Obtenir un certificat à utiliser avec les serveurs Windows et System Center Operations Manager

Lorsque System Center Operations Manager fonctionne sur des limites d’approbation où l’authentification Kerberos avec des machines clientes passerelle ou Windows n’est pas possible, l’authentification basée sur un certificat est requise. Cette méthode est utilisée pour établir la communication entre Microsoft Monitoring Agent et les serveurs d’administration. Le cas d’usage principal consiste à s'authentifier avec les systèmes de passerelle et les systèmes de clients Windows dans des groupes de travail, des zones démilitarisées (DMZ) ou d'autres domaines sans relation de confiance bidirectionnelle.

Les certificats générés à l’aide de cet article ne sont pas pour la surveillance Linux, sauf si un serveur de passerelle effectuant l’analyse se trouve sur une limite d’approbation, et que le certificat est utilisé uniquement pour l’authentification Windows-à-Windows pour la passerelle et le serveur d’administration, des certificats distincts (SCX-Certificates) sont utilisés pour l’authentification Linux et sont gérés par Operations Manager lui-même.

Cet article explique comment obtenir un certificat et l’utiliser avec le serveur d’administration Operations Manager, la passerelle ou l’agent à l’aide d’un serveur Enterprise Active Directory Certificate Services (AD CS) Certificate Authority (CA) sur la plateforme Windows. Si vous utilisez une autorité de certification Stand-Alone ou non-Microsoft, consultez votre équipe certificat/infrastructure à clé publique pour obtenir de l’aide sur la création de certificats utilisés pour Operations Manager.

Prérequis

Vérifiez que vous disposez des exigences suivantes :

• Active Directory Certificate Services (AD CS) installé et configuré, ou une autorité de certification non-Microsoft. (Remarque : Ce guide ne couvre pas la demande de certificats d’une autorité de certification non-Microsoft.)
• Privilèges d’administrateur de domaine.
• Serveurs d’administration Operations Manager joints au domaine.

Conditions requises pour les certificats

Important

Le fournisseur de stockage de clés d'API de chiffrement (KSP) n’est pas pris en charge pour les certificats d'Operations Manager.

À ce stade, Operations Manager ne prend pas en charge les certificats plus avancés et s’appuie sur les fournisseurs hérités.

Si votre organisation n’utilise pas AD CS ou utilise une autorité de certification externe, utilisez les instructions fournies pour cette autorité pour créer votre certificat, en vous assurant qu’elle répond aux exigences suivantes pour Operations Manager :

- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)

- [Key Usage]
    Key Exportable = FALE  ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
    HashAlgorithm = SHA256
    KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
    KeySpec = 1  ; AT_KEYEXCHANGE
    KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
    MachineKeySet = TRUE ; The key belongs to the local computer account
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    KeyAlgorithm = RSA

- [EnhancedKeyUsageExtension]
     - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
     - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
     - Compatible with Windows Server 2012 R2 ; (or newer based on environment)

- [Cryptography Settings]
     - Provider Category: Legacy Cryptography Service Provider
     - Algorithm name: RSA
     - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
     - Providers: "Microsoft RSA Schannel Cryptographic Provider"

Processus de haut niveau pour obtenir un certificat

Important

Pour cet article, les paramètres par défaut de AD-CS sont les suivants :

• Longueur de clé standard : 2048
• API de chiffrement : Fournisseur de services de chiffrement (CSP)
• Algorithme de hachage sécurisé : 256 (SHA256)

Évaluez ces sélections en fonction des exigences de la stratégie de sécurité de votre entreprise.

Autorité de certification d’entreprise

1. Téléchargez le certificat racine à partir d’une autorité de certification.
2. Importez le certificat racine sur un serveur client.
3. Créer un modèle de certificat.
4. Envoyez une demande à l’autorité de certification.
5. Approuvez la demande si nécessaire.
6. Récupérez le certificat.
7. Importez le certificat dans le magasin de certificats.
8. Importez le certificat dans Operations Manager à l’aide <MOMCertImport>de .

Stand-Alone ou les autorités de certification non-Microsoft

1. Téléchargez le certificat racine à partir d’une autorité de certification.
2. Importez le certificat racine sur un serveur client.
3. Demandez un certificat de l’autorité de certification correspondant aux exigences d’Operations Manager.
4. Approuvez la demande si nécessaire.
5. Récupérez le certificat de l’autorité de certification.
6. Importez le certificat dans le magasin de certificats.
7. Importez le certificat dans Operations Manager à l’aide <MOMCertImport>de .

Télécharger et importer le certificat racine à partir de l’autorité de certification

Pourboire

Si vous utilisez une autorité de certification d’entreprise et que vous utilisez un système joint à un domaine, les certificats racines doivent déjà être installés dans les magasins appropriés et vous pouvez ignorer cette étape.

Pour vérifier que les certificats sont installés, exécutez la commande PowerShell suivante sur le système joint au domaine, en remplaçant « Domaine » par votre nom de domaine partiel :

# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }

# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }

Pour approuver et valider tous les certificats créés par les autorités de certification, l’ordinateur cible doit avoir une copie du certificat racine dans son magasin des certificats racines de confiance. La plupart des ordinateurs joints à un domaine approuvent déjà l’autorité de certification Entreprise. Toutefois, aucun ordinateur n’approuve un certificat d’une autorité de certification non entreprise sans le certificat racine installé pour cette autorité de certification.

Si vous utilisez une autorité de certification non-Microsoft, le processus de téléchargement est différent. Toutefois, le processus d’importation reste le même.

Pour installer automatiquement les certificats racine et d’autorité de certification à l’aide de la Stratégie de groupe

1. Connectez-vous à l’ordinateur sur lequel vous souhaitez installer les certificats en tant qu’administrateur.
2. Ouvrez une invite de commandes d'administrateur ou une console PowerShell.
3. Exécuter la commande gpupdate /force
4. Une fois terminé, vérifiez la présence des certificats racine et CA dans le magasin de certificats ; ils doivent être visibles dans le Gestionnaire de certificats du système local sous Autorités de certification racines approuvées>Certificats.

Télécharger manuellement le certificat racine de confiance à partir d'une autorité de certification

Pour télécharger le certificat racine approuvé, procédez comme suit :

1. Connectez-vous à l’ordinateur sur lequel vous souhaitez installer un certificat. Par exemple, un serveur de passerelle ou un serveur d’administration.
2. Ouvrez un navigateur web et connectez-vous à l’adresse web du serveur de certificats. Par exemple : https://<servername>/certsrv.
3. Dans la page d’accueil, sélectionnez Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation de certificats.
   1. Si vous y êtes invité avec une confirmation d’accès web, vérifiez le serveur et l’URL, puis sélectionnez Oui.
   2. Vérifiez les plusieurs options sous Certificat d’autorité de certification et confirmez la sélection.
4. Remplacez la méthode d’encodage par Base 64 , puis sélectionnez Télécharger la chaîne de certificats d’autorité de certification.
5. Enregistrez le certificat et fournissez un nom convivial.

Importer le certificat racine approuvé à partir de l’autorité de certification sur le client

Remarque

Pour importer un certificat racine approuvé, vous devez disposer de privilèges d’administration sur l’ordinateur cible.

Pour importer le certificat racine approuvé, procédez comme suit :

1. Copiez le fichier généré à l’étape précédente vers le client.
2. Ouvrez le gestionnaire de certificats.
   1. À partir de la ligne de commande, de PowerShell ou d’exécution, tapez certlm.msc , puis appuyez sur Entrée.
   2. Sélectionnez Démarrer > l’exécution et tapez mmc pour rechercher la console de gestion Microsoft (mmc.exe).
      1. Accédez à Ajouter>/Supprimer un composant logiciel enfichable....
      2. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis sélectionnez Ajouter.
      3. Dans la boîte de dialogue Composant logiciel enfichable Certificat,
         1. Sélectionnez Compte d’ordinateur, puis sélectionnez Suivant. La boîte de dialogue Sélectionner un ordinateur s’ouvre.
         2. Sélectionnez Ordinateur local, puis Terminer.
      4. Cliquez sur OK.
      5. Sous Racine de la console, développez Certificats (ordinateur local)
3. Développez Autorités de certification racines approuvées, puis sélectionnez Certificats.
4. Sélectionnez toutes les tâches.
5. Dans l’Assistant Importation de certificat, laissez la première page par défaut et sélectionnez Suivant.
   1. Accédez à l’emplacement où vous avez téléchargé le fichier de certificat d’autorité de certification et sélectionnez le fichier de certificat racine approuvé copié à partir de l’autorité de certification.
   2. Cliquez sur Suivant.
   3. Dans l’emplacement du magasin de certificats, conservez les autorités de certification racines approuvées comme valeur par défaut.
   4. Sélectionnez Suivant et Terminer.
6. Si le processus réussit, le certificat racine approuvé de l'autorité de certification est visible sous Autorités de certification racines approuvées>Certificats.

