Compartilhar via

Criar perfis de certificado

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Importante

A partir da versão 2203, esta funcionalidade de acesso a recursos da empresa já não é suportada. Para obter mais informações, veja Perguntas mais frequentes sobre a descontinuação do acesso a recursos.

Utilize perfis de certificado no Configuration Manager para aprovisionar dispositivos geridos com os certificados de que precisam para aceder aos recursos da empresa. Antes de criar perfis de certificado, configure a infraestrutura de certificados conforme descrito em Configurar a infraestrutura de certificados.

Este artigo descreve como criar perfis de certificado SCEP (Simple Certificate Enrollment Protocol) e raiz fidedigna. Se quiser criar perfis de certificado PFX, veja Criar perfis de certificado PFX.

Para criar um perfil de certificado:

  1. Inicie o Assistente para Criar Perfil de Certificado.
  2. Forneça informações gerais sobre o certificado.
  3. Configurar um certificado de autoridade de certificação (AC) fidedigna.
  4. Configure as informações do certificado SCEP.
  5. Especifique as plataformas suportadas para o perfil de certificado.

Iniciar o assistente

Para iniciar o Perfil de Criação de Certificado:

  1. Na consola do Configuration Manager, aceda à área de trabalho Ativos e Compatibilidade, expanda Definições de Compatibilidade, expanda Acesso a Recursos da Empresa e, em seguida, selecione o nó Perfis de Certificado.

  2. No separador Base do friso, no grupo Criar , selecione Criar Perfil de Certificado.

Geral

Na página Geral do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

  • Nome: introduza um nome exclusivo para o perfil de certificado. Pode utilizar um máximo de 256 carateres.

  • Descrição: forneça uma descrição geral do perfil de certificado. Inclua também outras informações relevantes que ajudam a identificá-la na consola do Configuration Manager. Pode utilizar um máximo de 256 carateres.

  • Especifique o tipo de perfil de certificado que pretende criar:

    • Certificado de AC fidedigna: selecione este tipo para implementar uma autoridade de certificação (AC) de raiz fidedigna ou um certificado de AC intermédia para formar uma cadeia de certificados de fidedignidade quando o utilizador ou dispositivo tem de autenticar outro dispositivo. Por exemplo, o dispositivo pode ser um servidor RADIUS (Remote Authentication Dial-In User Service) ou um servidor de rede privada virtual (VPN).

      Configure também um perfil de certificado de AC fidedigno antes de poder criar um perfil de certificado SCEP. Neste caso, o certificado de AC fidedigno tem de ser para a AC que emite o certificado para o utilizador ou dispositivo.

    • Definições do Protocolo SCEP (Simple Certificate Enrollment Protocol): selecione este tipo para pedir um certificado para um utilizador ou dispositivo com o Protocolo de Inscrição de Certificados Simples e o serviço de função Serviço de Inscrição de Dispositivos de Rede (NDES).

    • Informações Pessoais Definições do Exchange PKCS #12 (PFX) – Importação: selecione esta opção para importar um certificado PFX. Para obter mais informações, veja Importar perfis de certificado PFX.

    • Informações Pessoais Definições do Exchange PKCS #12 (PFX) – Criar: selecione esta opção para processar certificados PFX com uma autoridade de certificação. Para obter mais informações, veja Criar perfis de certificado PFX.

Certificado de AC fidedigna

Importante

Antes de criar um perfil de certificado SCEP, configure pelo menos um perfil de certificado de AC fidedigno.

Após a implementação do certificado, se alterar qualquer um destes valores, é pedido um novo certificado:

  • Fornecedor de Armazenamento de Chaves
  • Nome do modelo de certificado
  • Tipo de certificado
  • Formato de nome da entidade
  • Nome alternativo da entidade
  • Período de validade do certificado
  • Uso de chave
  • Tamanho da chave
  • Uso estendido de chave
  • Certificado de AC de raiz

  1. Na página Certificado de AC Fidedigna do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

    • Ficheiro de certificado: selecione Importar e, em seguida, navegue para o ficheiro de certificado.

    • Arquivo de destino: para dispositivos com mais do que um arquivo de certificados, selecione onde armazenar o certificado. Para dispositivos que têm apenas um arquivo, esta definição é ignorada.

  2. Utilize o valor thumbprint do Certificado para verificar se importou o certificado correto.

Certificados SCEP

1. Servidores SCEP

Na página Servidores SCEP do Assistente para Criar Perfil de Certificado, especifique os URLs dos Servidores do NDES que emitirão certificados através do SCEP. Pode atribuir automaticamente um URL do NDES com base na configuração do ponto de registo de certificados ou adicionar URLs manualmente.

2. Inscrição SCEP

Conclua a página Inscrição SCEP do Assistente para Criar Perfil de Certificado.

