De beleidsmodule configureren om een nieuw clientcertificaat te gebruiken in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Servers waarop de beleidsmodule van Configuration Manager wordt uitgevoerd met de functieservice Registratieservice voor netwerkapparaten maken gebruik van een clientcertificaat om de beleidsmodule te verifiëren voor de sitesysteemserver van het certificaatregistratiepunt in System Center 2012 Configuration Manager. Gewoonlijk is een certificaat voor clientverificatie één jaar geldig. Voordat het certificaat is verlopen, dient u dit te vernieuwen, het register bij te werken voor het nieuwe certificaat en daarna de webserver met de Registratieservice voor netwerkapparaten opnieuw op te starten.
Notitie
Als het certificaat al is verlopen, wordt “FOUT("Kan http-verzoek <vingerafdruk> niet verzenden. Fout 12037", weergegeven in het bestand NDESPlugin.log op de server waarop de Registratieservice voor netwerkapparaten wordt uitgevoerd. In het foutbericht wordt <vingerafdruk> vervangen door de vingerafdruk van het verlopen certificaat.
Handel als volgt om het certificaat te vernieuwen:
Vraag handmatig een nieuw certificaat aan als u dit clientcertificaat al handmatig hebt aangevraagd. Als u hulp nodig hebt bij de implementatie van dit certificaat, kunt u de instructies voor Het clientcertificaat voor distributiepunten implementeren in het onderwerp Voorbeeld van stapsgewijze implementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie gebruiken, met één uitzondering: Schakel het selectievakje De persoonlijke sleutel exporteerbaar maken op het tabblad Afhandeling van aanvragen van de eigenschappen van de certificaatsjabloon niet in.
Als u dit clientcertificaat automatisch implementeert met behulp van Groepsbeleidinschrijving, wordt volgens de standaardconfiguratie automatisch een nieuw certificaat aangevraagd voordat het oorspronkelijke certificaat verloopt.
Wanneer het nieuwe certificaat op de server met de Registratieservice voor netwerkapparaten en de Configuration Manager-beleidsmodule is geïmplementeerd, kunt u via de volgende procedure de server configureren om het nieuwe certificaat in gebruik te nemen.
De beleidsmodule configureren om het nieuwe clientcertificaat in gebruik te nemen
-
Open de registereditor op de server met de Registratieservice voor netwerkapparaten en de Configuration Manager-beleidsmodule en vervang de vingerafdruk van het oude certificaat door die van het nieuwe certificaat via de volgende registersleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.
Tip
Zoek voor het identificeren van de vingerafdruk voor het nieuwe certificaat het certificaat op in de computerwinkel met behulp van de module Certificaten. Klik vervolgens met de rechtermuisknop op het certificaat en klik op Eigenschappen, Certificaat weergeven het tabblad Details en blader vervolgens naar Vingerafdruk en selecteer dit item. U krijgt dan de reeks hexadecimale tekens te zien waaruit de vingerafdruk voor dit certificaat bestaat en kunt deze kopiëren.
-
Start de services voor de webserver opnieuw op door een van de volgende methoden te gebruiken:
Vanuit Beheer van Internet Information Services (IIS): Blader naar het webserverknooppunt in de structuur. Klik in het deelvenster Acties op Opnieuw opstarten.
Vanuit de opdrachtregel: Typ iisreset /restart en druk op Enter.
Zie Start or Stop the Web Server (IIS 8) (De webserver starten of stoppen (IIS 8)) in de bibliotheek van Windows Server op TechNet voor meer informatie.
U kunt bevestigen dat de beleidsmodule gebruik maakt van het nieuwe certificaat, door de volgende vermelding in het bestand NDESPlugin.log op de server met Registratieservice voor netwerkapparaten te controleren: INFO("NDES-vingerafdruk is <vingerafdruk>.", wszBuffer);