Créer un modèle de certificat pour une autorité de certification d’entreprise

Important

Si vous utilisez des autorités de certification Stand-Alone ou non-Microsoft, consultez votre équipe chargée des certificats ou PKI pour savoir comment générer votre demande de certificat.

Pour plus d’informations, consultez les modèles de certificat.

Créer un modèle de certificat pour System Center Operations Manager

1. Connectez-vous à un serveur joint à un domaine avec AD CS dans votre environnement (votre autorité de certification).

2. Sur le bureau Windows, sélectionnez Démarrer>l’autorité de certification des outils>d’administration Windows.

3. Dans le volet de navigation de droite, développez l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificat, puis sélectionnez Gérer.

4. Cliquez avec le bouton droit sur Ordinateur, puis sélectionnez Dupliquer le modèle.

5. La boîte de dialogue Propriétés du nouveau modèle s’ouvre ; effectuez les sélections comme indiqué :

   Onglet	Description
   Compatibilité	1. Autorité de certification: Windows Server 2012 R2 (ou le niveau fonctionnel AD le plus bas dans l’environnement). 2. destinataire du certificat: Windows Server 2012 R2 (ou le système d’exploitation de version la plus faible dans l’environnement).
   Général	1. Nom d’affichage du modèle : entrez un nom convivial, tel que Operations Manager. 2. Nom du modèle : entrez le même nom que le nom complet. 3. période de validité et période de renouvellement: entrez les périodes de validité et de renouvellement qui s’alignent sur la stratégie de certificat de votre organisation. La recommandation de validité ne doit pas dépasser une moitié de la durée de vie de l’autorité de certification émettrice du certificat. (Par exemple : quatre ans sous-CA, durée de vie maximale de deux ans pour le certificat.). 4. Sélectionnez Publier un certificat dans Active Directory et ne réinscrivez pas automatiquement si un certificat en double existe dans les cases Active Directory .
   Gestion des demandes	1. Objectif : sélectionnez Signature et chiffrement dans la liste déroulante. 2. Cochez la case Autoriser l’exportation de la clé privée.
   Cryptographie	1. Catégorie de fournisseur : Sélectionnez le fournisseur de services de chiffrement hérité 2. Nom de l’algorithme : sélectionnez Déterminé par CSP dans la liste déroulante. 3. taille de clé minimale: 2048 ou 4096 en fonction des exigences de sécurité de l’organisation. 4. Fournisseurs: sélectionnez fournisseur de chiffrement de canal Microsoft RSA et Fournisseur de chiffrement Microsoft Amélioré v1.0.
   Sécurité	1. Supprimez le compte d’utilisateur de l’utilisateur qui crée le modèle, les groupes doivent être en place à la place. 2. Vérifiez que le groupe utilisateurs authentifiés (ou objet ordinateur) dispose d'autorisations de lecture et d'autorisations d'inscription. 2. Décochez la permission Inscrire pour les administrateurs de domaine, et les administrateurs d'entreprise. 3. Ajoutez des autorisations pour le groupe de sécurité qui contient vos serveurs Operations Manager, et accordez à ce groupe l'autorisation Inscription.
   Exigences d’émission	1. Cochez la case pour l'approbation du gestionnaire de certificats 2. Sous « Exiger les éléments suivants pour la réinscription », sélectionnez certificat existant valide 3. Cochez la case Autoriser le renouvellement basé sur les clés
   Nom de l’objet	1. Sélectionnez Supply dans la demande 2. Cochez la case Utiliser les informations d’objet à partir de certificats existants...

