Como Configurar o Módulo de Política para Utilizar um Novo Certificado de Cliente no Configuration Manager
Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Os servidores que executam o Módulo de Política do Gestor de configuração com o serviço de função Serviço de Inscrição de Dispositivos de Rede utilizam um certificado de cliente para autenticar este Módulo de Política no servidor do sistema de sites do ponto de registo de certificados no System Center 2012 Configuration Manager. Normalmente, um certificado de autenticação de cliente é válido durante um ano. Antes da expiração do certificado, renove-o, atualize o registo para o novo certificado e, em seguida, reinicie o servidor Web que executa o Serviço de Inscrição de Dispositivos de Rede.
Nota
Se o certificado já tiver expirado, é apresentada a mensagem “ERRO("Falha ao enviar o pedido http
Para renovar o certificado:
Se tiver solicitado manualmente este certificado de cliente, solicite manualmente um novo certificado. Se necessitar de ajuda para implementar este certificado, pode utilizar as instruções para Implementar o Certificado de Cliente nos Pontos de Distribuição do tópico Exemplo Passo a Passo de Implementação dos Certificados PKI para o Configuration Manager: Autoridade de Certificação do Windows Server 2008, com uma exceção: Não selecione a caixa de verificação Permitir que a chave privada seja exportada no separador Processamento de Pedidos das propriedades do modelo de certificado.
Se tiver implementado automaticamente este certificado de cliente utilizando a inscrição na Política de Grupo, a configuração predefinida consiste em solicitar automaticamente um novo certificado antes que o certificado original expire.
Após a implementação do novo certificado no servidor que executa o Serviço de Inscrição de Dispositivos de Rede e o Módulo de Política do Gestor de configuração, utilize o procedimento seguinte para configurar o servidor para utilizar o novo certificado.
Para configurar o Módulo de Política para utilizar o novo certificado de cliente
-
No servidor que executa o Serviço de Inscrição de Dispositivos de Rede e o Módulo de Política do Gestor de configuração, abra o editor de registo e substitua o thumbprint do certificado antigo pelo thumbprint do novo certificado utilizando a seguinte chave de registo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.
Sugestão Para identificar o thumbprint do novo certificado, localize o certificado no arquivo do computador utilizando o Snap-in de certificados. Em seguida, faça duplo clique no certificado, clique em Propriedades, clique em Ver Certificado, clique no separador Detalhes e, em seguida, percorra-o e selecione Thumbprint. Poderá então ver e copiar a cadeia de carateres hexadecimais que é o thumbprint desse certificado.
-
Reinicie os serviços do servidor Web utilizando um dos seguintes métodos:
No Gestor de Serviços de Informação Internet (IIS): Procure o nó do servidor Web na árvore. No painel Ações, clique em Reiniciar.
Na linha de comandos: Digite iisreset /restart e prima Enter.
Para obter mais informações, consulte Start or Stop the Web Server (IIS 8) (Iniciar ou Parar o Servidor Web (IIS 8)) na biblioteca do Windows Server na TechNet.
Pode confirmar se o Módulo de Política está a utilizar o novo certificado verificando a seguinte entrada do ficheiro NDESPlugin.log no servidor que executa o Serviço de Inscrição de Dispositivos de Rede: INFO("NDES thumbprint is <thumbprint>.", wszBuffer);