Een certificaat verkrijgen voor gebruik met Windows-servers en System Center Operations Manager

Wanneer System Center Operations Manager werkt binnen vertrouwensgrenzen waarbij Kerberos-verificatie met gateway- of Windows-clientcomputers niet mogelijk is, is verificatie op basis van certificaten vereist. Deze methode wordt gebruikt om communicatie tot stand te brengen tussen de Microsoft Monitoring Agent en de beheerservers. De primaire gebruikssituatie is om te authenticeren met Gateway- en Windows Client-systemen in werkgroepen, gedemilitariseerde zones (DMZ's) of andere domeinen zonder een tweerichtingsvertrouwensrelatie.

Certificaten die worden gegenereerd met behulp van dit artikel, worden niet voor Linux-bewaking, tenzij een gatewayserver die de bewaking uitvoert, een vertrouwensgrens overschrijdt en vervolgens het certificaat alleen wordt gebruikt voor Windows-naar-Windows-verificatie voor de gateway en beheerserver, worden afzonderlijke certificaten (SCX-Certificates) gebruikt voor Linux-verificatie en worden verwerkt door Operations Manager zelf.

In dit artikel wordt beschreven hoe u een certificaat ophaalt en gebruikt met Operations Manager Management Server, Gateway of Agent met behulp van een Enterprise Active Directory Certificate Services (AD CS)-certificeringsinstantieserver (CA) op het Windows-platform. Als u een Stand-Alone of niet-Microsoft-CA gebruikt, neem dan contact op met uw certificaat-/PKI-team voor hulp bij het maken van certificaten die worden gebruikt voor Operations Manager.

Voorwaarden

Zorg ervoor dat u aan de volgende vereisten voldoet:

• Active Directory Certificate Services (AD CS) geïnstalleerd en geconfigureerd, of een niet-Microsoft-certificeringsinstantie (CA). (Opmerking: deze handleiding heeft geen betrekking op het aanvragen van certificaten van een niet-Microsoft-CA.)
• Domeinbeheerdersbevoegdheden.
• Beheerservers van Operations Manager die aan het domein zijn toegevoegd.

Certificaatvereisten

Belangrijk

Cryptografie-API-sleutelopslagprovider (KSP-) wordt niet ondersteund voor Operations Manager-certificaten.

Op dit moment biedt Operations Manager geen ondersteuning voor geavanceerdere certificaten en is afhankelijk van verouderde providers.

Als uw organisatie ad CS niet gebruikt of een externe certificeringsinstantie gebruikt, gebruikt u de instructies voor die instantie om uw certificaat te maken, zodat het voldoet aan de volgende vereisten voor Operations Manager:

- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)

- [Key Usage]
    Key Exportable = FALE  ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
    HashAlgorithm = SHA256
    KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
    KeySpec = 1  ; AT_KEYEXCHANGE
    KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
    MachineKeySet = TRUE ; The key belongs to the local computer account
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    KeyAlgorithm = RSA

- [EnhancedKeyUsageExtension]
     - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
     - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
     - Compatible with Windows Server 2012 R2 ; (or newer based on environment)

- [Cryptography Settings]
     - Provider Category: Legacy Cryptography Service Provider
     - Algorithm name: RSA
     - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
     - Providers: "Microsoft RSA Schannel Cryptographic Provider"

Proces op hoog niveau voor het verkrijgen van een certificaat

Belangrijk

Voor dit artikel zijn de standaardinstellingen voor AD-CS:

• Standaardsleutellengte: 2048
• Cryptografie-API: Cryptografische Serviceprovider (CSP)
• Secure Hash Algorithm: 256 (SHA256)

Evalueer deze selecties op basis van de vereisten van het beveiligingsbeleid van uw bedrijf.

onderneming CA

1. Download het basiscertificaat van een CA.
2. Importeer het basiscertificaat naar een clientserver.
3. Maak een certificaatsjabloon.
4. Dien een aanvraag in bij de CA.
5. Keur de aanvraag indien nodig goed.
6. Haal het certificaat op.
7. Importeer het certificaat in de certificaatopslag.
8. Importeer het certificaat in Operations Manager met behulp van <MOMCertImport>.

