Skaffa ett certifikat för användning med Windows-servrar och System Center Operations Manager

När System Center Operations Manager fungerar över förtroendegränser där Kerberos-autentisering med gateway- eller Windows-klientdatorer inte är möjligt krävs certifikatbaserad autentisering. Den här metoden används för att upprätta kommunikation mellan Microsoft Monitoring Agent och hanteringsservrarna. Det primära användningsfallet är att autentisera med gateway- och Windows-klientsystem i arbetsgrupper, demilitariserade zoner (DMZ) eller andra domäner utan dubbelriktat förtroende.

Certifikat som genereras med den här artikeln är inte för Linux-övervakning om inte en Gateway-server som utför övervakningen ligger över en förtroendegräns, och sedan används certifikatet endast för Windows-till-Windows-autentisering för gateway- och hanteringsservern, separata certifikat (SCX-Certificates) används för Linux-autentisering och hanteras av Själva Operations Manager.

Den här artikeln beskriver hur du hämtar ett certifikat och använder det med Operations Manager Management Server, Gateway eller Agent med hjälp av en Enterprise Active Directory Certificate Services (AD CS) CA-server (certifikatutfärdare) på Windows-plattformen. Om du använder en Stand-Alone eller en annan certifikatutfärdare än Microsoft kan du kontakta certifikat-/PKI-teamet för att få hjälp med att skapa certifikat som används för Operations Manager.

Förutsättningar

Se till att du har följande krav på plats:

• Active Directory Certificate Services (AD CS) har installerats och konfigurerats, eller en annan certifikatutfärdare än Microsoft. (Obs! Den här guiden omfattar inte att begära certifikat från en certifikatutfärdare som inte kommer från Microsoft.)
• Domänadministratörsbehörigheter.
• Operations Manager-hanteringsservrar som är anslutna till domänen.

Certifikatkrav

Viktig

Kryptografi-API-nyckellagringsprovider (KSP) stöds inte för Operations Manager-certifikat.

För närvarande stöder Operations Manager inte mer avancerade certifikat och förlitar sig på äldre leverantörer.

Om din organisation inte använder AD CS eller använder en extern certifikatutfärdare använder du anvisningarna för den utfärdaren för att skapa ditt certifikat och se till att det uppfyller följande krav för Operations Manager:

- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)

- [Key Usage]
    Key Exportable = FALE  ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
    HashAlgorithm = SHA256
    KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
    KeySpec = 1  ; AT_KEYEXCHANGE
    KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
    MachineKeySet = TRUE ; The key belongs to the local computer account
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    KeyAlgorithm = RSA

- [EnhancedKeyUsageExtension]
     - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
     - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
     - Compatible with Windows Server 2012 R2 ; (or newer based on environment)

- [Cryptography Settings]
     - Provider Category: Legacy Cryptography Service Provider
     - Algorithm name: RSA
     - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
     - Providers: "Microsoft RSA Schannel Cryptographic Provider"

Process på hög nivå för att hämta ett certifikat

Viktig

För den här artikeln är standardinställningarna för AD-CS:

• Standardnyckellängd: 2048
• Kryptografi-API: Kryptografitjänstprovider (CSP)
• Säker hash-algoritm: 256 (SHA-256)

Utvärdera dessa val mot kraven i företagets säkerhetsprincip.

Enterprise CA

1. Ladda ned rotcertifikatet från en certifikatutfärdare.
2. Importera rotcertifikatet till en klientserver.
3. Skapa en certifikatmall.
4. Skicka en begäran till certifikatutfärdare.
5. Godkänn begäran om det behövs.
6. Hämta certifikatet.
7. Importera certifikatet till certifikatarkivet.
8. Importera certifikatet till Operations Manager med hjälp av <MOMCertImport>.

Stand-Alone eller icke-Microsoft-certifikatutfärdare

1. Ladda ned rotcertifikatet från en certifikatutfärdare.
2. Importera rotcertifikatet till en klientserver.
3. Begär ett certifikat från certifikatutfärdare som matchar kraven för Operations Manager.
4. Godkänn begäran om det behövs.
5. Hämta certifikatet från certifikatutfärdare.
6. Importera certifikatet till certifikatarkivet.
7. Importera certifikatet till Operations Manager med hjälp av <MOMCertImport>.

