Configurar a infraestrutura de certificado

Aplica-se a: Configuration Manager (branch atual)

Importante

A partir da versão 2203, esta funcionalidade de acesso a recursos da empresa já não é suportada. Para obter mais informações, veja Perguntas mais frequentes sobre a descontinuação do acesso a recursos.

Saiba como configurar a infraestrutura de certificados no Configuration Manager. Antes de começar, marcar para quaisquer pré-requisitos listados em Pré-requisitos para perfis de certificado.

Utilize estes passos para configurar a sua infraestrutura para certificados SCEP ou PFX.

Passo 1 – Instalar e Configurar o Serviço e Dependências de Inscrição de Dispositivos de Rede (apenas para certificados SCEP)

Tem de instalar e configurar o serviço de função Serviço de Inscrição de Dispositivos de Rede para Serviços de Certificados do Active Directory (AD CS), alterar as permissões de segurança nos modelos de certificado, implementar um certificado de autenticação de cliente de infraestrutura de chaves públicas (PKI) e editar o registo para aumentar o limite de tamanho de URL predefinido dos Serviços de Informação Internet (IIS). Se necessário, também tem de configurar a autoridade de certificação (AC) emissora para permitir um período de validade personalizado.

Importante

Antes de configurar Configuration Manager para trabalhar com o Serviço de Inscrição de Dispositivos de Rede, verifique a instalação e configuração do Serviço de Inscrição de Dispositivos de Rede. Se estas dependências não estiverem a funcionar corretamente, terá dificuldade em resolver problemas de inscrição de certificados com Configuration Manager.

Para instalar e configurar o Serviço de Inscrição de Dispositivos de Rede e as dependências

1. Num servidor que esteja a executar Windows Server 2012 R2, instale e configure o serviço de função Serviço de Inscrição de Dispositivos de Rede para a função de servidor dos Serviços de Certificados do Active Directory. Para obter mais informações, veja Orientações do Serviço de Inscrição de Dispositivos de Rede.

2. Verifique e, se necessário, modifique as permissões de segurança dos modelos de certificado que o Serviço de Inscrição de Dispositivos de Rede está a utilizar:

   • Para a conta que executa a consola do Configuration Manager: Permissão de leitura.

     Esta permissão é necessária para que, quando executar o Assistente para Criar Perfil de Certificado, possa procurar para selecionar o modelo de certificado que pretende utilizar quando criar um perfil de definições do SCEP. Selecionar um modelo de certificado significa que algumas definições no assistente são preenchidas automaticamente, pelo que há menos para configurar e há menos risco de selecionar definições que não são compatíveis com os modelos de certificado que o Serviço de Inscrição de Dispositivos de Rede está a utilizar.

   • Para a conta do Serviço SCEP que o conjunto aplicacional serviço de inscrição de dispositivos de rede utiliza: permissões de Leitura e Inscrição .

     Este requisito não é específico do Configuration Manager mas faz parte da configuração do Serviço de Inscrição de Dispositivos de Rede. Para obter mais informações, veja Orientações do Serviço de Inscrição de Dispositivos de Rede.

   Dica

   Para identificar os modelos de certificado que o Serviço de Inscrição de Dispositivos de Rede está a utilizar, veja a seguinte chave de registo no servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Observação

   Estas são as permissões de segurança predefinidas que serão adequadas para a maioria dos ambientes. No entanto, pode utilizar uma configuração de segurança alternativa. Para obter mais informações, veja Planear permissões de modelos de certificado para perfis de certificado.

3. Implemente neste servidor um certificado PKI que suporte a autenticação de cliente. Pode já ter um certificado adequado instalado no computador que pode utilizar ou poderá ter de (ou preferir) implementar um certificado especificamente para esta finalidade. Para obter mais informações sobre os requisitos para este certificado, veja os detalhes dos Servidores que executam o Módulo de Política de Configuration Manager com o serviço de função Serviço de Inscrição de Dispositivos de Rede na secção Certificados PKI para Servidores no tópico Requisitos de certificado PKI para Configuration Manager.

   Dica

   Se precisar de ajuda para implementar este certificado, pode utilizar as instruções para Implementar o Certificado de Cliente para Pontos de Distribuição, uma vez que os requisitos de certificado são os mesmos com uma exceção:

   • Não selecione a caixa Permitir que a chave privada seja exportada marcar no separador Processamento de Pedidos das propriedades do modelo de certificado.

     Não tem de exportar este certificado com a chave privada porque poderá navegar para o Arquivo de computadores local e selecioná-lo quando configurar o Módulo de Política Configuration Manager.

4. Localize o certificado de raiz ao qual o certificado de autenticação de cliente está encorrentado. Em seguida, exporte este certificado de AC de raiz para um ficheiro de certificado (.cer). Guarde este ficheiro numa localização segura à qual possa aceder de forma segura quando instalar e configurar posteriormente o servidor do sistema de sites para o ponto de registo de certificados.

5. No mesmo servidor, utilize o editor de registo para aumentar o limite de tamanho do URL predefinido do IIS ao definir os seguintes valores DWORD de chave de registo no HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

   • Defina a tecla MaxFieldLength como 65534.

   • Defina a chave MaxRequestBytes como 16777216.

     Para obter mais informações, consulte Suporte da Microsoft artigo 820129: Http.sys definições de registo do Windows.

6. No mesmo servidor, no Gestor de Serviços de Informação Internet (IIS), modifique as definições de filtragem de pedidos para a aplicação /certsrv/mscep e, em seguida, reinicie o servidor. Na caixa de diálogo Editar Definições de Filtragem de Pedidos , as definições de Limites de Pedido devem ser as seguintes:

   • Comprimento máximo permitido do conteúdo (Bytes): 30000000

   • Comprimento máximo do URL (Bytes): 65534

   • Cadeia de consulta máxima (Bytes): 65534

     Para obter mais informações sobre estas definições e como configurá-las, veja Limites de Pedidos do IIS.

7. Se quiser pedir um certificado que tenha um período de validade inferior ao modelo de certificado que está a utilizar: esta configuração está desativada por predefinição para uma AC empresarial. Para ativar esta opção numa AC empresarial, utilize a ferramenta de linha de comandos Certutil e, em seguida, pare e reinicie o serviço de certificados com os seguintes comandos:

   1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

      Para obter mais informações, veja Ferramentas e definições dos serviços de certificados.

8. Verifique se o Serviço de Inscrição de Dispositivos de Rede está a funcionar com a seguinte ligação como exemplo: https://server.contoso.com/certsrv/mscep/mscep.dll. Deverá ver a página Web do Serviço de Inscrição de Dispositivos de Rede incorporada. Esta página Web explica o que é o serviço e explica que os dispositivos de rede utilizam o URL para submeter pedidos de certificado.

   Agora que o Serviço de Inscrição de Dispositivos de Rede e as dependências estão configurados, está pronto para instalar e configurar o ponto de registo de certificados.

Passo 2 – Instalar e configurar o ponto de registo de certificados.

Tem de instalar e configurar, pelo menos, um ponto de registo de certificados na hierarquia do Configuration Manager e pode instalar esta função do sistema de sites no site de administração central ou num site primário.

Importante

Antes de instalar o ponto de registo de certificados, veja a secção Requisitos do Sistema de Sites no tópico Configurações suportadas para Configuration Manager para requisitos e dependências do sistema operativo para o ponto de registo de certificados.

Para instalar e configurar o ponto de registo de certificados

1. Na consola do Configuration Manager, clique em Administração.

2. Na área de trabalho Administração , expanda Configuração do Site, clique em Servidores e Funções do Sistema de Sites e, em seguida, selecione o servidor que pretende utilizar para o ponto de registo de certificados.

3. No separador Base , no grupo Servidor , clique em Adicionar Funções do Sistema de Sites.

4. Na página Geral , especifique as definições gerais do sistema de sites e, em seguida, clique em Seguinte.

5. Na página Proxy , clique em Seguinte. O ponto de registo de certificados não utiliza definições de proxy da Internet.

6. Na página Seleção de Função do Sistema , selecione Ponto de registo de certificados na lista de funções disponíveis e, em seguida, clique em Seguinte.

