Sdílet prostřednictvím

Získání certifikátu pro použití se servery Windows a nástrojem System Center Operations Manager

  • Článek

Tento článek popisuje, jak získat certifikát a používat server pro správu nástroje Operations Manager, bránu nebo agenta pomocí serveru certifikační autority (CA) Stand-Alone nebo certifikační autority (CA) služby AD CS (Enterprise Active Directory Certificate Services) na platformě Windows.

  • Pokud chcete požádat o certifikát a přijmout ho, použijte nástroj příkazového řádku certreq . K odeslání a načtení certifikátu použijte webové rozhraní.

Požadavky

Ujistěte se, že máte následující:

  • Služba AD-CS nainstalovaná a nakonfigurovaná v prostředí s webovými službami nebo certifikační autoritou třetí strany s certifikáty, které odpovídají požadovaným zobrazeným nastavením.
  • Je nainstalována vazba HTTPS a přidružený certifikát. Informace o vytvoření vazby HTTPS najdete v tématu Konfigurace vazby HTTPS pro certifikační autoritu systému Windows Server.
  • Typické desktopové prostředí, nikoli základní servery.

Důležité

Zprostředkovatel úložiště klíčů rozhraní API kryptografie (KSP) se pro certifikáty Operations Manageru nepodporuje.

Poznámka

Pokud vaše organizace nepoužívá službu AD CS nebo používá externí certifikační autoritu, podle pokynů uvedených pro tuto aplikaci vytvořte certifikát a ujistěte se, že splňuje následující požadavky pro Operations Manager, a pak postupujte podle pokynů pro import a instalaci:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Důležité

Pro toto téma jsou výchozí nastavení služby AD-CS následující:

  • Standardní délka klíče: 2048
  • Kryptografické rozhraní API: Zprostředkovatel kryptografických služeb (CSP)
  • Zabezpečený hashovací algoritmus: 256 (SHA256) Vyhodnoťte tyto výběry podle požadavků zásad zabezpečení vaší společnosti.

Proces získání certifikátu na vysoké úrovni:

  1. Stáhněte si kořenový certifikát z certifikační autority.

  2. Importujte kořenový certifikát na klientský server.

  3. Vytvořte šablonu certifikátu.

  4. Přidejte šablonu do složky Šablony certifikátů.

  5. Vytvořte soubor s informacemi o nastavení pro použití s <certreq> nástrojem příkazového řádku.

  6. Vytvořte soubor požadavku (nebo použijte webový portál).

  7. Odešlete žádost certifikační autoritě.

  8. Importujte certifikát do úložiště certifikátů.

  9. Importujte certifikát do nástroje Operations Manager pomocí <MOMCertImport>nástroje .

Stažení a import kořenového certifikátu z certifikační autority

Aby bylo možné důvěřovat a ověřit všechny certifikáty vytvořené z podnikových nebo Stand-Alone certifikačních autorit, musí mít cílový počítač kopii kořenového certifikátu ve svém důvěryhodném kořenovém úložišti. Většina počítačů připojených k doméně musí certifikační autoritě organizace důvěřovat. Žádný počítač ale nebude důvěřovat certifikátu od Stand-Alone certifikační autority bez nainstalovaného kořenového certifikátu.

Pokud používáte certifikační autoritu třetí strany, proces stahování se bude lišit. Proces importu však zůstává stejný.

Stažení důvěryhodného kořenového certifikátu z certifikační autority

Chcete-li stáhnout důvěryhodný kořenový certifikát, postupujte takto:

  1. Přihlaste se k počítači, na který chcete nainstalovat certifikát. Například server brány nebo server pro správu.

  2. Otevřete webový prohlížeč a připojte se k webové adrese certifikačního serveru. Například, https://<servername>/certsrv.

  3. Na úvodní stránce vyberte Stáhnout certifikát certifikační autority, řetěz certifikátů nebo seznam CRL.

    a. Pokud se zobrazí výzva s potvrzením webového přístupu, ověřte server a adresu URL a vyberte Ano.

    b. Ověřte několik možností v části Certifikát certifikační autority a potvrďte výběr.

  4. Změňte metodu Encoding na Base 64 a pak vyberte Stáhnout řetěz certifikátů certifikační autority.

  5. Uložte certifikát a zadejte popisný název.

Import důvěryhodného kořenového certifikátu z certifikační autority v klientovi

Poznámka

Pokud chcete importovat důvěryhodný kořenový certifikát, musíte mít na cílovém počítači oprávnění správce.

Chcete-li importovat důvěryhodný kořenový certifikát, postupujte takto:

  1. Zkopírujte do klienta soubor vygenerovaný v předchozím kroku.
  2. Otevřete Správce certifikátů.
    1. Z příkazového řádku, PowerShellu nebo Spustit zadejte certlm.msc a stiskněte enter.
    2. Vyberte Spustit > spustit a zadejte mmc a vyhledejte konzolu Microsoft Management Console (mmc.exe).
      1. Přejděte naPřidání nebo odebrání přichycenísouboru>....
      2. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte Certifikáty a pak vyberte Přidat.
      3. V dialogovém okně Snap-in Certifikát
        1. Vyberte Účet počítače a vyberte Další. Otevře se dialogové okno Vybrat počítač.
        2. Vyberte Místní počítač a vyberte Dokončit.
      4. Vyberte OK.
      5. V části Kořen konzoly rozbalte Certifikáty (místní počítač).
  3. Rozbalte důvěryhodné kořenové certifikační autority a pak vyberte Certifikáty.
  4. Vyberte Všechny úkoly.
  5. V Průvodci importem certifikátu ponechte první stránku jako výchozí a vyberte Další.
    1. Přejděte do umístění, kam jste stáhli soubor certifikátu certifikační autority, a vyberte soubor důvěryhodného kořenového certifikátu zkopírovaný z certifikační autority.
    2. Vyberte Další.
    3. V umístění úložiště certifikátů ponechte důvěryhodné kořenové certifikační autority jako výchozí.
    4. Vyberte Další a Dokončit.
  6. V případě úspěchu se důvěryhodný kořenový certifikát od certifikační autority zobrazí v částiCertifikátydůvěryhodných kořenových certifikačních autorit>.

Vytvoření šablony certifikátu: Podnikové certifikační autority

Certifikační autority organizace:

  • Integruje se s Active Directory Domain Services (AD-DS).
  • Publikuje certifikáty a seznamy odvolaných certifikátů (CRL) do služby AD-DS.
  • Používá informace o uživatelských účtech a skupinách zabezpečení, které jsou uložené ve službě AD-DS ke schválení nebo zamítnutí žádostí o certifikáty.
  • Používá šablony certifikátů.

K vydání certifikátu použije certifikační autorita organizace informace v šabloně certifikátu k vygenerování certifikátu s příslušnými atributy pro daný typ certifikátu.

Samostatné certifikační autority:

  • Nevyžaduje službu AD-DS.
  • Nepoužívejte šablony certifikátů.

Pokud používáte samostatné certifikační autority, zahrňte do žádosti o certifikát všechny informace o požadovaném typu certifikátu.

Další informace najdete v tématu Šablony certifikátů.

Vytvoření šablony certifikátu pro nástroj System Center Operations Manager

  1. Přihlaste se k serveru připojenému k doméně pomocí služby AD CS ve vašem prostředí (vaše certifikační autorita).

  2. Na ploše Windows vyberte Spustit>certifikační autorituNástrojů pro správu> Windows.

  3. V pravém navigačním podokně rozbalte certifikační autoritu, klikněte pravým tlačítkem na Šablony certifikátů a vyberte Spravovat.

  4. Klikněte pravým tlačítkem na IPSec (offline požadavek) a vyberte Duplikovat šablonu.

  5. Otevře se dialogové okno Vlastnosti nové šablony . Proveďte výběr následujícím způsobem:

    Karta Description
    Kompatibilita 1. Certifikační autorita: Windows Server 2008 (nebo nejnižší funkční úroveň AD v prostředí).
    2. Příjemce certifikátu: Windows Server 2012 (nebo nejnižší verze operačního systému v prostředí).
    Obecné 1. Zobrazovaný název šablony: Zadejte popisný název, například Operations Manager.
    2. Název šablony: Zadejte stejný název jako zobrazovaný název.
    3. Doba platnosti: Zadejte dobu platnosti, která odpovídá požadavkům vaší organizace.
    4. Zaškrtněte políčka Publikovat certifikát ve službě Active Directory a Nezaregistrovat automaticky znovu, pokud ve službě Active Directory existuje duplicitní certifikát .
    Zpracování požadavků 1. Účel: V rozevíracím seznamu vyberte Podpis a šifrování .
    2. Zaškrtněte políčko Povolit export privátního klíče .
    Kryptografie 1. Kategorie poskytovatele: Vyberte poskytovatele starších kryptografických služeb
    2. Název algoritmu: V rozevíracím seznamu vyberte Možnost Určeno poskytovatelem CSP.
    3. Minimální velikost klíče: 2048 nebo 4096 podle požadavků organizace na zabezpečení.
    4. Zprostředkovatelé: Z rozevíracího seznamu vyberte Zprostředkovatel kryptografických služeb kanálu Microsoft RSA a Microsoft Enhanced Cryptographic Provider v1.0 .
    Rozšíření 1. V části Rozšíření zahrnutá v této šabloně vyberte Zásady aplikace a pak vyberte Upravit
    2. Otevře se dialogové okno Upravit rozšíření zásad aplikace.
    3. V části Zásady aplikace vyberte IP security IKE Intermediate a pak vyberte Odebrat
    4. Vyberte Přidat a pak vyberte Ověřování klienta a Ověřování serveru v části Zásady aplikace.
    5. Vyberte OK.
    6. Vyberte Použití klíče a Upravit.
    7. Ujistěte se, že jsou vybrané možnosti Digitální podpis a Povolit výměnu klíčů pouze pomocí šifrování klíče (šifrování klíče ).
    8. Zaškrtněte políčko Nastavit toto rozšíření jako kritické a vyberte OK.
    Zabezpečení 1. Ujistěte se, že skupina Authenticated Users (nebo objekt počítače) má oprávnění Číst a Zapsat , a výběrem možnosti Použít vytvořte šablonu.

Přidání šablony do složky Šablony certifikátů

  1. Přihlaste se k serveru připojenému k doméně pomocí služby AD CS ve vašem prostředí (vaše certifikační autorita).
  2. Na ploše Windows vyberte Spustit>certifikační autorituNástrojů pro správu> Windows.
  3. V pravém navigačním podokně rozbalte certifikační autoritu, klikněte pravým tlačítkem na Šablony certifikátů a vyberte Nové>šablony certifikátů k vydání.
  4. Vyberte novou šablonu vytvořenou ve výše uvedených krocích a vyberte OK.

Žádost o certifikát pomocí souboru žádosti

Vytvoření souboru s informacemi o instalaci (INF)

  1. Na počítači, který je hostitelem funkce Nástroje Operations Manager, pro který požadujete certifikát, otevřete nový textový soubor v textovém editoru.

  2. Vytvořte textový soubor s následujícím obsahem:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Uložte soubor s příponou INF . Například, CertRequestConfig.inf.

  4. Zavřete textový editor.

Vytvoření souboru žádosti o certifikát

Tento proces zakóduje informace zadané v našem konfiguračním souboru v Base64 a vypíše je do nového souboru.

  1. Na počítači, který je hostitelem funkce nástroje Operations Manager, pro který požadujete certifikát, otevřete příkazový řádek správce.

  2. Přejděte do stejného adresáře, ve kterém se nachází soubor .inf .

  3. Spuštěním následujícího příkazu upravte název souboru INF tak, aby odpovídal názvu souboru vytvořenému dříve. Název souboru .req ponechte tak, jak je:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Otevřete nově vytvořený soubor a zkopírujte jeho obsah.

Odeslání nové žádosti o certifikát na webovém portálu SLUŽBY AD CS pomocí souboru požadavku

  1. Na počítači, který je hostitelem funkce Nástroje Operations Manager, pro který požadujete certifikát, otevřete webový prohlížeč a připojte se k počítači, který je hostitelem webové adresy certifikačního serveru. Například, https://<servername>/certsrv.

  2. Na úvodní stránce Microsoft Active Directory Certificate Services vyberte Požádat o certifikát.

  3. Na stránce Požádat o certifikát vyberte Rozšířená žádost o certifikát.

  4. Na stránce Rozšířená žádost o certifikát vyberte Odeslat žádost o certifikát pomocí souboru CMC nebo PKCS #10 s kódováním base-64 neboodešlete žádost o obnovení pomocí souboru PKCS #7 s kódováním base-64.

  5. Na stránce Odeslat žádost o certifikát nebo žádost o obnovení vložte do textového pole Uložená žádost obsah souboru CertRequest.req , který jste zkopírovali v kroku 4 předchozího postupu.

  6. V šabloně certifikátu vyberte šablonu certifikátu, kterou jste vytvořili. Například OperationsManagerCert a pak vyberte Odeslat.

  7. V případě úspěchu vyberte na stránce Vystavený certifikát možnostStáhnout certifikáts kódováním> Base 64.

  8. Uložte certifikát a zadejte popisný název. Můžete například uložit jako SCOM-MS01.cer.

  9. Zavřete webový prohlížeč.

Žádost o certifikát pomocí webového portálu AD-CS

Kromě souboru žádosti můžete vytvořit žádost o certifikát prostřednictvím webového portálu Certifikační služby. Tento krok se dokončí na cílovém počítači, aby se usnadnila instalace certifikátu. Pokud žádost o certifikát pomocí webového portálu AD-CS není možná, nezapomeňte certifikát exportovat, jak je uvedeno níže:

  1. Na počítači, který je hostitelem funkce Operations Manageru, pro který žádáte o certifikát, otevřete webový prohlížeč a připojte se k počítači, který je hostitelem webové adresy certifikačního serveru. Například, https://<servername>/certsrv.
  2. Na úvodní stránce služby Microsoft Active Directory Certificate Services vyberte Požádat o certifikát.
  3. Na stránce Požádat o certifikát vyberte Rozšířená žádost o certifikát.
  4. Vyberte Vytvořit a odešlete žádost této certifikační autoritě.
  5. Otevře se rozšířená žádost o certifikát. Postupujte následovně:
    1. Šablona certifikátu: Použijte dříve vytvořenou šablonu nebo šablonu určenou pro Operations Manager.
    2. Identifikační informace pro offline šablonu:
      1. Název: Plně kvalifikovaný název domény serveru nebo tak, jak se zobrazuje v DNS
      2. Uveďte další informace vhodné pro vaši organizaci.
    3. Možnosti klíče:
      1. Zaškrtněte políčko Označit klíče jako exportovatelné.
    4. Další možnosti:
      1. Popisný název: plně kvalifikovaný název domény serveru nebo tak, jak se zobrazuje v DNS
  6. Vyberte Odeslat.
  7. Po úspěšném dokončení úlohy se otevře stránka Certifikát vystavený s odkazem Nainstalovat tento certifikát.
  8. Vyberte Nainstalovat tento certifikát.
  9. Na serveru osobní úložiště certifikátů certifikát ukládá.
  10. Načtěte konzoly MMC nebo CertMgr a přejděte do části Osobní>certifikáty a vyhledejte nově vytvořený certifikát.
  11. Pokud se tato úloha na cílovém serveru nedokončí, exportujte certifikát:
    1. Klikněte pravým tlačítkem na nový certifikát > Všechny úkoly > exportu.
    2. V Průvodci exportem certifikátu vyberte Další.
    3. Vyberte Ano, exportovat privátní klíč a vyberte Další.
    4. Vyberte Personal Information Exchange – PKCS #12 (. PFX).
    5. Pokud je to možné, zaškrtněte políčka Zahrnout všechny certifikáty do cesty k certifikaci a Exportovat všechny rozšířené vlastnosti a vyberte Další.
    6. Zadejte heslo k zašifrování neaktivního souboru certifikátu a vyberte Další.
    7. Uložte exportovaný soubor a zadejte popisný název.
    8. Vyberte Další a Dokončit.
    9. Vyhledejte exportovaný soubor certifikátu a zkontrolujte ikonu souboru.
      1. Pokud ikona obsahuje klíč, musíte mít připojený privátní klíč.
      2. Pokud ikona klíč neobsahuje, znovu exportujte certifikát s privátním klíčem, jak ho potřebujete pro pozdější použití.
    10. Zkopírujte exportovaný soubor do cílového počítače.
  12. Zavřete webový prohlížeč.

Žádost o certifikát pomocí Správce certifikátů

U certifikačních autorit organizace s definovanou šablonou certifikátu můžete pomocí Správce certifikátů požádat o nový certifikát z klientského počítače připojeného k doméně. Vzhledem k tomu, že tato metoda používá šablony, nevztahuje se na Stand-Alone certifikační autority.

  1. Přihlaste se k cílovému počítači s právy správce (server pro správu, brána, agent atd.).
  2. Správce certifikátů otevřete pomocí příkazového řádku správce nebo okna PowerShellu.
    1. certlm.msc – otevře úložiště certifikátů místního počítače.
    2. mmc.msc – otevře konzolu Microsoft Management Console.
      1. Načtěte modul snap-in Správce certifikátů.
      2. Přejděte na Přidatnebo odebrat modul snap-insouboru>.
      3. Vyberte Certifikáty.
      4. Vyberte Přidat.
      5. Po zobrazení výzvy vyberte Účet počítače a vyberte Další.
      6. Ujistěte se, že chcete vybrat Místní počítač a pak Dokončit.
      7. Kliknutím na OK zavřete průvodce.
  3. Spusťte žádost o certifikát:
    1. V části Certifikáty rozbalte složku Osobní.
    2. Klikněte pravým tlačítkem na Certifikáty>Všechny úkoly>požadovat nový certifikát.
  4. Průvodce zápisem certifikátu

    1. Na stránce Než začnete vyberte Další.

    2. Vyberte příslušné zásady zápisu certifikátů (výchozí může být Zásada zápisu služby Active Directory), vyberte Další.

    3. Vyberte požadovanou šablonu zásad registrace pro vytvoření certifikátu.

      1. Pokud šablona není okamžitě dostupná, vyberte pod seznamem zobrazit všechny šablony .
      2. Pokud je potřebná šablona k dispozici s červeným symbolem X, obraťte se na tým služby Active Directory nebo certifikáty.

    4. Ve většině prostředí můžete pod šablonou certifikátu najít zprávu s upozorněním s hypertextovým odkazem, vybrat odkaz a pokračovat v vyplňování informací o certifikátu.

    5. Průvodce vlastnostmi certifikátu:

      Karta Description
      Předmět 1. V části Název subjektu vyberte Běžný název nebo Úplný název názvu domény, zadejte hodnotu název hostitele nebo název systému BIOS cílového serveru, vyberte Přidat.
      Obecné 1. Zadejte popisný název vygenerovaného certifikátu.
      2. V případě potřeby zadejte popis účelu tohoto lístku.
      Rozšíření 1. V části Použití klíče zaškrtněte políčko Digitální podpis a šifrování klíčů a zaškrtněte políčko Nastavit použití těchto klíčů jako kritické .
      2. V části Rozšířené použití klíče vyberte možnosti Ověřování serveru a Ověřování klientů .
      Privátní klíč 1. V části Možnosti klíče se ujistěte, že velikost klíče je alespoň 1024 nebo 2048, a zaškrtněte políčko Nastavit soukromý klíč jako exportovatelný .
      2. V části Typ klíče nezapomeňte vybrat možnost Exchange .
      Karta Certifikační autorita Nezapomeňte zaškrtnout políčko CERTIFIKAČNÍ AUTORITA.
      Podpis Pokud vaše organizace vyžaduje registrační autoritu, zadejte pro tuto žádost podpisový certifikát.

    6. Po poskytnutí informací v průvodci Vlastnosti certifikátu zmizí hypertextový odkaz upozornění z dříve.

    7. Vyberte Zaregistrovat a vytvořte certifikát. Pokud dojde k chybě, obraťte se na tým ad nebo pro certifikáty.

    8. V případě úspěchu se stav zobrazí Úspěšně a nový certifikát se umístí do úložiště Osobní/Certifikáty.

  5. Pokud se tyto akce provedly u zamýšleného příjemce certifikátu, pokračujte k dalším krokům.
  6. V opačném případě exportujte nový certifikát z počítače a zkopírujte ho do dalšího.
    1. Otevřete okno Správce certifikátů a přejděte na Osobní>certifikáty.
    2. Vyberte certifikát, který chcete exportovat.
    3. Klikněte pravým tlačítkem naExport všech úkolů>.
    4. V Průvodci exportem certifikátu.
      1. Na úvodní stránce vyberte Další .
      2. Ujistěte se, že vyberete Ano, exportovat privátní klíč.
      3. Vyberte Personal Information Exchange – PKCS #12 (. PFX) z možností formátu.
        1. Pokud je to možné, zaškrtněte políčka Zahrnout všechny certifikáty do cesty k certifikaci a Exportovat všechny rozšířené vlastnosti .
      4. Vyberte Další.
      5. Zadejte známé heslo k zašifrování souboru certifikátu.
      6. Vyberte Další.
      7. Zadejte přístupnou cestu a rozpoznatelný název souboru pro certifikát.
    5. Zkopírujte nově vytvořený soubor certifikátu do cílového počítače.

Instalace certifikátu na cílový počítač

Pokud chcete použít nově vytvořený certifikát, naimportujte ho do úložiště certifikátů na klientském počítači.

Přidání certifikátu do úložiště certifikátů

  1. Přihlaste se k počítači, na kterém jsou vytvořené certifikáty pro server pro správu, bránu nebo agenta.

  2. Zkopírujte výše vytvořený certifikát do přístupného umístění na tomto počítači.

  3. Otevřete příkazový řádek správce nebo okno PowerShellu a přejděte do složky, ve které se nachází soubor certifikátu.

  4. Spusťte následující příkaz a ujistěte se, že NewCertificate.cer nahradíte správným názvem nebo cestou k souboru:

    CertReq -Accept -Machine NewCertificate.cer

  5. Tento certifikát by se teď měl na tomto počítači nacházet v úložišti Local Machine Personal.

Případně klikněte pravým tlačítkem na soubor > certifikátu Nainstalovat > místní počítač a zvolte cíl osobního úložiště pro instalaci certifikátu.

Poznámka

Pokud do úložiště certifikátů přidáte certifikát s privátním klíčem a později ho z úložiště odstraníte, certifikát už nebude při opětovném importu obsahovat privátní klíč. Komunikace Operations Manageru vyžaduje privátní klíč, protože odchozí data musí být šifrovaná. Certifikát můžete opravit pomocí nástroje certutil; musíte zadat sériové číslo certifikátu. Pokud chcete například obnovit privátní klíč, použijte následující příkaz v okně Příkazového řádku správce nebo PowerShellu:

certutil -repairstore my <certificateSerialNumber>

Import certifikátu do Operations Manageru

Kromě instalace certifikátu v systému je nutné aktualizovat Operations Manager, abyste měli přehled o certifikátu, který chcete použít. Následující akce restartují službu Microsoft Monitoring Agent.

Použijte nástroj MOMCertImport.exe, který je součástí složky SupportTools na instalačním médiu nástroje Operations Manager. Zkopírujte soubor na server.

Pokud chcete importovat certifikát do operations manageru pomocí MOMCertImport, postupujte takto:

  1. Přihlaste se k cílovému počítači.

  2. Otevřete příkazový řádek správce nebo okno PowerShellu a přejděte do složky nástrojeMOMCertImport.exe .

  3. Spuštění nástrojeMomCertImport.exe

    1. V CMD: MOMCertImport.exe
    2. V PowerShellu: .\MOMCertImport.exe

  4. Zobrazí se okno grafického uživatelského rozhraní pro výběr certifikátu.

    1. Zobrazí se seznam certifikátů. Pokud seznam nevidíte hned, vyberte Další možnosti.

  5. V seznamu vyberte nový certifikát pro počítač.

    1. Certifikát můžete ověřit tak, že ho vyberete. Po výběru můžete zobrazit vlastnosti certifikátu.

  6. Vyberte OK.

  7. V případě úspěchu se v automaticky otevírané okno zobrazí následující zpráva:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Pokud to chcete ověřit, přejděte na Prohlížeč událostí>Aplikace a protokoly> služebOperations Manageru s ID události 20053. To znamená, že ověřovací certifikát se úspěšně načetl.

  9. Pokud v systému není ID události 20053 , vyhledejte chyby v jednom z těchto ID událostí a opravte je podle toho:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport aktualizuje toto umístění registru tak, aby obsahovalo hodnotu, která odpovídá opaku sériového čísla zobrazeného na certifikátu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Prodloužení platnosti certifikátu

Operations Manager vygeneruje upozornění, když se blíží vypršení platnosti importovaného certifikátu pro servery pro správu a brány. Pokud se zobrazí upozornění, obnovte nebo vytvořte nový certifikát pro servery před datem vypršení platnosti. To bude fungovat jenom v případě, že certifikát obsahuje informace o šabloně (z certifikační autority organizace).

  1. Přihlaste se k serveru pomocí certifikátu, který končí, a spusťte Správce konfigurace certifikátů (certlm.msc).
  2. Vyhledejte certifikát Operations Manageru, jehož platnost vyprší.
  3. Pokud certifikát nenajdete, je možné, že byl odebrán nebo importován prostřednictvím souboru, nikoli v úložišti certifikátů. Možná budete muset pro tento počítač vydat nový certifikát z certifikační autority. Postupujte podle výše uvedených pokynů.
  4. Pokud najdete certifikát, níže jsou uvedené možnosti obnovení certifikátu:
    1. Žádost o certifikát s novým klíčem
    2. Prodloužení platnosti certifikátu pomocí nového klíče
    3. Prodloužení platnosti certifikátu se stejným klíčem
  5. Vyberte možnost, která nejlépe odpovídá tomu, co chcete udělat, a postupujte podle průvodce.
  6. Po dokončení spusťte MOMCertImport.exe nástroj a ujistěte se, že má Operations Manager nové sériové číslo (obrácené) certifikátu, pokud se změnil. Další podrobnosti najdete v předchozí části.

Pokud obnovení certifikátu pomocí této metody není k dispozici, použijte předchozí kroky a požádejte o nový certifikát nebo u certifikační autority organizace. Nainstalujte a naimportujte nový certifikát (MOMCertImport) pro použití nástrojem Operations Manager.

Volitelné: Konfigurace automatického zápisu a prodlužování platnosti certifikátu

Pomocí podnikové certifikační autority můžete nakonfigurovat automatický zápis certifikátů a jejich prodlužování po vypršení jejich platnosti. Tím se důvěryhodný kořenový certifikát distribuuje do všech systémů připojených k doméně.

Konfigurace automatického zápisu a prodlužování platnosti certifikátu nebude fungovat u Stand-Alone nebo certifikační autority třetích stran. U systémů v pracovní skupině nebo samostatné doméně budou obnovení a registrace certifikátů stále ručním procesem.

Další informace najdete v příručce k Windows Serveru.

Poznámka

Automatická registrace a prodlužování platnosti nekonfiguruje nástroj Operations Manager tak, aby používal nový certifikát. Pokud se certifikát automaticky obnoví se stejným klíčem, kryptografický otisk může zůstat stejný a správce nevyžaduje žádnou akci. Pokud se vygeneruje nový certifikát nebo se změní kryptografický otisk, bude potřeba aktualizovaný certifikát importovat do Operations Manageru pomocí nástroje MOMCertImport, jak je uvedeno výše.