Pré-requisitos para perfis de certificado no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Os perfis de certificado do O System Center Configuration Manager têm dependências externas e dependências no produto.

DependênciaMais informações
Uma empresa autoridade de certificação (AC) emissora que esteja a executar os Serviços de Certificados do Active Directory (AD CS).

Para revogar certificados, a conta de computador do servidor do site no topo da hierarquia requer direitos de Emitir e Gerir Certificados para cada modelo de certificado utilizado por um perfil de certificado no Configuration Manager. Em alternativa, conceda permissões ao Gestor de Certificados para conceder permissões em todos os modelos de certificado utilizados por essa AC

A aprovação do gestor para pedidos de certificado é suportada. No entanto, os modelos de certificado utilizados para emitir certificados devem ser configurados para Fornecer no pedido do requerente do certificado para que o O System Center Configuration Manager possa fornecer este valor automaticamente.
Para mais informações sobre os Serviços de Certificados do Active Directory, consulte a documentação do Windows Server.

Para Windows Server 2012: Descrição Geral dos Serviços de Certificados do Active Directory

Para Windows Server 2008: Serviços de Certificados do Active Directory no Windows Server 2008
O serviço de função Serviço de Inscrição de Dispositivos de Rede para Serviços de Certificados do Active Directory, em execução no Windows Server 2012 R2.

Além disso:

Os números de porta diferentes de TCP 443 (para HTTPS) ou TCP 80 (para HTTP) não são suportados para a comunicação entre o cliente e o Serviço de Inscrição de Dispositivos de Rede.

O servidor que estiver a executar o Serviço de Inscrição de Dispositivos de Rede tem de estar num servidor diferente da AC emissora.
O System Center Configuration Manager comunica com o Serviço de Inscrição de Dispositivos de Rede do Windows Server 2012 R2 para gerar e verificar pedidos SCEP (Simple Certificate Enrollment Protocol).

Se emitir certificados para utilizadores ou dispositivos que ligam a partir da Internet, como dispositivos móveis que são geridos pelo Microsoft Intune, esses dispositivos têm de ser capazes de aceder ao servidor que executa o Serviço de Inscrição de Dispositivos de Rede a partir da Internet. Por exemplo, instale o servidor numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada, e sub-rede filtrada).

Se tiver uma firewall entre o servidor que executa o Serviço de Inscrição de Dispositivos de Rede e a AC emissora, tem de configurar a firewall para permitir o tráfego de comunicação (DCOM) entre os dois servidores. Este requisito da firewall também é aplicável ao servidor que executa o servidor do site do O System Center Configuration Manager e a AC emissora, para que o O System Center Configuration Manager possa revogar certificados.

Se o Serviço de Inscrição de Dispositivos de Rede estiver configurado para solicitar SSL (uma melhor prática de segurança), certifique-se de que os dispositivos de ligação podem aceder à lista de revogação de certificados (CRL) para validar o certificado do servidor.

Para mais informações sobre o Serviço de Inscrição de Dispositivos de Rede no Windows Server 2012 R2, veja Utilizar um Módulo de Política com o Serviço de Inscrição de Dispositivos de Rede.
Se a AC emissora executar o Windows Server 2008 R2, este servidor requer uma correção para pedidos de renovação SCEP.Se a correção ainda não estiver instalada no computador da AC emissora, instale a correção. Para mais informações, veja o artigo 2483564: Pedido de renovação para um pedido de certificado SCEP falha no Windows Server 2008 R2 se o certificado for gerido através de NDES na Base de Dados de Conhecimento Microsoft.
Um certificado de autenticação de cliente PKI e o certificado da AC de raiz exportado.Este certificado autentica o servidor que estiver a executar o Serviço de Inscrição de Dispositivos de Rede para o O System Center Configuration Manager.

Para obter informações, veja Requisitos de certificado PKI para o System Center Configuration Manager.
Sistemas operativos de dispositivos suportados.É possível implementar perfis de certificado em dispositivos que utilizam os sistemas operativos iOS, Windows 8.1, Windows RT 8.1, Windows 10 e Android.
DependênciaMais informações
Função do sistema de sites do ponto de registo de certificadosPara poder utilizar perfis de certificado, é necessário instalar a função do sistema de sites do ponto de registo de certificados. Esta função comunica com a base de dados do O System Center Configuration Manager, o servidor do site do O System Center Configuration Manager e o Módulo de Política do O System Center Configuration Manager.

Para mais informações sobre os requisitos de sistema para esta função do sistema de sites e onde instalar a função na hierarquia, veja a secção Requisitos do Sistema de Sites do tópico Configurações Suportadas para o System Center Configuration Manager.

Tenha em consideração que o ponto de registo de certificados não deve ser instalado no mesmo servidor que executa o Serviço de Inscrição de Dispositivos de Rede.
O System Center Configuration Manager O Módulo de Política que está instalado no servidor que executa o serviço de função Serviço de Inscrição de Dispositivos de Rede para os Serviços de Certificados do Active DirectoryPara implementar perfis de certificado, é necessário instalar o Módulo de Política do O System Center Configuration Manager. Este módulo de política está disponível no suporte de dados da instalação do O System Center Configuration Manager.
Dados de deteçãoOs valores do requerente do certificado e do nome alternativo do requerente são fornecidos pelo O System Center Configuration Manager e obtidos nas informações recolhidas pela deteção:

Para certificados de utilizador: Deteção de Utilizadores do Active Directory

Para certificados de computador: Deteção de Sistemas do Active Directory e Deteção de Rede
Permissões de segurança específicas para gerir perfis de certificadoTem de ter as seguintes permissões de segurança para gerir definições de acesso a recursos da empresa, tais como perfis de certificado, perfis Wi-Fi e perfis VPN:

Para ver e gerir alertas e relatórios sobre perfis de certificado: Criar, Eliminar, Modificar, Modificar Relatório, Leitura e Executar Relatório para o objeto Alertas.

Para criar e gerir perfis de certificado: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil de Certificado.

Para gerir implementações de perfis Wi-Fi, certificado e VPN: Implementar Políticas de Configuração, Modificar Alerta de Estado de Clientes, Leitura e Ler Recurso para o objeto Coleção.

Para gerir todas as políticas de configuração: Criar, Eliminar, Modificar, Leitura e Definir Âmbito de Segurança para o objeto Política de Configuração.

Para executar consultas relacionadas com perfis de certificado: permissão de Leitura para o objeto Consulta.

Para ver informações sobre perfis de certificado na consola do O System Center Configuration Manager: permissão de Leitura para o objeto Site.

Para ver mensagens de estado para perfis de certificado: permissão de Leitura para o objeto Mensagens de Estado.

Para criar e modificar o perfil de certificado da AC Fidedigna: Política de Autor, Modificar Relatório, Leitura e Executar Relatório para o objeto Perfil de Certificado da AC Fidedigna.

Para criar e gerir perfis VPN: Política de Autor, Modificar Relatório, Leitura e Executar Relatório para o objeto Perfil VPN.

Para criar e gerir perfis Wi-Fi: Política de Autor, Modificar Relatório, Leitura e Executar Relatório para o objeto Perfil Wi-Fi.

A função de segurança Gestor de Acesso a Recursos da Empresa inclui as permissões que são necessárias para gerir perfis de certificado no O System Center Configuration Manager. Para mais informações, veja a secção Configurar a administração baseada em funções do tópico Configurar a segurança no System Center Configuration Manager.

Planear perfis de certificado no System Center Configuration Manager

Mostrar: