Partilhar via

Obter um certificado para utilização com o Windows Servers e o System Center Operations Manager

  • Artigo

Este artigo descreve como obter um certificado e utilizar com o Servidor de Gestão do Operations Manager, o Gateway ou o Agente através de um servidor da Autoridade de Certificação (AC) do Stand-Alone ou do Enterprise Active Directory Certificate Services (AD CS) na plataforma Windows.

  • Para pedir e aceitar um certificado, utilize o utilitário de linha de comandos certreq . Para submeter e obter um certificado, utilize uma interface Web.

Pré-requisitos

Certifique-se de que tem o seguinte:

  • AD-CS instalado e configurado no ambiente com serviços Web ou uma Autoridade de Certificação de terceiros com certificados que correspondem às definições necessárias apresentadas.
  • Enlace HTTPS e o respetivo certificado associado instalados. Para obter informações sobre como criar um enlace HTTPS, veja Como Configurar um Enlace HTTPS para uma AC do Windows Server.
  • Uma experiência de ambiente de trabalho típica e não servidores Core.

Importante

O Fornecedor de Armazenamento de Chaves de API de Criptografia (KSP) não é suportado para certificados do Operations Manager.

Nota

Se a sua organização não utilizar o AD CS ou utilizar uma autoridade de certificação externa, utilize as instruções fornecidas para essa aplicação para criar um certificado e certifique-se de que cumpre os seguintes requisitos para o Operations Manager e, em seguida, siga os passos de Importação e Instalação fornecidos:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Importante

Para este tópico, as predefinições do AD-CS são as seguintes:

  • Comprimento da chave padrão: 2048
  • API de Criptografia: Fornecedor de Serviços Criptográficos (CSP)
  • Algoritmo Hash Seguro: 256 (SHA256) Avalie estas seleções de acordo com os requisitos da política de segurança da sua empresa.

Processo de alto nível para obter um certificado:

  1. Transfira o Certificado de Raiz a partir de uma AC.

  2. Importe o Certificado de Raiz para um servidor cliente.

  3. Crie um modelo de certificado.

  4. Adicione o modelo à pasta Modelos de Certificado.

  5. Crie um ficheiro de informações de configuração para utilização com o utilitário da <certreq> linha de comandos.

  6. Crie um ficheiro de pedido (ou utilize o portal Web).

  7. Submeta um pedido à AC.

  8. Importe o certificado para o arquivo de certificados.

  9. Importe o certificado para o Operations Manager com <MOMCertImport>.

Transferir e Importar o Certificado de Raiz da AC

Para confiar e validar quaisquer certificados criados a partir de ACs Empresariais ou Stand-Alone, o computador de destino tem de ter uma cópia do Certificado de Raiz no respetivo Arquivo de Raiz Fidedigna. A maioria dos computadores associados a um domínio tem de confiar na AC Empresarial. No entanto, nenhuma máquina irá confiar num certificado de uma AC Stand-Alone sem o Certificado de Raiz instalado.

Se estiver a utilizar uma AC de terceiros, o processo de transferência será diferente. No entanto, o processo de importação permanece o mesmo.

Transferir o certificado de Raiz Fidedigna a partir de uma AC

Para transferir o certificado de Raiz Fidedigna, siga estes passos:

  1. Inicie sessão no computador onde pretende instalar um certificado. Por exemplo, um Servidor de Gateway ou Um Servidor de Gestão.

  2. Abra um browser e ligue-se ao endereço Web do servidor de certificados. Por exemplo, https://<servername>/certsrv.

  3. Na página De boas-vindas , selecione Transferir um Certificado de AC, Cadeia de certificados ou CRL.

    a. Se lhe for pedida uma Confirmação de Acesso Web, verifique o servidor e o URL e selecione Sim.

    b. Verifique as múltiplas opções em Certificado de AC e confirme a seleção.

  4. Altere o método de Codificação para Base 64 e, em seguida, selecione Transferir Cadeia de Certificados de AC.

  5. Guarde o certificado e forneça um nome amigável.

Importar o Certificado de Raiz Fidedigna da AC no cliente

Nota

Para importar um Certificado de Raiz Fidedigna, tem de ter privilégios administrativos no computador de destino.