  • Repetições: especifique o número de vezes que o dispositivo repetirá automaticamente o pedido de certificado para o servidor do NDES. Esta definição suporta o cenário em que um gestor de AC tem de aprovar um pedido de certificado antes de ser aceite. Normalmente, esta definição é utilizada para ambientes de alta segurança ou se tiver uma AC emissora autónoma em vez de uma AC empresarial. Também pode utilizar esta definição para fins de teste, para que possa inspecionar as opções de pedido de certificado antes de a AC emissora processar o pedido de certificado. Utilize esta definição com a definição Atraso de repetição (minutos).

  • Atraso de repetição (minutos): especifique o intervalo, em minutos, entre cada tentativa de inscrição quando utiliza a aprovação do gestor de AC antes de a AC emissora processar o pedido de certificado. Se utilizar a aprovação do gestor para fins de teste, especifique um valor baixo. Em seguida, não está a aguardar muito tempo para que o dispositivo repita o pedido de certificado depois de aprovar o pedido.

    Se utilizar a aprovação do gestor numa rede de produção, especifique um valor mais elevado. Este comportamento permite tempo suficiente para o administrador da AC aprovar ou negar aprovações pendentes.

  • Limiar de renovação (%): especifique a percentagem da duração do certificado que permanece antes de o dispositivo pedir a renovação do certificado.

  • Fornecedor de Armazenamento de Chaves (KSP): especifique onde é armazenada a chave do certificado. Escolha um dos valores a seguir:

    • Instalar no Trusted Platform Module (TPM), se estiver presente: instala a chave no TPM. Se o TPM não estiver presente, a chave é instalada no fornecedor de armazenamento da chave de software.

    • Caso contrário, a instalação no Trusted Platform Module (TPM) falha: instala a chave no TPM. Se o módulo TPM não estiver presente, a instalação falhará.

    • A instalação no Windows Hello para Empresas de outra forma falhar: esta opção está disponível para dispositivos Windows 10 ou posteriores. Permite-lhe armazenar o certificado no arquivo Windows Hello para Empresas, que está protegido pela autenticação multifator. Para obter mais informações, consulte Windows Hello para Empresas.

      Observação

      Esta opção não suporta início de sessão smart card para a utilização da chave avançada na página Propriedades do Certificado.

    • Instalar no Fornecedor de Armazenamento de Chaves de Software: instala a chave no fornecedor de armazenamento da chave de software.

  • Dispositivos para a inscrição de certificados: se implementar o perfil de certificado numa coleção de utilizadores, permita a inscrição de certificados apenas no dispositivo principal do utilizador ou em qualquer dispositivo no qual o utilizador inicie sessão.

    Se implementar o perfil de certificado numa coleção de dispositivos, permita a inscrição de certificados apenas para o utilizador principal do dispositivo ou para todos os utilizadores que iniciem sessão no dispositivo.

3. Propriedades do Certificado

Na página Propriedades do Certificado do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

  • Nome do modelo de certificado: selecione o nome de um modelo de certificado que configurou no NDES e adicionado a uma AC emissora. Para navegar com êxito para modelos de certificado, a sua conta de utilizador precisa de permissão de Leitura para o modelo de certificado. Se não conseguir Procurar o certificado, escreva o respetivo nome.

    Importante

    Se o nome do modelo de certificado contiver carateres não ASCII, o certificado não será implementado. (Um exemplo destes carateres é do alfabeto chinês.) Para se certificar de que o certificado está implementado, crie primeiro uma cópia do modelo de certificado na AC. Em seguida, mude o nome da cópia com carateres ASCII.

    • Se procurar para selecionar o nome do modelo de certificado, alguns campos na página são preenchidos automaticamente a partir do modelo de certificado. Em alguns casos, não pode alterar estes valores, a menos que escolha um modelo de certificado diferente.

    • Se escrever o nome do modelo de certificado, certifique-se de que o nome corresponde exatamente a um dos modelos de certificado. Tem de corresponder aos nomes listados no registo do servidor do NDES. Certifique-se de que especifica o nome do modelo de certificado e não o nome a apresentar do modelo de certificado.

      Para localizar os nomes dos modelos de certificado, navegue para a seguinte chave de registo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Lista os modelos de certificado como os valores de EncryptionTemplate, GeneralPurposeTemplate e SignatureTemplate. Por predefinição, o valor dos três modelos de certificado é IPSECIntermediateOffline, que mapeia para o nome a apresentar do modelo ipSec (pedido offline).

      Aviso

      Quando escreve o nome do modelo de certificado, Configuration Manager não consegue verificar o conteúdo do modelo de certificado. Poderá selecionar opções que o modelo de certificado não suporta, o que pode resultar num pedido de certificado falhado. Quando este comportamento acontece, verá uma mensagem de erro para w3wp.exe no ficheiro de CPR.log que o nome do modelo no pedido de assinatura de certificado (CSR) e o desafio não correspondem.

