Partilhar via

Obter um certificado para uso com Windows Servers e System Center Operations Manager

  • Artigo

Este artigo descreve como obter um certificado e usá-lo com o Servidor de Gerenciamento, Gateway ou Agente do Operations Manager usando um servidor de Autoridade de Certificação (CA) dos Serviços de Certificados do Active Directory (AD CS) Autônomo ou Enterprise na plataforma Windows.

Pré-requisitos

Certifique-se de ter o seguinte:

  • AD-CS instalado e configurado no ambiente com serviços Web ou uma Autoridade de Certificação de terceiros com certificados que correspondem às configurações necessárias mostradas.
  • Associação HTTPS e seu certificado associado instalado. Para obter informações sobre como criar uma associação HTTPS, consulte Como configurar uma associação HTTPS para uma autoridade de certificação do Windows Server.
  • Uma experiência de desktop típica e não servidores Core.

Importante

Não há suporte para o KSP (Provedor de Armazenamento de Chaves da API de Criptografia) para certificados do Operations Manager.

Observação

Se sua organização não usar o AD CS ou usar uma autoridade de certificação externa, use as instruções fornecidas para esse aplicativo para criar um certificado e garantir que ele atenda aos seguintes requisitos do Operations Manager e siga as etapas de importação e instalação fornecidas:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Importante

Para este tópico, as configurações padrão do AD-CS são as seguintes:

  • Comprimento da chave padrão: 2048
  • API de criptografia: CSP (provedor de serviços de criptografia)
  • Algoritmo de hash seguro: 256 (SHA256) Avalie essas seleções em relação aos requisitos da política de segurança da sua empresa.

Processo de alto nível para obter um certificado:

  1. Baixe o certificado raiz de uma autoridade de certificação.

  2. Importe o certificado raiz para um servidor cliente.

  3. Criar um modelo de certificado.

  4. Adicione o modelo à pasta Modelos de Certificado.

  5. Crie um arquivo de informações de instalação para uso com o <certreq> utilitário de linha de comando.

  6. Crie um arquivo de solicitação (ou use o portal da Web).

  7. Envie uma solicitação à CA.

  8. Importe o certificado para o repositório de certificados.

  9. Importe o certificado para o Operations Manager usando <MOMCertImport>o .

Baixar e importar o certificado raiz da autoridade de certificação

Para confiar e validar quaisquer certificados criados a partir de CAs corporativas ou autônomas, a máquina de destino precisa ter uma cópia do certificado raiz em seu repositório raiz confiável. A maioria dos computadores ingressados no domínio deve confiar na autoridade de certificação corporativa. No entanto, nenhuma máquina confiará em um certificado de uma autoridade de certificação autônoma sem o certificado raiz instalado.

Se você estiver usando uma CA de terceiros, o processo de download será diferente. No entanto, o processo de importação permanece o mesmo.

Baixar o certificado raiz confiável de uma autoridade de certificação

Para baixar o certificado Raiz Confiável, siga estas etapas:

  1. Entre no computador em que deseja instalar um certificado. Por exemplo, um Servidor de Gateway ou Servidor de Gerenciamento.

  2. Abra um navegador da Web e conecte-se ao endereço da Web do servidor de certificados. Por exemplo, https://<servername>/certsrv.

  3. Na página Bem-vindo, selecione Baixar um certificado de autoridade de certificação, cadeia de certificados ou CRL.

    a. Se for solicitada uma Confirmação de Acesso à Web, verifique o servidor e a URL e selecione Sim.

    b. Verifique as várias opções em Certificado CA e confirme a seleção.

  4. Altere o método de codificação para Base 64 e selecione Baixar Cadeia de Certificados da CA.

  5. Salve o certificado e forneça um nome amigável.

Importar o certificado raiz confiável da autoridade de certificação no cliente

Observação

Para importar um Certificado Raiz Confiável, você deve ter privilégios administrativos na máquina de destino.

