Получение сертификата для использования с Серверами Windows и System Center Operations Manager

Если System Center Operations Manager работает через границы доверия, где проверка подлинности Kerberos с помощью шлюза или клиентских компьютеров Windows невозможна, требуется проверка подлинности на основе сертификатов. Этот метод используется для установления связи между агентом Microsoft Monitoring Agent и серверами управления. Основным вариантом использования является проверка подлинности с помощью шлюза и клиентских систем Windows в рабочих группах, демилитаризованных зонах (DMZ) или других доменах без двустороннего доверия.

Сертификаты, создаваемые согласно данной статье, не предназначены для мониторинга Linux, если только сервер шлюза, осуществляющий мониторинг, находится за пределами границы доверия; в этом случае сертификат используется только для аутентификации Windows-to-Windows между шлюзом и сервером управления. Для аутентификации Linux используются отдельные сертификаты (SCX-Certificates), которые обрабатываются самим Operations Manager.

В этой статье описывается, как получить сертификат и использовать его с сервером управления Operations Manager, шлюзом или агентом с помощью сервера центра сертификации (ЦС) enterprise Active Directory (AD CS) на платформе Windows. Если вы используете Stand-Alone или не Microsoft CA, обратитесь к группе сертификатов или PKI, чтобы помочь в создании сертификатов, используемых для Operations Manager.

Необходимые компоненты

Убедитесь, что у вас есть следующие требования:

• Службы сертификатов Active Directory (AD CS) установлены и настроены или сертификационный центр, не принадлежащий Microsoft. (Примечание. В этом руководстве не рассматриваются запросы сертификатов из центра сертификации, отличного от Майкрософт.)
• Права администратора домена.
• Серверы управления Operations Manager, присоединенные к домену.

Требования к сертификату

Внимание

Поставщик хранилища ключей API шифрования (KSP) не поддерживается для сертификатов Operations Manager.

В настоящее время Operations Manager не поддерживает более сложные сертификаты и использует устаревшие поставщики.

Если ваша организация не использует AD CS или использует внешний центр сертификации, используйте инструкции, указанные для этого центра для создания сертификата, гарантируя, что он соответствует следующим требованиям для Operations Manager:

- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)

- [Key Usage]
    Key Exportable = FALE  ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
    HashAlgorithm = SHA256
    KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
    KeySpec = 1  ; AT_KEYEXCHANGE
    KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
    MachineKeySet = TRUE ; The key belongs to the local computer account
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    KeyAlgorithm = RSA

- [EnhancedKeyUsageExtension]
     - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
     - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
     - Compatible with Windows Server 2012 R2 ; (or newer based on environment)

- [Cryptography Settings]
     - Provider Category: Legacy Cryptography Service Provider
     - Algorithm name: RSA
     - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
     - Providers: "Microsoft RSA Schannel Cryptographic Provider"

Высокоуровневый процесс получения сертификата

Внимание

В этой статье приведены параметры по умолчанию для AD-CS:

• Стандартная длина ключа: 2048
• API шифрования: поставщик служб шифрования (CSP)
• Безопасный хэш-алгоритм: 256 (SHA256)

Оцените эти выборы в соответствии с требованиями политики безопасности вашей компании.

Корпоративный ЦС

1. Скачайте корневой сертификат из ЦС.
2. Импортируйте корневой сертификат на клиентский сервер.
3. создать шаблон сертификата;
4. Отправьте запрос в ЦС.
5. При необходимости утверждайте запрос.
6. Получите сертификат.
7. Импортируйте сертификат в хранилище сертификатов.
8. Импортируйте сертификат в Operations Manager с помощью <MOMCertImport>.

Stand-Alone или не-Microsoft центры сертификации

1. Скачайте корневой сертификат из ЦС.
2. Импортируйте корневой сертификат на клиент-сервер.
3. Запросите сертификат из ЦС, соответствующий требованиям для Operations Manager.
4. При необходимости утверждайте запрос.
5. Получите сертификат из ЦС.
6. Импортируйте сертификат в хранилище сертификатов.
7. Импортируйте сертификат в Operations Manager с помощью <MOMCertImport>.

Скачивание и импорт корневого сертификата из ЦС

Совет

Если вы используете корпоративный ЦС и находитесь в системе, присоединенной к домену, корневые сертификаты уже должны быть установлены в соответствующих хранилищах, и вы можете пропустить этот шаг.