Para importar o Certificado de Raiz Fidedigna, siga estes passos:

  1. Copie o ficheiro gerado no passo anterior para o cliente.
  2. Abra o Gestor de Certificados.
    1. Na Linha de Comandos, PowerShell ou Executar, escreva certlm.msc e prima Enter.
    2. Selecione Iniciar > Execução e escreva mmc para encontrar a Consola de Gestão da Microsoft (mmc.exe).
      1. Aceda aAdicionar/Remover Snap deFicheiro>...
      2. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados e, em seguida, selecione Adicionar.
      3. Na caixa de diálogo Snap-in do Certificado,
        1. Selecione Conta de Computador e selecione Seguinte. É aberta a caixa de diálogo Selecionar Computador.
        2. Selecione Computador Local e selecione Concluir.
      4. Selecione OK.
      5. Em Raiz da Consola, expanda Certificados (Computador Local)
  3. Expanda Autoridades de Certificação de Raiz Fidedigna e, em seguida, selecione Certificados.
  4. Selecione Todas as Tarefas.
  5. No Assistente de Importação de Certificados, deixe a primeira página como predefinição e selecione Seguinte.
    1. Navegue para a localização onde transferiu o ficheiro de certificado da AC e selecione o ficheiro de certificado de raiz fidedigna copiado da AC.
    2. Selecione Seguinte.
    3. Na localização do Arquivo de Certificados, deixe as Autoridades de Certificação de Raiz Fidedigna como predefinição.
    4. Selecione Seguinte e Concluir.
  6. Se for bem-sucedido, o Certificado de Raiz Fidedigna da AC será visível emCertificados de Autoridades> de Certificação de Raiz Fidedigna.

Criar um modelo de certificado: ACs Empresariais

ACs empresariais:

  • Integra-se com Active Directory Domain Services (AD-DS).
  • Publica certificados e listas de revogação de certificados (CRLs) no AD-DS.
  • Utiliza informações de contas de utilizador e grupos de segurança armazenadas no AD-DS para aprovar ou negar pedidos de certificado.
  • Utiliza modelos de certificado.

Para emitir um certificado, a AC Empresarial utiliza informações no modelo de certificado para gerar um certificado com os atributos adequados para esse tipo de certificado.

ACs autónomas:

  • Não necessite do AD-DS.
  • Não utilize modelos de certificado.

Se utilizar ACs autónomas, inclua todas as informações sobre o tipo de certificado pedido no pedido de certificado.

Para obter mais informações, veja modelos de certificado.

Criar um modelo de certificado para o System Center Operations Manager

  1. Inicie sessão num servidor associado a um domínio com o AD CS no seu ambiente (a sua AC).

  2. No ambiente de trabalho do Windows, selecione Iniciar>Autoridade de Certificaçãodas Ferramentas Administrativas> do Windows.

  3. No painel de navegação direito, expanda a AC, clique com o botão direito do rato em Modelos de Certificado e selecione Gerir.

  4. Clique com o botão direito do rato em IPSec (pedido offline) e selecione Duplicar Modelo.

  5. A caixa de diálogo Propriedades do Novo Modelo é aberta; efetue as seleções como abaixo:

    Tecla de Tabulação Description
    Compatibilidade 1. Autoridade de Certificação: Windows Server 2008 (ou o nível funcional mais baixo do AD no ambiente).
    2. Destinatário do Certificado: Windows Server 2012 (ou a versão mais baixa do SO no ambiente).
    Geral 1. Nome a apresentar do modelo: introduza um nome amigável, como Operations Manager.
    2. Nome do modelo: introduza o mesmo nome que o nome a apresentar.
    3. Período de validade: introduza o período de validade para corresponder aos requisitos da sua organização.
    4. Selecione Publicar certificado no Active Directory e Não voltar a inscrever automaticamente se existir um certificado duplicado nas caixas de verificação do Active Directory .
    Processamento de Pedidos 1. Objetivo: selecione Assinatura e encriptação na lista pendente.
    2. Selecione Permitir que a chave privada seja exportada .
    Criptografia 1. Categoria do Fornecedor: selecione Fornecedor
    de Serviços de Criptografia Legado 2. Nome do algoritmo: selecione Determinado por CSP na lista pendente.
    3. Tamanho mínimo da Chave: 2048 ou 4096 de acordo com os requisitos de segurança da organização.
    4. Fornecedores: selecione Fornecedor criptográfico do canal Microsoft RSA e Fornecedor de Criptográfico Avançado da Microsoft v1.0 na lista pendente.
    Extensões 1. Em Extensões incluídas neste modelo, selecione Políticas de Aplicação e, em seguida, selecione Editar
    2. É aberta a caixa de diálogo Editar Extensão de Políticas de Aplicação.
    3. Em Políticas de aplicação:, selecione IKE intermédio de segurança IP e, em seguida, selecione Remover
    4. Selecione Adicionar e, em seguida, selecione Autenticação de Cliente e Autenticação do Servidor em Políticas de aplicação.
    5. Selecione OK.
    6. Selecione Utilização da Chave e Editar.
    7. Certifique-se de que a opção Assinatura digital e Permitir troca de chaves apenas com encriptação de chaves (enciframentação de chaves) estão selecionadas.
    8. Selecione Tornar esta caixa de verificação crítica para esta extensão e selecione OK.
    Segurança 1. Certifique-se de que o grupo Utilizadores Autenticados (ou objeto computador) tem permissões de Leitura e Inscrição e selecione Aplicar para criar o modelo.