Para importar o Certificado Raiz Confiável, siga estas etapas:

  1. Copie o arquivo gerado na etapa anterior para o cliente.
  2. Abra o Gerenciador de Certificados.
    1. Na Linha de Comando, PowerShell ou Executar, digite certlm.msc e pressione Enter.
    2. Selecione Iniciar > Execução e digite mmc para localizar o Console de Gerenciamento Microsoft (mmc.exe).
      1. Vá para Arquivo>Adicionar/Remover Snap in....
      2. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados e, em seguida, selecione Adicionar.
      3. Na caixa de diálogo Snap-in de Certificado,
        1. Selecione Conta de computador e selecione Avançar. A caixa de diálogo Selecionar computador é aberta.
        2. Selecione Computador local e selecione Concluir.
      4. Selecione OK.
      5. Em Raiz do Console, expanda Certificados (Computador Local)
  3. Expanda Autoridades de Certificação Raiz Confiáveis e selecione Certificados.
  4. Selecione Todas as tarefas.
  5. No Assistente de Importação de Certificado, deixe a primeira página como padrão e selecione Avançar.
    1. Navegue até o local onde você baixou o arquivo de certificado de CA e selecione o arquivo de certificado raiz confiável copiado da CA.
    2. Selecione Avançar.
    3. No local do Repositório de Certificados, deixe as Autoridades de Certificação Raiz Confiáveis como padrão.
    4. Selecione Avançar e Concluir.
  6. Se for bem-sucedido, o Certificado Raiz Confiável da CA ficará visível em Certificados de Autoridades de Certificação>Raiz Confiáveis.

Criar um modelo de certificado: CAs corporativas

CAs corporativas:

  • Integra-se aos Serviços de Domínio Active Directory (AD-DS).
  • Publica certificados e listas de revogação de certificados (CRLs) no AD-DS.
  • Usa contas de usuário e informações de grupos de segurança armazenadas no AD-DS para aprovar ou negar solicitações de certificado.
  • Usa modelos de certificado.

Para emitir um certificado, a autoridade de certificação corporativa usa as informações do modelo de certificado para gerar um certificado com os atributos apropriados para esse tipo de certificado.

CAs autônomas:

  • Não requer AD-DS.
  • Não use modelos de certificado.

Se você usar CAs autônomas, inclua todas as informações sobre o tipo de certificado solicitado na solicitação de certificado.

Para obter mais informações, consulte modelos de certificado.

Criar um modelo de certificado para o System Center Operations Manager

  1. Entre em um servidor ingressado no domínio com o AD CS em seu ambiente (sua CA).

  2. Na área de trabalho do Windows, selecione Iniciar>Autoridade de Certificação de Ferramentas>Administrativas do Windows.

  3. No painel de navegação direito, expanda a autoridade de certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.

  4. Clique com o botão direito do mouse em IPSec (Solicitação off-line) e selecione Duplicar modelo.

  5. A caixa de diálogo Propriedades do novo modelo é aberta; faça as seleções conforme abaixo:

    Tabulação Descrição
    Compatibilidade 1. Autoridade de certificação: Windows Server 2008 (ou o nível funcional mais baixo do AD no ambiente).
    2. Destinatário do certificado: Windows Server 2012 (ou a versão mais baixa do sistema operacional no ambiente).
    Geral 1. Nome de exibição do modelo: insira um nome amigável, como Operations Manager.
    2. Nome do modelo: insira o mesmo nome do nome de exibição.
    3. Período de validade: insira o período de validade para atender aos requisitos da sua organização.
    4. Selecione as caixas de seleção Publicar certificado no Active Directory e Não registrar novamente automaticamente se houver um certificado duplicado no Active Directory .
    Tratamento de solicitações 1. Finalidade: Selecione Assinatura e criptografia no menu suspenso.
    2. Marque a caixa de seleção Permitir que a chave privada seja exportada .
    Criptografia 1. Categoria do provedor: Selecione o provedor
    de serviços de criptografia herdado 2. Nome do algoritmo: selecione Determinado pelo CSP na lista suspensa.
    3. Tamanho mínimo da chave: 2048 ou 4096 de acordo com o requisito de segurança da organização.
    4. Provedores: selecione Provedor Criptográfico do Canal RSA da Microsoft e Provedor Criptográfico Avançado da Microsoft v1.0 na lista suspensa.
    Extensões 1. Em Extensões incluídas neste modelo, selecione Políticas de aplicativo e, em seguida, selecione Editar
    2. A caixa de diálogo Editar extensão de políticas de aplicativo é aberta.
    3. Em Políticas de aplicativo:, selecione IKE de segurança IP intermediário e, em seguida, selecione Remover
    4. Selecione Adicionar e, em seguida, selecione Autenticação de Cliente e Autenticação de Servidor em Políticas de aplicativo.
    5. Selecione OK.
    6. Selecione Uso de chave e editar.
    7. Certifique-se de que a assinatura digital e Permitir troca de chaves somente com criptografia de chave (criptografia de chave) estejam selecionadas.
    8. Marque a caixa de seleção Tornar esta extensão crítica e selecione OK.
    Segurança 1. Certifique-se de que o grupo Usuários autenticados (ou objeto Computador) tenha permissões de Leitura e Registro e selecione Aplicar para criar o modelo.

Adicionar o modelo à pasta Modelos de Certificado

  1. Entre em um servidor ingressado no domínio com o AD CS em seu ambiente (sua CA).
  2. Na área de trabalho do Windows, selecione Iniciar>Autoridade de Certificação de Ferramentas>Administrativas do Windows.
  3. No painel de navegação direito, expanda a autoridade de certificação, clique com o botão direito do mouse em Modelos de Certificado e selecione Novos>Modelos de Certificado a Serem Emitidos.
  4. Selecione o novo modelo criado nas etapas acima e selecione OK.

Solicitar um certificado usando um arquivo de solicitação

Criar um arquivo de informações de configuração (.inf)

  1. No computador que hospeda o recurso do Operations Manager para o qual você está solicitando um certificado, abra um novo arquivo de texto em um editor de texto.

  2. Crie um arquivo de texto contendo o seguinte conteúdo:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Salve o arquivo com uma extensão de arquivo .inf . Por exemplo, CertRequestConfig.inf.

  4. Feche o editor de texto.

Criar um arquivo de solicitação de certificado

Esse processo codifica as informações especificadas em nosso arquivo de configuração em Base64 e gera um novo arquivo.

  1. No computador que hospeda o recurso do Operations Manager para o qual você está solicitando um certificado, abra um prompt de comando do Administrador.

  2. Navegue até o mesmo diretório em que o arquivo .inf está localizado.

  3. Execute o comando abaixo para modificar o nome do arquivo .inf para garantir que ele corresponda ao nome do arquivo criado anteriormente. Deixe o nome do arquivo .req como está:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Abra o arquivo recém-criado e copie o conteúdo.

Enviar uma nova solicitação de certificado no portal da Web do AD CS usando o arquivo de solicitação

  1. No computador que hospeda o recurso do Operations Manager para o qual você está solicitando um certificado, abra um navegador da Web e conecte-se ao computador que hospeda o endereço da Web do servidor de certificados. Por exemplo, https://<servername>/certsrv.

  2. Na página de boas-vindas dos Serviços de Certificados do Microsoft Active Directory, selecione Solicitar um certificado.

  3. Na página Solicitar um certificado , selecione solicitação de certificado avançada.

  4. Na página Solicitação de Certificado Avançada , selecione Enviar uma solicitação de certificado usando um arquivo CMC ou PKCS #10 codificado em base 64 ou envie uma solicitação de renovação usando um arquivo PKCS #7 codificado em base 64.

  5. Na página Enviar uma Solicitação de Certificado ou Solicitação de Renovação , na caixa de texto Solicitação Salva , cole o conteúdo do arquivo CertRequest.req que você copiou na etapa 4 do procedimento anterior.

  6. No Modelo de Certificado, selecione o modelo de certificado que você criou. Por exemplo, OperationsManagerCert e selecione Enviar.

  7. Se for bem-sucedido, na página Certificado Emitido, selecione Certificado de download codificado>em Base 64.

  8. Salve o certificado e forneça um nome amigável. Por exemplo, salve como SCOM-MS01.cer.

  9. Feche o navegador da Web.

Usar o portal da Web do AD-CS para solicitar um certificado

Além do arquivo de solicitação, você pode criar uma solicitação de certificado por meio do portal da Web de serviços de certificado. Esta etapa é concluída no computador de destino para facilitar a instalação do certificado. Se a solicitação de certificado usando o portal da Web do AD-CS não for possível, certifique-se de exportar o certificado conforme indicado abaixo:

  1. No computador que hospeda o recurso do Operations Manager para o qual você está solicitando um certificado, abra um navegador da Web e conecte-se ao computador que hospeda o endereço da Web do servidor de certificados. Por exemplo, https://<servername>/certsrv.
  2. Na página de boas-vindas dos Serviços de Certificados do Microsoft Active Directory, selecione Solicitar um certificado.
  3. Na página Solicitar um certificado , selecione solicitação de certificado avançada.
  4. Selecione Criar e envie uma solicitação para esta autoridade de certificação.
  5. Uma solicitação de certificado avançado é aberta. Faça o seguinte:
    1. Modelo de Certificado: use o modelo criado anteriormente ou um designado para o Operations Manager.
    2. Informações de identificação para o modelo offline:
      1. Nome: FQDN do servidor ou como aparece no DNS
      2. Forneça outras informações apropriadas para sua organização
    3. Opções chave:
      1. Marque a caixa de seleção Marcar chaves como exportáveis
    4. Opções adicionais:
      1. Nome amigável: FQDN do servidor ou como aparece no DNS
  6. Selecione Enviar.
  7. Após a conclusão bem-sucedida da tarefa, a página Certificado emitido é aberta com um link para Instalar este certificado.
  8. Selecione Instalar este certificado.
  9. No servidor, o repositório de certificados pessoais armazena o certificado.
  10. Carregue os consoles MMC ou CertMgr, vá para Certificados Pessoais> e localize o certificado recém-criado.
  11. Se essa tarefa não for concluída no servidor de destino, exporte o certificado:
    1. Clique com o botão direito do mouse no novo certificado > Exportação de todas as tarefas > .
    2. No Assistente para Exportação de Certificados, selecione Avançar.
    3. Selecione Sim, exporte a chave privada, selecione Avançar.
    4. Selecione Troca de Informações Pessoais – PKCS #12 (. PFX).
    5. Selecione Incluir todos os certificados no caminho de certificação, se possível , e as caixas de seleção Exportar todas as propriedades estendidas e selecione Avançar.
    6. Forneça uma senha para criptografar o arquivo de certificado em repouso e selecione Avançar.
    7. Salve o arquivo exportado e forneça um nome amigável.
    8. Selecione Avançar e Concluir.
    9. Localize o arquivo de certificado exportado e inspecione o ícone do arquivo.
      1. Se o ícone contiver uma chave, você deverá ter a chave privada anexada.
      2. Se o ícone não contiver uma chave, exporte novamente o certificado com a chave privada, pois você precisa dele para uso posterior.
    10. Copie o arquivo exportado para a máquina de destino.
  12. Feche o navegador da Web.

Solicitar um certificado usando o Gerenciador de Certificados

Para CAs corporativas com um modelo de certificado definido, você pode solicitar um novo certificado de uma máquina cliente ingressada no domínio usando o Gerenciador de Certificados. Como isso usa modelos, esse método não se aplica a CAs autônomas.

  1. Entre na máquina de destino com direitos de administrador (Servidor de Gerenciamento, Gateway, Agente e assim por diante).
  2. Use o Prompt de Comando do Administrador ou a janela do PowerShell para abrir o Gerenciador de Certificados.
    1. certlm.msc – abre o repositório de certificados do Computador Local.
    2. mmc.msc – abre o Console de Gerenciamento Microsoft.
      1. Carregue o snap-in do Gerenciador de Certificados.
      2. Vá para Adicionar/Remover Snap-In de Arquivo>.
      3. Selecione Certificados.
      4. Selecione Adicionar.
      5. Quando solicitado, selecione Conta do computador e selecione Avançar
      6. Certifique-se de selecionar Computador local e selecione Concluir.
      7. Selecione OK para fechar o assistente.
  3. Inicie a solicitação de certificado:
    1. Em Certificados, expanda a pasta Pessoal.
    2. Clique com o botão direito do mouse em Certificados>Todas as tarefas>Solicitar novo certificado.
  4. Assistente de Registro de Certificado

    1. Na página Antes de Começar escolha Avançar.

    2. Selecione a Política de Registro de Certificado aplicável (o padrão pode ser a Política de Registro do Active Directory), selecione Avançar

    3. Selecione o modelo de Política de Registro desejado para criar o certificado

      1. Se o modelo não estiver disponível imediatamente, selecione a caixa Mostrar todos os modelos abaixo da lista
      2. Se o modelo necessário estiver disponível com um X vermelho ao lado, consulte sua equipe do Active Directory ou do Certificado

    4. Na maioria dos ambientes, você pode encontrar uma mensagem de aviso com um hiperlink no modelo de certificado, selecionar o link e continuar a preencher as informações do certificado.