Stand-Alone of niet-Microsoft CA’s

1. Download het basiscertificaat van een CA.
2. Importeer het basiscertificaat naar een clientserver.
3. Vraag een certificaat aan bij de CA die voldoet aan de vereisten voor Operations Manager.
4. Keur de aanvraag indien nodig goed.
5. Haal het certificaat op van de CA.
6. Importeer het certificaat in de certificaatopslag.
7. Importeer het certificaat in Operations Manager met behulp van <MOMCertImport>.

Het basiscertificaat downloaden en importeren van de CA

Tip

Als u een enterprise-CA gebruikt en zich op een domein-gekoppeld systeem bevindt, moeten de basiscertificaten al in de juiste winkels worden geïnstalleerd en kunt u deze stap overslaan.

Als u wilt controleren of de certificaten zijn geïnstalleerd, voert u de volgende PowerShell-opdracht uit op het systeem dat lid is van het domein en vervangt u 'Domein' door uw gedeeltelijke domeinnaam:

# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }

# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }

Als u certificaten wilt vertrouwen en valideren die zijn uitgegeven door certificeringsinstanties, moet de doelcomputer een kopie van het hoofdcertificaat hebben in zijn Vertrouwde hoofdopslag voor certificaten. De meeste computers die lid zijn van een domein vertrouwen al op de CA voor ondernemingen. Er is echter geen computer die een certificaat vertrouwt van een niet-Ondernemings-CA zonder dat het basiscertificaat voor die CA is geïnstalleerd.

Als u een niet-Microsoft-CA gebruikt, is het downloadproces anders. Het importproces blijft echter hetzelfde.

De basis- en CA-certificaten automatisch installeren met groepsbeleid

1. Meld u aan bij de computer waarop u de certificaten wilt installeren als beheerder.
2. Open een Administrator-opdrachtprompt of PowerShell-console.
3. Voer de opdracht uit gpupdate /force
4. Zodra dit is voltooid, controleert u op de aanwezigheid van Root- en CA-certificaten in het certificaatarchief. Deze moeten zichtbaar zijn in de Local Machine Certificate Manager onder Vertrouwde Root-certificeringsinstanties>Certificaten.

Het vertrouwde rootcertificaat handmatig downloaden van een CA

Volg deze stappen om het vertrouwde basiscertificaat te downloaden:

1. Meld u aan bij de computer waarop u een certificaat wilt installeren. Bijvoorbeeld een gatewayserver of beheerserver.
2. Open een webbrowser en maak verbinding met het webadres van de certificaatserver. Bijvoorbeeld https://<servername>/certsrv.
3. Selecteer op de Welkom pagina Download een CA-certificaat, certificaatketen, of CRL.
   1. Als u hierom wordt gevraagd met een Bevestiging van webtoegang, controleert u de server en URL en selecteert u Ja.
   2. Controleer de meerdere opties onder CA-certificaat en bevestig de selectie.
4. Wijzig de coderingsmethode in Base 64- en selecteer CA-certificaatketen downloaden.
5. Sla het certificaat op en geef een vriendelijke naam op.

Het vertrouwde basiscertificaat importeren uit de CA op de client

Notitie

Als u een vertrouwd basiscertificaat wilt importeren, moet u beheerdersbevoegdheden hebben op de doelcomputer.

Voer de volgende stappen uit om het vertrouwde basiscertificaat te importeren:

1. Kopieer het bestand dat in de vorige stap is gegenereerd naar de client.
2. Open Certificaatbeheer.
   1. Typ via de opdrachtprompt, PowerShell of Uitvoeren certlm.msc en druk op Enter.
   2. Selecteer Start > Uitvoeren en typ mmc- om de Microsoft Management Console (mmc.exe) te vinden.
      1. Ga naar Bestand>Snap-in toevoegen/verwijderen....
      2. Selecteer in het dialoogvenster Snap-ins toevoegen of verwijderen Certificaten en selecteer vervolgens Toevoegen.
      3. In het dialoogvenster Certificaat-snap-in,
         1. Selecteer Computeraccount en selecteer Volgende. Het dialoogvenster Computer selecteren wordt geopend.
         2. Selecteer Lokale Computer en selecteer Voltooien.
      4. Selecteer OK.
      5. Vouw onder Consoleroot certificaten (lokale computer) uit
3. Vouw vertrouwde basiscertificeringsinstanties uiten selecteer vervolgens Certificaten.
4. Selecteer Alle taken.
5. Laat in de wizard Certificaat importeren de eerste pagina standaard staan en selecteer Volgende.
   1. Blader naar de locatie waar u het CA-certificaatbestand hebt gedownload en selecteer het bestand met het vertrouwde basiscertificaat dat u hebt gekopieerd uit de CA.
   2. Selecteer Volgende.
   3. Laat op de locatie van het certificaatarchief de vertrouwde basiscertificeringsinstanties standaard staan.
   4. Selecteer Volgende en Voltooien.
6. Als dit lukt, is het vertrouwde basiscertificaat van de CA zichtbaar onder vertrouwde basiscertificeringsinstanties>certificaten.