Adicionar o modelo à pasta Modelos de Certificado

  1. Inicie sessão num servidor associado a um domínio com o AD CS no seu ambiente (a sua AC).
  2. No ambiente de trabalho do Windows, selecione Iniciar>Autoridade de Certificaçãodas Ferramentas Administrativas do> Windows.
  3. No painel de navegação direito, expanda a AC, clique com o botão direito do rato em Modelos de Certificado e selecione Novos>Modelos de Certificado para Problema.
  4. Selecione o novo modelo criado nos passos acima e selecione OK.

Pedir um certificado com um ficheiro de pedido

Criar um ficheiro de informações de configuração (.inf)

  1. No computador que aloja a funcionalidade Operations Manager para a qual está a pedir um certificado, abra um novo ficheiro de texto num editor de texto.

  2. Crie um ficheiro de texto com o seguinte conteúdo:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Guarde o ficheiro com uma extensão de ficheiro .inf . Por exemplo, CertRequestConfig.inf.

  4. Feche o editor de texto.

Criar um ficheiro de pedido de certificado

Este processo codifica as informações especificadas no nosso ficheiro de configuração em Base64 e produz para um novo ficheiro.

  1. No computador que aloja a funcionalidade Operations Manager para a qual está a pedir um certificado, abra uma linha de comandos administrador.

  2. Navegue para o mesmo diretório onde está localizado o ficheiro .inf .

  3. Execute o comando abaixo para modificar o nome do ficheiro .inf para garantir que corresponde ao nome de ficheiro criado anteriormente. Deixe o nome do ficheiro .req tal como está:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Abra o ficheiro criado recentemente e copie os conteúdos.

Submeter um novo pedido de certificado no portal Web do AD CS com o ficheiro de pedido

  1. No computador que aloja a funcionalidade do Operations Manager para a qual está a pedir um certificado, abra um browser e ligue-se ao computador que aloja o endereço Web do servidor de certificados. Por exemplo, https://<servername>/certsrv.

  2. Na página De Boas-vindas dos Serviços de Certificados do Microsoft Active Directory , selecione Pedir um certificado.

  3. Na página Pedir um Certificado , selecione pedido de certificado avançado.

  4. Na página Pedido de Certificado Avançado , selecione Submeter um pedido de certificado através de um ficheiro CMC ou PKCS #10 codificado com base 64 ou PKCS #10 ou submeta um pedido de renovação através de um ficheiro PKCS #7 codificado com base 64.

  5. Na página Submeter um Pedido de Certificado ou Pedido de Renovação , na caixa de texto Pedido Guardado , cole o conteúdo do ficheiro CertRequest.req que copiou no passo 4 no procedimento anterior.

  6. No Modelo de Certificado, selecione o modelo de certificado que criou. Por exemplo, OperationsManagerCert e, em seguida, selecione Submeter.

  7. Se for bem-sucedido, na página Certificado Emitido, selecioneCertificado de Transferênciacodificado> base 64.

  8. Guarde o certificado e forneça um nome amigável. Por exemplo, guarde como SCOM-MS01.cer.

  9. Feche o browser.

Utilizar o portal Web do AD-CS para pedir um certificado

Além do ficheiro de pedido, pode criar um pedido de certificado através do portal Web dos Serviços de certificados. Este passo é concluído no computador de destino para facilitar a instalação do certificado. Se o pedido de certificado com o portal Web do AD-CS não for possível, certifique-se de que exporta o certificado conforme indicado abaixo:

