Získání certifikátu pro použití se servery Windows a nástrojem System Center Operations Manager

Když System Center Operations Manager funguje přes hranice důvěryhodnosti, kde ověřování Kerberos s bránou nebo klientskými počítači s Windows není možné, je vyžadováno ověřování na základě certifikátů. Tato metoda se používá k navázání komunikace mezi agentem Microsoft Monitoring Agent a servery pro správu. Primárním případem použití je ověřování s Bránou a systémy Windows Client v pracovních skupinách, demilitarizovaných zónách (DMZ) nebo jiných doménách bez obousměrné důvěry.

Certifikáty vygenerované pomocí tohoto článku se pro monitorování Linuxu, pokud server brány, který provádí monitorování, přes hranice důvěryhodnosti, a pak se certifikát používá jenom pro ověřování brány a serveru pro správu systému Windows, samostatné certifikáty (SCX-Certificates) se používají k ověřování Linuxu a zpracovávají se samotným Operations Managerem.

Tento článek popisuje, jak získat certifikát a používat jej se serverem pro správu Operations Manager, bránou nebo agentem pomocí serveru certifikační autority (CA) Enterprise Active Directory Certificate Services (AD CS) na platformě Windows. Pokud používáte Stand-Alone nebo certifikační autoritu jiné společnosti než Microsoft, požádejte o pomoc s vytvářením certifikátů používaných pro Operations Manager s týmem certificate/PKI.

Požadavky

Ujistěte se, že máte splněné následující požadavky:

• Služba AD CS (Active Directory Certificate Services) je nainstalovaná a nakonfigurovaná nebo certifikační autorita jiné společnosti než Microsoft. (Poznámka: Tato příručka nepokrývá žádosti o certifikáty od certifikační autority jiné společnosti než Microsoft.)
• Oprávnění správce domény.
• Servery pro správu Operations Manageru připojené k doméně.

Požadavky na certifikáty

Důležité

Zprostředkovatel úložiště klíčů pro kryptografii API (KSP) není podporován pro certifikáty Operations Manageru.

V tuto chvíli Operations Manager nepodporuje pokročilejší certifikáty a spoléhá na starší poskytovatele.

Pokud vaše organizace nepoužívá službu AD CS nebo používá externí certifikační autoritu, postupujte podle pokynů uvedených pro tuto autoritu k vytvoření certifikátu a ujistěte se, že splňuje následující požadavky pro Operations Manager:

- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)

- [Key Usage]
    Key Exportable = FALE  ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
    HashAlgorithm = SHA256
    KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
    KeySpec = 1  ; AT_KEYEXCHANGE
    KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
    MachineKeySet = TRUE ; The key belongs to the local computer account
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    KeyAlgorithm = RSA

- [EnhancedKeyUsageExtension]
     - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
     - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
     - Compatible with Windows Server 2012 R2 ; (or newer based on environment)

- [Cryptography Settings]
     - Provider Category: Legacy Cryptography Service Provider
     - Algorithm name: RSA
     - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
     - Providers: "Microsoft RSA Schannel Cryptographic Provider"

Proces vysoké úrovně pro získání certifikátu

Důležité

V tomto článku jsou výchozí nastavení pro AD-CS:

• Standardní délka klíče: 2048
• Rozhraní API kryptografie: Zprostředkovatel kryptografických služeb (CSP)
• Secure Hash Algorithm: 256 (SHA256)

Vyhodnoťte tyto výběry podle požadavků zásad zabezpečení vaší společnosti.

Podniková certifikační autorita

1. Stáhněte kořenový certifikát z certifikační autority.
2. Naimportujte kořenový certifikát na klientský server.
3. Vytvořte šablonu certifikátu.
4. Odešlete žádost certifikační autoritě.
5. V případě potřeby žádost schválíte.
6. Načtěte certifikát.
7. Importujte certifikát do úložiště certifikátů.
8. Importujte certifikát do nástroje Operations Manager pomocí <MOMCertImport>nástroje .