7. Na página Modo de Registo de Certificados , selecione se pretende que este ponto de registo de certificados processe pedidos de certificado SCEP ou Processe pedidos de certificado PFX. Um ponto de registo de certificados não pode processar ambos os tipos de pedidos, mas pode criar vários pontos de registo de certificados se estiver a trabalhar com ambos os tipos de certificado.

   Se estiver a processar certificados PFX, terá de escolher uma autoridade de certificação, microsoft ou Entrust.

8. A página Definições do Ponto de Registo de Certificados varia de acordo com o tipo de certificado:

   • Se tiver selecionado Processar pedidos de certificado SCEP, configure o seguinte:

     • Nome do site, número de porta HTTPS e Nome da aplicação virtual para o ponto de registo de certificados. Estes campos são preenchidos automaticamente com valores predefinidos.
     • URL do Serviço de Inscrição de Dispositivos de Rede e certificado de AC de raiz – clique em Adicionar e, em seguida, na caixa de diálogo Adicionar URL e Certificado de AC de Raiz , especifique o seguinte:
       • URL do Serviço de Inscrição de Dispositivos de Rede: especifique o URL no seguinte formato: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Por exemplo, se o FQDN do servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede for server1.contoso.com, escreva https://server1.contoso.com/certsrv/mscep/mscep.dll.
       • Certificado de AC de Raiz: navegue para e selecione o ficheiro de certificado (.cer) que criou e guardou no Passo 1: Instalar e configurar o Serviço de Inscrição de Dispositivos de Rede e as dependências. Este certificado de AC de raiz permite que o ponto de registo de certificados valide o certificado de autenticação de cliente que o Módulo de Política de Configuration Manager irá utilizar.

   • Se tiver selecionado Processar pedidos de certificado PFX, configure os detalhes de ligação e as credenciais da autoridade de certificação selecionada.

     • Para utilizar a Microsoft como autoridade de certificação, clique em Adicionar e, em seguida, na caixa de diálogo Adicionar uma Autoridade de Certificação e Conta, especifique o seguinte:

       • Nome do Servidor da Autoridade de Certificação – introduza o nome do servidor da autoridade de certificação.

       • Conta da Autoridade de Certificação – clique em Definir para selecionar ou crie a conta que tem permissões para se inscrever em modelos na autoridade de certificação.

       • Conta de Ligação do Ponto de Registo de Certificados – selecione ou crie a conta que liga o ponto de registo de certificados à base de dados Configuration Manager. De forma alterativa, pode utilizar a conta de computador local do computador que aloja o ponto de registo de certificados.

       • Conta de Publicação de Certificados do Active Directory – selecione uma conta ou crie uma nova conta que será utilizada para publicar certificados em objetos de utilizador no Active Directory.

       • No URL da caixa de diálogo Inscrição de Dispositivos de Rede e certificado de AC de raiz , especifique o seguinte e, em seguida, clique em OK:

     • Para utilizar a opção Confiar como autoridade de certificação, especifique:

       • O URL do serviço Web MDM

       • As credenciais de nome de utilizador e palavra-passe do URL.

         Ao utilizar a API MDM para definir o URL do serviço Web Entrust, certifique-se de que utiliza, pelo menos, a versão 9 da API, conforme mostrado no exemplo seguinte:

         https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

         As versões anteriores da API não suportam o Entrust.

9. Clique em Seguinte e conclua o assistente.

10. Aguarde alguns minutos para que a instalação seja concluída e, em seguida, verifique se o ponto de registo de certificados foi instalado com êxito através de qualquer um dos seguintes métodos:

    • Na área de trabalho Monitorização, expanda Estado do Sistema, clique em Estado do Componente e procure status mensagens do componente SMS_CERTIFICATE_REGISTRATION_POINT.

    • No servidor do sistema de sites, utilize o <ficheiro ConfigMgr Installation Path>\Logs\crpsetup.log e <ConfigMgr Installation Path>\Logs\crpmsi.log. Uma instalação com êxito devolverá um código de saída de 0.