Чтобы убедиться, что сертификаты установлены, выполните следующую команду PowerShell в системе, присоединенной к домену, заменив домен на частичное доменное имя:

# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }

# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }

Чтобы доверять и проверять все сертификаты, созданные из центров сертификации, целевой компьютер должен иметь копию корневого сертификата в доверенном корневом хранилище. Большинство присоединенных к домену компьютеров уже доверяют корпоративному центру сертификации. Однако компьютер не доверяет сертификату из ЦС, отличного от предприятия, без корневого сертификата, установленного для этого ЦС.

Если вы используете центр сертификации, отличный от Майкрософт, процесс скачивания отличается. Однако процесс импорта остается неизменным.

Автоматическая установка корневых и удостоверяющего центра (ЦС) сертификатов с помощью групповой политики

1. Войдите на компьютер, где требуется установить сертификаты в качестве администратора.
2. Откройте командную строку администратора или консоль PowerShell.
3. Выполнение команды gpupdate /force
4. После завершения проверьте наличие корневых сертификатов и сертификатов удостоверяющего центра в хранилище сертификатов, отображающемся в Менеджере сертификатов локального компьютера в разделе Доверенные корневые центры сертификации>Сертификаты.

Скачайте вручную доверенный корневой сертификат из УЦ

Чтобы скачать доверенный корневой сертификат, выполните следующие действия.

1. Войдите на компьютер, где требуется установить сертификат. Например, сервер шлюза или сервер управления.
2. Откройте веб-браузер и подключитесь к веб-адресу сервера сертификатов. Например, https://<servername>/certsrv.
3. На странице приветствия выберите "Скачать сертификат ЦС", "Цепочка сертификатов" или "CRL".
   1. Если появится запрос с подтверждением веб-доступа, проверьте сервер и URL-адрес и нажмите кнопку "Да".
   2. Проверьте несколько параметров в сертификате ЦС и подтвердите выбор.
4. Измените метод кодирования на Base 64 и выберите "Скачать цепочку сертификатов ЦС".
5. Сохраните сертификат и укажите понятное имя.

Импорт доверенного корневого сертификата из ЦС на клиенте

Примечание.

Чтобы импортировать доверенный корневой сертификат, необходимо иметь права администратора на целевом компьютере.

Чтобы импортировать доверенный корневой сертификат, выполните следующие действия.

1. Скопируйте файл, созданный на предыдущем шаге, на клиент.
2. Откройте диспетчер сертификатов.
   1. В командной строке, PowerShell или Run введите certlm.msc и нажмите клавишу ВВОД.
   2. Выберите "Запустить > запуск" и введите mmc , чтобы найти консоль управления Майкрософт (mmc.exe).
      1. Перейдите к разделу >"Добавление и удаление оснастки" в....
      2. В диалоговом окне "Добавление или удаление оснастки" выберите "Сертификаты" и нажмите кнопку "Добавить".
      3. В диалоговом окне "Оснастка сертификата"
         1. Выберите учетную запись компьютера и нажмите кнопку "Далее". Откроется диалоговое окно "Компьютер".
         2. Нажмите кнопку "Локальный компьютер" и нажмите кнопку "Готово".
      4. Нажмите ОК.
      5. В разделе "Корневой каталог консоли" разверните сертификаты (локальный компьютер)
3. Разверните доверенные корневые центры сертификации и выберите сертификаты.
4. Выберите все задачи.
5. В мастере импорта сертификатов оставьте первую страницу по умолчанию и нажмите кнопку "Далее".
   1. Перейдите к расположению, где вы скачали файл сертификата ЦС и выберите доверенный корневой файл сертификата, скопированный из ЦС.
   2. Выберите Далее.
   3. В расположении хранилища сертификатов оставьте доверенные корневые центры сертификации по умолчанию.
   4. Выберите Далее и Готово.
6. В случае успешного выполнения доверенный корневой сертификат из ЦС отображается в разделе сертификаты доверенных корневых центров сертификации >.

Создайте шаблон сертификата для корпоративного ЦС

Внимание

Если вы используете Stand-Alone или не Microsoft CAs, обратитесь к группе сертификатов или PKI о том, как продолжить создание запроса на сертификат.

Дополнительные сведения см . в шаблонах сертификатов.

Создание шаблона сертификата для System Center Operations Manager

1. Войдите на присоединенный к домену сервер с помощью AD CS в вашей среде (ЦС).