Ladda ned och importera rotcertifikatet från certifikatutfärdare

Tips

Om du använder en företagscertifikatutfärdare och finns i ett domänanslutet system bör rotcertifikaten redan vara installerade i lämpliga lager och du kan hoppa över det här steget.

Kontrollera att certifikaten är installerade genom att köra följande PowerShell-kommando i det domänanslutna systemet och ersätta "Domän" med ditt partiella domännamn:

# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }

# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }

För att kunna lita på och verifiera alla certifikat som har skapats av certifikatutfärdare måste måldatorn ha en kopia av rotcertifikatet i sitt betrodda rotarkiv. De flesta domänanslutna datorer litar redan på Enterprise CA. Ingen dator litar dock på ett certifikat från en icke-företags-CA utan att rotcertifikatet för den certifikatutfärdaren har installerats.

Om du använder en icke-Microsoft CA är nedladdningsprocessen annorlunda. Importprocessen är dock densamma.

För att automatiskt installera rot- och CA-certifikaten med gruppolicy

1. Logga in på den dator där du vill installera certifikaten som administratör.
2. Öppna ett kommandotolksfönster som administratör eller en PowerShell-konsol.
3. Kör kommandot gpupdate /force
4. När du är klar kontrollerar du om det finns rot- och CA-certifikat i certifikatarkivet, som ska visas i Certifikathanteraren för lokal dator under betrodda rotcertifikatutfärdare>certifikat.

Ladda ned det betrodda rotcertifikatet manuellt från en certifikatutfärdare

Följ dessa steg för att ladda ned det betrodda rotcertifikatet:

1. Logga in på den dator där du vill installera ett certifikat. Till exempel en gatewayserver eller hanteringsserver.
2. Öppna en webbläsare och anslut till certifikatserverns webbadress. Till exempel https://<servername>/certsrv.
3. På sidan Välkommen väljer du Ladda ned ett CA-certifikat, certifikatkedjaeller CRL-.
   1. Om du uppmanas att bekräfta webbåtkomstkontrollerar du servern och URL:en och väljer Ja.
   2. Kontrollera de flera alternativen under CA-certifikatet och bekräfta markeringen.
4. Ändra kodningsmetoden till Base 64 och välj sedan Ladda ned CA Certificate Chain.
5. Spara certifikatet och ange ett vänligt namn.

Importera det betrodda rotcertifikatet från certifikatutfärdare på klienten

Not

Om du vill importera ett betrott rotcertifikat måste du ha administratörsbehörighet på måldatorn.

Följ dessa steg för att importera det betrodda rotcertifikatet:

1. Kopiera filen som genererades i föregående steg till klienten.
2. Öppna Certifikathanteraren.
   1. Från kommandoraden, PowerShell eller Kör skriver du certlm.msc och trycker på ange.
   2. Välj Starta > Kör och skriv mmc för att hitta Microsoft Management Console (mmc.exe).
      1. Gå till Fil>Lägg till/ta bort Snap-in....
      2. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du Certifikatoch därefter väljer du Lägg till.
      3. I dialogrutan Snap-in för certifikat
         1. Välj datorkonto och välj Nästa. Dialogrutan Välj Dator öppnas.
         2. Välj Lokal dator och välj Slutför.
      4. Välj OK.
      5. Under Konsolroten expanderar du certifikat (lokal dator)
3. Expandera betrodda rotcertifikatutfärdare och välj sedan Certifikat.
4. Välj Alla uppgifter.
5. I guiden Importera certifikat lämnar du den första sidan som standard och väljer Nästa.
   1. Bläddra till den plats där du laddade ned CA-certifikatfilen och välj den betrodda rotcertifikatfilen, kopierad från certifikatutfärdaren.
   2. Välj Nästa.
   3. Lämna betrodda rotcertifikatutfärdare som standard på platsen Certifikatarkiv.
   4. Välj Nästa och Slutför.
6. Om det lyckas visas det betrodda rotcertifikatet från certifikatutfärdaren under Betrodda rotcertifikatutfärdare>Certifikat.

Skapa en certifikatmall för en företagscertifikatutfärdare

Viktig

Om du använder Stand-Alone eller andra certifikatutfärdare kan du kontakta ditt certifikat- eller PKI-team om hur du fortsätter med att generera din certifikatbegäran.

Mer information finns i certifikatmallar.