    • Ao utilizar um browser, verifique se consegue ligar ao URL do ponto de registo de certificados. Por exemplo, https://server1.contoso.com/CMCertificateRegistration. Deverá ver uma página Erro do Servidor para o nome da aplicação, com uma descrição HTTP 404.

11. Localize o ficheiro de certificado exportado para a AC de raiz que o ponto de registo de certificados criou automaticamente na seguinte pasta no computador do servidor do site primário: <ConfigMgr Caminho> de Instalação\inboxes\certmgr.box. Guarde este ficheiro numa localização segura à qual possa aceder de forma segura quando, mais tarde, instalar o Módulo de Política de Configuration Manager no servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede.

    Dica

    Este certificado não está imediatamente disponível nesta pasta. Poderá ter de esperar um pouco (por exemplo, meia hora) antes de Configuration Manager copia o ficheiro para esta localização.

Passo 3 – Instalar o Módulo de Política de Configuration Manager (apenas para certificados SCEP).

Tem de instalar e configurar o Módulo de Política Configuration Manager em cada servidor que especificou no Passo 2: Instalar e configurar o ponto de registo de certificados como URL do Serviço de Inscrição de Dispositivos de Rede nas propriedades do ponto de registo de certificados.

Para instalar o Módulo de Política

1. No servidor que executa o Serviço de Inscrição de Dispositivos de Rede, inicie sessão como administrador de domínio e copie os seguintes ficheiros da <pasta ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 no suporte de dados de instalação do Configuration Manager para uma pasta temporária:

   • PolicyModule.msi

   • PolicyModuleSetup.exe

   Além disso, se tiver uma pasta LanguagePack no suporte de dados de instalação, copie esta pasta e os respetivos conteúdos.

2. Na pasta temporária, execute PolicyModuleSetup.exe para iniciar o assistente de Configuração do Módulo de Política Configuration Manager.

3. Na página inicial do assistente, clique em Seguinte, aceite os termos de licenciamento e, em seguida, clique em Seguinte.

4. Na página Pasta de Instalação , aceite a pasta de instalação predefinida para o módulo de política ou especifique uma pasta alternativa e, em seguida, clique em Seguinte.

5. Na página Ponto de Registo de Certificados , especifique o URL do ponto de registo de certificados com o FQDN do servidor do sistema de sites e o nome da aplicação virtual especificado nas propriedades do ponto de registo de certificados. O nome da aplicação virtual predefinido é CMCertificateRegistration. Por exemplo, se o servidor do sistema de sites tiver um FQDN de server1.contoso.com e tiver utilizado o nome da aplicação virtual predefinido, especifique https://server1.contoso.com/CMCertificateRegistration.

6. Aceite a porta predefinida 443 ou especifique o número de porta alternativo que o ponto de registo de certificados está a utilizar e, em seguida, clique em Seguinte.

7. Na página Certificado de Cliente do Módulo de Política, navegue para e especifique o certificado de autenticação de cliente que implementou no Passo 1: Instalar e configurar o Serviço de Inscrição de Dispositivos de Rede e dependências e, em seguida, clique em Seguinte.

8. Na página Certificado do Ponto de Registo de Certificados , clique em Procurar para selecionar o ficheiro de certificado exportado para a AC de raiz que localizou e guardou no final do Passo 2: Instalar e configurar o ponto de registo de certificados.

   Observação

   Se não guardou anteriormente este ficheiro de certificado, este está localizado no <caminho> de instalação do ConfigMgr\inboxes\certmgr.box no computador do servidor do site.

9. Clique em Seguinte e conclua o assistente.

   Se quiser desinstalar o Módulo de Política Configuration Manager, utilize Programas e Funcionalidades no Painel de Controle.

Agora que concluiu os passos de configuração, está pronto para implementar certificados em utilizadores e dispositivos ao criar e implementar perfis de certificado. Para obter mais informações sobre como criar perfis de certificado, veja Como criar perfis de certificado.