共用方式為

取得憑證以搭配 Windows Server 和 System Center Operations Manager 使用

  • 發行項

當 System Center Operations Manager 跨信任界限運作時,無法使用網關或 Windows 用戶端電腦進行 Kerberos 驗證,則需要憑證式驗證。 這個方法可用來建立Microsoft監視代理程式和管理伺服器之間的通訊。 主要使用案例是使用工作組、非軍事區域 (DMZ) 或其他網域中的閘道和 Windows 用戶端系統進行驗證,而不需要雙向信任。

除非執行監控的閘道伺服器跨越信任界限,使用本文生成的憑證 不適用於 Linux 的監控。即使跨越信任界限,這些憑證也僅用於閘道伺服器和管理伺服器之間的 Windows 對 Windows 驗證,而用於 Linux 驗證的憑證則是個別的 SCX 憑證,並交由 Operations Manager 自行處理。

本文說明如何使用 Windows 平臺上的 Enterprise Active Directory 憑證服務 (AD CS) 證書頒發機構單位 (CA) 伺服器,來取得憑證,並與 Operations Manager 管理伺服器、網關或代理程式搭配使用。 如果您使用 Stand-Alone 或非Microsoft CA,請洽詢您的憑證/PKI 小組,以取得建立用於 Operations Manager 之憑證的協助。

必要條件

請確定您已符合下列需求:

  • 已安裝及設定 Active Directory 憑證服務(AD CS),或非 Microsoft 憑證授權中心(CA)。 (注意:本指南未涵蓋向非Microsoft CA 要求憑證。
  • 網域系統管理員許可權。
  • Operations Manager 管理伺服器已加入網域。

憑證需求

重要

Operations Manager 憑證不支援密碼編譯 API 密鑰儲存提供者(KSP)。

目前,Operations Manager 不支援更進階的憑證,而且依賴舊版提供者。

如果您的組織未使用 AD CS 或使用外部證書頒發機構單位,請使用該授權單位提供的指示來建立您的憑證,確保它符合 Operations Manager 的下列需求:

- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)

- [Key Usage]
    Key Exportable = FALE  ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
    HashAlgorithm = SHA256
    KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
    KeySpec = 1  ; AT_KEYEXCHANGE
    KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
    MachineKeySet = TRUE ; The key belongs to the local computer account
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    KeyAlgorithm = RSA

- [EnhancedKeyUsageExtension]
     - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
     - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
     - Compatible with Windows Server 2012 R2 ; (or newer based on environment)

- [Cryptography Settings]
     - Provider Category: Legacy Cryptography Service Provider
     - Algorithm name: RSA
     - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
     - Providers: "Microsoft RSA Schannel Cryptographic Provider"

取得憑證的高階流程

重要

在本文中,AD-CS 的預設設定如下:

  • 標準金鑰長度:2048
  • 密碼編譯 API:密碼編譯服務提供者 (CSP
  • 安全哈希演算法:256 (SHA256)

根據公司安全策略的需求評估這些選擇。

  1. 從 CA 下載根憑證。
  2. 將根憑證匯入客戶端伺服器。
  3. 建立憑證範本。
  4. 將要求提交至 CA。
  5. 如有必要,請核准要求。
  6. 取得憑證。
  7. 將憑證匯入證書存儲。
  8. 使用 <MOMCertImport>將憑證匯入 Operations Manager。

從 CA 下載並匯入根憑證

提示

如果您使用企業 CA 且系統已加入網域,則根憑證應已安裝在適當的存放區中,您可以跳過此步驟。

若要確認憑證是否已安裝,請在已加入網域的系統上執行下列 PowerShell 命令,並將 “Domain” 取代為您的部分網域名稱:

# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }

# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }

若要信任及驗證由證書頒發機構建立的任何憑證,目標機器必須在其信任的根憑證存放區中擁有根憑證的副本。 大部分已加入網域的電腦都已經信任企業 CA 憑證機構。 不過,若沒有為該 CA 安裝根證書,任何系統都不會信任來自非企業 CA 的憑證。

如果您使用非Microsoft CA,下載程式會有所不同。 不過,匯入程式會維持不變。

使用組策略自動安裝根目錄和 CA 憑證

  1. 以系統管理員身分登入您要安裝憑證的電腦。
  2. 開啟系統管理員命令提示字元或 PowerShell 控制台。
  3. 執行命令 gpupdate /force
  4. 完成後,請檢查證書存放區中是否存在根憑證和 CA 憑證,這些應該會顯示在本機電腦憑證管理員內 [受信任的根憑證授權單位] 下方的>[憑證]

從 CA 手動下載受信任的根憑證

若要下載受信任的根憑證,請遵循下列步驟:

  1. 登入您要安裝憑證的計算機。 例如, 閘道伺服器或管理伺服器
  2. 開啟網頁瀏覽器並連線到證書伺服器網址。 例如: https://<servername>/certsrv
  3. 在 [ 歡迎] 頁面上,選取 [ 下載 CA 憑證]、 [憑證鏈結] 或 [CRL]。
    1. 如果出現 Web 存取確認提示,請確認伺服器和 URL,然後選取 []。
    2. 檢查CA 憑證下的多個選項,並確認選擇。
  4. 將 Encoding 方法變更為 Base 64 ,然後選取 [ 下載 CA 憑證鏈結]。
  5. 儲存憑證並提供易記名稱。

在用戶端從 CA 匯入受信任的根證書

注意

若要匯入受信任的根憑證,您必須在目標電腦上具有管理員權限。

若要匯入受信任的根憑證,請遵循下列步驟:

  1. 將上一個步驟中產生的檔案複製到用戶端。
  2. 開啟 [憑證管理員]。
    1. 從命令行、PowerShell 或 [執行] 輸入 certlm.msc ,然後按 Enter
    2. 選取 [啟動 > 執行],然後輸入 mmc 來尋找 Microsoft Management Console (mmc.exe)。
      1. 前往 [檔案>新增/移除嵌入式管理單元]。
      2. 在 [新增或移除嵌入式管理單元] 對話框中,選取 [ 憑證],然後選取 [ 新增]。
      3. 在 [憑證嵌入式管理單元] 對話框中,
        1. 選取 [計算機帳戶 ],然後選取 [ 下一步]。 選取 [計算機] 對話框隨即開啟。
        2. 選取 [ 本機計算機 ],然後選取 [ 完成]。
      4. 選取 [確定]。
      5. 在主控台根目錄下,展開憑證 (本地電腦)
  3. 展開 [受信任的根憑證授權單位],然後選取 [憑證]。
  4. 選擇 所有工作
  5. 在 [憑證匯入精靈] 中,將第一頁保留為預設值,然後選取 [ 下一步]。
    1. 流覽至您下載 CA 憑證檔案的位置,然後選取從 CA 複製的信任的根憑證檔案。
    2. 選取 [下一步]。
    3. 在證書儲存位置中,將 [受信任的跟證書授權單位] 保留為預設值。
    4. 選取 [ 下一步 ] 和 [完成]。
  6. 如果成功,則會在 [信任的根憑證授權機構]>[憑證]下顯示來自 CA 的信任根憑證。

建立企業 CA 的證書範本

重要

如果您使用 Stand-Alone 或非Microsoft CA,請洽詢您的憑證或 PKI 小組,瞭解如何繼續產生您的憑證要求。

如需詳細資訊,請參閱 證書範本

建立 System Center Operations Manager 的證書範本

  1. 在您的環境中使用AD CS登入已加入網域的伺服器(您的CA)。

  2. 在 Windows 桌面上,選取開始>Windows 管理工具>證書授權單位

  3. 在右流覽窗格中,展開 CA,以滑鼠右鍵按兩下 [證書範本],然後選取 [ 管理]。

  4. 以滑鼠右鍵按下 [計算機],然後選取 [[複製範本]

  5. [屬性] 對話方塊的 [新增範本] 隨即開啟;按照指示進行選擇:

    索引標籤 描述
    相容性 1.證書頒發機構單位:Windows Server 2012 R2(或環境中的 AD 功能等級最低)。
    2. 憑證收件者:Windows Server 2012 R2(或環境中的最低版本 OS)。
    一般 1. 範本顯示名稱:輸入易記名稱,例如 Operations Manager
    2. 範本名稱:輸入與顯示名稱相同的名稱。
    3. 有效期間和續約期間:輸入符合您組織憑證原則的有效期限和續約期限。 關於有效期的建議是不要超過發行該憑證的 CA 存續期的一半。 (例如:四年子 CA,憑證的最大兩年存留期。
    4. 選取 [在 Active Directory 中發佈憑證],如果 Active Directory 中有重複的憑證複選框,請勿自動重新註冊。
    需求處理 1. 目的:從下拉式清單中選取 [簽章和加密 ]。
    2. 選取 [允許匯出 私鑰] 複選框。
    密碼編譯 1. 提供者類別:選取 [舊版密碼編譯服務提供者
    2]。 演算法名稱:在下拉式選單中選擇「由 CSP 決定」。
    3. 根據組織安全性需求,最小密鑰大小:2048 或 4096。
    4. 提供者:選取 Microsoft RSA 通道密碼編譯提供者Microsoft增強式密碼編譯提供者 v1.0
    安全性 1. 移除建立範本用戶的用戶帳戶,應改為設定群組。
    2. 請確定 已驗證的使用者 群組(或計算機物件)具有 讀取註冊 許可權。
    2. 取消勾選 註冊 許可權,對於 Domain AdminsEnterprise Admins
    3. 新增包含 Operations Manager 伺服器之安全組的許可權,並授與此群組 註冊 許可權。
    發行條件 1.勾選選框以選取 CA 憑證管理員核准
    2。 在 [需要下列專案重新註冊] 底下,選取 有效的現有憑證
    3。 勾選 允許密鑰型更新 的方框
    主體名稱 1. 選取 要求中的供應
    2. 請勾選[用於現有憑證的主體資訊]的框...

  6. 選取 套用確定 以建立新的範本。

在所有相關證書頒發機構單位上發佈範本

  1. 在您的環境中使用AD CS登入已加入網域的伺服器(您的CA)。
  2. 在 Windows 桌面上,選取 開始,然後選取>Windows 管理工具,再選>憑證授權單位
  3. 在右側瀏覽窗格中,展開 CA,以滑鼠右鍵按一下[證書範本],然後選取新>[發行的證書範本]
  4. 選取在上述步驟中建立的新範本,然後選取 [ 確定]。

使用請求檔案申請憑證

注意

使用 INF 檔案建立憑證要求是舊版方法,不建議這麼做。

建立資訊 (.inf) 檔案

  1. 在裝載您要要求憑證之 Operations Manager 功能的計算機上,在文本編輯器中開啟新的文本檔。

  2. 建立包含下列內容的文字檔:

    [NewRequest]
Subject="CN=server.contoso.com"
Key Exportable = TRUE  ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; AT_KEYEXCHANGE
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE ; The key belongs to the local computer account
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
KeyAlgorithm = RSA

; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named
[RequestAttributes]
CertificateTemplate="OperationsManager"

; Not required if using a template with this defined
[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. 使用 .inf 副檔名儲存檔案。 例如: CertRequestConfig.inf

  4. 關閉文字編輯器。

建立憑證要求檔案

此程式會將Base64中組態檔中指定的資訊編碼,並輸出至新的檔案。

  1. 在裝載您要要求憑證之 Operations Manager 功能的計算機上,開啟系統管理員命令提示字元。

  2. 流覽至 .inf 檔案所在的相同目錄。

  3. 執行下列命令來修改 .inf 檔名,以確保它符合稍早建立的檔名。 將 .req 檔名保留 as-is:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. 執行下列命令並檢查結果,以驗證新的 .req 檔案:

    CertUtil CertRequest.req

提交新的憑證要求

  1. 在裝載您要要求憑證之 Operations Manager 功能的計算機上,開啟系統管理員命令提示字元。

  2. 流覽至 .req 檔案所在的相同目錄。

  3. 執行下列命令,將要求提交至 CA:

    CertReq -Submit CertRequest.req

  4. 您可以看到選項來選取您的 CA,如果是的話,請選取適當的 CA 並繼續。

  5. 完成後,結果可能會指出「憑證要求擱置中」,因此您的憑證核准者必須在繼續之前核准要求。

    1. 否則,憑證會匯入憑證存放區。

使用憑證管理員申請憑證

針對具有已定義證書範本的企業 CA,您可以使用憑證管理員,向已加入網域的用戶端電腦要求新的憑證。 此方法專屬於企業 CA,不適用於 Stand-Alone CA。

  1. 使用系統管理員許可權登入目標計算機(管理伺服器、閘道、代理程式等等)。

  2. 使用 [系統管理員命令提示字元] 或 [PowerShell] 視窗開啟 [憑證管理員]。

    1. certlm.msc - 開啟本機計算機證書存儲。
    2. mmc.msc - 開啟 Microsoft 管理控制台。
      1. 加載憑證管理員嵌入式管理單元。
      2. 進入 檔案>新增/移除嵌入式管理單元
      3. 選取 憑證
      4. 選擇 [新增]。
      5. 出現提示時,選取 [計算機帳戶 ],然後選取 [ 下一步]
      6. 確定選取 [ 本機計算機 ],然後選取 [ 完成]。
      7. 選取 [ 確定 ] 以關閉精靈。

  3. 發起憑證請求:

    1. 在 [憑證] 底下,展開 [個人] 資料夾。
    2. 以滑鼠右鍵按一下 憑證>所有工作>要求新憑證

  4. 在 [憑證註冊 精靈] 中

    1. 在 [在您開始前] 頁面上,選取 [下一步]
    2. 選取適用的憑證註冊原則(預設值可能是 Active Directory 註冊原則),選取 [ 下一步]
    3. 選取您想要的註冊原則範本。
    4. 如果範本無法立即使用,請選取清單下方的 [ 顯示所有範本 ] 方塊
    5. 如果需要的範本旁邊有紅色 X,請洽詢您的 Active Directory 團隊或憑證小組
    6. 由於憑證中的資訊需要手動輸入,您會在選取的範本下找到警告訊息,作為超連結,指出 ⚠️ More Information is required to enroll for this certificate. Click here to configure settings.
      1. 選取超連結,然後繼續在彈出視窗中填入憑證的資訊。

  5. 在 [憑證屬性] 精靈中:

    頁籤 描述
    主題 1.在 [主體名稱] 中,選取 [ 一般名稱 ] 或 [完整 DN],提供目標伺服器的主機名或 BIOS 名稱值,選取 [ 新增]。
    2. 視需要新增替代名稱。 如果使用替代名稱取代 Subject,第一個 名稱必須符合主機名或 BIOS 名稱。
    一般 1.為產生的憑證提供易記名稱。
    2. 如有需要,請提供此憑證用途的描述。
    擴充套件 1.在 [金鑰使用方式] 下,確定選取 [數字簽名] 和 [金鑰加密] 選項,然後選取 [讓這些金鑰使用方式變得重大] 複選框。
    2. 在 [擴充密鑰使用方式] 下,確定選取 [伺服器驗證] 和 [客戶端驗證] 選項。
    私密金鑰 1.在 [金鑰選項] 下,確定 [金鑰大小] 至少為 1024 或 2048,然後選取 [ 讓私鑰可 匯出] 複選框。
    2. 在 [金鑰類型] 底下,確定選取 [Exchange] 選項。
    證書頒發機構標籤 務必選取 [CA] 複選框。
    簽章 如果您的組織需要註冊授權單位,請為此要求提供簽署憑證。
    1. 在 [憑證屬性精靈] 中提供信息之後,先前的警告超連結就會消失。
    2. 選取 [ 註冊] 以建立憑證。 如果發生錯誤,請聯繫您的 AD 或憑證團隊。
      1. 如果成功,狀態顯示 [成功],新的憑證將出現在 [個人/憑證] 存放區中。

  6. 如果在憑證的預定收件者上採取這些動作,請繼續進行後續步驟。

  7. 如果憑證要求需要憑證管理員核准,請在驗證並核准要求後繼續。

    1. 核准之後,如果已設定自動註冊,則憑證會在組策略更新之後出現在系統上(gpupdate /force)。
    2. 如果它未出現在本機計算機的個人存放區中,請查看 憑證 - 本機計算機>憑證註冊要求>憑證
      1. 如果此處有要求的憑證,請將它複製到個人證書存儲。
      2. 如果要求的憑證不是這裡,請洽詢您的憑證小組。

  8. 否則,請從計算機導出新的憑證,然後複製到下一個憑證。

    1. 開啟 [憑證管理員] 視窗,然後流覽至 [個人>憑證]。
    2. 選取要導出的憑證。
    3. 以滑鼠右鍵點選所有工作>匯出
    4. 在 [憑證導出精靈] 中。
      1. 選取 [下一步] 在[歡迎]頁面上。
      2. 請務必選取 [ 是],匯出私鑰
      3. 選取 個人資訊交換 – PKCS #12 (.PFX) 從格式選項中。
        1. 如果可能的話,請選取 [在認證路徑中包含所有憑證],然後選取 [匯出所有擴充屬性] 複選框。
      4. 選取 [下一步]。
      5. 提供已知密碼來加密憑證檔案。
      6. 選取 [下一步]。
      7. 提供憑證的可存取路徑和可辨識的檔名。
    5. 將新建立的憑證檔案複製到目標計算機。

在目標計算機上安裝憑證

若要使用新建立的憑證,請將它匯入用戶端電腦上的證書存儲。

將憑證新增至證書存儲

  1. 登入為管理伺服器、閘道或代理程式建立憑證的電腦。

  2. 將稍早建立的憑證複製到這部電腦上的可存取位置。

  3. 開啟系統管理員命令提示字元或 PowerShell 視窗,並瀏覽至憑證檔案所在的資料夾。

  4. 執行下列命令,將 NewCertificate.cer 取代為檔案的正確名稱/路徑:

    CertReq -Accept -Machine NewCertificate.cer

  5. 此憑證現在應該會出現在此計算機的 [本機計算機個人] 存放區中。

或者,以滑鼠右鍵點擊憑證檔案 > [安裝 > 本機],然後選擇將憑證安裝到個人存放區。

提示

如果您使用私鑰將憑證新增至證書存儲,並在稍後將其刪除,則憑證會在重新匯入時遺失私鑰。 Operations Manager 需要私鑰來加密傳出數據。 若要還原私鑰,請使用具有憑證序號的 certutil 命令。 在系統管理員命令提示字元或 PowerShell 視窗中執行下列命令:

certutil -repairstore my <certificateSerialNumber>

將憑證匯入 Operations Manager

除了在系統上安裝憑證之外,您還必須更新 Operations Manager,才能知道您想要使用的憑證。 這些動作會導致Microsoft監視代理程式服務重新啟動,以便套用變更。

我們需要位於 Operations Manager 安裝媒體的 SupportTools 目錄中的 MOMCertImport.exe 公用程式。 將檔案複製到您的伺服器。

若要使用 MOMCertImport 將憑證匯入 Operations Manager,請遵循下列步驟:

  1. 登入目標計算機。

  2. 開啟 [系統管理員命令提示字元] 或 [PowerShell] 視窗,並流覽至 [MOMCertImport.exe 公用程式] 資料夾。

  3. 執行下列命令以執行 MomCertImport.exe 公用程式:

    1. 在 CMD 中: MOMCertImport.exe
    2. 在 PowerShell:.\MOMCertImport.exe

  4. GUI 視窗隨即出現,提示 選取憑證

    1. 您可以看到一份憑證清單,如果您沒有立即看到想要的憑證,請選取 [其他選項]。

  5. 從清單中,選取計算機的新憑證。

    1. 您可以選取憑證以進行驗證。 選取之後,您可以檢視憑證屬性。

  6. 選擇 確定

  7. 如果成功,彈出視窗會顯示下列訊息:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. 若要驗證,請移至 事件查看器>Applications and Services Logs>Operations Manager,然後尋找事件標識符 20053。 此事件表示已成功載入驗證憑證

  9. 如果系統上沒有事件標識碼 20053,請尋找以下其中一個事件標識碼,因為它們定義了匯入憑證的問題,然後進行相應的修正。

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

    如果記錄檔中沒有這些事件標識符,則憑證匯入失敗,請檢查您的憑證和系統管理許可權,然後再試一次。

  10. MOMCertImport 更新下列登錄位置,以包含符合匯入、鏡像之憑證序號的值:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

更新憑證

Operations Manager 會在管理伺服器和閘道的匯入憑證即將到期時產生警示。 如果您收到這類警示,請在到期日之前更新或建立伺服器的新憑證。 只有在憑證包含來自企業 CA 的範本資訊時,此警示功能才能運作。

  1. 使用過期的憑證登入伺服器,然後啟動憑證組態管理員 (certlm.msc)。
  2. 找出即將到期的 Operations Manager 憑證。
  3. 如果您找不到憑證,可能已透過檔案移除或匯入憑證,而不是證書存儲。 您需要從 CA 簽發此設備的新證書。 請參閱先前有關如何執行此作業的指示。
  4. 如果您找到憑證,以下是選取以更新憑證的選項:
    1. 申請憑證使用新金鑰
    2. 使用新金鑰更新憑證
    3. 使用相同的金鑰更新憑證
  5. 選取最適合您執行之動作的選項,並遵循精靈。
  6. 完成後,請執行 MOMCertImport.exe 工具來確保 Operations Manager 有新的憑證序號。 如需詳細資訊,請參閱將憑證匯入 Operations Manager 一節

如果無法透過此方法更新憑證,請使用先前的步驟來要求新的憑證,或向組織的證書頒發機構申請。 安裝並匯入 (MOMCertImport) 新的憑證,以供 Operations Manager 使用。

選擇性:設定憑證自動註冊和更新

使用企業 CA 在憑證到期時設定憑證自動註冊和續約。 這麼做會將受信任的根憑證分發到所有已加入網域的系統。

憑證自動註冊和更新的設定不適用於 Stand-Alone 或非Microsoft CA。 針對工作群組或個別網域中的系統,憑證更新和註冊將會是手動作業。

如需詳細資訊,請參閱 Windows Server 指南

注意

自動註冊和續約不會自動將 Operations Manager 設定為使用新的憑證。 如果憑證以相同的密鑰自動更新,指紋也可能維持不變,系統管理員不需要採取任何動作。 如果產生新的憑證或指紋變更,則必須重新匯入更新的憑證。 如需詳細資訊,請參閱將憑證匯入 Operations Manager 一節