Skapa en certifikatmall för System Center Operations Manager

1. Logga in på en domänansluten server med AD CS i din miljö (din CA).

2. På Windows-skrivbordet väljer du Starta>Administrationsverktyg för Windows>certifikatutfärdare.

3. I den högra navigeringsrutan expanderar du CA, högerklickar på certifikatmallaroch väljer Hantera.

4. Högerklicka på Dator och välj Duplicera mall.

5. Dialogrutan egenskaper för ny mall öppnas. gör de val som anges:

   Flik	Beskrivning
   Kompatibilitet	1. certifikatutfärdare: Windows Server 2012 R2 (eller den lägsta AD-funktionsnivån i miljön). 2. certifikatmottagare: Windows Server 2012 R2 (eller den lägsta versionen av operativsystemet i miljön).
   Allmänt	1. Mallens visningsnamn: Ange ett vänligt namn, till exempel Operations Manager. 2. Mallnamn: Ange samma namn som visningsnamnet. 3. Giltighetsperiod och Förnyelseperiod: Ange giltighets- och förnyelseperioder som överensstämmer med organisationens certifikatprincip. Rekommendationen för giltighet är att inte överskrida hälften av livslängden för certifikatutfärdare som utfärdar certifikatet. (Till exempel: Fyra års sub-CA, maximal livslängd på två år för certifikatet.). 4. Markera Publicera certifikat i Active Directory och Omregistrera inte automatiskt om det finns ett duplicerat certifikat i Active Directory kryssrutor.
   Hantering av begäranden	1. Purpose: Välj Signatur och kryptering från listrutan. 2. Markera kryssrutan Tillåt att privat nyckel exporteras.
   Kryptografi	1. Providerkategori: Välj Äldre kryptografitjänsteleverantör 2. Algoritmnamn: Välj Bestäms av CSP i listrutan. 3. Minsta nyckelstorlek: 2048 eller 4096 enligt organisationens säkerhetskrav. 4. Providers: Välj Microsoft RSA-kanalspecifik kryptografiprovider och Microsoft Enhanced Cryptographic Provider v1.0.
   Säkerhet	1. Ta bort användarkontot för användaren som skapar mallen, grupper bör vara på plats i stället. 2. Se till att gruppen Autentiserade användare (eller datorobjektet) har Läs och Registrera behörigheter. 2. Avmarkera behörigheten Registreringsbehörighet för Domänadministratöreroch Företagsadministratörer. 3. Lägg till behörigheter för säkerhetsgruppen som innehåller dina Operations Manager-servrar och bevilja den här gruppen Registrera behörighet.
   Utfärdandekrav	1. Markera kryssrutan för CA Certificate Manager-godkännande 2. Under "Kräv följande för omregistrering" väljer du Giltigt befintligt certifikat 3. Markera kryssrutan för Tillåt nyckelbaserad förnyelse
   Ämnesnamn	1. Välj Supply i begäran 2. Markera kryssrutan för Använd ämnesinformation från befintliga certifikat...

6. Välj Använd och OK för att skapa den nya mallen.

Publicera mallen på alla relevanta certifikatutfärdare

1. Logga in på en domänansluten server med AD CS i din miljö (din CA).
2. På Windows-skrivbordet väljer du Starta>Administrationsverktyg för Windows>certifikatutfärdare.
3. I det högra navigeringsfönstret expanderar du CA, högerklickar på certifikatmallaroch väljer Ny>certifikatmall för att utfärda.
4. Välj den nya mall som skapades i stegen ovan och välj OK.

Begära ett certifikat med hjälp av en begärandefil

Anteckning

Att skapa certifikatbegäranden med en INF-fil är en äldre metod och rekommenderas inte.

Skapa en informationsfil (.inf)

1. Öppna en ny textfil i en textredigerare på den dator som är värd för den Operations Manager-funktion som du begär ett certifikat för.

2. Skapa en textfil som innehåller följande innehåll:

   [NewRequest]
   Subject="CN=server.contoso.com"
   Key Exportable = TRUE  ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE
   HashAlgorithm = SHA256
   KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
   KeySpec = 1  ; AT_KEYEXCHANGE
   KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
   MachineKeySet = TRUE ; The key belongs to the local computer account
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   KeyAlgorithm = RSA
   
   ; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named
   [RequestAttributes]
   CertificateTemplate="OperationsManager"
   
   ; Not required if using a template with this defined
   [EnhancedKeyUsageExtension]
   OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
   OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication
   

3. Spara filen med ett .inf filnamnstillägg. Till exempel CertRequestConfig.inf.

4. Stäng textredigeraren.

Skapa en certifikatbegäransfil

Den här processen kodar den information som anges i vår konfigfil i Base64 och sparas till en ny fil.