6. Sélectionnez Appliquer et OK pour créer le modèle.

Publier le modèle sur toutes les autorités de certification pertinentes

1. Connectez-vous à un serveur joint à un domaine avec AD CS dans votre environnement (votre autorité de certification).
2. Sur le bureau Windows, sélectionnez Démarrer>l’autorité de certification des outils>d’administration Windows.
3. Dans le volet de navigation de droite, développez l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificat, puis sélectionnez >modèles de certificat à émettre.
4. Sélectionnez le nouveau modèle créé dans les étapes ci-dessus, puis sélectionnez OK.

Demander un certificat à l’aide d’un fichier de requête

Remarque

La création de demandes de certificat à l’aide d’un fichier INF est une méthode héritée et n’est pas recommandée.

Créer un fichier d’informations (.inf)

1. Sur l’ordinateur hébergeant la fonctionnalité Operations Manager pour laquelle vous demandez un certificat, ouvrez un nouveau fichier texte dans un éditeur de texte.

2. Créez un fichier texte contenant le contenu suivant :

   [NewRequest]
   Subject="CN=server.contoso.com"
   Key Exportable = TRUE  ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE
   HashAlgorithm = SHA256
   KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
   KeySpec = 1  ; AT_KEYEXCHANGE
   KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
   MachineKeySet = TRUE ; The key belongs to the local computer account
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   KeyAlgorithm = RSA
   
   ; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named
   [RequestAttributes]
   CertificateTemplate="OperationsManager"
   
   ; Not required if using a template with this defined
   [EnhancedKeyUsageExtension]
   OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
   OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication
   

3. Enregistrez le fichier avec une extension de fichier .inf. Par exemple : CertRequestConfig.inf.

4. Fermez l’éditeur de texte.

Créer un fichier de demande de certificat

Ce processus encode les informations spécifiées dans notre fichier config en Base64 et génère un nouveau fichier.

1. Sur l’ordinateur hébergeant la fonctionnalité Operations Manager pour laquelle vous demandez un certificat, ouvrez une invite de commandes Administrateur.

2. Accédez au même répertoire que celui où se trouve le fichier .inf.

3. Exécutez la commande suivante pour modifier le nom de fichier .inf pour vous assurer qu’il correspond au nom de fichier créé précédemment. Laissez le nom de fichier .req as-is:

   CertReq –New –f CertRequestConfig.inf CertRequest.req
   

4. Validez le nouveau fichier .req en exécutant la commande suivante et en vérifiant les résultats :

   CertUtil CertRequest.req
   

Envoyer une nouvelle demande de certificat

1. Sur l’ordinateur hébergeant la fonctionnalité Operations Manager pour laquelle vous demandez un certificat, ouvrez une invite de commandes Administrateur.

2. Accédez au même répertoire que celui où se trouve le fichier .req.

3. Exécutez la commande suivante pour envoyer une demande à votre autorité de certification :

   CertReq -Submit CertRequest.req
   

4. Des options peuvent vous être présentées pour sélectionner votre autorité de certification. Le cas échéant, sélectionnez une autorité de certification appropriée et continuez.

5. Une fois terminés, les résultats peuvent indiquer que la « demande de certificat est en attente », ce qui nécessite que votre approbateur de certificat approuve la demande avant de continuer.

   1. Sinon, le certificat est importé dans le magasin de certificats.

Demander un certificat à l’aide du Gestionnaire de certificats

Pour les autorités de certification d’entreprise avec un modèle de certificat défini, vous pouvez demander un nouveau certificat à partir d’un ordinateur client joint à un domaine à l’aide du Gestionnaire de certificats. Cette méthode est spécifique aux autorités de certification d’entreprise et ne s’applique pas aux autorités de certification Stand-Alone.

1. Connectez-vous à l’ordinateur cible avec des droits d’administrateur (serveur d’administration, passerelle, agent, etc.).

