Implantação passo a passo de exemplo dos certificados PKI para Configuration Manager: autoridade de certificação do Windows Server 2008
Aplica-se a: Gerenciador de Configurações (branch atual)
Esta implantação de exemplo passo a passo, que usa uma AC (autoridade de certificação) do Windows Server 2008, tem procedimentos que mostram como criar e implantar os certificados PKI (infraestrutura de chave pública) que Configuration Manager usa. Esses procedimentos usam uma autoridade de certificação corporativa (AC) e modelos de certificado. As etapas são apropriadas somente para uma rede de teste, como uma prova de conceito.
Como não há um único método de implantação para os certificados necessários, consulte sua documentação de implantação PKI específica para os procedimentos necessários e as melhores práticas para implantar os certificados necessários para um ambiente de produção. Para saber mais sobre os requisitos do certificado, consulte Requisitos de certificado PKI para Configuration Manager.
Dica
Você pode adaptar as instruções neste tópico para sistemas operacionais que não estão documentados na seção Requisitos de Rede de Teste. No entanto, se você estiver executando a AC emissora no Windows Server 2012, não será solicitado para a versão do modelo de certificado. Em vez disso, especifique isso na guia Compatibilidade das propriedades do modelo:
-
Autoridade de Certificação: Windows Server 2003
- Destinatário do certificado: Windows XP /Server 2003
Testar requisitos de rede
As instruções passo a passo têm os seguintes requisitos:
A rede de teste está executando Active Directory Domain Services com o Windows Server 2008 e é instalada como um único domínio, uma única floresta.
Você tem um servidor membro executando o Windows Server 2008 Edição Enterprise, que tem a função Active Directory Certificate Services instalada nele e ele é configurado como uma AUTORIDADE de certificação raiz corporativa (AC).
Você tem um computador que tem o Windows Server 2008 (Standard Edition ou Edição Enterprise, R2 ou posterior) instalado nele, esse computador é designado como um servidor membro e o IIS (Serviços de Informações da Internet) está instalado nele. Este computador será o servidor do sistema de site Configuration Manager que você configurará com um FQDN (nome de domínio totalmente qualificado) de intranet para dar suporte a conexões de cliente na intranet e um FQDN da Internet se você precisar dar suporte a dispositivos móveis registrados por Configuration Manager e clientes na Internet.
Você tem um cliente do Windows Vista que tem o pacote de serviço mais recente instalado e esse computador é configurado com um nome de computador que compreende caracteres ASCII e é ingressado no domínio. Este computador será um Configuration Manager computador cliente.
Você pode entrar com uma conta de administrador de domínio raiz ou uma conta de administrador de domínio empresarial e usar essa conta para todos os procedimentos nesta implantação de exemplo.
Visão geral dos certificados
A tabela a seguir lista os tipos de certificados PKI que podem ser necessários para Configuration Manager e descreve como eles são usados.
Requisito de certificado | Descrição do certificado |
---|---|
Certificado de servidor Web para sistemas de site que executam o IIS | Esse certificado é usado para criptografar dados e autenticar o servidor para clientes. Ele deve ser instalado externamente a partir de Configuration Manager em servidores de sistemas de sites que executam o IIS (Internet Information Services) e que são configurados em Configuration Manager para usar HTTPS. Para obter as etapas para configurar e instalar esse certificado, consulte Implantar o certificado do servidor Web para sistemas de site que executam o IIS neste tópico. |
Certificado de serviço para clientes se conectarem a pontos de distribuição baseados em nuvem | Para obter as etapas para configurar e instalar esse certificado, consulte Implantar o certificado de serviço para pontos de distribuição baseados em nuvem neste tópico. Importante: Esse certificado é usado em conjunto com o certificado de gerenciamento do Windows Azure. Para saber mais sobre o certificado de gerenciamento, consulte Como criar um certificado de gerenciamento e como adicionar um certificado de gerenciamento a uma assinatura do Windows Azure. |
Certificado do cliente para computadores Windows | Esse certificado é usado para autenticar Configuration Manager computadores cliente em sistemas de sites configurados para usar HTTPS. Ele também pode ser usado para pontos de gerenciamento e pontos de migração de estado para monitorar seu status operacional quando eles são configurados para usar HTTPS. Ele deve ser instalado externamente a partir de Configuration Manager em computadores. Para obter as etapas para configurar e instalar esse certificado, consulte Implantar o certificado do cliente para computadores Windows neste tópico. |
Certificado do cliente para pontos de distribuição | Este certificado tem duas finalidades: O certificado é usado para autenticar o ponto de distribuição em um ponto de gerenciamento habilitado para HTTPS antes que o ponto de distribuição envie mensagens de status. Quando a opção Habilitar suporte PXE para clientes de ponto de distribuição é selecionada, o certificado é enviado para computadores que inicializam PXE para que eles possam se conectar a um ponto de gerenciamento habilitado para HTTPS durante a implantação do sistema operacional. Para obter as etapas para configurar e instalar esse certificado, consulte Implantar o certificado do cliente para pontos de distribuição neste tópico. |
Certificado de registro para dispositivos móveis | Esse certificado é usado para autenticar Configuration Manager clientes de dispositivo móvel para sistemas de sites configurados para usar HTTPS. Ele deve ser instalado como parte do registro de dispositivo móvel no Configuration Manager e você escolhe o modelo de certificado configurado como uma configuração de cliente de dispositivo móvel. Para obter as etapas para configurar esse certificado, consulte Implantar o certificado de registro para dispositivos móveis neste tópico. |
Certificado do cliente para computadores Mac | Você pode solicitar e instalar esse certificado em um computador Mac quando usar Configuration Manager registro e escolher o modelo de certificado configurado como uma configuração de cliente de dispositivo móvel. Para obter as etapas para configurar esse certificado, consulte Implantar o certificado cliente para computadores Mac neste tópico. |
Implantar o certificado do servidor Web para sistemas de site que executam o IIS
Essa implantação de certificado tem os seguintes procedimentos:
Criar e emitir o modelo de certificado do servidor Web na autoridade de certificação
Solicitar o certificado do servidor Web
Configurar o IIS para usar o certificado do servidor Web
Criar e emitir o modelo de certificado do servidor Web na autoridade de certificação
Esse procedimento cria um modelo de certificado para Configuration Manager sistemas de site e o adiciona à autoridade de certificação.