1. Öppna en kommandotolk för administratör på den dator som är värd för den Operations Manager-funktion som du begär ett certifikat för.

2. Navigera till samma katalog där den .inf filen finns.

3. Kör följande kommando för att ändra .inf filnamn för att se till att det matchar filnamnet som skapades tidigare. Lämna filnamnet .req as-is:

   CertReq –New –f CertRequestConfig.inf CertRequest.req
   

4. Verifiera den nya .req-filen genom att köra följande kommando och kontrollera resultatet:

   CertUtil CertRequest.req
   

Skicka en ny certifikatbegäran

1. Öppna en kommandotolk för administratör på den dator som är värd för den Operations Manager-funktion som du begär ett certifikat för.

2. Navigera till samma katalog där den .req filen finns.

3. Kör följande kommando för att skicka en begäran till din certifikatutfärdare:

   CertReq -Submit CertRequest.req
   

4. Du kan få upp alternativ för att välja din CA. Om så är fallet, välj en lämplig CA och fortsätt.

5. När det är klart kan det stå att "certifikatbegäran är väntande", vilket kräver att certifikatsgodkännaren godkänner begäran innan du kan fortsätta.

   1. Annars importeras certifikatet till certifikatlager.

Begära ett certifikat med hjälp av Certifikathanteraren

För företagscertifikatutfärdare med en definierad certifikatmall kan du begära ett nytt certifikat från en domänansluten klientdator med hjälp av Certifikathanteraren. Den här metoden är specifik för företagscertifikatutfärdare och gäller inte för Stand-Alone certifikatutfärdare.

1. Logga in på måldatorn med administratörsrättigheter (hanteringsserver, gateway, agent och så vidare).

2. Använd Administratörskommandotolken eller PowerShell-fönstret för att öppna Certifikathanteraren.

   1. certlm.msc – öppnar certifikatarkivet för lokala datorer.
   2. mmc.msc – öppnar Microsoft Management Console.
      1. Läs in tilläggsmodulen Certifikathanteraren.
      2. Gå till Fil>Lägg till/ta bort tillägg.
      3. Välj certifikat.
      4. Välj Lägg till.
      5. När du uppmanas till det väljer du datorkonto och väljer Nästa
      6. Se till att du väljer lokal dator och välj Slutför.
      7. Välj OK för att stänga guiden.

3. Starta certifikatbegäran:

   1. Under Certifikat expanderar du mappen Personligt.
   2. Högerklicka på Certifikat>Alla uppgifter>Begär nytt certifikat.

4. I certifikatregistreringsguiden

   1. På sidan Innan du börjar väljer du Nästa.
   2. Välj tillämplig princip för certifikatregistrering (standardinställningen kan vara Active Directory-registreringsprincip), välj Nästa
   3. Välj önskad registreringspolicy-mall.
   4. Om mallen inte är omedelbart tillgänglig väljer du Visa alla mallar rutan under listan
   5. Om mallen som behövs är tillgänglig med ett rött X bredvid kan du kontakta active directory- eller certifikatteamet
   6. Eftersom information i certifikatet måste anges manuellt visas ett varningsmeddelande under den valda mallen som en hyperlänk som säger ⚠️ More Information is required to enroll for this certificate. Click here to configure settings.
      1. Välj hyperlänken och fortsätt att fylla i informationen för certifikatet i popup-fönstret.

5. I guiden Certifikategenskaper :

   Flik	Beskrivning
   Subjekt	1. I Ämnesnamn väljer du Eget namn eller Fullständigt DN-, anger värdet – värdnamn eller BIOS-namn för målservern, Välj Lägg till. 2. Lägg till alternativa namn efter behov. Om du använder alternativa namn i stället för ett ämne måste första namn matcha värdnamnet eller BIOS-namnet.
   Allmänt	1. Ange ett vänligt namn för det genererade certifikatet. 2. Ange en beskrivning av syftet med det här certifikatet om du vill.
   Tillägg	1. Under Nyckelanvändning ska du välja alternativen Digital signatur, Nyckelchiffrering, och markera kryssrutan Göra dessa nyckelanvändningar kritiska. 2. Under Utökad nyckelanvändning ser du till att välja serverautentisering och klientautentisering alternativ.
   Privat nyckel	1. Under Nyckelalternativ kontrollerar du att nyckelstorleken är minst 1024 eller 2048 och markerar kryssrutan Gör privat nyckel exportbar. 2. Under Nyckeltyp ser du till att välja alternativet Exchange.
   Certifikatutfärdare-fliken	Se till att markera kryssrutan CA.
   Underskrift	Om din organisation kräver en registreringsmyndighet, tillhandahåll ett signeringscertifikat för den här begäran.