Een certificaatsjabloon maken voor een Ondernemings-CA

Belangrijk

Als u Stand-Alone of niet-Microsoft CA's gebruikt, neem dan contact op met uw certificaat- of PKI-team om door te gaan met het genereren van uw certificaataanvraag.

Zie certificaatsjablonenvoor meer informatie.

Een certificaatsjabloon maken voor System Center Operations Manager

1. Meld u aan bij een aan een domein gekoppelde server met AD CS in uw netwerkomgeving (uw CA).

2. Selecteer op het Windows-bureaublad Start>Windows-systeembeheerprogramma's>certificeringsinstantie.

3. Vouw in het rechternavigatiedeelvenster de CA uit, klik met de rechtermuisknop op Certificaatsjablonenen selecteer Beheer.

4. Klik met de rechtermuisknop op Computer en selecteer Sjabloon dupliceren.

5. Het dialoogvenster Eigenschappen van nieuwe sjabloon wordt geopend; maak de selecties zoals aangegeven:

   Tabblad	Beschrijving
   Compatibiliteit	1. certificeringsinstantie: Windows Server 2012 R2 (of het laagste AD-functionaliteitsniveau in de omgeving). 2. certificaatontvanger: Windows Server 2012 R2 (of het laagste versie-besturingssysteem in de omgeving).
   Algemeen	1. Weergavenaam van sjabloon: Voer een vriendelijke naam in, zoals Operations Manager. 2. sjabloonnaam: voer dezelfde naam in als de weergavenaam. 3. geldigheidsperiode en verlengingsperiode: voer de geldigheids- en verlengingsperioden in die overeenkomen met het certificaatbeleid van uw organisatie. De aanbeveling voor geldigheid is niet langer dan de helft van de levensduur van de CA die het certificaat uitgeeft. (Bijvoorbeeld: sub-CA van vier jaar, certificaat met een maximale levensduur van twee jaar.) 4. Selecteer de selectievakjes Certificaat publiceren in Active Directory en Niet automatisch opnieuw inschrijven als er een dubbel certificaat bestaat in Active Directory.
   Verwerking van aanvragen	1. doel: selecteer handtekening en versleuteling in de vervolgkeuzelijst. 2. Zet het selectievakje "Toestaan dat een persoonlijke sleutel wordt geëxporteerd" aan.
   Cryptografie	1. Providercategorie: Selecteer Verouderde Cryptografieserviceprovider 2. Algoritmenaam: Selecteer Bepaald door CSP in de vervolgkeuzelijst. 3. Minimale sleutelgrootte: 2048 of 4096 volgens de beveiligingsvereiste van de organisatie. 4. Providers: selecteer Microsoft RSA-kanaal cryptografische provider en Microsoft Enhanced Cryptographic Provider v1.0.
   Veiligheid	1. Verwijder het gebruikersaccount van de gebruiker die de sjabloon maakt. In plaats daarvan moeten groepen aanwezig zijn. 2. Zorg ervoor dat de Geverifieerde Gebruikers groep (of Computer-object) Lezen en Inschrijven machtigingen heeft. 2. Schakel de Enroll machtiging uit voor domeinadministratoren en Enterprise Admins. 3. Voeg machtigingen toe voor de beveiligingsgroep die uw Operations Manager-servers bevat en verleen deze groep inschrijfmachtiging.
   Uitgiftevereisten	1. Schakel het selectievakje in voor CA Certificate Manager-goedkeuring 2. Selecteer onder 'Het volgende vereisen voor opnieuw inschrijven' Geldig bestaand certificaat 3. Vink het vakje aan voor toestaan van verlenging op basis van sleutels
   Onderwerpnaam	1. Selecteer Levering in de aanvraag 2. Vink het vakje aan voor Onderwerpinformatie uit bestaande certificaten gebruiken...