      Quando escrever o nome do modelo de certificado especificado para o valor GeneralPurposeTemplate, selecione as opções Cifração de chave e assinatura digital para este perfil de certificado. Se quiser ativar apenas a opção Cifragem de chave neste perfil de certificado, especifique o nome do modelo de certificado para a chave EncryptionTemplate . Da mesma forma, se quiser ativar apenas a opção Assinatura digital neste perfil de certificado, especifique o nome do modelo de certificado para a chave SignatureTemplate .

  • Tipo de certificado: selecione se irá implementar o certificado num dispositivo ou utilizador.

  • Formato do nome do requerente: selecione como Configuration Manager cria automaticamente o nome do requerente no pedido de certificado. Se o certificado for para um utilizador, também pode incluir o endereço de e-mail do utilizador no nome do requerente.

    Observação

    Se selecionar número IMEI ou Número de série, pode diferenciar entre diferentes dispositivos que pertencem ao mesmo utilizador. Por exemplo, esses dispositivos podem partilhar um nome comum, mas não um número IMEI ou um número de série. Se o dispositivo não comunicar um número de série ou IMEI, o certificado é emitido com o nome comum.

  • Nome alternativo do requerente: especifique como Configuration Manager cria automaticamente os valores para o nome alternativo do requerente (SAN) no pedido de certificado. Por exemplo, se tiver selecionado um tipo de certificado de utilizador, pode incluir o nome principal de utilizador (UPN) no nome alternativo do requerente. Se o certificado de cliente se autenticar num Servidor de Políticas de Rede, defina o nome alternativo do requerente para o UPN.

  • Período de validade do certificado: se definir um período de validade personalizado na AC emissora, especifique o período de tempo restante antes de o certificado expirar.

    Dica

    Defina um período de validade personalizado com a seguinte linha de comandos: certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE Para obter mais informações sobre este comando, veja Infraestrutura de certificados.

    Pode especificar um valor inferior ao período de validade no modelo de certificado especificado, mas não superior. Por exemplo, se o período de validade do certificado no modelo de certificado for de dois anos, pode especificar um valor de um ano, mas não um valor de cinco anos. O valor também tem que ser inferior ao período de validade restante do certificado da AC emissora.

  • Utilização da chave: especifique as opções de utilização da chave para o certificado. Escolha dentre as seguintes opções:

    • Codificação de chave: Permitir a troca de chaves apenas quando a chave é criptografada.

    • Assinatura digital: Permitir a troca de chaves apenas quando uma assinatura digital ajudar a proteger a chave.

    Se procurar um modelo de certificado, não pode alterar estas definições, a menos que selecione um modelo de certificado diferente.

    Configure o modelo de certificado selecionado com uma ou ambas as opções de utilização de chaves acima. Caso contrário, verá a seguinte mensagem no ficheiro de registo do ponto de registo de certificados, Crp.log: A utilização da chave no CSR e o desafio não correspondem

  • Tamanho da chave (bits): selecione o tamanho da chave em bits.

  • Utilização da chave expandida: adicione valores para a finalidade pretendida do certificado. Na maioria dos casos, o certificado requer Autenticação de Cliente para que o utilizador ou dispositivo possa autenticar-se num servidor. Pode adicionar outras utilizações de chave conforme necessário.

  • Algoritmo hash: selecione um dos tipos de algoritmo hash disponíveis para utilizar com este certificado. Selecione o nível mais alto de segurança que dá suporte aos dispositivos de conexão.

    Observação

    SHA-2 suporta SHA-256, SHA-384 e SHA-512. SHA-3 suporta apenas SHA-3.

  • Certificado de AC de raiz: escolha um perfil de certificado de AC de raiz que configurou e implementou anteriormente no utilizador ou dispositivo. Este certificado de AC tem de ser o certificado de raiz da AC que emitirá o certificado que está a configurar neste perfil de certificado.

    Importante

    Se especificar um certificado de AC de raiz que não esteja implementado no utilizador ou dispositivo, Configuration Manager não iniciará o pedido de certificado que está a configurar neste perfil de certificado.

Plataformas compatíveis

Na página Plataformas Suportadas do Assistente para Criar Perfil de Certificado, selecione as versões do SO onde pretende instalar o perfil de certificado. Selecione Selecionar tudo para instalar o perfil de certificado em todos os sistemas operativos disponíveis.

Próximas etapas

O novo perfil de certificado é apresentado no nó Perfis de Certificado na área de trabalho Ativos e Compatibilidade . Está pronto para implementar em utilizadores ou dispositivos. Para obter mais informações, veja Como implementar perfis.