhará.

      • Instalar no Fornecedor de Armazenamento de Chaves de Software: instala a chave no fornecedor de armazenamento para a chave de software.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

    • Dispositivos para inscrição de certificado: Se o perfil de certificado for implementado numa coleção de utilizadores, selecione se pretende permitir a inscrição de certificados apenas no dispositivo primário dos utilizadores ou em todos os dispositivos em que os utilizadores iniciem sessão. Se o perfil de certificado for implementado numa coleção de dispositivos, selecione se pretende permitir a inscrição de certificados apenas ao utilizador principal do dispositivo ou a todos os utilizadores que iniciem sessão no dispositivo.

  2. Na página Propriedades do Certificado do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

    • Nome do modelo de certificado: Clique em Procurar para selecionar o nome de um modelo de certificado que o Serviço de Inscrição de Dispositivos de Rede esteja configurado para utilizar e que tenha sido adicionado a uma AC emissora. Para encontrar modelos de certificado, a conta de utilizador que está a utilizar para executar a consola do Gestor de configuração tem de ter a permissão de Leitura para o modelo de certificado. Em alternativa, se não conseguir utilizar Procurar, escreva o nome do modelo de certificado.

      System_CAPS_importantImportante

      Se o nome do modelo de certificado contiver carateres não ASCII (por exemplo, carateres do alfabeto chinês), o certificado não será implementado. Para garantir que o certificado é implementado, tem de criar primeiro uma cópia do modelo de certificado na AC e mudar o nome da cópia utilizando carateres ASCII.

      Tenha em atenção o seguinte, consoante procurar o modelo de certificado ou escrever o nome do certificado:

      • Se procurar para selecionar o nome do modelo de certificado, alguns campos da página serão preenchidos automaticamente a partir do modelo de certificado. Em alguns casos, não é possível alterar estes valores, a menos que escolha um modelo de certificado diferente.

      • Se escrever o nome do modelo de certificado, certifique-se de que o nome corresponde exatamente a um dos modelos de certificado listados no registo do servidor com o Serviço de Inscrição de Dispositivos de Rede em execução. Certifique-se de que especifica o nome do modelo de certificado e não o nome a apresentar do modelo de certificado.

        Para localizar os nomes dos modelos de certificado, navegue para a seguinte chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Verá os modelos de certificado listados como valores para EncryptionTemplate, GeneralPurposeTemplate e SignatureTemplate. Por predefinição, o valor dos três modelos de certificado é IPSECIntermediateOffline, que é mapeado para o nome a apresentar de modelo IPSec (Pedido offline).

        System_CAPS_warningAviso

        Uma vez que o Gestor de configuração não consegue verificar o conteúdo do modelo de certificado quando escreve o respetivo nome em vez de o procurar, poderá conseguir selecionar opções que o modelo de certificado não suporta, o que resultará num pedido de certificado falhado. Quando isto acontecer, verá uma mensagem de erro de w3wp.exe no ficheiro CPR.log que indica que o nome do modelo na solicitação de assinatura de certificado (CSR) do certificado e no desafio não coincidem.

        Quando escrever o nome do modelo de certificado especificado para o valor GeneralPurposeTemplate, terá de selecionar as opções Cifragem de chaves e Assinatura digital para este perfil de certificado. No entanto, se pretender ativar apenas a opção Cifragem de chaves neste perfil de certificado, especifique o nome do modelo de certificado da chave EncryptionTemplate. Da mesma forma, se pretender ativar apenas a opção Assinatura digital neste perfil de certificado, especifique o nome do modelo de certificado da chave SignatureTemplate.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

    • Tipo de certificado: selecione se o certificado será implementado num dispositivo ou num utilizador.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

    • Formato de nome do requerente: A partir da lista, selecione como o Gestor de configuração cria automaticamente o nome do requerente do pedido de certificado. Se o certificado se destinar a um utilizador, pode também incluir o endereço de e-mail do utilizador no nome do requerente.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

    • Nome alternativo do requerente: especifique o modo como o Gestor de configuração cria automaticamente os valores para o nome alternativo do requerente (SAN) no pedido de certificado. Por exemplo, se tiver selecionado um tipo de certificado de utilizador, pode incluir o nome principal de utilizador (UPN) no nome alternativo do requerente.