2. Utilisez l’invite de commandes Administrateur ou la fenêtre PowerShell pour ouvrir le Gestionnaire de certificats.

   1. certlm.msc : ouvre le magasin de certificats ordinateur local.
   2. mmc.msc : ouvre la console de gestion Microsoft.
      1. Chargez le composant logiciel enfichable Certificate Manager.
      2. Accédez au composant logiciel enfichable Ajouter/supprimer un composant>logiciel enfichable.
      3. Sélectionnez Certificats.
      4. Sélectionnez Ajouter.
      5. Lorsque vous y êtes invité, sélectionnez Compte d’ordinateur et sélectionnez Suivant
      6. Veillez à sélectionner Ordinateur local et à terminer.
      7. Sélectionnez OK pour fermer l’Assistant.

3. Démarrez la demande de certificat :

   1. Sous Certificats, développez le dossier Personnel.
   2. Cliquez avec le bouton droit sur >>, demandez un nouveau certificat.

4. Dans l’Assistant d’inscription de certificats

   1. Dans la page Avant de commencer, sélectionnez Suivant.
   2. Sélectionnez la stratégie d’inscription de certificat applicable (la stratégie d’inscription Active Directory peut être la stratégie d’inscription Active Directory), sélectionnez Suivant
   3. Sélectionnez votre modèle de stratégie d’inscription souhaité.
   4. Si le modèle n’est pas immédiatement disponible, sélectionnez Afficher toutes les boîtes de modèles sous la liste
   5. Si le modèle nécessaire est disponible avec un X rouge en regard de celui-ci, consultez votre équipe Active Directory ou Certificate
   6. Comme les informations contenues dans le certificat doivent être entrées manuellement, vous trouverez un message d’avertissement sous le modèle sélectionné en tant que lien hypertexte indiquant ⚠️ More Information is required to enroll for this certificate. Click here to configure settings.
      1. Sélectionnez le lien hypertexte, puis continuez à renseigner les informations du certificat dans la fenêtre contextuelle.

5. Dans l’Assistant Propriétés de certificat :

   Onglet	Description
   Objet	1. Dans le nom de l’objet, sélectionnez le nom commun ou le nom complet, indiquez la valeur - nom d’hôte ou nom BIOS du serveur cible, sélectionnez Ajouter. 2. Ajoutez d’autres noms comme vous le souhaitez. Si vous utilisez d’autres noms à la place d’un objet, le prénom doit correspondre au nom d’hôte ou au nom BIOS.
   Général	1. Fournissez un nom convivial au certificat généré. 2. Fournissez une description de l’objectif de ce certificat si vous le souhaitez.
   Extensions	1. Sous Utilisation de la clé, veillez à sélectionner l’option Signature numérique et chiffrement de clé, puis cochez la case Définir ces utilisations critiques . 2. Sous "Utilisation étendue de la clé", veillez à sélectionner les options Authentification du serveur et Authentification du client.
   Clé privée	1. Sous Options de clé, vérifiez que la taille de la clé est au moins 1024 ou 2048, puis cochez la case Créer une clé privée exportable . 2. Sous Type de clé, veillez à sélectionner l’option Exchange .
   Onglet Autorité de certification	Veillez à cocher la case à cocher de l’autorité de certification.
   Signature	Si votre organisation requiert une autorité d’inscription, fournissez un certificat de signature pour cette demande.

   1. Une fois que les informations sont fournies dans l’Assistant Propriétés du certificat, le lien hypertexte d’avertissement de la version antérieure disparaît.
   2. Sélectionnez Inscrire pour créer le certificat. En cas d’erreur, consultez votre équipe AD ou certificat.
      1. En cas de réussite, l'état affiche Réussi et un nouveau certificat se trouve dans le stockage Personnel/Certificats.

6. Si ces actions ont été effectuées sur le destinataire prévu du certificat, passez aux étapes suivantes.

7. Si la demande de certificat doit être approuvée par un gestionnaire de certificats, continuez une fois la demande validée et approuvée.