Para criar e emitir o modelo de certificado do servidor Web na autoridade de certificação
Crie um grupo de segurança chamado ConfigMgr IIS Servers que tenha os servidores membros para instalar Configuration Manager sistemas de site que executarão o IIS.
No servidor membro que tem os Serviços de Certificado instalados, no console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e escolha Gerenciar para carregar o console modelos de certificado .
No painel de resultados, clique com o botão direito do mouse na entrada que tem o Servidor Web na coluna Nome de Exibição de Modelo e escolha Modelo duplicado.
Na caixa de diálogo Modelo duplicado, verifique se o Windows 2003 Server, Edição Enterprise está selecionado e escolha OK.
Importante
Não selecione Windows 2008 Server, Edição Enterprise.
Na caixa de diálogo Propriedades do Novo Modelo, na guia Geral, insira um nome de modelo, como Certificado do Servidor Web ConfigMgr, para gerar os certificados Web que serão usados em Configuration Manager sistemas de site.
Escolha a guia Nome do Assunto e verifique se o Fornecimento na solicitação está selecionado.
Escolha a guia Segurança e remova a permissão Registrar dos grupos de segurança Administradores de Domínio e administradores corporativos .
Escolha Adicionar, insira Servidores IIS ConfigMgr na caixa de texto e escolha OK.
Escolha a permissão Registrar para esse grupo e não desmarque a permissão Ler .
Escolha OK e feche o Console de Modelos de Certificado.
No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado, escolha Novo e escolha Modelo de Certificado para Emitir.
Na caixa de diálogo Habilitar Modelos de Certificado , escolha o novo modelo que você acabou de criar, Certificado do Servidor Web ConfigMgr e escolha OK.
Se você não precisar criar e emitir mais certificados, feche a Autoridade de Certificação.
Solicitar o certificado do servidor Web
Esse procedimento permite especificar os valores de FQDN de intranet e internet que serão configurados nas propriedades do servidor do sistema de site e, em seguida, instala o certificado do servidor Web no servidor membro que executa o IIS.
Para solicitar o certificado do servidor Web
Reinicie o servidor membro que executa o IIS para garantir que o computador possa acessar o modelo de certificado que você criou usando as permissões De leitura e registro que você configurou.
Escolha Iniciar, escolha Executar e digite mmc.exe. No console vazio, escolha Arquivo e escolha Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins , escolha Certificados na lista de snap-ins disponíveis e escolha Adicionar.
Na caixa de diálogo Snap-in certificado , escolha Conta de computador e escolha Avançar.
Na caixa de diálogo Selecionar Computador , verifique se o computador local: (o computador em que este console está em execução) está selecionado e escolha Concluir.
Na caixa de diálogo Adicionar ou Remover Snap-ins , escolha OK.
No console, expanda Certificados (Computador Local) e escolha Pessoal.
Clique com o botão direito do mouse em Certificados, escolha Todas as Tarefas e escolha Solicitar Novo Certificado.
Na página Antes de Começar , escolha Avançar.
Se você vir a página Selecionar Política de Registro de Certificado , escolha Avançar.
Na página Certificados de Solicitação , identifique o Certificado do Servidor Web ConfigMgr na lista de certificados disponíveis e escolha Mais informações são necessárias para registrar esse certificado. Clique aqui para configurar as configurações.
Na caixa de diálogo Propriedades do Certificado , na guia Assunto , não faça alterações no nome da entidade. Isso significa que a caixa Valor para a seção Nome da entidade permanece em branco. Em vez disso, na seção Nome alternativo , escolha a lista suspensa Tipo e escolha DNS.