Stand-Alone nebo certifikační autority jiných společností než Microsoft

1. Stáhněte kořenový certifikát z certifikační autority.
2. Naimportujte kořenový certifikát na server klienta.
3. Požádejte o certifikát od certifikační autority odpovídající požadavkům operations Manageru.
4. V případě potřeby žádost schválíte.
5. Načtěte certifikát z certifikační autority.
6. Importujte certifikát do úložiště certifikátů.
7. Importujte certifikát do nástroje Operations Manager pomocí <MOMCertImport>nástroje .

Stažení a import kořenového certifikátu z certifikační autority

Spropitné

Pokud používáte certifikační autoritu organizace a používáte systém připojený k doméně, kořenové certifikáty by už měly být nainstalované v příslušných úložištích a můžete tento krok přeskočit.

Pokud chcete ověřit, že jsou certifikáty nainstalované, spusťte v systému připojeném k doméně následující příkaz PowerShellu a nahraďte "Domain" částečným názvem domény:

# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }

# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }

Aby bylo možné důvěřovat a ověřovat všechny certifikáty vytvořené z a certifikačních autorit, musí mít cílový počítač kopii kořenového certifikátu ve svém důvěryhodném kořenovém úložišti. Většina počítačů připojených k doméně už důvěřuje certifikační autoritě organizace. Žádný počítač však nedůvěřuje certifikátu od certifikační autority jiné organizace bez nainstalovaného kořenového certifikátu pro danou certifikační autoritu.

Pokud používáte certifikační autoritu jiné společnosti než Microsoft, proces stahování se liší. Proces importu ale zůstane stejný.

Automatická instalace kořenových a CA certifikátů pomocí zásad skupinové politiky

1. Přihlaste se k počítači, do kterého chcete certifikáty nainstalovat jako správce.
2. Otevřete příkazový řádek správce nebo konzolu PowerShellu.
3. Spuštění příkazu gpupdate /force
4. Po dokončení zkontrolujte přítomnost kořenových certifikátů a certifikátů autority v úložišti certifikátů. Ty by měly být viditelné ve Správci certifikátů Místního počítače v části Důvěryhodné kořenové certifikační autority>Certifikáty.

Ruční stažení důvěryhodného kořenového certifikátu z certifikační autority

Chcete-li stáhnout důvěryhodný kořenový certifikát, postupujte takto:

1. Přihlaste se k počítači, do kterého chcete nainstalovat certifikát. Například server brány nebo server pro správu.
2. Otevřete webový prohlížeč a připojte se k webové adrese certifikačního serveru. Například https://<servername>/certsrv.
3. Na úvodní stránce vyberte Stáhnout certifikát certifikační autority, řetěz certifikátů nebo CRL.
   1. Pokud se zobrazí výzva s potvrzením webového přístupu, ověřte server a adresu URL a vyberte Ano.
   2. Ověřte více možností v části Certifikát certifikační autority a potvrďte výběr.
4. Změňte metodu Kódování na Base 64 a pak vyberte Stáhnout řetěz certifikátů certifikační autority.
5. Uložte certifikát a zadejte popisný název.

Import důvěryhodného kořenového certifikátu z certifikační autority v klientovi

Poznámka:

Pokud chcete importovat důvěryhodný kořenový certifikát, musíte mít na cílovém počítači oprávnění správce.

Chcete-li importovat důvěryhodný kořenový certifikát, postupujte takto:

1. Zkopírujte soubor vygenerovaný v předchozím kroku do klienta.
2. Otevřete Správce certifikátů.
   1. Z příkazového řádku, PowerShellu nebo spuštění zadejte certlm.msc a stiskněte enter.
   2. Vyberte Spustit > spuštění a zadáním konzoly MMC vyhledejte konzolu Microsoft Management Console (mmc.exe).
      1. Přejděte do >modulu snap-in Přidat nebo odebrat soubor....
      2. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte Certifikáty a pak vyberte Přidat.
      3. V dialogovém okně Snap-in Certifikát
         1. Vyberte Účet počítače a vyberte Další. Otevře se dialogové okno Vybrat počítač.
         2. Vyberte Místní počítač a vyberte Dokončit.
      4. Vyberte OK.
      5. V části Kořenový adresář konzoly rozbalte položku Certifikáty (místní počítač)
3. Rozbalte důvěryhodné kořenové certifikační autority a pak vyberte Certifikáty.
4. Vyberte všechny úkoly.
5. V Průvodci importem certifikátu ponechte první stránku jako výchozí a vyberte Další.
   1. Přejděte do umístění, kam jste stáhli soubor certifikátu certifikační autority, a vyberte soubor důvěryhodného kořenového certifikátu zkopírovaný z certifikační autority.
   2. Vyberte Další.
   3. V umístění úložiště certifikátů ponechte důvěryhodné kořenové certifikační autority jako výchozí.
   4. Vyberte Další a Dokončit.
6. V případě úspěchu se důvěryhodný kořenový certifikát od certifikační autority zobrazí v části Důvěryhodné kořenové certifikační autority>Certifikáty.