2. На рабочем столе Windows выберите >центра сертификации средств>администрирования Windows".

3. В правой области навигации разверните ЦС, щелкните правой кнопкой мыши шаблоны сертификатов и выберите " Управление".

4. Щелкните правой кнопкой мыши компьютер и выберите повторяющийся шаблон.

5. Откроется диалоговое окно Свойства нового шаблона ; сделайте выборы, как указано.

   Вкладка	Описание
   Совместимость	1. удостоверяющего центра: Windows Server 2012 R2 (или самый низкий уровень функциональности AD в среде). 2. получатель сертификата: Windows Server 2012 R2 (или самая низкая версия ОС в среде).
   Общие	1. Отображаемое имя шаблона: введите понятное имя, например Operations Manager. 2. Имя шаблона: введите то же имя, что и отображаемое имя. 3. период действия и период продления: введите срок действия и период продления, которые соответствуют политике сертификатов вашей организации. Рекомендация по сроку действия заключается в том, чтобы он не превышал половину срока действия ЦС, выдавшего сертификат. (Например, четыре года для подчиненного CA, максимальный срок действия сертификата — два года.). 4. Выберите "Опубликовать сертификат" в Active Directory и не перезарегистрируйтесь автоматически, если в флажке Active Directory существует дубликат сертификата.
   Обработка запросов	1. Назначение. Выберите подпись и шифрование из раскрывающегося списка. 2. Установите флажок "Разрешить экспорт закрытого ключа".
   Шифрование	1. Категория поставщика: выберите устаревший поставщик служб шифрования 2. Имя алгоритма: выберите CSP из раскрывающегося списка. 3. минимальный размер ключа: 2048 или 4096 в зависимости от требований к безопасности организации. 4. Поставщики: выберите Криптографический поставщик канала Microsoft RSA и Улучшенный криптографический поставщик Microsoft v1.0.
   Безопасность	1. Удалите учетную запись пользователя, создающего шаблон, вместо этого должны быть введены группы. 2. Убедитесь, что группа Аутентифицированные пользователи или объект Компьютер имеет разрешения на чтение и на регистрацию. 2. Снимите флажок разрешения регистрации для администраторовдомена и корпоративных администраторов. 3. Добавьте разрешения для группы безопасности, содержащей серверы Operations Manager, и предоставьте этой группе разрешение на регистрацию.
   Требования к выпуску	1. Установите флажок для утверждения диспетчером сертификатов ЦС 2. В разделе "Требовать следующее для повторной регистрации" выберите Действующий существующий сертификат 3. Установите флажок Разрешить продление на основе ключей
   Имя субъекта	1. Выберите Поставка в запросе 2. Установите флажок Использовать сведения о субъектах из существующих сертификатов...

6. Нажмите Применить и ОК, чтобы создать новый шаблон.

Публикация шаблона во всех соответствующих центрах сертификации

1. Войдите на присоединенный к домену сервер с помощью AD CS в вашей среде (ЦС).
2. На рабочем столе Windows выберите >центра сертификации средств>администрирования Windows".
3. В правой области навигации разверните ЦС, щелкните правой кнопкой мыши шаблоны сертификатов и выберите "Создать>шаблоны сертификатов" для проблемы.
4. Выберите новый шаблон, созданный на описанных выше шагах, и нажмите кнопку "ОК".

Запрос сертификата с помощью файла запроса

Примечание.

Создание запросов сертификатов с помощью INF-файла является устаревшим методом и не рекомендуется.

Создание файла сведений (INF)

1. На компьютере с функцией Operations Manager, для которой запрашиваются сертификаты, откройте новый текстовый файл в текстовом редакторе.

2. Создайте текстовый файл, содержащий следующее содержимое:

   [NewRequest]
   Subject="CN=server.contoso.com"
   Key Exportable = TRUE  ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE
   HashAlgorithm = SHA256
   KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
   KeySpec = 1  ; AT_KEYEXCHANGE
   KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
   MachineKeySet = TRUE ; The key belongs to the local computer account
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   KeyAlgorithm = RSA
   
   ; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named
   [RequestAttributes]
   CertificateTemplate="OperationsManager"
   
   ; Not required if using a template with this defined
   [EnhancedKeyUsageExtension]
   OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
   OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication
   

3. Сохраните файл с расширением файла .inf. Например, CertRequestConfig.inf.

4. Закройте текстовый редактор.

Создание файла запроса сертификата

Этот процесс кодирует сведения, указанные в файле конфигурации в Base64, и выводится в новый файл.

1. На компьютере, на котором размещен компонент Operations Manager, для которого запрашиваются сертификаты, откройте командную строку администратора.

2. Перейдите в тот же каталог, где находится файл .inf.

3. Выполните следующую команду, чтобы изменить имя файла .inf, чтобы убедиться, что он соответствует имени файла, созданному ранее. Оставьте имя файла .req as-is:

   CertReq –New –f CertRequestConfig.inf CertRequest.req
   

4. Проверьте новый файл .req, выполнив следующую команду и проверив результаты:

   CertUtil CertRequest.req
   

Отправка нового запроса на сертификат

1. На компьютере, на котором размещен компонент Operations Manager, для которого запрашиваются сертификаты, откройте командную строку администратора.

2. Перейдите в тот же каталог, где находится файл .req.

3. Выполните следующую команду, чтобы отправить запрос в ЦС:

   CertReq -Submit CertRequest.req
   

4. Вам могут быть предложены варианты выбора ЦС, в этом случае выберите соответствующий ЦС и продолжите.

5. После завершения может отображаться сообщение, что "Запрос на сертификат ожидается", и требуется утверждение вашего утверждающего сертификат, чтобы утвердить запрос, прежде чем продолжить.

   1. В противном случае сертификат импортируется в хранилище сертификатов.

Запрос сертификата с помощью диспетчера сертификатов

Для корпоративных ЦС с определенным шаблоном сертификата можно запросить новый сертификат с клиентского компьютера, присоединенного к домену, с помощью диспетчера сертификатов. Этот метод относится к корпоративным ЦС и не применяется к Stand-Alone ЦС.

1. Войдите на целевой компьютер с правами администратора (сервер управления, шлюз, агент и т. д.).

2. Используйте командную строку администратора или окно PowerShell, чтобы открыть диспетчер сертификатов.

   1. certlm.msc — открывает хранилище сертификатов локального компьютера.
   2. mmc.msc — открывает консоль управления Майкрософт.
      1. Загрузите оснастку диспетчера сертификатов.
      2. Перейдите к оснастке "Добавить или удалить файл>".
      3. Выберите Сертификаты.
      4. Выберите Добавить.
      5. При появлении запроса нажмите кнопку "Учетная запись компьютера" и нажмите кнопку "Далее"
      6. Убедитесь, что выберите локальный компьютер и нажмите кнопку "Готово".
      7. Нажмите кнопку "ОК" , чтобы закрыть мастер.

3. Запустите запрос сертификата:

   1. В разделе "Сертификаты" разверните папку "Личная".
   2. Щелкните правой кнопкой мыши >>, запрашивая новый сертификат.

4. В мастере регистрации сертификатов

   1. На странице "Перед началом работы" нажмите кнопку "Далее".
   2. Выберите соответствующую политику регистрации сертификатов (по умолчанию может быть политика регистрации Active Directory), нажмите кнопку "Далее"
   3. Выберите нужный шаблон политики регистрации.
   4. Если шаблон недоступен сразу же, выберите " Показать все шаблоны " под списком
   5. Если вам нужен шаблон с красным X рядом с ним, обратитесь к группе active Directory или сертификатов.
   6. Поскольку информация в сертификате должна быть введена вручную, вы найдете предупреждение в выбранном шаблоне в виде гиперссылки с надписью ⚠️ More Information is required to enroll for this certificate. Click here to configure settings..
      1. Выберите гиперссылку и перейдите к сведениям о сертификате во всплывающем окне.

5. В мастере свойств сертификата:

   Вкладка	Описание
   Тема	1. В имени субъекта выберите общее имя или полное доменное имя, укажите значение — имя узла или имя BIOS целевого сервера, нажмите кнопку "Добавить". 2. Добавьте альтернативные имена по мере необходимости. При использовании альтернативных имен вместо имени субъекта, первое имя должно соответствовать имени узла или имени BIOS.
   Общие	1. Укажите понятное имя созданному сертификату. 2. При желании укажите описание цели этого сертификата.
   Расширения	1. В разделе "Использование ключей" убедитесь, что выбран параметр "Цифровая подпись" и "Ключ" и установите флажок "Сделать эти ключевые значения критически важным". 2. В разделе "Расширенное использование ключей" убедитесь, что выбраны параметры проверки подлинности сервера и проверки подлинности клиента.
   Private Key	1. В разделе "Параметры ключа" убедитесь, что размер ключа не менее 1024 или 2048 и установите флажок "Сделать экспортируемый закрытый ключ". 2. В разделе "Тип ключа" убедитесь, что выбран параметр Exchange .
   Вкладка центра сертификации	Установите флажок ЦС.
   Подпись	Если для организации требуется центр регистрации, укажите сертификат подписи для этого запроса.