    5. Assistente de Propriedades do Certificado:

      Tabulação Descrição
      Assunto 1. Em Nome do assunto, selecione o Nome comum ou DN completo, forneça o valor - nome do host ou nome do BIOS do servidor de destino, selecione Adicionar.
      Geral 1. Forneça um nome amigável para o certificado gerado.
      2. Forneça uma descrição da finalidade deste bilhete, se desejar.
      Extensões 1. Em Uso da chave, certifique-se de selecionar a opção Assinatura digital e criptografia de chave e marque a caixa de seleção Tornar esses usos de chave críticos .
      2. Em Uso estendido de chave, certifique-se de selecionar as opções Autenticação do servidor e Autenticação do cliente.
      Chave Privada 1. Em Opções de chave, certifique-se de que o Tamanho da chave seja pelo menos 1024 ou 2048 e marque a caixa de seleção Tornar a chave privada exportável .
      2. Em Tipo de chave, certifique-se de selecionar a opção Trocar .
      Guia Autoridade de Certificação Certifique-se de marcar a caixa de seleção CA.
      Signature Se sua organização exigir uma autoridade de registro, forneça um certificado de assinatura para essa solicitação.

    6. Depois que as informações forem fornecidas no assistente de Propriedades do Certificado, o hiperlink de aviso anterior desaparecerá.

    7. Selecione Registrar para criar o certificado. Se houver um erro, consulte sua equipe de AD ou certificado.

    8. Se for bem-sucedido, o status será Bem-sucedido e um novo certificado será colocado no repositório Pessoal/Certificados.

  5. Se essas ações foram executadas no destinatário pretendido do certificado, prossiga para as próximas etapas.
  6. Caso contrário, exporte o novo certificado da máquina e copie para a próxima.
    1. Abra a janela do Gerenciador de Certificados e navegue até Certificados Pessoais>.
    2. Selecione o certificado a ser exportado.
    3. Clique com o botão direito do mouse em Exportar todas as tarefas>.
    4. no Assistente de Exportação de Certificado.
      1. Selecione Avançar na página de boas-vindas.
      2. Certifique-se de selecionar Sim, exportar a chave privada.
      3. Selecione Troca de Informações Pessoais – PKCS #12 (. PFX) nas opções de formato.
        1. Selecione Incluir todos os certificados no caminho de certificação, se possível , e as caixas de seleção Exportar todas as propriedades estendidas.
      4. Selecione Avançar.
      5. Forneça uma senha conhecida para criptografar o arquivo de certificado.
      6. Selecione Avançar.
      7. Forneça um caminho acessível e um nome de arquivo reconhecível para o certificado.
    5. Copie o arquivo de certificado recém-criado para o computador de destino.

Instalar o certificado no computador de destino

Para usar o certificado recém-criado, importe-o para o repositório de certificados no computador cliente.

Adicionar o certificado ao Repositório de Certificados

  1. Entre no computador em que os certificados são criados para o Servidor de Gerenciamento, Gateway ou Agente.

  2. Copie o certificado criado acima para um local acessível nesta máquina.

  3. Abra um Prompt de Comando do Administrador ou uma janela do PowerShell e navegue até a pasta onde o arquivo de certificado está localizado.

  4. Execute o comando abaixo, certifique-se de substituí NewCertificate.cer pelo nome/caminho correto do arquivo:

    CertReq -Accept -Machine NewCertificate.cer

  5. Esse certificado agora deve estar presente no repositório Pessoal do Computador Local neste computador.

Como alternativa, clique com o botão direito do mouse no arquivo > de certificado Instalar > computador local e escolha o destino do repositório pessoal para instalar o certificado.

Observação

Se você adicionar um certificado ao repositório de certificados com a chave privada e excluí-lo do repositório posteriormente, o certificado não conterá mais a chave privada quando reimportado. As comunicações do Operations Manager exigem chave privada, pois os dados de saída precisam ser criptografados. Você pode reparar o certificado usando certutil; você precisa fornecer o número de série do certificado. Por exemplo, para restaurar a chave privada, use o comando abaixo em uma janela do Prompt de Comando do Administrador ou do PowerShell:

certutil -repairstore my <certificateSerialNumber>

Importar o certificado para o Operations Manager

Além da instalação do certificado no sistema, você deve atualizar o Operations Manager para estar ciente do certificado que deseja usar. As ações abaixo reiniciarão o serviço Microsoft Monitoring Agent.