  1. No computador que aloja a funcionalidade Operations Manager para a qual está a pedir um certificado, abra um browser e ligue-se ao computador que aloja o endereço Web do servidor de certificados. Por exemplo, https://<servername>/certsrv.
  2. Na página De Boas-vindas dos Serviços de Certificados do Microsoft Active Directory , selecione Pedir um certificado.
  3. Na página Pedir um Certificado , selecione pedido de certificado avançado.
  4. Selecione Criar e submeta um pedido para esta AC.
  5. É aberto um Pedido de Certificado Avançado. Faça o seguinte:
    1. Modelo de Certificado: utilize o modelo criado anteriormente ou um designado para o Operations Manager.
    2. Identificar Informações para Modelo Offline:
      1. Nome: FQDN do servidor ou como aparece no DNS
      2. Forneça outras informações conforme adequado para a sua organização
    3. Opções principais:
      1. Selecione a caixa de verificação Marcar chaves como exportável
    4. Opções Adicionais:
      1. Nome Amigável: FQDN do servidor ou como aparece no DNS
  6. Selecione Submeter.
  7. Após a conclusão bem-sucedida da tarefa, a página Certificado Emitido é aberta com uma ligação para Instalar este certificado.
  8. Selecione Instalar este certificado.
  9. No servidor, o arquivo de certificados Pessoal armazena o certificado.
  10. Carregue as consolas MMC ou CertMgr e aceda aCertificadosPessoais> e localize o certificado recentemente criado.
  11. Se esta tarefa não estiver concluída no servidor de destino, exporte o certificado:
    1. Clique com o botão direito do rato no novo certificado > Todas as Tarefas > Exportar.
    2. No Assistente de Exportação de Certificados, selecione Seguinte.
    3. Selecione Sim, exporte a chave privada e selecione Seguinte.
    4. Selecione Troca de Informações Pessoais – PKCs #12 (. PFX).
    5. Selecione Incluir todos os certificados no caminho de certificação, se possível , e Exportar todas as caixas de verificação de propriedades expandidas e selecione Seguinte.
    6. Forneça uma palavra-passe para encriptar o ficheiro de certificado inativo e selecione Seguinte.
    7. Guarde o ficheiro exportado e forneça um nome amigável.
    8. Selecione Seguinte e Concluir.
    9. Localize o ficheiro de certificado exportado e inspecione o ícone do ficheiro.
      1. Se o ícone contiver uma Chave, tem de ter a chave privada anexada.
      2. Se o ícone não contiver uma chave, exporte novamente o certificado com a chave privada, uma vez que precisa dele para utilização posterior.
    10. Copie o ficheiro exportado para o computador de destino.
  12. Feche o browser.

Pedir um certificado com o Gestor de Certificados

Para as ACs Empresariais com um modelo de certificado definido, poderá pedir um novo certificado a um computador cliente associado a um domínio com o Gestor de Certificados. Como isto utiliza modelos, este método não se aplica a Stand-Alone ACs.

  1. Inicie sessão no computador de destino com direitos de administrador (Servidor de Gestão, Gateway, Agente, etc.).
  2. Utilize a Linha de Comandos de Administrador ou a janela do PowerShell para abrir o Gestor de Certificados.
    1. certlm.msc – abre o arquivo de certificados do Computador Local.
    2. mmc.msc – abre a Consola de Gestão da Microsoft.
      1. Carregue o snap-in do Gestor de Certificados.
      2. Aceda aAdicionar/Remover Snap-In deFicheiros>.
      3. Selecione Certificados.
      4. Selecione Adicionar.
      5. Quando lhe for pedido, selecione Conta de Computador e selecione Seguinte
      6. Certifique-se de que seleciona Computador Local e selecione Concluir.
      7. Selecione OK para fechar o assistente.
  3. Inicie o pedido de certificado:
    1. Em Certificados, expanda a pasta Pessoal.
    2. Clique com o botão direito do rato em Certificados>Todas as Tarefas>Pedir Novo Certificado.
  4. Assistente de Inscrição de Certificados

    1. Na página Antes de Começar , selecione Seguinte.

    2. Selecione a Política de Inscrição de Certificados aplicável (a predefinição pode ser a Política de Inscrição do Active Directory), selecione Seguinte

    3. Selecione o modelo de Política de Inscrição pretendido para criar o certificado

      1. Se o modelo não estiver imediatamente disponível, selecione Mostrar todos os modelos abaixo da lista
      2. Se o modelo necessário estiver disponível com um X vermelho junto ao mesmo, consulte a equipa do Active Directory ou certificado

    4. Na maioria dos ambientes, pode encontrar uma mensagem de aviso com uma hiperligação no modelo de certificado, selecionar a ligação e continuar a preencher as informações do certificado.