   1. Une fois approuvé, si l’inscription automatique est configurée, le certificat apparaît sur le système après une mise à jour de stratégie de groupe (gpupdate /force).
   2. S’il n’apparaît pas dans le magasin personnel de l’ordinateur local, recherchez Certificats - Ordinateur local>demandes d’inscription de certificats>Certificats
      1. Si le certificat demandé est présent ici, copiez-le dans le magasin de certificats personnel.
      2. Si le certificat demandé n’est pas ici, consultez votre équipe de certificats.

8. Sinon, exportez le nouveau certificat à partir de la machine et copiez-le vers la suivante.

   1. Ouvrez la fenêtre Gestionnaire de certificats et accédez à >.
   2. Sélectionnez le certificat à exporter.
   3. Cliquez avec le bouton droit sur Toutes les tâches>d’exportation.
   4. Dans l’Assistant Exportation de certificat.
      1. Sur la page de bienvenue, sélectionnez Suivant .
      2. Veillez à sélectionner Oui, exportez la clé privée.
      3. Sélectionnez Échange d’informations personnelles – PKCS #12 (. PFX) à partir des options de format.
         1. Sélectionnez Inclure tous les certificats dans le chemin de certification si possible et activez toutes les cases à cocher Exporter toutes les propriétés étendues.
      4. Cliquez sur Suivant.
      5. Fournissez un mot de passe connu pour chiffrer le fichier de certificat.
      6. Cliquez sur Suivant.
      7. Fournissez un chemin d’accès accessible et un nom de fichier reconnaissable pour le certificat.
   5. Copiez le fichier de certificat nouvellement créé sur l’ordinateur cible.

Installer le certificat sur l’ordinateur cible

Pour utiliser le certificat nouvellement créé, importez-le dans le magasin de certificats sur l’ordinateur client.

Ajouter le certificat au magasin de certificats

1. Connectez-vous à l’ordinateur sur lequel les certificats sont créés pour le serveur d’administration, la passerelle ou l’agent.

2. Copiez le certificat créé précédemment dans un emplacement accessible sur cet ordinateur.

3. Ouvrez une invite de commandes d’administrateur ou une fenêtre PowerShell et accédez au dossier où se trouve le fichier de certificat.

4. Exécutez la commande suivante, en remplaçant NewCertificate.cer par le nom/chemin d’accès correct du fichier :

   CertReq -Accept -Machine NewCertificate.cer

5. Ce certificat doit maintenant être présent dans le magasin Local Machine Personal sur cet ordinateur.

Vous pouvez également cliquer avec le bouton droit sur le fichier > de certificat Installer > l’ordinateur local et choisir la destination du magasin personnel pour installer le certificat.

Pourboire

Si vous ajoutez un certificat au magasin de certificats avec la clé privée et supprimez-la ultérieurement, le certificat perd la clé privée lorsqu’il est réimporté. Operations Manager nécessite la clé privée pour chiffrer les données sortantes. Pour restaurer la clé privée, utilisez la commande certutil avec le numéro de série du certificat. Exécutez la commande suivante dans une invite de commandes d’administrateur ou une fenêtre PowerShell :

certutil -repairstore my <certificateSerialNumber>

Importer le certificat dans Operations Manager

Outre l’installation du certificat sur le système, vous devez mettre à jour Operations Manager pour connaître le certificat que vous souhaitez utiliser. Ces actions entraînent un redémarrage du service Microsoft Monitoring Agent pour que les modifications s’appliquent.

Nous avons besoin de l’utilitaire MOMCertImport.exe, qui est inclus dans le dossier SupportTools du support d’installation d’Operations Manager. Copiez le fichier sur votre serveur.

Pour importer le certificat dans Operations Manager à l’aide de MOMCertImport, procédez comme suit :

1. Connectez-vous à l’ordinateur cible.

2. Ouvrez une invite de commandes d’administrateur ou une fenêtre PowerShell et accédez au dossier de l’utilitaire MOMCertImport.exe.

3. Exécutez l’utilitaire MomCertImport.exe en exécutant la commande suivante :

   1. Dans CMD : MOMCertImport.exe
   2. Dans PowerShell : .\MOMCertImport.exe

4. Une fenêtre d’interface graphique utilisateur s’affiche et vous invite à Sélectionner un certificat.

   1. Vous pouvez voir une liste de certificats, si vous ne voyez pas immédiatement votre certificat souhaité répertorié, sélectionnez Autres choix.

5. Dans la liste, sélectionnez le nouveau certificat pour l’ordinateur.

   1. Vous pouvez vérifier le certificat en le sélectionnant. Une fois sélectionné, vous pouvez afficher les propriétés du certificat.

6. Sélectionnez OK.

7. Si elle réussit, une fenêtre contextuelle affiche le message suivant :

   Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

8. Pour valider, accédez à Observateur d’événements>Journaux des Applications et Services>l'Operations Manager et recherchez un ID d'événement 20053. Cet événement indique que le certificat d’authentification a été chargé avec succès

9. Si l’ID d’événement 20053 n’est pas présent sur le système, recherchez l’un des ID d’événement suivants, car ils indiquent des problèmes avec le certificat importé, et corrigez-les en conséquence :

   • 20049
   • 20050
   • 20052
   • 20066
   • 20069
   • 20077

   Si aucun de ces ID d’événement n’est présent dans le journal, l’importation du certificat a échoué, vérifiez vos autorisations de certificat et d’administration, puis réessayez.

10. MOMCertImport met à jour l’emplacement de Registre suivant pour contenir une valeur qui correspond au numéro de série du certificat importé, mis en miroir :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
    

Renouveler un certificat

Operations Manager génère une alerte lorsqu’un certificat importé pour les serveurs d’administration et les passerelles approche de l’expiration. Si vous recevez une telle alerte, renouvelez ou créez un certificat pour les serveurs avant la date d’expiration. Cette fonctionnalité d’alerte fonctionne uniquement si le certificat contient des informations de modèle à partir d’une autorité de certification d’entreprise.

1. Connectez-vous au serveur avec le certificat arrivant à expiration et lancez le gestionnaire de configuration de certificat (certlm.msc).
2. Recherchez le certificat Operations Manager arrivant à expiration.
3. Si vous ne trouvez pas le certificat, il a peut-être été supprimé ou importé via un fichier et non le magasin de certificats. Vous devez émettre un nouveau certificat pour cet ordinateur à partir de l’autorité de certification. Reportez-vous aux instructions précédentes sur la façon de procéder.
4. Si vous trouvez le certificat, voici les options à sélectionner pour renouveler le certificat :
   1. Demander un certificat avec une nouvelle clé
   2. Renouveler le certificat avec une nouvelle clé
   3. Renouveler un certificat avec la même clé
5. Sélectionnez l’option qui s’applique le mieux à ce que vous souhaitez faire et suivez l’Assistant.
6. Une fois terminé, exécutez l’outil MOMCertImport.exe pour vous assurer que Operations Manager a le nouveau numéro de série du certificat. Pour plus d’informations, consultez la section Importer le certificat dans Operations Manager.

Si le renouvellement de certificat via cette méthode n’est pas disponible, utilisez les étapes précédentes pour demander un nouveau certificat ou avec l’autorité de certification de l’organisation. Installez et importez (MOMCertImport) le nouveau certificat à utiliser par Operations Manager.

Facultatif : Configurer l’inscription automatique et le renouvellement du certificat

Utilisez l’autorité de certification d’entreprise pour configurer l’inscription et les renouvellements de certificat à l’expiration. Cela distribue le certificat racine approuvé à tous les systèmes joints à un domaine.

La configuration de l’inscription automatique et du renouvellement des certificats ne fonctionne pas avec les autorités de certification Stand-Alone ou non-Microsoft. Pour les systèmes d’un groupe de travail ou d’un domaine distinct, les renouvellements de certificats et les inscriptions seront un processus manuel.

Pour plus d’informations, consultez le guide Windows Server.

Remarque

L’inscription automatique et les renouvellements ne configurent pas automatiquement Operations Manager pour utiliser le nouveau certificat. Si le certificat se renouvelle automatiquement avec la même clé, l’empreinte numérique peut également rester la même et aucune action n’est requise par un administrateur. Si un nouveau certificat est généré ou que l’empreinte numérique change, le certificat mis à jour doit être réimporté. Pour plus d’informations, consultez la section Importer le certificat dans Operations Manager.