Use o utilitário MOMCertImport.exe incluído na pasta SupportTools na mídia de instalação do Operations Manager. Copie o arquivo para o servidor.

Para importar o certificado para o Operations Manager usando MOMCertImport, siga estas etapas:

  1. Entre no computador de destino.

  2. Abra uma janela do Prompt de Comando do Administrador ou do PowerShell e navegue até a pasta do utilitário MOMCertImport.exe .

  3. Execute o utilitário MomCertImport.exe

    1. No CMD: MOMCertImport.exe
    2. No PowerShell:.\MOMCertImport.exe

  4. Uma janela GUI é exibida para selecionar um certificado

    1. Você pode ver uma lista de certificados, se não vir uma lista imediatamente, selecione Mais opções.

  5. Na lista, selecione o novo certificado para a máquina

    1. Você pode verificar o certificado selecionando-o. Uma vez selecionado, você pode exibir as propriedades do certificado.

  6. Selecione OK

  7. Se for bem-sucedido, uma janela pop-up exibirá a seguinte mensagem:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Para validar, acesse o Operations Manager de Logs de Aplicativos e Serviços do Visualizador>de Eventos>para obter uma ID de Evento 20053. Isso indica que o certificado de autenticação foi carregado com êxito

  9. Se a ID do Evento 20053 não estiver presente no sistema, procure uma dessas IDs de Evento para erros e corrija de acordo:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. O MOMCertImport atualiza esse local do Registro para conter o valor que corresponde ao inverso do número de série mostrado no certificado:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Renovar um certificado

O Operations Manager gera um alerta quando um certificado importado para Servidores de Gerenciamento e Gateways está se aproximando da expiração. Se você receber um alerta, renove ou crie um novo certificado para os servidores antes da data de expiração. Isso só funcionará se o certificado contiver informações de modelo (de uma autoridade de certificação corporativa).

  1. Entre no servidor com o certificado expirado e inicie o gerenciador de configuração de certificados (certlm.msc).
  2. Localize o certificado do Operations Manager expirado.
  3. Se você não encontrar o certificado, ele pode ter sido removido ou importado por meio de um arquivo e não do repositório de certificados. Talvez seja necessário emitir um novo certificado para esta máquina da CA. Consulte as instruções acima para fazer isso.
  4. Se você encontrar o certificado, abaixo estão as opções para renovar o certificado:
    1. Solicitar certificado com nova chave
    2. Renovar certificado com nova chave
    3. Renovar certificado com a mesma chave
  5. Selecione a opção que melhor se aplica ao que você deseja fazer e siga o assistente.
  6. Depois de concluído, execute a MOMCertImport.exe ferramenta para garantir que o Operations Manager tenha o novo número de série (invertido) do certificado se ele tiver sido alterado; consulte a seção acima para obter mais detalhes.

Se a renovação do certificado por meio desse método não estiver disponível, use as etapas anteriores para solicitar um novo certificado ou com a autoridade de certificação da organização. Instale e importe (MOMCertImport) o novo certificado para uso pelo Operations Manager.

Opcional: Configurar o registro automático e a renovação do certificado

Use a autoridade de certificação corporativa para configurar o registro automático e as renovações de certificados quando eles expirarem. Isso distribuirá o certificado raiz confiável para todos os sistemas ingressados no domínio.

A configuração do registro automático e da renovação do certificado não funcionará com CAs autônomas ou de terceiros. Para sistemas em um grupo de trabalho ou domínio separado, as renovações e inscrições de certificados ainda serão um processo manual.

Para obter mais informações, consulte o guia do Windows Server.

Observação

O registro automático e a renovação não configuram automaticamente o Operations Manager para usar o novo certificado. Se o certificado for renovado automaticamente com a mesma chave, a impressão digital também poderá permanecer a mesma e nenhuma ação será necessária por um administrador. Se um novo certificado for gerado ou a impressão digital for alterada, o certificado atualizado precisará ser importado para o Operations Manager usando a ferramenta MOMCertImport, conforme descrito acima.