Vytvoření šablony certifikátu pro certifikační autoritu organizace

Důležité

Pokud využíváte Stand-Alone nebo certifikační autority jiných společností než Microsoft, obraťte se na svůj certifikát nebo tým PKI, jak pokračovat v generování žádosti o certifikát.

Další informace najdete v tématu Šablony certifikátů.

Vytvoření šablony certifikátu pro Nástroj System Center Operations Manager

1. Přihlaste se k serveru připojenému k doméně pomocí AD CS ve vašem prostředí (vaše certifikační autorita).

2. Na ploše Windows vyberte Spustit>certifikační autoritu nástrojů pro>správu systému Windows.

3. V pravém navigačním podokně rozbalte certifikační autoritu, klikněte pravým tlačítkem myši na Šablony certifikátů a vyberte Spravovat.

4. Klepněte pravým tlačítkem myši na Počítač a vyberte Duplikovat šablonu.

5. Otevře se dialogové okno vlastnosti nové šablony; proveďte výběry podle pokynů:

   Tab	Popis
   Kompatibilita	1. certifikační autorita: Windows Server 2012 R2 (nebo nejnižší funkční úroveň služby Active Directory v prostředí). 2. příjemce certifikátu: Windows Server 2012 R2 (nebo operační systém nejnižší verze v prostředí).
   OBECNÉ	1. Zobrazovaný název šablony: Zadejte popisný název, například Operations Manager. 2. Název šablony: Zadejte stejný název jako zobrazovaný název. 3. období platnosti a období prodloužení: Zadejte dobu platnosti a prodloužení, která odpovídají zásadám certifikátu vaší organizace. Doporučení pro platnost nesmí překročit polovinu životnosti certifikační autority, která certifikát vydává. (Příklad: Čtyřletá podřízená certifikační autorita, max. dva roky životnosti certifikátu.) 4. Zaškrtněte políčko Publikovat certifikát ve službě Active Directory a neregistrujte automaticky, pokud v active directory existuje duplicitní certifikát.
   Zpracování žádostí	1. Účel: V rozevíracím seznamu vyberte podpis a šifrování . 2. Zaškrtněte políčko Povolit export privátního klíče.
   Kryptografie	1. Kategorie poskytovatele: Vyberte starší verzi zprostředkovatele kryptografických služeb 2. Název algoritmu: V rozevíracím seznamu vyberte položku Určená poskytovatelem CSP. 3. minimální velikost klíče: 2048 nebo 4096 podle požadavků organizace na zabezpečení. 4. Poskytovatelé: Vyberte poskytovatele kanálu Microsoft RSA Cryptographic a Microsoft Enhanced Cryptographic Provider v1.0.
   Zabezpečení	1. Odeberte uživatelský účet uživatele, který vytváří šablonu, měly by být místo toho skupiny. 2. Ujistěte se, že skupina Ověření uživatelé (nebo objekt počítače) má oprávnění Číst a Zaregistrovat. 2. Zrušte zaškrtnutí oprávnění Zaregistrovat pro Domain Adminsa Enterprise Admins. 3. Přidejte oprávnění pro skupinu zabezpečení, která obsahuje vaše servery Operations Manageru, a udělte této skupině oprávnění Registrovat.
   Požadavky na vystavení	1. Zaškrtněte políčko schválení správce certifikátů CA 2. V části Vyžadovat pro opětovné registraci vyberte Platný existující certifikát 3. Zaškrtněte políčko pro Povolit obnovení na základě klíče.
   Název subjektu	1. V žádosti vyberte možnostZásobování. Zaškrtněte políčko Použít informace subjektu z existujících certifikátů...

6. Vyberte Použít a OK, abyste vytvořili novou šablonu.

Publikování šablony u všech příslušných certifikačních autorit

1. Přihlaste se k serveru připojenému k doméně pomocí AD CS ve vašem prostředí (vaše certifikační autorita).
2. Na ploše Windows vyberte Spustit>certifikační autoritu nástrojů pro>správu systému Windows.
3. V pravém navigačním podokně rozbalte certifikační autoritu, klikněte pravým tlačítkem myši na Šablony certifikátů a vyberte Nové>šablony certifikátů, které chcete vydat.
4. Vyberte novou šablonu vytvořenou v předchozích krocích a vyberte OK.

Vyžádání certifikátu pomocí souboru žádosti

Poznámka:

Vytváření žádostí o certifikát pomocí souboru INF je starší metoda a nedoporučuje se.

Vytvoření souboru s informacemi (.inf)

1. Na počítači, který je hostitelem funkce Operations Manageru, pro který požadujete certifikát, otevřete v textovém editoru nový textový soubor.

2. Vytvořte textový soubor obsahující následující obsah:

   [NewRequest]
   Subject="CN=server.contoso.com"
   Key Exportable = TRUE  ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE
   HashAlgorithm = SHA256
   KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
   KeySpec = 1  ; AT_KEYEXCHANGE
   KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
   MachineKeySet = TRUE ; The key belongs to the local computer account
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   KeyAlgorithm = RSA
   
   ; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named
   [RequestAttributes]
   CertificateTemplate="OperationsManager"
   
   ; Not required if using a template with this defined
   [EnhancedKeyUsageExtension]
   OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
   OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication
   

3. Uložte soubor s příponou .inf. Například CertRequestConfig.inf.

4. Zavřete textový editor.

Vytvoření souboru žádosti o certifikát

Tento proces kóduje informace zadané v našem konfiguračním souboru v Base64 a výstupy do nového souboru.

1. Na počítači, který je hostitelem funkce Operations Manageru, pro který požadujete certifikát, otevřete příkazový řádek správce.

2. Přejděte do stejného adresáře, ve kterém se nachází soubor .inf.

3. Spuštěním následujícího příkazu upravte název souboru .inf tak, aby odpovídal názvu souboru vytvořenému dříve. Ponechte název souboru .req as-is:

   CertReq –New –f CertRequestConfig.inf CertRequest.req
   

4. Spuštěním následujícího příkazu a kontrolou výsledků ověřte nový soubor .req:

   CertUtil CertRequest.req
   

Odeslání nové žádosti o certifikát

1. Na počítači, který je hostitelem funkce Operations Manageru, pro který požadujete certifikát, otevřete příkazový řádek správce.

2. Přejděte do stejného adresáře, ve kterém se nachází soubor .req.

3. Spuštěním následujícího příkazu odešlete žádost certifikační autoritě:

   CertReq -Submit CertRequest.req
   

4. Pokud ano, můžete si zobrazit možnosti výběru certifikační autority a pokračovat v tom, že vyberete příslušnou certifikační autoritu.

5. Po dokončení můžou výsledky hlásit, že žádost o certifikát čeká na vyřízení, a proto je nutné, aby váš schvalovatel certifikátu žádost schválil, než budete pokračovat.

   1. V opačném případě se certifikát naimportuje do úložiště certifikátů.

Vyžádání certifikátu pomocí Správce certifikátů

U podnikových certifikačních autorit s definovanou šablonou certifikátu můžete požádat o nový certifikát z klientského počítače připojeného k doméně pomocí Správce certifikátů. Tato metoda je specifická pro certifikační autority Enterprise a nevztahuje se na Stand-Alone certifikační autority.

1. Přihlaste se k cílovému počítači s právy správce (Server pro správu, brána, agent atd.).

2. Pomocí příkazového řádku správce nebo okna PowerShellu otevřete Správce certifikátů.

   1. certlm.msc – otevře úložiště certifikátů místního počítače.
   2. mmc.msc – otevře konzolu Microsoft Management Console.
      1. Načtěte modul snap-in Správce certifikátů.
      2. Přejděte do >modulu snap-in Přidat nebo odebrat soubor.
      3. Vyberte Certifikáty.
      4. Vyberte Přidat.
      5. Po zobrazení výzvy vyberte Účet počítače a vyberte Další.
      6. Ujistěte se, že chcete vybrat místní počítač a vybrat Dokončit.
      7. Kliknutím na tlačítko OK zavřete průvodce.

3. Spusťte žádost o certifikát:

   1. V části Certifikáty rozbalte složku Osobní.
   2. Klikněte pravým tlačítkem myši na Certifikáty>>požadovat nový certifikát.

4. V průvodci zápisem certifikátu

   1. Na stránce Před zahájením vyberte Další.
   2. Vyberte příslušné zásady zápisu certifikátů (výchozí nastavení může být zásada zápisu služby Active Directory), vyberte Další.
   3. Vyberte požadovanou šablonu zásad registrace.
   4. Pokud šablona není okamžitě dostupná, vyberte Zobrazit všechny šablony pod seznamem.
   5. Pokud je potřebná šablona k dispozici s červeným X vedle ní, obraťte se na svůj tým active directory nebo certifikátu.
   6. Vzhledem k tomu, že informace v certifikátu je potřeba zadat ručně, zobrazí se pod vybranou šablonou upozornění jako hypertextový odkaz, který říká ⚠️ More Information is required to enroll for this certificate. Click here to configure settings.
      1. Vyberte hypertextový odkaz a pokračujte vyplněním informací o certifikátu v místním okně.

5. V průvodci vlastností certifikátu:

   Tab	Popis
   Předmět	1. V části Název subjektu vyberte běžný název nebo úplný název domény, zadejte hodnotu – název hostitele nebo název systému BIOS cílového serveru, vyberte Přidat. 2. Podle potřeby přidejte alternativní názvy. Pokud místo subjektu používáte alternativní názvy, musí název prvního odpovídat názvu hostitele nebo názvu systému BIOS.
   OBECNÉ	1. Zadejte popisný název vygenerovaného certifikátu. 2. V případě potřeby zadejte popis účelu tohoto certifikátu.
   Rozšíření	1. V části Použití klíče nezapomeňte vybrat možnost Digitální podpis a šifrování klíče a zaškrtněte políčko Nastavit použití těchto klíčů jako kritické . 2. V části Rozšířené použití klíče vyberte Ověřování serveru a Ověřování klienta.
   Soukromý klíč	1. V části Možnosti klíče zkontrolujte, zda je velikost klíče alespoň 1024 nebo 2048, a zaškrtněte políčko Nastavit privátní klíč jako exportovatelný . 2. V části Typ klíče nezapomeňte vybrat možnost Exchange .
   Karta Certifikační autorita	Nezapomeňte zaškrtnout políčko certifikační autority.
   Podpis	Pokud vaše organizace vyžaduje registrační autoritu, zadejte podpisový certifikát pro tuto žádost.

   1. Po zadání informací v průvodci vlastnostmi certifikátu hypertextový odkaz upozornění z dřívějších verzí zmizí.
   2. Vyberte Zaregistrovat a vytvořte certifikát. Pokud dojde k chybě, obraťte se na tým AD nebo certifikátu.
      1. V případě úspěchu stav zní Úspěšné a nový certifikát je v úložišti osobní/certifikáty.

6. Pokud byly tyto akce učiněny u zamýšleného příjemce certifikátu, pokračujte k dalším krokům.

7. Pokud žádost o certifikát potřebuje schválit správce certifikátů, pokračujte, až se žádost ověří a schválí.

   1. Po schválení se v případě konfigurace automatické registrace certifikát zobrazí v systému po aktualizaci zásad skupiny (gpupdate /force).
   2. Pokud se nezobrazuje v osobním úložišti místního počítače, vyhledejte certifikáty – Místní počítač>žádosti o zápis certifikátů>certifikáty
      1. Pokud je zde požadovaný certifikát, zkopírujte ho do osobního úložiště certifikátů.
      2. Pokud požadovaný certifikát tady není, obraťte se na tým certifikátů.

8. Jinak vyexportujte nový certifikát z počítače a zkopírujte ho na další.

   1. Otevřete okno Správce certifikátů a přejděte na Osobní>certifikáty.
   2. Vyberte certifikát, který se má exportovat.
   3. Klikněte pravým tlačítkem na Všechny úkoly>Exportovat.
   4. V Průvodci exportem certifikátu.
      1. Na úvodní stránce vyberte Další .
      2. Nezapomeňte vybrat Ano, exportovat privátní klíč.
      3. Vyberte Exchange osobních informací – PKCS #12 (. PFX) z možností formátu.
         1. Pokud je to možné, zaškrtněte políčko Zahrnout všechny certifikáty do cesty certifikace a vyexportujte všechny rozšířené vlastnosti.
      4. Vyberte Další.
      5. Zadejte známé heslo pro šifrování souboru certifikátu.
      6. Vyberte Další.
      7. Zadejte přístupnou cestu a rozpoznatelný název souboru pro certifikát.
   5. Zkopírujte nově vytvořený soubor certifikátu do cílového počítače.

Instalace certifikátu na cílový počítač

Pokud chcete použít nově vytvořený certifikát, naimportujte ho do úložiště certifikátů na klientském počítači.

Přidání certifikátu do úložiště certifikátů

1. Přihlaste se k počítači, na kterém se certifikáty vytvářejí pro server pro správu, bránu nebo agenta.

2. Zkopírujte certifikát vytvořený dříve do přístupného umístění na tomto počítači.

3. Otevřete příkazový řádek správce nebo okno PowerShellu a přejděte do složky, ve které se nachází soubor certifikátu.

4. Spusťte následující příkaz a nahraďte NewCertificate.cer správným názvem nebo cestou souboru:

   CertReq -Accept -Machine NewCertificate.cer

5. Tento certifikát by teď měl být v osobním úložišti místního počítače na tomto počítači.

Případně klikněte pravým tlačítkem na soubor > certifikátu Nainstalovat > místní počítač a zvolte cíl osobního úložiště pro instalaci certifikátu.

Spropitné

Pokud přidáte certifikát do úložiště certifikátů s privátním klíčem a později ho odstraníte, certifikát při opětovném importu ztratí privátní klíč. Operations Manager vyžaduje privátní klíč pro šifrování odchozích dat. K obnovení privátního klíče použijte příkaz certutil se sériovým číslem certifikátu. V příkazovém řádku správce nebo v okně PowerShellu spusťte následující příkaz:

certutil -repairstore my <certificateSerialNumber>

Import certifikátu do Operations Manageru

Kromě instalace certifikátu v systému je nutné aktualizovat Operations Manager, aby věděl o certifikátu, který chcete použít. Tyto akce vedou k restartování služby Microsoft Monitoring Agent, aby se změny projevily.

Vyžadujeme nástroj MOMCertImport.exe, který je součástí složky SupportTools instalačního média nástroje Operations Manager. Zkopírujte soubor na server.

Pokud chcete certifikát importovat do Operations Manageru pomocí MOMCertImportu, postupujte takto:

1. Přihlaste se k cílovému počítači.

2. Otevřete příkazový řádek správce nebo okno PowerShellu a přejděte do složky nástroje MOMCertImport.exe .

3. Spuštěním následujícího příkazu spusťte nástroj MomCertImport.exe:

   1. V CMD: MOMCertImport.exe
   2. V PowerShellu: .\MOMCertImport.exe

4. Zobrazí se okno grafického uživatelského rozhraní s výzvou k výběru certifikátu.

   1. Pokud požadovaný certifikát v seznamu nevidíte, zobrazí se seznam certifikátů, vyberte Další možnosti.

5. V seznamu vyberte nový certifikát počítače.

   1. Certifikát můžete ověřit tak, že ho vyberete. Po výběru můžete zobrazit vlastnosti certifikátu.

6. Vyberte OK.

7. V případě úspěchu se automaticky otevírané okno zobrazí následující zpráva:

   Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

8. Pokud to chcete ověřit, přejděte na Prohlížeč událostí>protokoly aplikací a služeb> Operations Manageru a vyhledejte ID události 20053. Tato událost označuje, že se ověřovací certifikát úspěšně načetl.

9. Pokud na systému není přítomno ID události 20053, vyhledejte jedno z následujících ID událostí, které definují jakékoli problémy s importovaným certifikátem, a opravte je podle potřeby:

   • 20049
   • 20050
   • 20052
   • 20066
   • 20069
   • 20077

   Pokud v protokolu nejsou žádná z těchto ID událostí, import certifikátu se nezdařil, zkontrolujte certifikát a oprávnění správce a zkuste to znovu.

10. cs-CZ: MOMCertImport aktualizuje následující umístění registru tak, aby obsahovalo hodnotu odpovídající sériovému číslu importovaného certifikátu, a to zrcadleně:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
    

Obnovení certifikátu

Operations Manager vygeneruje výstrahu, když se blíží vypršení platnosti importovaného certifikátu pro servery pro správu a brány. Pokud se vám zobrazí takové upozornění, obnovte nebo vytvořte nový certifikát pro servery před datem vypršení platnosti. Tato funkce upozornění funguje jenom v případě, že certifikát obsahuje informace o šabloně z certifikační autority organizace.

1. Přihlaste se k serveru pomocí certifikátu, jehož platnost vypršela, a spusťte správce konfigurace certifikátu (certlm.msc).
2. Vyhledejte certifikát nástroje Operations Manager, jehož platnost vypršela.
3. Pokud certifikát nenajdete, je možné, že byl odebrán nebo importován prostřednictvím souboru, a ne úložiště certifikátů. Musíte pro tento počítač vydat nový certifikát z certifikační autority. Informace o tom, jak to udělat, najdete v předchozích pokynech.
4. Pokud najdete certifikát, můžete ho obnovit výběrem následujících možností:
   1. Žádost o certifikát s novým klíčem
   2. Obnovení certifikátu pomocí nového klíče
   3. Obnovení certifikátu pomocí stejného klíče
5. Vyberte možnost, která nejlépe odpovídá tomu, co chcete udělat, a postupujte podle průvodce.
6. Po dokončení spusťte nástroj MOMCertImport.exe a ujistěte se, že Operations Manager má nové sériové číslo certifikátu. Další informace najdete v části Import certifikátu do nástroje Operations Manager.

Pokud prodloužení platnosti certifikátu prostřednictvím této metody není dostupné, použijte předchozí kroky k vyžádání nového certifikátu nebo certifikační autority organizace. Nainstalujte a importujte nový certifikát (MOMCertImport) pro použití nástrojem Operations Manager.

Volitelné: Konfigurace automatické registrace a prodloužení platnosti certifikátu

Certifikační autorita organizace slouží ke konfiguraci automatické registrace certifikátu a obnovení po vypršení jejich platnosti. Tím se distribuuje důvěryhodný kořenový certifikát do všech systémů připojených k doméně.

Konfigurace automatické registrace a prodloužení certifikátu nefunguje s certifikačními autoritami Stand-Alone ani s certifikačními autoritami jiných společností než Microsoft. Pro systémy v pracovní skupině nebo samostatné doméně budou obnovení certifikátů a registrace ručním procesem.

Další informace naleznete v Windows Server Guide.

Poznámka:

Automatická registrace a prodlužování platnosti automaticky nenakonfigurují Operations Manager tak, aby používal nový certifikát. Pokud se certifikát automaticky prodlouží pomocí stejného klíče, může kryptografický otisk zůstat stejný a správce nevyžaduje žádnou akci. Pokud se vygeneruje nový certifikát nebo se kryptografický otisk změní, musí se aktualizovaný certifikát znovu importovat. Další informace najdete v části Import certifikátu do nástroje Operations Manager.