    5. Assistente de Propriedades do Certificado:

      Tecla de Tabulação Description
      Assunto 1. Em Nome do Requerente, selecione o Nome Comum ou DN Completo, forneça o valor - nome do anfitrião ou nome BIOS do servidor de destino, Selecione Adicionar.
      Geral 1. Forneça um Nome Amigável ao certificado gerado.
      2. Forneça uma descrição do objetivo deste pedido, se assim o desejar.
      Extensões 1. Em Utilização de chaves, certifique-se de que seleciona a opção Assinatura Digital e Encriptação de Chaves e selecione a caixa de verificação Tornar estas utilizações fundamentais críticas .
      2. Em Utilização Alargada de Chaves, certifique-se de que seleciona Opções de Autenticação do Servidor e Autenticação de Cliente .
      Chave Privada 1. Em Opções de chave, certifique-se de que o Tamanho da Chave é, pelo menos, 1024 ou 2048 e selecione a caixa de verificação Tornar a chave privada exportável .
      2. Em Tipo de chave, certifique-se de que seleciona a opção Exchange .
      Separador Autoridade de Certificação Certifique-se de que seleciona a caixa de verificação AC.
      Assinatura Se a sua organização precisar de uma autoridade de registo, forneça um certificado de assinatura para este pedido.

    6. Assim que as informações tiverem sido fornecidas no assistente Propriedades do Certificado, a hiperligação de aviso de anteriormente desaparece.

    7. Selecione Inscrever para criar o certificado. Se ocorrer um erro, consulte o AD ou a equipa de certificados.

    8. Se for bem-sucedido, o estado será lido Com êxito e será colocado um novo certificado no arquivo Pessoal/Certificados.

  5. Se estas ações foram realizadas no destinatário pretendido do certificado, avance para os passos seguintes.
  6. Caso contrário, exporte o novo certificado do computador e copie para o seguinte.
    1. Abra a janela Gestor de Certificados e navegue paraCertificadosPessoais>.
    2. Selecione o certificado a exportar.
    3. Clique com o botão direito do rato em Todas as Tarefas>Exportar.
    4. No Assistente de Exportação de Certificados.
      1. Selecione Seguinte na página de Boas-vindas.
      2. Certifique-se de que seleciona Sim, exportar a chave privada.
      3. Selecione Troca de Informações Pessoais – PKCS n.º 12 (. PFX) a partir das opções de formato.
        1. Selecione Incluir todos os certificados no caminho de certificação, se possível , e Exportar todas as caixas de verificação de propriedades expandidas .
      4. Selecione Seguinte.
      5. Forneça uma palavra-passe conhecida para encriptar o ficheiro de certificado.
      6. Selecione Seguinte.
      7. Forneça um caminho acessível e um nome de ficheiro reconhecível para o certificado.
    5. Copie o ficheiro de certificado recentemente criado para o computador de destino.

Instalar o certificado no computador de destino

Para utilizar o certificado recentemente criado, importe-o para o arquivo de certificados no computador cliente.

Adicionar o certificado ao Arquivo de Certificados

  1. Inicie sessão no computador onde os certificados são criados para o Servidor de Gestão, Gateway ou Agente.

  2. Copie o certificado criado acima para uma localização acessível neste computador.

  3. Abra uma Linha de Comandos de Administrador ou uma janela do PowerShell e navegue para a pasta onde está localizado o ficheiro de certificado.

  4. Execute o comando abaixo, certifique-se de que substitui NewCertificate.cer pelo nome/caminho correto do ficheiro:

    CertReq -Accept -Machine NewCertificate.cer

  5. Este certificado deverá estar agora presente no arquivo Pessoal do Computador Local neste computador.

Em alternativa, clique com o botão direito do rato no ficheiro > de certificado Instalar > Computador local e escolha o destino do arquivo pessoal para instalar o certificado.