   1. После предоставления сведений в мастере свойств сертификата предупреждающая гиперссылка исчезает.
   2. Выберите "Регистрация", чтобы создать сертификат. Если возникла ошибка, обратитесь к группе ad или сертификатов.
      1. Если операция успешна, статус отображается как Успешно, а новый сертификат появляется в хранилище Личные/Сертификаты.

6. Если эти действия были выполнены для предполагаемого получателя сертификата, перейдите к следующим шагам.

7. Если запрос сертификата должен утвердить диспетчер сертификатов, продолжайте после проверки и утверждения запроса.

   1. После утверждения, если настроена автоматическая регистрация, сертификат появится в системе после обновления групповой политики (gpupdate /force).
   2. Если он не отображается в личном хранилище сертификатов для локального компьютера, проверьте в Сертификаты - Локальный компьютер>Запросы на регистрацию сертификатов>Сертификаты
      1. Если запрошенный сертификат присутствует здесь, скопируйте его в хранилище личных сертификатов.
      2. Если запрошенный сертификат отсутствует, обратитесь к группе сертификатов.

8. В противном случае экспортируйте новый сертификат с компьютера и скопируйте его в следующий.

   1. Откройте окно диспетчера сертификатов и перейдите к личным>сертификатам.
   2. Выберите сертификат для экспорта.
   3. Щелкните правой кнопкой мыши все задачи>экспорта.
   4. В мастере экспорта сертификатов.
      1. На странице приветствия нажмите кнопку Далее .
      2. Убедитесь, что выберите "Да", экспортируйте закрытый ключ.
      3. Выберите "Обмен персональными данными" — PKCS #12 (). PFX) из параметров формата.
         1. Если это возможно, выберите "Включить все сертификаты" в путь сертификации и установите флажки "Экспортировать все расширенные свойства".
      4. Выберите Далее.
      5. Укажите известный пароль для шифрования файла сертификата.
      6. Выберите Далее.
      7. Укажите доступный путь и распознаваемое имя файла для сертификата.
   5. Скопируйте созданный файл сертификата на целевой компьютер.

Установка сертификата на целевом компьютере

Чтобы использовать только что созданный сертификат, импортируйте его в хранилище сертификатов на клиентском компьютере.

Добавление сертификата в хранилище сертификатов

1. Войдите на компьютер, на котором создаются сертификаты для сервера управления, шлюза или агента.

2. Скопируйте сертификат, созданный ранее, в доступное расположение на этом компьютере.

3. Откройте командную строку администратора или окно PowerShell и перейдите в папку, в которой находится файл сертификата.

4. Выполните следующую команду, заменив NewCertificate.cer правильным именем или путем к файлу:

   CertReq -Accept -Machine NewCertificate.cer

5. Этот сертификат теперь должен присутствовать в локальном хранилище персональных компьютеров на этом компьютере.

Кроме того, щелкните правой кнопкой мыши файл > сертификата Установить > локальный компьютер и выберите место назначения личного хранилища для установки сертификата.

Совет

При добавлении сертификата в хранилище сертификатов с закрытым ключом и его последующем удалении сертификат теряет закрытый ключ при повторном импорте. Operations Manager требует закрытый ключ для шифрования исходящих данных. Чтобы восстановить закрытый ключ, используйте команду certutil с серийным номером сертификата. Выполните следующую команду в командной строке администратора или окне PowerShell:

certutil -repairstore my <certificateSerialNumber>

Импорт сертификата в Operations Manager

Помимо установки сертификата в системе, необходимо обновить Operations Manager, чтобы учесть сертификат, который требуется использовать. Эти действия приводят к перезапуску службы Microsoft Monitoring Agent для применения изменений.