6. Selecteer Toepassen en OK om de nieuwe sjabloon te maken.

De sjabloon publiceren op alle relevante certificeringsinstanties

1. Meld u aan bij een aan een domein gekoppelde server met AD CS in uw netwerkomgeving (uw CA).
2. Selecteer op het Windows-bureaublad Start>Windows-systeembeheerprogramma's>certificeringsinstantie.
3. Vouw in het rechternavigatiedeelvenster de CA uit, klik met de rechtermuisknop op certificaatsjablonenen selecteer Nieuwe>certificaatsjablonen omuit te geven.
4. Selecteer de nieuwe sjabloon die u in de bovenstaande stappen hebt gemaakt en selecteer OK.

Een certificaat aanvragen met behulp van een aanvraagbestand

Notitie

Het maken van certificaataanvragen met behulp van een INF-bestand is een verouderde methode en wordt niet aanbevolen.

Een informatiebestand (.inf) maken

1. Open op de computer waarop de Operations Manager-functie wordt gehost waarvoor u een certificaat aanvraagt een nieuw tekstbestand in een teksteditor.

2. Maak een tekstbestand met de volgende inhoud:

   [NewRequest]
   Subject="CN=server.contoso.com"
   Key Exportable = TRUE  ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE
   HashAlgorithm = SHA256
   KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
   KeySpec = 1  ; AT_KEYEXCHANGE
   KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
   MachineKeySet = TRUE ; The key belongs to the local computer account
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   KeyAlgorithm = RSA
   
   ; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named
   [RequestAttributes]
   CertificateTemplate="OperationsManager"
   
   ; Not required if using a template with this defined
   [EnhancedKeyUsageExtension]
   OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
   OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication
   

3. Sla het bestand op met een .inf bestandsextensie. Bijvoorbeeld CertRequestConfig.inf.

4. Sluit de teksteditor.

Een certificaataanvraagbestand maken

Dit proces codeert de informatie die is opgegeven in ons configuratiebestand in Base64 en voert uitvoer uit naar een nieuw bestand.

1. Open op de computer waarop de Operations Manager-functie wordt gehost waarvoor u een certificaat aanvraagt, een opdrachtprompt als beheerder.

2. Navigeer naar dezelfde map waar het .inf bestand zich bevindt.

3. Voer de volgende opdracht uit om de .inf bestandsnaam te wijzigen om ervoor te zorgen dat deze overeenkomt met de bestandsnaam die u eerder hebt gemaakt. Laat de bestandsnaam .req as-isstaan:

   CertReq –New –f CertRequestConfig.inf CertRequest.req
   

4. Valideer het nieuwe .req-bestand door de volgende opdracht uit te voeren en de resultaten te controleren:

   CertUtil CertRequest.req
   

Een nieuwe certificaataanvraag indienen

1. Open op de computer waarop de Operations Manager-functie wordt gehost waarvoor u een certificaat aanvraagt, een opdrachtprompt als beheerder.

2. Navigeer naar dezelfde map waar het .req bestand zich bevindt.

3. Voer de volgende opdracht uit om een aanvraag in te dienen bij uw CA:

   CertReq -Submit CertRequest.req
   

4. U krijgt mogelijk opties gepresenteerd om uw CA te selecteren. Als dat het geval is, selecteert u een geschikte CA en gaat u verder.

5. Zodra dit is voltooid, kunnen de resultaten zeggen dat de certificaataanvraag in behandeling is, zodat uw certificaatkeur de aanvraag goedkeurt voordat u doorgaat.

   1. Anders wordt het certificaat geïmporteerd in de certificaatopslag.

Een certificaat aanvragen met Certificaatbeheer

Voor ENTERPRISE-CA's met een gedefinieerd certificaatsjabloon kunt u een nieuw certificaat aanvragen vanaf een clientcomputer die lid is van een domein met behulp van Certificate Manager. Deze methode is specifiek voor CA's voor ondernemingen en is niet van toepassing op Stand-Alone CA's.

1. Meld u aan bij de doelcomputer met beheerdersrechten (Beheerserver, gateway, agent, enzovoort).

2. Gebruik de opdrachtprompt van de beheerder of het PowerShell-venster om Certificaatbeheer te openen.

   1. certlm.msc : hiermee opent u het certificaatarchief van de lokale machine.
   2. mmc.msc - hiermee opent u de Microsoft Management Console.
      1. Laad de invoegmodule Certificate Manager.
      2. Ga naar Bestand>Toevoegen/Verwijderen Snap-In.
      3. Selecteer Certificaten.
      4. Selecteer toevoegen.
      5. Wanneer u hierom wordt gevraagd, selecteert u Computeraccount en selecteert u Volgende
      6. Zorg ervoor dat u lokale computer selecteert en selecteer voltooien.
      7. Selecteer OK- om de wizard te sluiten.

3. Start de certificaataanvraag:

   1. Vouw onder Certificaten de map Persoonlijk uit.
   2. Klik met de rechtermuisknop op Certificaten>Alle taken>Nieuw certificaat aanvragen.

4. In de Certificaatregistratie-wizard

   1. Op de pagina Voordat u begint, selecteer Volgende.
   2. Selecteer het toepasselijke certificaatinschrijvingsbeleid (de standaardwaarde is mogelijk het Active Directory-inschrijvingsbeleid), selecteer Volgende
   3. Selecteer de gewenste sjabloon voor inschrijvingsbeleid.
   4. Als de sjabloon niet direct beschikbaar is, selecteert u vak Alle sjablonen weergeven onder de lijst
   5. Als de benodigde sjabloon beschikbaar is met een rode X ernaast, raadpleegt u uw Active Directory- of certificaatteam
   6. Als informatie in het certificaat handmatig moet worden ingevoerd, ziet u een waarschuwingsbericht onder de geselecteerde sjabloon als hyperlink met de tekst ⚠️ More Information is required to enroll for this certificate. Click here to configure settings.
      1. Selecteer de hyperlink en ga door met het invullen van de gegevens voor het certificaat in het pop-upvenster.

5. In de wizard Certificaateigenschappen:

   Tabblad	Beschrijving
   Onderwerp	1. Selecteer in Onderwerpnaam de Algemene naam of Volledige DN, voer de waarde in: hostnaam of BIOS-naam van de doelserver, selecteer Toevoegen. 2. Voeg desgewenst alternatieve namen toe. Als u alternatieve namen gebruikt in plaats van een onderwerp, moet de eerste naam overeenkomen met de hostnaam of BIOS-naam.
   Algemeen	1. Geef een vriendelijke naam op voor het gegenereerde certificaat. 2. Geef desgewenst een beschrijving op van het doel van dit certificaat.
   Extensies	1. Zorg ervoor dat u onder Sleutelgebruik de optie Digital Signature en Sleutelversleuteling selecteert en schakel het selectievakje Deze sleutelgebruiken als essentieel markeren in. 2. Zorg ervoor dat u onder Uitgebreid sleutelgebruik Serververificatie en Clientverificatie opties selecteert.
   Persoonlijke sleutel	1. Controleer onder Sleutelopties of de sleutelgrootte ten minste 1024 of 2048 is en schakel het selectievakje Persoonlijke sleutel exporteren in. 2. Zorg ervoor dat u onder Sleuteltype de optie Exchange selecteert.
   Tabblad Certificeringsinstantie	Zorg ervoor dat u het selectievakje CA inschakelt.
   Handtekening	Als uw organisatie een registratie-instantie vereist, geeft u een handtekeningcertificaat op voor deze aanvraag.

   1. Zodra de informatie is opgegeven in de wizard Certificaateigenschappen, verdwijnt de waarschuwingshyperlink van eerder.
   2. Selecteer Inschrijven om het certificaatte maken. Als er een fout optreedt, raadpleegt u uw AD- of certificaatteam.
      1. Als dit lukt, geeft de status Geslaagd aan en bevindt een nieuw certificaat zich in de Persoonlijke opslag/Certificaten.

6. Als deze acties zijn uitgevoerd op de beoogde ontvanger van het certificaat, gaat u verder met de volgende stappen.

7. Als de certificaataanvraag moet worden goedgekeurd door een certificaatbeheerder, gaat u door zodra de aanvraag is gevalideerd en goedgekeurd.

   1. Als automatische inschrijving is goedgekeurd, wordt het certificaat weergegeven op het systeem na een update van groepsbeleid (gpupdate /force).
   2. Als het niet wordt weergegeven in de Persoonlijke opslag voor Lokale Machine, kijkt u in Certificaten - Lokale Computer>Certificaatinschrijvingsaanvragen>Certificaten
      1. Als het aangevraagde certificaat hier aanwezig is, kopieert u het naar het persoonlijke certificaatarchief.
      2. Als het aangevraagde certificaat hier niet is, neemt u contact op met uw certificaatteam.