   1. När informationen har angetts i guiden Certifikategenskaper försvinner varningslänken från tidigare.
   2. Välj Registrera för att skapa certifikatet. Om det uppstår ett fel kontaktar du ad- eller certifikatteamet.
      1. Om det lyckas står det Lyckades och ett nytt certifikat finns i lagringsplatsen Personligt/Certifikat.

6. Om dessa åtgärder har vidtagits på den avsedda mottagaren av certifikatet fortsätter du till nästa steg.

7. Om certifikatbegäran behöver godkännas av en certifikathanterare fortsätter du när begäran har verifierats och godkänts.

   1. När det har godkänts, om automatisk registrering har konfigurerats, visas certifikatet i systemet efter en gruppolicyuppdatering (gpupdate /force).
   2. Om det inte visas i det personliga arkivet för den lokala datorn tittar du i Certifikat – Lokal dator>Begäranden om certifikatregistrering>certifikat
      1. Om det begärda certifikatet finns här kopierar du det till det personliga certifikatarkivet.
      2. Om det begärda certifikatet inte finns här kan du kontakta certifikatteamet.

8. Annars exporterar du det nya certifikatet från datorn och kopierar till nästa.

   1. Öppna fönstret Certifikathanteraren och gå till Personliga>-certifikat.
   2. Välj det certifikat som ska exporteras.
   3. Högerklicka på Alla uppgifter>Exportera.
   4. I guiden för export av certifikat.
      1. Välj Nästa på välkomstsidan.
      2. Se till att välja Ja, exportera den privata nyckeln.
      3. Välj Personal Information Exchange – PKCS #12 (. PFX) från formatalternativen.
         1. Markera kryssrutan Inkludera alla certifikat i certifieringssökvägen om möjligt och Exportera alla utökade egenskaper.
      4. Välj Nästa.
      5. Ange ett känt lösenord för att kryptera certifikatfilen.
      6. Välj Nästa.
      7. Ange en tillgänglig sökväg och ett igenkännbart filnamn för certifikatet.
   5. Kopiera den nyligen skapade certifikatfilen till måldatorn.

Installera certifikatet på måldatorn

Om du vill använda det nyligen skapade certifikatet importerar du det till certifikatarkivet på klientdatorn.

Lägg till certifikatet i certifikatarkivet

1. Logga in på den dator där certifikaten skapas för hanteringsserver, gateway eller agent.

2. Kopiera certifikatet som skapades tidigare till en tillgänglig plats på den här datorn.

3. Öppna en kommandotolk för administratör eller PowerShell och navigera till mappen där certifikatfilen finns.

4. Kör följande kommando och ersätt NewCertificate.cer med rätt namn/sökväg för filen:

   CertReq -Accept -Machine NewCertificate.cer

5. Det här certifikatet bör nu finnas i den Lokala Maskinens Personliga lagringsutrymme på den här datorn.

Du kan också högerklicka på certifikatfilen > Installera på den lokala datorn > och välja platsen för det personliga arkivet för att installera certifikatet.

Tips

Om du lägger till ett certifikat i certifikatarkivet med den privata nyckeln och senare tar bort det förlorar certifikatet den privata nyckeln när den importeras igen. Operations Manager kräver den privata nyckeln för kryptering av utgående data. Om du vill återställa den privata nyckeln använder du kommandot certutil med certifikatets serienummer. Kör följande kommando i en kommandotolk för administratör eller PowerShell-fönster:

certutil -repairstore my <certificateSerialNumber>

Importera certifikatet till Operations Manager

Förutom installationen av certifikatet i systemet måste du uppdatera Operations Manager för att känna till det certifikat som du vill använda. Dessa åtgärder resulterar i en omstart av Microsoft Monitoring Agent-tjänsten för ändringar som ska tillämpas.

Vi kräver verktyget MOMCertImport.exe, som ingår i mappen SupportTools i Operations Manager-installationsmediet. Kopiera filen till servern.

