Como configurar o módulo de política para usar um novo certificado de cliente no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Os servidores que executam o Módulo de Política do Gerenciador de Configurações com o serviço de função Serviço de Registro de Dispositivo de Rede utilizam um certificado de cliente para autenticar esse módulo no servidor do sistema de site do ponto de registro de certificado no System Center 2012 Configuration Manager. Normalmente, um certificado de autenticação de cliente é válido por um ano. Antes do certificado expirar, renove-o, atualize o Registro do novo certificado e reinicie o servidor Web que executa o Serviço de Registro de Dispositivo de Rede.

Observação

Se o certificado já tiver expirado, a mensagem “ERRO(“Falha ao enviar a solicitação HTTP Para renovar o certificado: Se você solicitou manualmente esse certificado de cliente, solicite um novo certificado da mesma forma. Se precisar de ajuda para implantar este certificado, você poderá usar as instruções do Implantando o certificado do cliente para pontos de distribuição no tópico Exemplo passo a passo para implantação dos certificados PKI para o Configuration Manager: Autoridade de certificação do Windows Server 2008, com uma exceção: Não marque a caixa de seleção Permitir que a chave privada seja exportada na guia Tratamento de Solicitação das propriedades do modelo de certificado. Se você implantou automaticamente esse certificado do cliente utilizando o registro Política de Grupo, a configuração padrão é solicitar automaticamente um novo certificado antes que o certificado original expire. Após o novo certificado ser implantado no servidor que executa o Serviço de Registro de Dispositivo de Rede e o Módulo de Política do Gerenciador de Configurações, use o procedimento a seguir para configurar o servidor para usar o novo certificado. Para configurar o Módulo de Política para usar o novo certificado de cliente No servidor que executa o Serviço de Registro de Dispositivo de Rede e o Módulo de Política do Gerenciador de Configurações, abra o editor de Registro e substitua a impressão digital do certificado antigo pela do novo certificado usando a seguinte chave do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint. Dica Para identificar a impressão digital do novo certificado, localize o certificado no repositório do Computador usando o snap-in de Certificados. Em seguida, clique com o botão direito do mouse no certificado, clique em Propriedades, clique em Exibir Certificado, clique na guia Detalhes, role e selecione Impressão Digital. Depois disso, você verá e conseguirá copiar a cadeia de caracteres hexadecimais que é a impressão digital desse certificado. Reinicie os serviços do servidor Web usando um dos seguintes métodos: No Gerenciador do IIS (Serviços de Informações da Internet): Navegue até o nó do servidor Web na árvore. No painel Ações, clique em Reiniciar. Na linha de comando: Digite iisreset /restart e pressione Enter. Para obter mais informações, consulte Iniciar ou parar o servidor Web (IIS 8) na Biblioteca do Windows Server no TechNet. Você pode confirmar se o Módulo de Política está usando o novo certificado verificando a seguinte entrada no arquivo NDESPlugin.log, no servidor que executa o Serviço de Registro de Dispositivo de Rede: INFO("a impressão digital NDES é <impressão digital>.", wszBuffer); Consulte também Referência técnica dos perfis de certificado no Configuration Manager