8. Anders exporteert u het nieuwe certificaat van de computer en kopieert u het naar het volgende.

   1. Open het venster Certificate Manager en navigeer naar Personal>Certificates.
   2. Selecteer het certificaat dat u wilt exporteren.
   3. Klik met de rechtermuisknop op Alle Taken>Exporteren.
   4. In de Certificaatexportwizard.
      1. Selecteer Volgende op de welkomstpagina.
      2. Zorg ervoor dat u Ja selecteert, de persoonlijke sleutel exporteert.
      3. Selecteer Personal Information Exchange – PKCS #12 (. PFX) uit de indelingsopties.
         1. Selecteer Alle certificaten opnemen in het certificeringspad indien mogelijk en alle uitgebreide eigenschappen exporteren selectievakjes.
      4. Klik op Volgende.
      5. Geef een bekend wachtwoord op om het certificaatbestand te versleutelen.
      6. Selecteer Volgende.
      7. Geef een toegankelijk pad en herkenbare bestandsnaam op voor het certificaat.
   5. Kopieer het zojuist gemaakte certificaatbestand naar de doelcomputer.

Het certificaat installeren op de doelcomputer

Als u het zojuist gemaakte certificaat wilt gebruiken, importeert u het in het certificaatarchief op de clientcomputer.

Het certificaat toevoegen aan het certificaatarchief

1. Meld u aan bij de computer waarop de certificaten worden gemaakt voor beheerserver, gateway of agent.

2. Kopieer het certificaat dat u eerder hebt gemaakt naar een toegankelijke locatie op deze computer.

3. Open een beheerdersopdrachtprompt of PowerShell-venster en navigeer naar de map waarin het certificaatbestand zich bevindt.

4. Voer de volgende opdracht uit en vervang NewCertificate.cer door de juiste naam/het juiste pad van het bestand:

   CertReq -Accept -Machine NewCertificate.cer

5. Dit certificaat moet nu aanwezig zijn in het persoonlijke archief van de lokale computer op deze computer.

Klik met de rechtermuisknop op het certificaatbestand > Install > Lokale computer en kies de bestemming van de persoonlijke opslag om het certificaat te installeren.

Tip

Als u een certificaat toevoegt aan het certificaatarchief met de persoonlijke sleutel en later verwijdert, verliest het certificaat de persoonlijke sleutel wanneer het opnieuw wordt geimporteerd. Operations Manager vereist de persoonlijke sleutel voor het versleutelen van uitgaande gegevens. Als u de persoonlijke sleutel wilt herstellen, gebruikt u de opdracht certutil met het serienummer van het certificaat. Voer de volgende opdracht uit in een opdrachtprompt van de beheerder of in het PowerShell-venster:

certutil -repairstore my <certificateSerialNumber>

Het certificaat importeren in Operations Manager

Naast de installatie van het certificaat op het systeem moet u Operations Manager bijwerken om rekening te houden met het certificaat dat u wilt gebruiken. Deze acties resulteren in een herstart van de Microsoft Monitoring Agent-service om wijzigingen toe te passen.

We hebben het MOMCertImport.exe hulpprogramma nodig, dat is opgenomen in de map SupportTools van het Operations Manager-installatiemedium. Kopieer het bestand naar uw server.

Als u het certificaat wilt importeren in Operations Manager met behulp van MOMCertImport, voert u de volgende stappen uit:

1. Meld u aan bij de doelcomputer.

2. Open een Administrator-opdrachtprompt of PowerShell-venster en navigeer naar de map MOMCertImport.exe hulpprogramma.

3. Voer het hulpprogramma MomCertImport.exe uit door de volgende opdracht uit te voeren:

   1. In CMD: MOMCertImport.exe
   2. In PowerShell: .\MOMCertImport.exe

4. Er wordt een GUI-venster weergegeven waarin u wordt gevraagd om een certificaat teselecteren.

   1. U kunt een lijst met certificaten zien, als u het gewenste certificaat niet meteen ziet, selecteert u Meer opties.

5. Selecteer in de lijst het nieuwe certificaat voor de computer.

   1. U kunt het certificaat controleren door het te selecteren. Zodra deze optie is geselecteerd, kunt u de certificaateigenschappen bekijken.