Na caixa Valor, especifique os valores FQDN que você especificará nas propriedades do sistema de site Configuration Manager e escolha OK para fechar a caixa de diálogo Propriedades do Certificado.
Exemplos:
Se o sistema de sites aceitar apenas conexões de cliente da intranet e o FQDN intranet do servidor do sistema de sites estiver server1.internal.contoso.com, insira server1.internal.contoso.com e escolha Adicionar.
Se o sistema de sites aceitar conexões de cliente da intranet e da internet, e o FQDN intranet do servidor do sistema de sites for server1.internal.contoso.com e o FQDN da Internet do servidor do sistema de sites estiver server.contoso.com:
Insira server1.internal.contoso.com e escolha Adicionar.
Insira server.contoso.com e escolha Adicionar.
Observação
Você pode especificar as FQDNs para Configuration Manager em qualquer ordem. No entanto, verifique se todos os dispositivos que usarão o certificado, como dispositivos móveis e servidores Web proxy, podem usar um SAN (nome alternativo) de entidade de certificado e vários valores na SAN. Se os dispositivos tiverem suporte limitado para valores SAN em certificados, talvez seja necessário alterar a ordem dos FQDNs ou usar o valor subject em vez disso.
Na página Certificados de Solicitação , escolha Certificado do Servidor Web ConfigMgr na lista de certificados disponíveis e escolha Registrar.
Na página Resultados da Instalação de Certificados , aguarde até que o certificado seja instalado e escolha Concluir.
Fechar certificados (computador local).
Configurar o IIS para usar o certificado do servidor Web
Esse procedimento associa o certificado instalado ao Site Padrão do IIS.
Para configurar o IIS para usar o certificado do servidor Web
No servidor membro que tem o IIS instalado, escolha Iniciar, escolha Programas, escolha Ferramentas Administrativas e escolha Gerenciador do IIS (Serviços de Informações da Internet).
Expanda Sites, clique com o botão direito do mouse em Site Padrão e escolha Editar Associações.
Escolha a entrada https e escolha Editar.
Na caixa de diálogo Editar Associação de Site , selecione o certificado solicitado usando o modelo ConfigMgr Web Server Certificates e escolha OK.
Observação
Se você não tiver certeza de qual é o certificado correto, escolha um e escolha Exibir. Isso permite comparar os detalhes do certificado selecionado com os certificados no snap-in Certificados. Por exemplo, o snap-in Certificados mostra o modelo de certificado usado para solicitar o certificado. Em seguida, você pode comparar a impressão digital do certificado que foi solicitado usando o modelo ConfigMgr Web Server Certificates com a impressão digital do certificado atualmente selecionado na caixa de diálogo Editar Associação do Site .
Escolha OK na caixa de diálogo Editar Associação de Site e escolha Fechar.
Fechar o Gerenciador de Serviços de Informações da Internet (IIS).
O servidor membro agora está configurado com um certificado de servidor Web Configuration Manager.
Importante
Ao instalar o servidor do sistema de sites Configuration Manager neste computador, especifique as mesmas FQDNs nas propriedades do sistema de site especificadas quando você solicitou o certificado.
Implantar o certificado de serviço para pontos de distribuição baseados em nuvem
Essa implantação de certificado tem os seguintes procedimentos:
Criar e emitir um modelo de certificado de servidor Web personalizado na autoridade de certificação
Exportar o certificado de servidor Web personalizado para pontos de distribuição baseados em nuvem
Criar e emitir um modelo de certificado de servidor Web personalizado na autoridade de certificação
Esse procedimento cria um modelo de certificado personalizado baseado no modelo de certificado do servidor Web. O certificado é para Configuration Manager pontos de distribuição baseados em nuvem e a chave privada deve ser exportável. Depois que o modelo de certificado é criado, ele é adicionado à autoridade de certificação.
Observação
Esse procedimento usa um modelo de certificado diferente do modelo de certificado do servidor Web que você criou para sistemas de sites que executam o IIS. Embora ambos os certificados exijam a capacidade de autenticação do servidor, o certificado para pontos de distribuição baseados em nuvem exige que você insira um valor definido sob medida para o Nome da Entidade e a chave privada deve ser exportada. Como uma prática recomendada de segurança, não configure modelos de certificado para que a chave privada possa ser exportada, a menos que essa configuração seja necessária. O ponto de distribuição baseado em nuvem requer essa configuração porque você deve importar o certificado como um arquivo, em vez de selecioná-lo no repositório de certificados.
Ao criar um novo modelo de certificado para esse certificado, você pode restringir os computadores que podem solicitar um certificado cuja chave privada pode ser exportada. Em uma rede de produção, você também pode considerar adicionar as seguintes alterações para este certificado:
- Exija aprovação para instalar o certificado para segurança adicional.