Följ dessa steg för att importera certifikatet till Operations Manager med HJÄLP av MOMCertImport:

1. Logga in på måldatorn.

2. Öppna en administratörs-kommandotolk eller ett PowerShell-fönster och navigera till verktygsmappen MOMCertImport.exe.

3. Kör verktyget MomCertImport.exe genom att köra följande kommando:

   1. I CMD: MOMCertImport.exe
   2. I PowerShell: .\MOMCertImport.exe

4. Ett GUI-fönster visas där du uppmanas att Välj ett certifikat.

   1. Du kan se en lista över certifikat. Om du inte ser önskat certifikat direkt väljer du Fler alternativ.

5. I listan väljer du det nya certifikatet för datorn.

   1. Du kan verifiera certifikatet genom att välja det. När du har valt kan du visa certifikategenskaperna.

6. Välj OK

7. Om det lyckas visas följande meddelande i ett popup-fönster:

   Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

8. Om du vill verifiera går du till Loggboken>Program- och tjänstloggar>Operations Manager och letar efter ett händelse-ID 20053. Den här händelsen anger att autentiseringscertifikatet har lästs in

9. Om händelse-ID 20053 inte finns i systemet, leta efter ett av följande händelse-ID:n eftersom de definierar eventuella problem med det importerade certifikatet och åtgärda problemen i enlighet med detta.

   • 20049
   • 20050
   • 20052
   • 20066
   • 20069
   • 20077

   Om inget av dessa händelse-ID:n finns i loggen misslyckades certifikatimporten, kontrollerar certifikatet och de administrativa behörigheterna och försöker igen.

10. MOMCertImport uppdaterar följande registerplats så att den innehåller ett värde som matchar serienumret för det importerade certifikatet, speglat:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
    

Förnya ett certifikat

Operations Manager genererar en avisering när ett importerat certifikat för hanteringsservrar och gatewayer snart upphör att gälla. Om du får en sådan avisering förnyar eller skapar du ett nytt certifikat för servrarna före förfallodatumet. Den här aviseringsfunktionen fungerar bara om certifikatet innehåller mallinformation från en företagscertifikatutfärdare.

1. Logga in på servern med certifikatet som upphör att gälla och starta certifikatkonfigurationshanteraren (certlm.msc).
2. Leta upp operations manager-certifikatet som upphör att gälla.
3. Om du inte hittar certifikatet kan det ha tagits bort eller importerats via filen och inte certifikatarkivet. Du måste utfärda ett nytt certifikat för den här datorn från certifikatmyndigheten. Se tidigare instruktioner om hur du gör det.
4. Om du hittar certifikatet är följande alternativ att välja för att förnya certifikatet:
   1. Begära certifikat med ny nyckel
   2. Förnya certifikat med ny nyckel
   3. Förnya certifikat med samma nyckel
5. Välj det alternativ som bäst gäller för det du vill göra och följ guiden.
6. När du är klar kör du verktyget MOMCertImport.exe för att säkerställa att Operations Manager har certifikatets nya serienummer. Mer information finns i avsnittet Importera certifikatet till Operations Manager.

Om certifikatförnyelse via den här metoden inte är tillgänglig använder du de föregående stegen för att begära ett nytt certifikat eller med organisationens certifikatutfärdare. Installera och importera (MOMCertImport) det nya certifikatet för användning av Operations Manager.

Valfritt: Konfigurera automatisk registrering och förnyelse av certifikat

Använd Företagscertifikatutfärdare för att konfigurera automatisk registrering och förnyelse av certifikat när de upphör att gälla. På så sätt distribueras det betrodda rotcertifikatet till alla domänanslutna system.

Konfiguration av automatisk registrering och förnyelse av certifikat fungerar inte med Stand-Alone eller certifikatutfärdare som inte kommer från Microsoft. För system i en arbetsgrupp eller en separat domän är certifikatförnyelser och registreringar en manuell process.

Mer information finns i Windows Server-guide.

Notis

Automatisk registrering och förnyelser konfigurerar inte automatiskt Operations Manager för att använda det nya certifikatet. Om certifikatet förnyas automatiskt med samma nyckel kan tumavtrycket också förbli detsamma och ingen åtgärd krävs av en administratör. Om ett nytt certifikat genereras eller tumavtrycket ändras måste det uppdaterade certifikatet importeras på nytt. Mer information finns i avsnittet Importera certifikatet till Operations Manager.