6. Selecteer OK

7. Als dit lukt, wordt in een pop-upvenster het volgende bericht weergegeven:

   Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

8. Als u wilt valideren, gaat u naar Gebeurtenissenweergave>Toepassingen en Services-logboeken>Operations Manager en zoekt u naar Gebeurtenis-ID 20053. Met deze gebeurtenis wordt aangegeven dat het verificatiecertificaat is geladen

9. Als de gebeurtenis-id 20053 niet aanwezig is op het systeem, zoekt u naar een van de volgende gebeurtenis-id's wanneer deze problemen met het geïmporteerde certificaat definiëren. Corrigeer dienovereenkomstig:

   • 20049
   • 20050
   • 20052
   • 20066
   • 20069
   • 20077

   Als geen van deze gebeurtenis-id's aanwezig zijn in het logboek, is het importeren van het certificaat mislukt. Controleer uw certificaat en beheerdersmachtigingen en probeer het opnieuw.

10. MOMCertImport werkt de volgende registerlocatie bij zodat deze overeenkomt met het serienummer van het geïmporteerde, gespiegelde certificaat:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
    

Een certificaat vernieuwen

Operations Manager genereert een waarschuwing wanneer een geïmporteerd certificaat voor beheerservers en gateways bijna verloopt. Als u een dergelijke waarschuwing ontvangt, verlengt of maakt u een nieuw certificaat voor de servers vóór de vervaldatum. Deze waarschuwingsfunctionaliteit werkt alleen als het certificaat sjabloongegevens van een ca voor ondernemingen bevat.

1. Meld u aan bij de server met het verlopende certificaat en start het certificaatconfiguratiebeheer (certlm.msc).
2. Zoek het verlopende Operations Manager-certificaat.
3. Als u het certificaat niet vindt, is het mogelijk verwijderd of geïmporteerd via het bestand en niet het certificaatarchief. U moet een nieuw certificaat uitgeven voor deze computer vanuit de CA. Raadpleeg eerdere instructies voor hoe u dit doet.
4. Als u het certificaat vindt, zijn de volgende opties om het certificaat te vernieuwen:
   1. Certificaat aanvragen met nieuwe sleutel
   2. Certificaat vernieuwen met nieuwe sleutel
   3. Certificaat vernieuwen met dezelfde sleutel
5. Selecteer de optie die het beste van toepassing is op wat u wilt doen en volg de wizard.
6. Zodra dit is voltooid, voert u het hulpprogramma MOMCertImport.exe uit om ervoor te zorgen dat Operations Manager het nieuwe serienummer van het certificaat heeft. Zie de sectie Het certificaat importeren in Operations Manager voor meer informatie.

Als het vernieuwen van certificaten via deze methode niet beschikbaar is, gebruikt u de voorgaande stappen om een nieuw certificaat of bij de certificeringsinstantie van de organisatie aan te vragen. Installeer en importeer het nieuwe certificaat (MOMCertImport) voor gebruik door Operations Manager.

Optioneel: automatische inschrijving en verlenging van certificaat configureren

Gebruik de Ca voor ondernemingen om automatische inschrijving en verlengingen van certificaten te configureren wanneer ze verlopen. Als u dit doet, wordt het vertrouwde basiscertificaat gedistribueerd naar alle systemen die lid zijn van een domein.

De configuratie van automatische inschrijving en verlenging van certificaten werkt niet met Stand-Alone of niet-Microsoft CA's. Voor systemen in een werkgroep of afzonderlijk domein zijn certificaatvernieuwingen en -inschrijvingen een handmatig proces.

Zie de Windows Server Guidevoor meer informatie.

Notitie

Automatische inschrijving en verlengingen configureren Operations Manager niet automatisch voor het gebruik van het nieuwe certificaat. Als het certificaat automatisch wordt vernieuwd met dezelfde sleutel, kan de vingerafdruk ook hetzelfde blijven en is er geen actie vereist door een beheerder. Als er een nieuw certificaat wordt gegenereerd of de vingerafdruk wordt gewijzigd, moet het bijgewerkte certificaat opnieuw worden geïmporteerd. Zie de sectie Het certificaat importeren in Operations Manager voor meer informatie.