      System_CAPS_tipSugestão

      Se o certificado de cliente for utilizado para autenticar um Servidor de Políticas de Rede, tem de definir o nome alternativo do requerente com o UPN.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

      System_CAPS_importantImportante

      Os dispositivos iOS suportam formatos de nome do requerente e de nome alternativo do requerente limitados em certificados SCEP. Se especificar um formato que não seja suportado, os certificados não serão inscritos em dispositivos iOS. Quando configurar um perfil de certificado SCEP para implementação em dispositivos iOS, utilize o Nome comum para o Formato de nome do requerente e Nome DNS, Endereço de correio eletrónico ou UPN para o Nome alternativo do requerente.

    • Período de validade do certificado: Se tiver executado o comando certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE na AC emissora, que permite um período de validade personalizado, pode especificar o tempo restante até o certificado expirar. Para mais informações sobre este comando, consulte Passo 1: Instalar e Configurar o Serviço de Inscrição de Dispositivos de Rede e Dependências no tópico Configurar perfis de certificado no Configuration Manager.

      Pode especificar um valor inferior ao período de validade do modelo de certificado especificado, mas não superior. Por exemplo, se o período de validade do certificado no modelo de certificado for dois anos, pode especificar um valor de um ano, mas não um valor de cinco anos. O valor deve também ser inferior ao período de validade restante do certificado da AC emissora.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

    • Utilização da chave: Especifique as opções de utilização de chave para este certificado. Pode selecionar de entre as seguintes opções:

      • Cifragem de chaves: permitir a troca de chaves apenas quando a chave for encriptada.

      • Assinatura digital: permitir a troca de chaves apenas quando uma assinatura digital ajudar a proteger a chave.

        Se tiver selecionado um modelo de certificado utilizando Procurar, poderá não conseguir alterar estas definições, a menos que selecione outro modelo de certificado.

      O modelo de certificado selecionado deve ser configurado com uma ou ambas as duas opções de utilização da chave acima. Caso contrário, verá a mensagem Utilização da chave no CSR e no desafio não correspondem no ficheiro de registo do ponto de registo de certificados, Crp.log.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

    • Tamanho da chave (bits): Selecione o tamanho da chave em bits.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

    • Utilização alargada da chave: Clique em Selecionar para adicionar valores ao objetivo do certificado. Na maioria dos casos, o certificado irá exigir a Autenticação de Cliente para o utilizador ou dispositivo poder ser autenticado num servidor. Contudo, pode adicionar mais utilizações de chave conforme necessário.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

    • Algoritmo hash: Selecione um dos tipos de algoritmo hash disponíveis para utilizar com este certificado. Selecione o maior nível de segurança que os dispositivos de ligação suportam.

      System_CAPS_noteNota

      O SHA-1 suporta apenas SHA-1. O SHA-2 suporta SHA-256, SHA-384 e SHA-512. O SHA-3 suporta apenas SHA-3.

    • Certificado da AC de Raiz: Clique em Selecionar para selecionar um perfil de certificado da AC de raiz que tenha configurado anteriormente e implementado no utilizador ou dispositivo. Este certificado da AC tem de ser o certificado de raiz da AC que irá emitir o certificado que está a configurar neste perfil de certificado.

      System_CAPS_importantImportante

      Se especificar um certificado da AC de raiz que não seja implementado no utilizador ou dispositivo, o Gestor de configuração não iniciará o pedido de certificado que está a configurar neste perfil de certificado.

      System_CAPS_noteNota

      Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.

Utilize o seguinte procedimento para especificar os sistemas operativos onde vai instalar o perfil de certificado.

Para especificar as plataformas suportadas para o perfil de certificado

  • Na página Plataformas Suportadas do Assistente para Criar Perfil de Certificado, selecione os sistemas operativos onde pretende instalar o perfil de certificado. Ou, clique em Selecionar tudo para instalar o perfil de certificado para todos os sistemas operativos disponíveis.

Na página Resumo do assistente, reveja as ações que serão executadas e conclua o assistente. O novo perfil de certificado aparece no nó Perfis de Certificado na área de trabalho Ativos e Compatibilidade e está pronto para ser implementado a utilizadores ou dispositivos. Para mais informações, consulte Como Implementar Perfis de Certificado no Configuration Manager.

Mostrar: