Como criar perfis de certificado PFX no System Center Configuration Manager

 

Aplica-se a: System Center Configuration Manager (current branch)

O System Center Configuration Manager permite-lhe aprovisionar ficheiros .pfx (personal information exchange) para dispositivos do utilizador. Os ficheiros .pfx podem ser utilizados para gerar certificados específicos do utilizador para suportar a troca de dados encriptados. Os certificados PFX podem ser importados ou criados dentro do Configuration Manager. Com o O System Center Configuration Manager, os certificados PFX novos ou importados podem ser implementados em dispositivos iOS, Android e Windows 10. Estes ficheiros podem ser implementados em múltiplos dispositivos para suportar a comunicação PKI com base nos utilizadores.

System_CAPS_tipSugestão

Estão disponíveis instruções passo a passo que descrevem este processo em Como Criar e Implementar Perfis de Certificado PFX no Configuration Manager.

Como criar e implementar um perfil de certificado PFX (Personal Information Exchange)

  1. Na consola do O System Center Configuration Manager, clique em Ativos e Compatibilidade.

  2. Na área de trabalho Ativos e Compatibilidade, expanda Definições de Compatibilidade, expanda Acesso a Recursos da Empresa e clique em Perfis de Certificado.

  3. No separador Home Page, no grupo Criar, clique em Criar Perfil de Certificado. O assistente Criar Perfil de Certificado é aberto.

  4. Na página Geral do Assistente Criar Perfil de Certificado, especifique as seguintes informações:

    • Nome: introduza um nome exclusivo para o perfil do certificado. Pode utilizar até 256 carateres.

    • Descrição: forneça uma descrição que proporcione uma descrição geral do perfil de certificado e outras informações relevantes que ajudem a identificá-lo na consola do O System Center Configuration Manager. Pode utilizar até 256 carateres.

    • Especificar o tipo de perfil de certificado que pretende criar: escolha um dos seguintes tipos de perfil de certificado:

      • Certificado de AC Fidedigna: selecione este tipo de perfil de certificado se pretender implementar um certificado de autoridade de certificação (AC) de raiz ou de AC intermediária fidedigna para formar uma cadeia de certificados de confiança quando o utilizador ou o dispositivo tiver de autenticar outro dispositivo. Por exemplo, o dispositivo poderá ser um servidor RADIUS (Remote Authentication Dial-In User Service) ou um servidor de rede privada virtual (VPN). Tem também de configurar um perfil de certificado de AC fidedigna para poder criar um perfil de certificado SCEP. Neste caso, o certificado de AC fidedigna tem de ser o certificado de raiz fidedigna para a AC que emitirá o certificado para o utilizador ou o dispositivo.

      • Definições do protocolo SCEP (Simple Certificate Enrollment Protocol): selecione este tipo de perfil de certificado se pretender pedir um certificado para um utilizador ou dispositivo, utilizando o protocolo SCEP (Simple Certificate Enrollment Protocol) e o serviço de função Serviço de Inscrição de Dispositivos de Rede.

      • Personal Information Exchange – definições PKCS #12 (PFX) – Importar: selecione esta opção para importar um certificado PFX.

  5. Na janela Propriedades do Certificado do assistente Criar Perfil do Certificado, especifique onde o certificado PFX será armazenado nos dispositivos visados.

    • Instalar no Trusted Platform Module (TPM), se estiver presente

    • Instalar no Trusted Platform Module (TPM), caso contrário ocorre uma falha

    • Instalar no Fornecedor de Armazenamento de Chaves de Software

    Clique em Seguinte.

  6. Na janela Plataformas Suportadas do assistente Criar Perfil do Certificado, especifique quais os sistemas operativos ou plataformas que podem receber o ficheiro PFX importado.

    • Windows 10

    • iPhone

    • iPad

    • Android

  7. Clique em Seguinte, reveja a página Resumo e, em seguida, feche o assistente.

  8. O perfil do certificado que contém o ficheiro PFX está agora disponível a partir da área de trabalho Perfis de Certificados. Na área de trabalho Ativos e Compatibilidade aceda a Definições de Compatibilidade > Acesso aos Recursos da Empresa > Perfis de Certificados e clique com o botão direito do rato para implementar o novo certificado nas coleções do Utilizador.

  9. Ao utilizar o SDK para Windows 8.1 disponível no Centro de Transferências (http://go.microsoft.com/fwlink/?LinkId=613525), implemente um Script Criar PFX. O Script Criar PFX adicionado no Configuration Manager 2012 SP2 adiciona uma classe SMS_ClientPfxCertificate ao SDK. Esta classe inclui os seguinte métodos:

    • ImportForUser

    • DeleteForUser

    Exemplo de script:

    $EncryptedPfxBlob = "<blob>" $Password = "abc" $ProfileName = "PFX_Profile_Name" $UserName = "ComputerName\Administrator" #New pfx $WMIConnection = ([WMIClass]"\\nksccm\root\SMS\Site_MDM:SMS_ClientPfxCertificate") $NewEntry = $WMIConnection.psbase.GetMethodParameters("ImportForUser") $NewEntry.EncryptedPfxBlob = $EncryptedPfxBlob $NewEntry.Password = $Password $NewEntry.ProfileName = $ProfileName $NewEntry.UserName = $UserName $Resource = $WMIConnection.psbase.InvokeMethod("ImportForUser",$NewEntry,$null)
    
    

    As seguintes variáveis de script têm de ser modificadas no script:

    • <blob> = O blob PFX encriptado em base64

    • $Password = A palavra-passe do ficheiro PFX

    • $ProfileName = O nome do perfil PFX

    • ComputerName = Nome do computador anfitrião

Mostrar: