Delen via

Een certificaat verkrijgen voor gebruik met Windows-servers en System Center Operations Manager

  • Artikel

In dit artikel wordt beschreven hoe u een certificaat kunt verkrijgen en gebruiken met Operations Manager-beheerserver, gateway of agent met behulp van een Stand-Alone- of AD CS-server (Enterprise Active Directory Certificate Services) certificate authority (CA) op het Windows-platform.

  • Als u een certificaat wilt aanvragen en accepteren, gebruikt u het opdrachtregelprogramma certreq . Gebruik een webinterface om een certificaat te verzenden en op te halen.

Vereisten

Zorg ervoor dat u beschikt over het volgende:

Belangrijk

Cryptografie-API Key Storage Provider (KSP) wordt niet ondersteund voor Operations Manager-certificaten.

Notitie

Als uw organisatie niet gebruikmaakt van AD CS of een externe certificeringsinstantie, gebruikt u de instructies voor die toepassing om een certificaat te maken en ervoor te zorgen dat dit voldoet aan de volgende vereisten voor Operations Manager. Volg vervolgens de stappen voor importeren en installeren:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Belangrijk

Voor dit onderwerp zijn de standaardinstellingen voor AD-CS zoals hieronder:

  • Standaardsleutellengte: 2048
  • Cryptografie-API: Cryptografische serviceprovider (CSP)
  • Secure Hash Algorithm: 256 (SHA256) Evalueer deze selecties op basis van de vereisten van het beveiligingsbeleid van uw bedrijf.

Proces op hoog niveau voor het verkrijgen van een certificaat:

  1. Download het basiscertificaat van een CA.

  2. Importeer het basiscertificaat naar een clientserver.

  3. Maak een certificaatsjabloon.

  4. Voeg de sjabloon toe aan de map Certificaatsjablonen.

  5. Maak een installatie-informatiebestand voor gebruik met het <certreq> opdrachtregelprogramma.

  6. Maak een aanvraagbestand (of gebruik de webportal).

  7. Dien een aanvraag in bij de CA.

  8. Importeer het certificaat in het certificaatarchief.

  9. Importeer het certificaat in Operations Manager met behulp van <MOMCertImport>.

Het basiscertificaat van de CA downloaden en importeren

Als u certificaten wilt vertrouwen en valideren die zijn gemaakt op basis van Enterprise of Stand-Alone CA's, moet de doelcomputer een kopie van het basiscertificaat in het vertrouwde basisarchief hebben. De meeste computers die lid zijn van een domein, moeten de ONDERNEMINGS-CA vertrouwen. Geen enkele computer vertrouwt echter een certificaat van een Stand-Alone-CA zonder dat het basiscertificaat is geïnstalleerd.

Als u een externe CA gebruikt, is het downloadproces anders. Het importproces blijft echter hetzelfde.

Het vertrouwde basiscertificaat downloaden van een CA

Voer de volgende stappen uit om het vertrouwde basiscertificaat te downloaden:

  1. Meld u aan bij de computer waarop u een certificaat wilt installeren. Bijvoorbeeld een gatewayserver of beheerserver.

  2. Open een webbrowser en maak verbinding met het webadres van de certificaatserver. Bijvoorbeeld https://<servername>/certsrv.

  3. Selecteer op de pagina Welkomde optie Een CA-certificaat, certificaatketen of CRL downloaden.

    a. Als u hierom wordt gevraagd een bevestiging van webtoegang, controleert u de server en URL en selecteert u Ja.

    b. Controleer de meerdere opties onder CA-certificaat en bevestig de selectie.

  4. Wijzig de coderingsmethode in Base 64 en selecteer vervolgens CA-certificaatketen downloaden.

  5. Sla het certificaat op en geef een beschrijvende naam op.

Het vertrouwde basiscertificaat importeren uit de CA op de client

Notitie

Als u een vertrouwd basiscertificaat wilt importeren, moet u beheerdersbevoegdheden hebben op de doelcomputer.

Voer de volgende stappen uit om het vertrouwde basiscertificaat te importeren:

  1. Kopieer het bestand dat in de vorige stap is gegenereerd naar de client.
  2. Open Certificaatbeheerder.
    1. Typ vanaf de opdrachtregel, PowerShell of Uitvoeren certlm.msc en druk op Enter.
    2. Selecteer Start > Run en typ mmc om de Microsoft Management Console (mmc.exe) te vinden.
      1. Ga naar Bestand>toevoegen/verwijderen uitlijnen in....
      2. Selecteer in het dialoogvenster Modules toevoegen of verwijderen de optie Certificaten en selecteer vervolgens Toevoegen.
      3. In het dialoogvenster Certificaatmodule:
        1. Selecteer Computeraccount en selecteer Volgende. Het dialoogvenster Computer selecteren wordt geopend.
        2. Selecteer Lokale computer en selecteer Voltooien.
      4. Selecteer OK.
      5. Vouw onder Consolehoofdmap de optie Certificaten (lokale computer) uit
  3. Vouw Vertrouwde basiscertificeringsinstanties uit en selecteer certificaten.
  4. Selecteer Alle taken.
  5. Laat in de wizard Certificaat importeren de eerste pagina als standaardpagina staan en selecteer Volgende.
    1. Blader naar de locatie waar u het CA-certificaatbestand hebt gedownload en selecteer het vertrouwde basiscertificaatbestand dat is gekopieerd van de CA.
    2. Selecteer Next.
    3. Laat in de locatie certificaatarchief de vertrouwde basiscertificeringsinstanties als standaardinstelling staan.
    4. Selecteer Volgende en Voltooien.
  6. Als dit lukt, is het vertrouwde basiscertificaat van de CA zichtbaar onderCertificaten van vertrouwde basiscertificeringsinstanties>.

Een certificaatsjabloon maken: Ca's onderneming

Ca's voor ondernemingen:

  • Integreert met Active Directory Domain Services (AD-DS).
  • Publiceert certificaten en certificaatintrekkingslijsten (CRL's) naar AD-DS.
  • Maakt gebruik van gebruikersaccounts en beveiligingsgroepengegevens die zijn opgeslagen in AD-DS om certificaataanvragen goed te keuren of te weigeren.
  • Maakt gebruik van certificaatsjablonen.

Voor het uitgeven van een certificaat gebruikt de CA voor ondernemingen informatie in de certificaatsjabloon om een certificaat te genereren met de juiste kenmerken voor dat certificaattype.

Zelfstandige CA's:

  • Ad-DS is niet vereist.
  • Gebruik geen certificaatsjablonen.

Als u zelfstandige CA's gebruikt, neemt u alle informatie over het aangevraagde certificaattype op in de certificaataanvraag.

Zie certificaatsjablonen voor meer informatie.

Een certificaatsjabloon maken voor System Center Operations Manager

  1. Meld u aan bij een server die lid is van een domein met AD CS in uw omgeving (uw CA).

  2. Selecteer op het windows-bureaublad deoptieWindows-systeembeheer>>certificeringsinstantie starten.

  3. Vouw in het rechternavigatiedeelvenster de CA uit, klik met de rechtermuisknop op Certificaatsjablonen en selecteer Beheren.

  4. Klik met de rechtermuisknop op IPSec (offlineaanvraag) en selecteer Sjabloon dupliceren.

  5. Het dialoogvenster Eigenschappen van nieuwe sjabloon wordt geopend. Maak de selecties zoals hieronder:

    Tabblad Beschrijving
    Compatibiliteit 1. Certificeringsinstantie: Windows Server 2008 (of het laagste AD-functionaliteitsniveau in de omgeving).
    2. Ontvanger van certificaat: Windows Server 2012 (of het besturingssysteem met de laagste versie in de omgeving).
    Algemeen 1. Weergavenaam van sjabloon: voer een beschrijvende naam in, zoals Operations Manager.
    2. Sjabloonnaam: voer dezelfde naam in als de weergavenaam.
    3. Geldigheidsperiode: Voer de geldigheidsperiode in die overeenkomt met de vereisten van uw organisatie.
    4. Schakel de selectievakjes Certificaat publiceren in Active Directory in en Niet automatisch opnieuw inschrijven als er een dubbel certificaat bestaat in Active Directory .
    Afhandeling van aanvragen 1. Doel: Selecteer Handtekening en versleuteling in de vervolgkeuzelijst.
    2. Schakel het selectievakje Toestaan dat persoonlijke sleutel wordt geëxporteerd in.
    Cryptografie 1. Providercategorie: Selecteer Verouderde cryptografieserviceprovider
    2. Algoritmenaam: selecteer Bepaald door CSP in de vervolgkeuzelijst.
    3. Minimale sleutelgrootte: 2048 of 4096 volgens de beveiligingsvereisten van de organisatie.
    4. Providers: selecteer Microsoft RSA-kanaal Cryptographic Provider en Microsoft Enhanced Cryptographic Provider v1.0 in de vervolgkeuzelijst.
    Uitbreidingen 1. Selecteer onder Extensies die zijn opgenomen in deze sjabloonde optie Toepassingsbeleid en selecteer vervolgens Bewerken
    2. Het dialoogvenster Toepassingsbeleidsextensie bewerken wordt geopend.
    3. Selecteer onder Toepassingsbeleid:IP-beveiliging IKE tussenliggend en selecteer vervolgens Verwijderen
    4. Selecteer Toevoegen en selecteer vervolgens clientverificatie en serververificatie onder Toepassingsbeleid.
    5. Selecteer OK.
    6. Selecteer Sleutelgebruik en Bewerken.
    7. Zorg ervoor dat Digitale handtekening en Sleuteluitwisseling alleen met sleutelversleuteling toestaan (sleutelcodering) zijn geselecteerd.
    8. Schakel het selectievakje Deze extensie kritiek maken in en selecteer OK.
    Beveiliging 1. Zorg ervoor dat de groep Geverifieerde gebruikers (of het computerobject) de machtigingen Lezen en Inschrijven heeft en selecteer Toepassen om de sjabloon te maken.

De sjabloon toevoegen aan de map Certificaatsjablonen

  1. Meld u aan bij een server die lid is van een domein met AD CS in uw omgeving (uw CA).
  2. Selecteer op het Windows-bureaublad de optie Certificeringsinstantie>voor Windows-systeembeheer>starten.
  3. Vouw in het rechternavigatiedeelvenster de CA uit, klik met de rechtermuisknop op Certificaatsjablonen en selecteer Nieuwe>certificaatsjablonen die moeten worden uitgegeven.
  4. Selecteer de nieuwe sjabloon die u in de bovenstaande stappen hebt gemaakt en selecteer OK.

Een certificaat aanvragen met behulp van een aanvraagbestand

Een installatiegegevensbestand (.inf) maken

  1. Open een nieuw tekstbestand in een teksteditor op de computer waarop de Operations Manager-functie wordt gehost waarvoor u een certificaat aanvraagt.

  2. Maak een tekstbestand met de volgende inhoud:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Sla het bestand op met de bestandsextensie .inf . Bijvoorbeeld CertRequestConfig.inf.

  4. Sluit de teksteditor.

Een certificaataanvraagbestand maken

Dit proces codeert de informatie die is opgegeven in het configuratiebestand in Base64 en voert uit naar een nieuw bestand.

  1. Open een opdrachtprompt Beheerder op de computer waarop de Operations Manager-functie wordt gehost waarvoor u een certificaat aanvraagt.

  2. Navigeer naar de map waar het .inf-bestand zich bevindt.

  3. Voer de onderstaande opdracht uit om de .inf-bestandsnaam te wijzigen om ervoor te zorgen dat deze overeenkomt met de bestandsnaam die u eerder hebt gemaakt. Laat de naam van het .req-bestand staan:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Open het zojuist gemaakte bestand en kopieer de inhoud.

Een nieuwe certificaataanvraag indienen in de AD CS-webportal met behulp van het aanvraagbestand

  1. Op de computer waarop de Operations Manager-functie wordt gehost waarvoor u een certificaat aanvraagt, opent u een webbrowser en maakt u verbinding met de computer die als host fungeert voor het webadres van de certificaatserver. Bijvoorbeeld https://<servername>/certsrv.

  2. Selecteer op de welkomstpagina van Microsoft Active Directory Certificate Servicesde optie Een certificaat aanvragen.

  3. Selecteer op de pagina Een certificaat aanvragende optie Geavanceerde certificaataanvraag.

  4. Selecteer op de pagina Geavanceerde certificaataanvraagde optie Een certificaataanvraag indienen met behulp van een met base 64 gecodeerd CMC- of PKCS #10-bestand of dien een verlengingsaanvraag in met behulp van een PKCS #7-bestand met base-64-codering.

  5. Plak op de pagina Een certificaataanvraag of verlengingsaanvraag indienen in het tekstvak Opgeslagen aanvraag de inhoud van het bestand CertRequest.req dat u in stap 4 in de vorige procedure hebt gekopieerd.

  6. Selecteer in de certificaatsjabloon de certificaatsjabloon die u hebt gemaakt. Bijvoorbeeld OperationsManagerCert en selecteer verzenden.

  7. Als dit lukt, selecteert u op de pagina Certificaat verleendde optie Base 64 gecodeerd>Certificaat downloaden.

  8. Sla het certificaat op en geef een beschrijvende naam op. Sla bijvoorbeeld op als SCOM-MS01.cer.

  9. Sluit de webbrowser.

De AD-CS-webportal gebruiken om een certificaat aan te vragen

Naast het aanvraagbestand kunt u een certificaataanvraag maken via de webportal van Certificate Services. Deze stap wordt voltooid op de doelcomputer voor een eenvoudige installatie van het certificaat. Als de certificaataanvraag via de AD-CS-webportal niet mogelijk is, moet u het certificaat exporteren zoals hieronder wordt aangegeven:

  1. Op de computer waarop de Operations Manager-functie wordt gehost waarvoor u een certificaat aanvraagt, opent u een webbrowser en maakt u verbinding met de computer die als host fungeert voor het webadres van de certificaatserver. Bijvoorbeeld https://<servername>/certsrv.
  2. Selecteer op de welkomstpagina van Microsoft Active Directory Certificate Servicesde optie Een certificaat aanvragen.
  3. Selecteer op de pagina Een certificaat aanvragende optie Geavanceerde certificaataanvraag.
  4. Selecteer Maken en dien een aanvraag in bij deze CA.
  5. Er wordt een aanvraag voor een geavanceerd certificaat geopend. Ga als volgt te werk:
    1. Certificaatsjabloon: gebruik de sjabloon die u eerder hebt gemaakt of een sjabloon die is aangewezen voor Operations Manager.
    2. Identificatiegegevens voor offlinesjabloon:
      1. Naam: FQDN van de server of zoals deze wordt weergegeven in DNS
      2. Geef andere informatie op die geschikt is voor uw organisatie
    3. Belangrijke opties:
      1. Schakel het selectievakje in voor Sleutels markeren als exporteerbaar
    4. Aanvullende opties:
      1. Beschrijvende naam: FQDN van de server of zoals deze wordt weergegeven in DNS
  6. Selecteer Indienen.
  7. Wanneer de taak is voltooid, wordt de pagina Certificaat uitgegeven geopend met een koppeling naar Dit certificaat installeren.
  8. Selecteer Dit certificaat installeren.
  9. Op de server wordt het certificaat opgeslagen in het persoonlijke certificaatarchief .
  10. Laad de MMC - of CertMgr-consoles en ga naar Persoonlijke>certificaten en zoek het zojuist gemaakte certificaat.
  11. Als deze taak niet is voltooid op de doelserver, exporteert u het certificaat:
    1. Klik met de rechtermuisknop op het nieuwe certificaat > Alle taken > exporteren.
    2. Selecteer Volgende in de wizard Certificaat exporteren.
    3. Selecteer Ja, de persoonlijke sleutel exporteren en selecteer Volgende.
    4. Selecteer Personal Information Exchange – PKCS #12 (. PFX).
    5. Schakel indien mogelijk alle certificaten in het certificeringspad opnemen en Alle uitgebreide eigenschappen exporteren in en selecteer Volgende.
    6. Geef een wachtwoord op om het certificaatbestand at rest te versleutelen en selecteer Volgende.
    7. Sla het geëxporteerde bestand op en geef een beschrijvende naam op.
    8. Selecteer Volgende en Voltooien.
    9. Zoek het geëxporteerde certificaatbestand en inspecteer het pictogram voor het bestand.
      1. Als het pictogram een sleutel bevat, moet de persoonlijke sleutel aan u zijn gekoppeld.
      2. Als het pictogram geen sleutel bevat, exporteert u het certificaat opnieuw met de persoonlijke sleutel, omdat u dit nodig hebt voor later gebruik.
    10. Kopieer het geëxporteerde bestand naar de doelcomputer.
  12. Sluit de webbrowser.

Een certificaat aanvragen met behulp van Certificaatbeheer

Voor ondernemings-CA's met een gedefinieerde certificaatsjabloon kunt u mogelijk een nieuw certificaat aanvragen bij een clientcomputer die lid is van een domein met behulp van Certificaatbeheer. Omdat hiervoor sjablonen worden gebruikt, is deze methode niet van toepassing op Stand-Alone CA's.

  1. Meld u aan bij de doelcomputer met beheerdersrechten (beheerserver, gateway, agent, enzovoort).
  2. Gebruik de Administrator-opdrachtprompt of het PowerShell-venster om Certificaatbeheer te openen.
    1. certlm.msc : hiermee opent u het certificaatarchief van de lokale computer.
    2. mmc.msc : hiermee opent u de Microsoft Management Console.
      1. Laad de module Certificate Manager.
      2. Ga naar Module bestand>toevoegen/verwijderen.
      3. Selecteer Certificaten.
      4. Selecteer Toevoegen.
      5. Wanneer u hierom wordt gevraagd, selecteert u Computeraccount en selecteert u Volgende
      6. Zorg ervoor dat u Lokale computer selecteert en selecteer Voltooien.
      7. Selecteer OK om de wizard te sluiten.
  3. Start de certificaataanvraag:
    1. Vouw onder Certificaten de map Persoonlijk uit.
    2. Klik met de rechtermuisknop op Certificaten>Alle taken>Nieuw certificaat aanvragen.
  4. Wizard Certificaatinschrijving

    1. Selecteer volgende op de pagina Voordat u begint.

    2. Selecteer het toepasselijke certificaatinschrijvingsbeleid (standaard kan het Active Directory-inschrijvingsbeleid zijn), selecteer Volgende

    3. Selecteer de gewenste sjabloon voor inschrijvingsbeleid om het certificaat te maken

      1. Als de sjabloon niet direct beschikbaar is, selecteert u Het vak Alle sjablonen weergeven onder de lijst
      2. Als de benodigde sjabloon beschikbaar is met een rode X ernaast, neemt u contact op met uw Active Directory- of certificaatteam

    4. In de meeste omgevingen kunt u een waarschuwingsbericht met een hyperlink vinden onder de certificaatsjabloon, de koppeling selecteren en doorgaan met het invullen van de gegevens voor het certificaat.

    5. Wizard Certificaateigenschappen:

      Tabblad Beschrijving
      Onderwerp 1. Selecteer in Onderwerpnaam de algemene naam of volledige DN, geef de waarde - hostnaam of BIOS-naam van de doelserver op, selecteer Toevoegen.
      Algemeen 1. Geef een beschrijvende naam op voor het gegenereerde certificaat.
      2. Geef desgewenst een beschrijving van het doel van dit ticket.
      Uitbreidingen 1. Zorg ervoor dat u onder Sleutelgebruik de optie Digitale handtekening en sleutelcodering selecteert en schakel het selectievakje Deze sleutelgebruiken kritiek maken in.
      2. Zorg ervoor dat u onder Uitgebreid sleutelgebruik de opties Serververificatie en Clientverificatie selecteert.
      Persoonlijke sleutel 1. Controleer onder Sleutelopties of de sleutelgrootte ten minste 1024 of 2048 is en schakel het selectievakje Persoonlijke sleutel exporteren in .
      2. Zorg ervoor dat u onder Sleuteltype de optie Exchange selecteert.
      Tabblad Certificeringsinstantie Zorg ervoor dat u het selectievakje CA inschakelt.
      Handtekening Als uw organisatie een registratie-instantie vereist, geeft u een handtekeningcertificaat op voor deze aanvraag.

    6. Zodra de informatie is opgegeven in de wizard Certificaateigenschappen, verdwijnt de waarschuwingshyperlink van eerdere versies.

    7. Selecteer Inschrijven om het certificaat te maken. Als er een fout optreedt, raadpleegt u uw AD- of certificaatteam.

    8. Als dit is gelukt, wordt de status Geslaagd en wordt een nieuw certificaat in het archief Persoonlijk/Certificaten geplaatst.

  5. Als deze acties zijn uitgevoerd op de beoogde ontvanger van het certificaat, gaat u verder met de volgende stappen.
  6. Anders exporteert u het nieuwe certificaat van de computer en kopieert u naar het volgende.
    1. Open het venster Certificaatbeheer en navigeer naar Persoonlijke>certificaten.
    2. Selecteer het certificaat dat u wilt exporteren.
    3. Klik met de rechtermuisknop op Alle taken>exporteren.
    4. In de wizard Certificaat exporteren.
      1. Selecteer Volgende op de welkomstpagina.
      2. Zorg ervoor dat u Ja, de persoonlijke sleutel exporteren selecteert.
      3. Selecteer Personal Information Exchange – PKCS #12 (. PFX) uit de indelingsopties.
        1. Schakel indien mogelijk alle certificaten in het certificeringspad opnemen in en Alle uitgebreide eigenschappen exporteren in.
      4. Selecteer Next.
      5. Geef een bekend wachtwoord op om het certificaatbestand te versleutelen.
      6. Selecteer Next.
      7. Geef een toegankelijk pad en een herkenbare bestandsnaam op voor het certificaat.
    5. Kopieer het zojuist gemaakte certificaatbestand naar de doelcomputer.

Het certificaat installeren op de doelcomputer

Als u het zojuist gemaakte certificaat wilt gebruiken, importeert u het in het certificaatarchief op de clientcomputer.

Het certificaat toevoegen aan het certificaatarchief

  1. Meld u aan bij de computer waarop de certificaten zijn gemaakt voor beheerserver, gateway of agent.

  2. Kopieer het certificaat dat u hierboven hebt gemaakt naar een toegankelijke locatie op deze computer.

  3. Open een beheerdersopdrachtprompt of PowerShell-venster en navigeer naar de map waarin het certificaatbestand zich bevindt.

  4. Voer de onderstaande opdracht uit en zorg ervoor dat u NewCertificate.cer vervangt door de juiste naam/het juiste pad van het bestand:

    CertReq -Accept -Machine NewCertificate.cer

  5. Dit certificaat moet nu aanwezig zijn in het persoonlijke archief van de lokale computer op deze computer.

U kunt ook met de rechtermuisknop op het certificaatbestand > Lokale computer installeren > klikken en het doel van het persoonlijke archief kiezen om het certificaat te installeren.

Notitie

Als u een certificaat met de persoonlijke sleutel aan het certificaatarchief toevoegt en dit op een later tijdstip uit het archief verwijdert, bevat het certificaat de persoonlijke sleutel niet meer wanneer u deze opnieuw importeert. Operations Manager-communicatie vereist een persoonlijke sleutel omdat de uitgaande gegevens moeten worden versleuteld. U kunt het certificaat herstellen met behulp van certutil; u moet het serienummer van het certificaat opgeven. Als u bijvoorbeeld de persoonlijke sleutel wilt herstellen, gebruikt u de onderstaande opdracht in een Administrator-opdrachtprompt of PowerShell-venster:

certutil -repairstore my <certificateSerialNumber>

Het certificaat importeren in Operations Manager

Afgezien van de installatie van het certificaat op het systeem, moet u Operations Manager bijwerken om op de hoogte te zijn van het certificaat dat u wilt gebruiken. Met de onderstaande acties wordt de Microsoft Monitoring Agent-service opnieuw gestart.

Gebruik het MOMCertImport.exe hulpprogramma dat is opgenomen in de map SupportTools op de Operations Manager-installatiemedia. Kopieer het bestand naar uw server.

Voer de volgende stappen uit om het certificaat te importeren in Operations Manager met behulp van MOMCertImport:

  1. Meld u aan bij de doelcomputer.

  2. Open een beheerdersopdrachtprompt of PowerShell-venster en navigeer naar de mapMOMCertImport.exe hulpprogramma.

  3. Het hulpprogrammaMomCertImport.exe uitvoeren

    1. In CMD: MOMCertImport.exe
    2. In PowerShell: .\MOMCertImport.exe

  4. Er wordt een GUI-venster weergegeven om een certificaat te selecteren

    1. U kunt een lijst met certificaten zien. Als u niet direct een lijst ziet, selecteert u Meer keuzes.

  5. Selecteer in de lijst het nieuwe certificaat voor de computer

    1. U kunt het certificaat controleren door het te selecteren. Zodra deze optie is geselecteerd, kunt u de certificaateigenschappen weergeven.

  6. Selecteer OK

  7. Als dit lukt, wordt in een pop-upvenster het volgende bericht weergegeven:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Als u wilt valideren, gaat u naar Logboeken>Logboeken> toepassingen en servicesOperations Manager voor gebeurtenis-id 20053. Dit geeft aan dat het verificatiecertificaat is geladen

  9. Als gebeurtenis-id 20053 niet aanwezig is op het systeem, zoekt u naar een van deze gebeurtenis-id's voor fouten en corrigeert u dienovereenkomstig:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport werkt deze registerlocatie bij met de waarde die overeenkomt met de omgekeerde waarde van het serienummer dat wordt weergegeven op het certificaat:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Een certificaat vernieuwen

Operations Manager genereert een waarschuwing wanneer een geïmporteerd certificaat voor beheerservers en gateways bijna verloopt. Als u een waarschuwing ontvangt, vernieuwt of maakt u een nieuw certificaat voor de servers vóór de vervaldatum. Dit werkt alleen als het certificaat sjabloongegevens bevat (van een CA voor ondernemingen).

  1. Meld u aan bij de server met het verlopende certificaat en start het certificaatconfiguratiebeheer (certlm.msc).
  2. Zoek het verlopende Operations Manager-certificaat.
  3. Als u het certificaat niet kunt vinden, is het mogelijk verwijderd of geïmporteerd via een bestand en niet via het certificaatarchief. Mogelijk moet u een nieuw certificaat voor deze computer uitgeven vanuit de CA. Raadpleeg de bovenstaande instructies om dit te doen.
  4. Als u het certificaat vindt, vindt u hieronder de opties voor het vernieuwen van het certificaat:
    1. Certificaat met nieuwe sleutel aanvragen
    2. Certificaat vernieuwen met nieuwe sleutel
    3. Certificaat vernieuwen met dezelfde sleutel
  5. Selecteer de optie die het beste van toepassing is op wat u wilt doen en volg de wizard.
  6. Nadat dit is voltooid, voert u het MOMCertImport.exe hulpprogramma uit om ervoor te zorgen dat Operations Manager het nieuwe serienummer (omgekeerd) van het certificaat heeft als dit is gewijzigd. Zie de bovenstaande sectie voor meer informatie.

Als certificaatvernieuwing via deze methode niet beschikbaar is, gebruikt u de vorige stappen om een nieuw certificaat aan te vragen of bij de certificeringsinstantie van de organisatie. Installeer en importeer (MOMCertImport) het nieuwe certificaat voor gebruik door Operations Manager.

Optioneel: automatische inschrijving en verlenging van certificaten configureren

Gebruik de CA voor ondernemingen om automatische inschrijving en verlengingen van certificaten te configureren wanneer deze verlopen. Hiermee wordt het vertrouwde basiscertificaat gedistribueerd naar alle systemen die lid zijn van een domein.

Configuratie van automatische inschrijving en verlenging van certificaten werkt niet met Stand-Alone of ca's van derden. Voor systemen in een werkgroep of een afzonderlijk domein zijn certificaatvernieuwingen en -inschrijvingen nog steeds een handmatig proces.

Zie Windows Server guide (Windows Server-handleiding) voor meer informatie.

Notitie

Met automatische inschrijving en verlenging wordt Operations Manager niet automatisch geconfigureerd voor het gebruik van het nieuwe certificaat. Als het certificaat automatisch wordt vernieuwd met dezelfde sleutel, kan de vingerafdruk ook hetzelfde blijven en is er geen actie vereist door een beheerder. Als er een nieuw certificaat wordt gegenereerd of de vingerafdruk verandert, moet het bijgewerkte certificaat worden geïmporteerd in Operations Manager met behulp van het hulpprogramma MOMCertImport, zoals hierboven beschreven.