Нам требуется служебная программа MOMCertImport.exe, которая включена в папку SupportTools установочного носителя Operations Manager. Скопируйте файл на сервер.

Чтобы импортировать сертификат в Operations Manager с помощью MOMCertImport, выполните следующие действия.

1. Войдите на целевой компьютер.

2. Откройте командную строку администратора или окно PowerShell и перейдите в папку служебной программы MOMCertImport.exe .

3. Запустите программу MomCertImport.exe, выполнив следующую команду:

   1. В CMD: MOMCertImport.exe
   2. В PowerShell: .\MOMCertImport.exe.

4. Откроется окно графического интерфейса, запрашивающее Выбрать сертификат.

   1. Список сертификатов можно просмотреть, если вы не увидите нужный сертификат, выберите Другие варианты.

5. В списке выберите новый сертификат для компьютера.

   1. Сертификат можно проверить, выбрав его. После выбора можно просмотреть свойства сертификата.

6. Выберите ОК

7. При успешном выполнении всплывающее окно отображает следующее сообщение:

   Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

8. Чтобы проверить, перейдите к средству просмотра событий>журналы приложений и служб>Operations Manager и найдите идентификатор события 20053. Это событие указывает, что сертификат проверки подлинности успешно загружен

9. Если идентификатор события 20053 отсутствует в системе, найдите один из следующих идентификаторов событий, так как они указывают на любые проблемы с импортированным сертификатом, и при необходимости исправьте.

   • 20049
   • 20050
   • 20052
   • 20066
   • 20069
   • 20077

   Если в журнале нет идентификаторов этих событий, импорт сертификата завершился ошибкой, проверьте сертификат и административные разрешения и повторите попытку.

10. MOMCertImport обновляет следующее расположение реестра, чтобы содержать значение, соответствующее серийному номеру импортированного сертификата, зеркального отображения:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
    

Продление сертификата

Operations Manager создает оповещение, когда импортированный сертификат для серверов управления и шлюзов приближается к истечении срока действия. Если вы получаете такое оповещение, обновите или создадите новый сертификат для серверов до истечения срока действия. Эта функция оповещений работает только в том случае, если сертификат содержит сведения о шаблоне из Центра сертификации предприятия.

1. Войдите на сервер с сертификатом с истекающим сроком действия и запустите диспетчер конфигурации сертификатов (certlm.msc).
2. Найдите сертификат Operations Manager с истекающим сроком действия.
3. Если сертификат не обнаружен, возможно, он был удален или импортирован через файл, а не хранилище сертификатов. Необходимо выдать новый сертификат для этого устройства от ЦС. Дополнительные сведения о том, как это сделать, см. в более ранних инструкциях.
4. Если вы найдете сертификат, то для продления сертификата можно выбрать следующие параметры:
   1. Запрос сертификата с новым ключом
   2. Продление сертификата с помощью нового ключа
   3. Продление сертификата с одним ключом
5. Выберите вариант, который лучше всего подходит для того, что вы хотите сделать, и следуйте инструкциям мастера.
6. После завершения запустите средство MOMCertImport.exe, чтобы убедиться, что Operations Manager имеет новый серийный номер сертификата. Дополнительные сведения см. в разделе Импорт сертификата в Operations Manager.

Если продление сертификата с помощью этого метода недоступно, выполните предыдущие действия, чтобы запросить новый сертификат или центр сертификации организации. Установите и импортируйте (MOMCertImport) новый сертификат для использования Operations Manager.

Необязательно. Настройка автоматической регистрации и продления сертификата

Используйте корпоративный ЦС для настройки автоматической регистрации и продления сертификата при истечении срока их действия. Это позволяет распределить доверенный корневой сертификат во всех системах, присоединенных к домену.

Настройка автоматической регистрации и продления сертификата не работает с Stand-Alone или не microsoft CAs. Для систем в рабочей группе или отдельном домене продление сертификатов и регистрация будут выполняться вручную.

Дополнительные сведения см. в руководстве Windows Server.

Примечание.

Автоматическая регистрация и продление не настраивают Operations Manager автоматически для использования нового сертификата. Если сертификат автоматически продлевается с тем же ключом, отпечаток также может оставаться неизменным и никаких действий, необходимых администратору. Если создается новый сертификат или отпечаток изменяется, необходимо повторно импортировать обновленный сертификат. Дополнительные сведения см. в разделе Импорт сертификата в Operations Manager.