Nota

Se adicionar um certificado ao arquivo de certificados com a chave privada e eliminá-lo do arquivo mais tarde, o certificado deixará de conter a chave privada quando for importado novamente. As comunicações do Operations Manager requerem uma chave privada, uma vez que os dados de saída têm de ser encriptados. Pode reparar o certificado com certutil; tem de indicar o número de série do certificado. Por exemplo, para restaurar a chave privada, utilize o comando abaixo numa Linha de Comandos do Administrador ou na janela do PowerShell:

certutil -repairstore my <certificateSerialNumber>

Importar o certificado para o Operations Manager

Para além da instalação do certificado no sistema, tem de atualizar o Operations Manager para ter conhecimento do certificado que pretende utilizar. As ações abaixo irão reiniciar o serviço Microsoft Monitoring Agent.

Utilize o utilitário MOMCertImport.exe incluído na pasta SupportTools no suporte de dados de instalação do Operations Manager. Copie o ficheiro para o servidor.

Para importar o certificado para o Operations Manager com MOMCertImport, siga estes passos:

  1. Inicie sessão no computador de destino.

  2. Abra uma Linha de Comandos de Administrador ou uma janela do PowerShell e navegue para a pasta utilitário MOMCertImport.exe .

  3. Executar o utilitário MomCertImport.exe

    1. No CMD: MOMCertImport.exe
    2. No PowerShell: .\MOMCertImport.exe

  4. É apresentada uma Janela gui para Selecionar um Certificado

    1. Pode ver uma lista de certificados. Se não vir imediatamente uma lista, selecione Mais opções.

  5. Na lista, selecione o novo certificado para o computador

    1. Pode verificar o certificado ao selecioná-lo. Depois de selecionado, pode ver as propriedades do certificado.

  6. Selecione OK

  7. Se for bem-sucedida, uma janela de pop-up apresentará a seguinte mensagem:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Para validar, aceda a Visualizador de Eventos>Aplicações e Registos de Serviços>do Operations Manager para um ID de Evento 20053. Isto indica que o certificado de autenticação foi carregado com êxito

  9. Se o ID do Evento 20053 não estiver presente no sistema, procure erros num destes IDs de Evento e corrija em conformidade:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport atualiza esta localização de registo para conter o valor que corresponde ao inverso do número de série mostrado no certificado:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Renovar um Certificado

O Operations Manager gera um alerta quando um certificado importado para Servidores de Gestão e Gateways está prestes a expirar. Se receber um alerta, renove ou crie um novo certificado para os servidores antes da data de expiração. Isto só funcionará se o certificado contiver informações de modelo (de uma AC Empresarial).

  1. Inicie sessão no servidor com o certificado a expirar e inicie o gestor de configuração do certificado (certlm.msc).
  2. Localize o certificado do Operations Manager prestes a expirar.
  3. Se não encontrar o certificado, este poderá ter sido removido ou importado através do ficheiro e não do arquivo de certificados. Poderá ter de emitir um novo certificado para este computador a partir da AC. Veja as instruções acima para o fazer.
  4. Se encontrar o certificado, seguem-se as opções para renovar o certificado:
    1. Pedir Certificado com Nova Chave
    2. Renovar Certificado com Nova Chave
    3. Renovar Certificado com a Mesma Chave
  5. Selecione a opção que melhor se aplica ao que pretende fazer e siga o assistente.
  6. Depois de concluída, execute a ferramenta para garantir que o MOMCertImport.exe Operations Manager tem o novo número de série (invertido) do certificado se este for alterado; consulte a secção acima para obter mais detalhes.

Se a renovação do certificado através deste método não estiver disponível, utilize os passos anteriores para pedir um novo certificado ou com a autoridade de certificação da organização. Instale e importe (MOMCertImport) o novo certificado para utilização pelo Operations Manager.

Opcional: Configurar a inscrição e renovação automática de certificados

Utilize a AC Empresarial para configurar a inscrição automática de certificados e renovações quando expirarem. Esta ação irá distribuir o certificado de Raiz Fidedigna por todos os sistemas associados a um domínio.

A configuração da inscrição e renovação automática de certificados não funcionará com Stand-Alone ou com ACs de terceiros. Para sistemas num Grupo de Trabalho ou domínio separado, as renovações de certificados e inscrições continuarão a ser um processo manual.

Para obter mais informações, consulte Guia do Windows Server.

Nota

A inscrição e renovação automáticas não configuram automaticamente o Operations Manager para utilizar o novo certificado. Se o certificado for renovado automaticamente com a mesma chave, o thumbprint também poderá permanecer o mesmo e não é necessária qualquer ação por parte de um Administrador. Se for gerado um novo certificado ou o thumbprint for alterado, o certificado atualizado terá de ser importado para o Operations Manager com a ferramenta MOMCertImport, conforme descrito acima.