- Aumente o período de validade do certificado. Como você deve exportar e importar o certificado cada vez antes de expirar, um aumento do período de validade reduz a frequência com que você deve repetir esse procedimento. No entanto, um aumento do período de validade também diminui a segurança do certificado porque fornece mais tempo para um invasor descriptografar a chave privada e roubar o certificado.
- Use um valor personalizado na SAN (Nome Alternativo do Assunto de Certificado) para ajudar a identificar esse certificado de certificados de servidor Web padrão que você usa com o IIS.
Para criar e emitir o modelo de certificado de servidor Web personalizado na autoridade de certificação
Crie um grupo de segurança chamado ConfigMgr Site Servers que tem os servidores membros para instalar Configuration Manager servidores de site primários que gerenciarão pontos de distribuição baseados em nuvem.
No servidor membro que está executando o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e, em seguida, escolha Gerenciar para carregar o console de gerenciamento modelos de certificado.
No painel de resultados, clique com o botão direito do mouse na entrada que tem o Servidor Web na coluna Nome de Exibição de Modelo e escolha Modelo duplicado.
Na caixa de diálogo Modelo duplicado, verifique se o Windows 2003 Server, Edição Enterprise está selecionado e escolha OK.
Importante
Não selecione Windows 2008 Server, Edição Enterprise.
Na caixa de diálogo Propriedades do Novo Modelo , na guia Geral , insira um nome de modelo, como ConfigMgr Cloud-Based Certificado de Ponto de Distribuição, para gerar o certificado do servidor Web para pontos de distribuição baseados em nuvem.
Escolha a guia Tratamento de Solicitações e escolha Permitir que a chave privada seja exportada.
Escolha a guia Segurança e remova a permissão Registrar do grupo de segurança de administradores corporativos .
Escolha Adicionar, insira Servidores de Site ConfigMgr na caixa de texto e escolha OK.
Selecione a permissão Registrar para esse grupo e não desmarque a permissão Ler .
Escolha a guia Criptografia e verifique se o tamanho mínimo da chave foi definido como 2048.
Escolha OK e feche o Console de Modelos de Certificado.
No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado, escolha Novo e escolha Modelo de Certificado para Emitir.
Na caixa de diálogo Habilitar Modelos de Certificado , escolha o novo modelo que você acabou de criar, ConfigMgr Cloud-Based Certificado de Ponto de Distribuição e escolha OK.
Se você não precisar criar e emitir mais certificados, feche a Autoridade de Certificação.
Solicitar o certificado de servidor Web personalizado
Esse procedimento solicita e instala o certificado de servidor Web personalizado no servidor membro que executará o servidor do site.
Para solicitar o certificado de servidor Web personalizado
Reinicie o servidor membro depois de criar e configurar o grupo de segurança ConfigMgr Site Servers para garantir que o computador possa acessar o modelo de certificado que você criou usando as permissões Ler e Registrar que você configurou.
Escolha Iniciar, escolha Executar e insirammc.exe. No console vazio, escolha Arquivo e escolha Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins , escolha Certificados na lista de snap-ins disponíveis e escolha Adicionar.
Na caixa de diálogo Snap-in certificado , escolha Conta de computador e escolha Avançar.
Na caixa de diálogo Selecionar Computador , verifique se o computador local: (o computador em que este console está em execução) está selecionado e escolha Concluir.
Na caixa de diálogo Adicionar ou Remover Snap-ins , escolha OK.
No console, expanda Certificados (Computador Local) e escolha Pessoal.
Clique com o botão direito do mouse em Certificados, escolha Todas as Tarefas e escolha Solicitar Novo Certificado.
Na página Antes de Começar , escolha Avançar.
Se você vir a página Selecionar Política de Registro de Certificado , escolha Avançar.
Na página Certificados de Solicitação, identifique o Certificado ConfigMgr Cloud-Based Ponto de Distribuição na lista de certificados disponíveis e escolha Mais informações são necessárias para se registrar para este certificado. Escolha aqui para configurar as configurações.
Na caixa de diálogo Propriedades do Certificado , na guia Assunto , para o nome da entidade, escolha Nome comum como o Tipo.
Na caixa Valor , especifique sua escolha de nome de serviço e seu nome de domínio usando um formato FQDN. Por exemplo: clouddp1.contoso.com.
Observação
Torne o nome do serviço exclusivo no namespace. Você usará o DNS para criar um alias (registro CNAME) para mapear esse nome de serviço para um GUID (identificador gerado automaticamente) e um endereço IP do Windows Azure.
Escolha Adicionar e escolha OK para fechar a caixa de diálogo Propriedades do Certificado .
Na página Certificados de Solicitação , escolha ConfigMgr Cloud-Based Certificado de Ponto de Distribuição na lista de certificados disponíveis e escolha Registrar.
Na página Resultados da Instalação de Certificados , aguarde até que o certificado seja instalado e escolha Concluir.
Fechar certificados (computador local).
Exportar o certificado de servidor Web personalizado para pontos de distribuição baseados em nuvem
Esse procedimento exporta o certificado de servidor Web personalizado para um arquivo, para que ele possa ser importado quando você criar o ponto de distribuição baseado em nuvem.
Para exportar o certificado de servidor Web personalizado para pontos de distribuição baseados em nuvem
No console certificados (Computador Local), clique com o botão direito do mouse no certificado que você acabou de instalar, escolha Todas as Tarefas e escolha Exportar.
No Assistente de Exportação de Certificados, escolha Avançar.
Na página Exportar Chave Privada , escolha Sim, exporte a chave privada e escolha Avançar.
Observação
Se essa opção não estiver disponível, o certificado será criado sem a opção de exportar a chave privada. Nesse cenário, você não pode exportar o certificado no formato necessário. Você deve configurar o modelo de certificado para que a chave privada possa ser exportada e solicitar o certificado novamente.
Na página Exportar Formato de Arquivo , verifique se o Troca de Informações Pessoais – PKCS #12 (. A opção PFX) está selecionada.
Na página Senha , especifique uma senha forte para proteger o certificado exportado com sua chave privada e escolha Avançar.
Na página Arquivo para Exportação , especifique o nome do arquivo que você deseja exportar e escolha Avançar.
Para fechar o assistente, escolha Concluir na página Assistente de Exportação de Certificado e escolha OK na caixa de diálogo de confirmação.
Fechar certificados (computador local).
Armazene o arquivo com segurança e verifique se você pode acessá-lo no console Configuration Manager.
O certificado agora está pronto para ser importado quando você cria um ponto de distribuição baseado em nuvem.
Implantar o certificado do cliente para computadores Windows
Essa implantação de certificado tem os seguintes procedimentos:
Criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho na autoridade de certificação
Configurar o registro automático do modelo de Autenticação da Estação de Trabalho usando Política de Grupo
Registre automaticamente o certificado de Autenticação da Estação de Trabalho e verifique sua instalação em computadores
Criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho na autoridade de certificação
Esse procedimento cria um modelo de certificado para Configuration Manager computadores cliente e o adiciona à autoridade de certificação.
Para criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho na autoridade de certificação
No servidor membro que está executando o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e, em seguida, escolha Gerenciar para carregar o console de gerenciamento modelos de certificado.
No painel de resultados, clique com o botão direito do mouse na entrada que tem Autenticação de Estação de Trabalho na coluna Nome de Exibição de Modelo e escolha Modelo duplicado.
Na caixa de diálogo Modelo duplicado, verifique se o Windows 2003 Server, Edição Enterprise está selecionado e escolha OK.
Importante
Não selecione Windows 2008 Server, Edição Enterprise.
Na caixa de diálogo Propriedades do Novo Modelo, na guia Geral, insira um nome de modelo, como Certificado de Cliente ConfigMgr, para gerar os certificados de cliente que serão usados em Configuration Manager computadores cliente.
Escolha a guia Segurança , selecione o grupo Computadores de Domínio e selecione as permissões adicionais de Leitura e Registro Automático. Não desmarque Registrar.
Escolha OK e feche o Console de Modelos de Certificado.
No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado, escolha Novo e escolha Modelo de Certificado para Emitir.
Na caixa de diálogo Habilitar Modelos de Certificado , escolha o novo modelo que você acabou de criar, Certificado do Cliente ConfigMgr e escolha OK.
Se você não precisar criar e emitir mais certificados, feche a Autoridade de Certificação.
Configurar o registro automático do modelo de Autenticação da Estação de Trabalho usando Política de Grupo
Esse procedimento configura Política de Grupo para registrar automaticamente o certificado do cliente em computadores.
Para configurar o registro automático do modelo de Autenticação da Estação de Trabalho usando Política de Grupo
No controlador de domínio, escolha Iniciar, escolha Ferramentas Administrativas e escolha Política de Grupo Gerenciamento.
Vá para o domínio, clique com o botão direito do mouse no domínio e escolha Criar um GPO neste domínio e vincule-o aqui.
Observação
Esta etapa usa a melhor prática de criar um novo Política de Grupo para configurações personalizadas em vez de editar a Política de Domínio Padrão instalada com Active Directory Domain Services. Ao atribuir esse Política de Grupo no nível do domínio, você o aplicará a todos os computadores do domínio. Em um ambiente de produção, você pode restringir o registro automático para que ele se registre apenas em computadores selecionados. Você pode atribuir o Política de Grupo em um nível de unidade organizacional ou filtrar o domínio Política de Grupo com um grupo de segurança para que ele se aplique apenas aos computadores do grupo. Se você restringir o registro automático, lembre-se de incluir o servidor configurado como o ponto de gerenciamento.
Na caixa de diálogo Novo GPO, insira um nome, como Certificados de Registro Automático, para o novo Política de Grupo e escolha OK.
No painel de resultados, na guia Objetos vinculados Política de Grupo, clique com o botão direito do mouse no novo Política de Grupo e escolha Editar.
No Editor de Gerenciamento Política de Grupo, expanda Políticas em Configuração de Computador e vá paraAs Configuraçõesdo Windows Políticas / / de Chave Pública.
Clique com o botão direito do mouse no tipo de objeto chamado Cliente dos Serviços de Certificado – Registro automático e escolha Propriedades.
Na lista suspensa Modelo de Configuração , escolha Habilitado, escolha Renovar certificados expirados, atualizar certificados pendentes, remover certificados revogados, escolher Atualizar certificados que usam modelos de certificado e escolha OK.
Feche Política de Grupo Gerenciamento.
Registre automaticamente o certificado de Autenticação da Estação de Trabalho e verifique sua instalação em computadores
Esse procedimento instala o certificado do cliente em computadores e verifica a instalação.
Para registrar automaticamente o certificado de Autenticação da Estação de Trabalho e verificar sua instalação no computador cliente
Reinicie o computador da estação de trabalho e aguarde alguns minutos antes de entrar.
Observação
Reiniciar um computador é o método mais confiável para garantir o êxito com o registro automático do certificado.
Entre com uma conta que tenha privilégios administrativos.
Na caixa de pesquisa, insirammc.exe.e pressione Enter.
No console de gerenciamento vazio, escolha Arquivo e escolha Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins , escolha Certificados na lista de snap-ins disponíveis e escolha Adicionar.
Na caixa de diálogo Snap-in certificado , escolha Conta de computador e escolha Avançar.
Na caixa de diálogo Selecionar Computador , verifique se o computador local: (o computador em que este console está em execução) está selecionado e escolha Concluir.
Na caixa de diálogo Adicionar ou Remover Snap-ins , escolha OK.
No console, expanda Certificados (Computador Local), expanda Pessoal e escolha Certificados.
No painel de resultados, confirme se um certificado tem Autenticação do Cliente na coluna Propósito Pretendido e que o Certificado do Cliente ConfigMgr está na coluna Modelo de Certificado .
Fechar certificados (computador local).
Repita as etapas 1 a 11 para o servidor membro verificar se o servidor que será configurado como o ponto de gerenciamento também tem um certificado de cliente.
O computador agora está configurado com um certificado de cliente Configuration Manager.
Implantar o certificado do cliente para pontos de distribuição
Observação
Esse certificado também pode ser usado para imagens de mídia que não usam inicialização PXE, pois os requisitos de certificado são os mesmos.
Essa implantação de certificado tem os seguintes procedimentos:
Criar e emitir um modelo de certificado de Autenticação de Estação de Trabalho personalizado na autoridade de certificação
Solicitar o certificado personalizado de Autenticação da Estação de Trabalho
Exportar o certificado do cliente para pontos de distribuição
Criar e emitir um modelo de certificado de Autenticação de Estação de Trabalho personalizado na autoridade de certificação
Esse procedimento cria um modelo de certificado personalizado para Configuration Manager pontos de distribuição para que a chave privada possa ser exportada e adicione o modelo de certificado à autoridade de certificação.
Observação
Esse procedimento usa um modelo de certificado diferente do modelo de certificado que você criou para computadores cliente. Embora ambos os certificados exijam a capacidade de autenticação do cliente, o certificado para pontos de distribuição exige que a chave privada seja exportada. Como uma prática recomendada de segurança, não configure modelos de certificado para que a chave privada possa ser exportada, a menos que essa configuração seja necessária. O ponto de distribuição requer essa configuração porque você deve importar o certificado como um arquivo, em vez de selecioná-lo no repositório de certificados.
Ao criar um novo modelo de certificado para esse certificado, você pode restringir os computadores que podem solicitar um certificado cuja chave privada pode ser exportada. Em nossa implantação de exemplo, este será o grupo de segurança que você criou anteriormente para Configuration Manager servidores do sistema de sites que executam o IIS. Em uma rede de produção que distribui as funções do sistema de sites do IIS, considere criar um novo grupo de segurança para os servidores que executam pontos de distribuição para que você possa restringir o certificado a apenas esses servidores do sistema de site. Você também pode considerar adicionar as seguintes modificações para este certificado:
- Exija aprovação para instalar o certificado para segurança adicional.
- Aumente o período de validade do certificado. Como você deve exportar e importar o certificado cada vez antes de expirar, um aumento do período de validade reduz a frequência com que você deve repetir esse procedimento. No entanto, um aumento do período de validade também diminui a segurança do certificado porque fornece mais tempo para um invasor descriptografar a chave privada e roubar o certificado.
- Use um valor personalizado no campo Assunto de certificado ou SAN (Nome Alternativo do Assunto) para ajudar a identificar esse certificado de certificados de cliente padrão. Isso pode ser particularmente útil se você usar o mesmo certificado para vários pontos de distribuição.
Para criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho personalizado na autoridade de certificação
No servidor membro que está executando o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e, em seguida, escolha Gerenciar para carregar o console de gerenciamento modelos de certificado.
No painel de resultados, clique com o botão direito do mouse na entrada que tem Autenticação de Estação de Trabalho na coluna Nome de Exibição de Modelo e escolha Modelo duplicado.
Na caixa de diálogo Modelo duplicado, verifique se o Windows 2003 Server, Edição Enterprise está selecionado e escolha OK.
Importante
Não selecione Windows 2008 Server, Edição Enterprise.
Na caixa de diálogo Propriedades do Novo Modelo , na guia Geral , insira um nome de modelo, como Certificado de Ponto de Distribuição do Cliente ConfigMgr, para gerar o certificado de autenticação do cliente para pontos de distribuição.
Escolha a guia Tratamento de Solicitações e escolha Permitir que a chave privada seja exportada.
Escolha a guia Segurança e remova a permissão Registrar do grupo de segurança de administradores corporativos .
Escolha Adicionar, insira Servidores IIS ConfigMgr na caixa de texto e escolha OK.
Selecione a permissão Registrar para esse grupo e não desmarque a permissão Ler .
Escolha OK e feche o Console de Modelos de Certificado.
No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado, escolha Novo e escolha Modelo de Certificado para Emitir.
Na caixa de diálogo Habilitar Modelos de Certificado , escolha o novo modelo que você acabou de criar, ConfigMgr Client Distribution Point Certificate e escolha OK.
Se você não precisar criar e emitir mais certificados, feche a Autoridade de Certificação.
Solicitar o certificado personalizado de Autenticação da Estação de Trabalho
Esse procedimento solicita e instala o certificado de cliente personalizado no servidor membro que executa o IIS e que será configurado como um ponto de distribuição.
Para solicitar o certificado de Autenticação de Estação de Trabalho personalizado
Escolha Iniciar, escolha Executar e insirammc.exe. No console vazio, escolha Arquivo e escolha Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins , escolha Certificados na lista de snap-ins disponíveis e escolha Adicionar.
Na caixa de diálogo Snap-in certificado , escolha Conta de computador e escolha Avançar.
Na caixa de diálogo Selecionar Computador , verifique se o computador local: (o computador em que este console está em execução) está selecionado e escolha Concluir.
Na caixa de diálogo Adicionar ou Remover Snap-ins , escolha OK.
No console, expanda Certificados (Computador Local) e escolha Pessoal.
Clique com o botão direito do mouse em Certificados, escolha Todas as Tarefas e escolha Solicitar Novo Certificado.
Na página Antes de Começar , escolha Avançar.
Se você vir a página Selecionar Política de Registro de Certificado , escolha Avançar.
Na página Certificados de Solicitação , escolha Certificado do Ponto de Distribuição do Cliente ConfigMgr na lista de certificados disponíveis e escolha Registrar.
Na página Resultados da Instalação de Certificados , aguarde até que o certificado seja instalado e escolha Concluir.
No painel de resultados, confirme se um certificado tem Autenticação do Cliente na coluna Propósito Pretendido e que o Certificado do Ponto de Distribuição do Cliente ConfigMgr está na coluna Modelo de Certificado .
Não feche certificados (computador local).
Exportar o certificado do cliente para pontos de distribuição
Esse procedimento exporta o certificado de Autenticação de Estação de Trabalho personalizado para um arquivo para que ele possa ser importado nas propriedades do ponto de distribuição.
Para exportar o certificado do cliente para pontos de distribuição
No console certificados (Computador Local), clique com o botão direito do mouse no certificado que você acabou de instalar, escolha Todas as Tarefas e escolha Exportar.
No Assistente de Exportação de Certificados, escolha Avançar.
Na página Exportar Chave Privada , escolha Sim, exporte a chave privada e escolha Avançar.
Observação
Se essa opção não estiver disponível, o certificado será criado sem a opção de exportar a chave privada. Nesse cenário, você não pode exportar o certificado no formato necessário. Você deve configurar o modelo de certificado para que a chave privada possa ser exportada e, em seguida, solicitar o certificado novamente.
Na página Exportar Formato de Arquivo , verifique se o Troca de Informações Pessoais – PKCS #12 (. A opção PFX) está selecionada.
Na página Senha , especifique uma senha forte para proteger o certificado exportado com sua chave privada e escolha Avançar.
Na página Arquivo para Exportação , especifique o nome do arquivo que você deseja exportar e escolha Avançar.
Para fechar o assistente, escolha Concluir na página Assistente de Exportação de Certificado e escolha OK na caixa de diálogo de confirmação.
Fechar certificados (computador local).
Armazene o arquivo com segurança e verifique se você pode acessá-lo no console Configuration Manager.
O certificado agora está pronto para ser importado quando você configurar o ponto de distribuição.
Dica
Você pode usar o mesmo arquivo de certificado ao configurar imagens de mídia para uma implantação do sistema operacional que não usa inicialização PXE e a sequência de tarefas para instalar a imagem deve entrar em contato com um ponto de gerenciamento que requer conexões de cliente HTTPS.
Implantar o certificado de registro para dispositivos móveis
Essa implantação de certificado tem um único procedimento para criar e emitir o modelo de certificado de registro na autoridade de certificação.
Criar e emitir o modelo de certificado de registro na autoridade de certificação
Esse procedimento cria um modelo de certificado de registro para Configuration Manager dispositivos móveis e o adiciona à autoridade de certificação.
Para criar e emitir o modelo de certificado de registro na autoridade de certificação
Crie um grupo de segurança que tenha usuários que registrarão dispositivos móveis em Configuration Manager.
No servidor membro que tem os Serviços de Certificado instalados, no console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e escolha Gerenciar para carregar o console de gerenciamento de Modelos de Certificado.
No painel de resultados, clique com o botão direito do mouse na entrada que tem Sessão Autenticada na coluna Nome de Exibição de Modelo e escolha Modelo duplicado.
Na caixa de diálogo Modelo duplicado, verifique se o Windows 2003 Server, Edição Enterprise está selecionado e escolha OK.
Importante
Não selecione Windows 2008 Server, Edição Enterprise.
Na caixa de diálogo Propriedades do Novo Modelo, na guia Geral, insira um nome de modelo, como Certificado de Registro de Dispositivo Móvel ConfigMgr, para gerar os certificados de registro para os dispositivos móveis a serem gerenciados por Configuration Manager.
Escolha a guia Nome do Assunto , certifique-se de que Compilar a partir dessas informações do Active Directory esteja selecionado, selecione Nome comum para o formato nome do assunto:e, em seguida, desmarque o nome da entidade de usuário (UPN) de Incluir essas informações em nome de assunto alternativo.
Escolha a guia Segurança , escolha o grupo de segurança que tem usuários que têm dispositivos móveis para registrar e escolha a permissão adicional de Registrar. Não desmarque Leitura.
Escolha OK e feche o Console de Modelos de Certificado.
No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado, escolha Novo e escolha Modelo de Certificado para Emitir.
Na caixa de diálogo Habilitar Modelos de Certificado , escolha o novo modelo que você acabou de criar, ConfigMgr Certificado de Registro de Dispositivo Móvel e escolha OK.
Se você não precisar criar e emitir mais certificados, feche o console da Autoridade de Certificação.
O modelo de certificado de registro de dispositivo móvel agora está pronto para ser selecionado quando você configurar um perfil de registro de dispositivo móvel nas configurações do cliente.
Implantar o certificado de cliente para computadores Mac
Essa implantação de certificado tem um único procedimento para criar e emitir o modelo de certificado de registro na autoridade de certificação.
Criar e emitir um modelo de certificado do cliente Mac na autoridade de certificação
Esse procedimento cria um modelo de certificado personalizado para computadores mac Configuration Manager e adiciona o modelo de certificado à autoridade de certificação.
Observação
Esse procedimento usa um modelo de certificado diferente do modelo de certificado que você pode ter criado para computadores cliente Windows ou para pontos de distribuição.
Ao criar um novo modelo de certificado para esse certificado, você pode restringir a solicitação de certificado a usuários autorizados.
Para criar e emitir o modelo de certificado do cliente Mac na autoridade de certificação
Crie um grupo de segurança que tenha contas de usuário para usuários administrativos que registrarão o certificado no computador Mac usando Configuration Manager.
No servidor membro que está executando o console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e, em seguida, escolha Gerenciar para carregar o console de gerenciamento modelos de certificado.
No painel de resultados, clique com o botão direito do mouse na entrada que exibe Sessão Autenticada na coluna Nome da Exibição de Modelo e escolha Modelo duplicado.
Na caixa de diálogo Modelo duplicado, verifique se o Windows 2003 Server, Edição Enterprise está selecionado e escolha OK.
Importante
Não selecione Windows 2008 Server, Edição Enterprise.
Na caixa de diálogo Propriedades do Novo Modelo , na guia Geral , insira um nome de modelo, como Certificado de Cliente Mac ConfigMgr, para gerar o certificado cliente Mac.
Escolha a guia Nome da Entidade , certifique-se de que Compilar a partir dessas informações do Active Directory esteja selecionado, escolha Nome comum para o formato nome do assunto:e desmarque o NOME da entidade de usuário (UPN) de Incluir essas informações em nome de assunto alternativo.
Escolha a guia Segurança e remova a permissão Registrar dos grupos de segurança Administradores de Domínio e administradores corporativos .
Escolha Adicionar, especifique o grupo de segurança que você criou na primeira etapa e escolha OK.
Escolha a permissão Registrar para esse grupo e não desmarque a permissão Ler .
Escolha OK e feche o Console de Modelos de Certificado.
No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado, escolha Novo e escolha Modelo de Certificado para Emitir.
Na caixa de diálogo Habilitar Modelos de Certificado , escolha o novo modelo que você acabou de criar, ConfigMgr Mac Client Certificate e escolha OK.
Se você não precisar criar e emitir mais certificados, feche a Autoridade de Certificação.
O modelo de certificado do cliente Mac agora está pronto para ser selecionado quando você configurar as configurações do cliente para registro.