Compartir a través de

Obtención de un certificado para su uso con servidores de Windows y System Center Operations Manager

  • Artículo

En este artículo se describe cómo obtener un certificado y usarlo con operations Manager Management Server, Gateway o Agent mediante un servidor de entidad de certificación (CA) de Servicios de certificados de Stand-Alone o Enterprise Active Directory Certificate Services (AD CS) en la plataforma Windows.

  • Para solicitar y aceptar un certificado, use la utilidad de línea de comandos certreq . Para enviar y recuperar un certificado, use una interfaz web.

Requisitos previos

Asegúrese de que tiene lo siguiente:

  • AD-CS instalado y configurado en el entorno con servicios web o una entidad de certificación de terceros con certificados que coincidan con la configuración necesaria que se muestra.
  • Enlace HTTPS y su certificado asociado instalado. Para obtener información acerca de cómo crear un enlace HTTPS, vea How to Configure an HTTPS Binding for a Windows Server CA.
  • Una experiencia de escritorio típica y no servidores Core.

Importante

El proveedor de almacenamiento de claves de API de criptografía (KSP) no se admite para los certificados de Operations Manager.

Nota

Si su organización no usa AD CS o usa una entidad de certificación externa, siga las instrucciones proporcionadas para que esa aplicación cree un certificado y asegúrese de que cumple los siguientes requisitos para Operations Manager y, a continuación, siga los pasos de importación e instalación proporcionados:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Importante

Para este tema, la configuración predeterminada para AD-CS es la siguiente:

  • Longitud de clave estándar: 2048
  • Cryptography API: Proveedor de servicios criptográficos (CSP)
  • Algoritmo hash seguro: 256 (SHA256) Evalúe estas selecciones según los requisitos de la directiva de seguridad de su empresa.

Proceso de alto nivel para obtener un certificado:

  1. Descargue el certificado raíz de una entidad de certificación.

  2. Importe el certificado raíz en un servidor cliente.

  3. Cree una plantilla de certificados.

  4. Agregue la plantilla a la carpeta Plantillas de certificado.

  5. Cree un archivo de información de instalación para usarlo con la utilidad de <certreq> línea de comandos.

  6. Cree un archivo de solicitud (o use el portal web).

  7. Envíe una solicitud a la ENTIDAD de certificación.

  8. Importe el certificado en el almacén de certificados.

  9. Importe el certificado en Operations Manager mediante <MOMCertImport>.

Descarga e importación del certificado raíz desde la entidad de certificación

Para confiar y validar los certificados creados a partir de entidades de certificación de empresa o Stand-Alone, la máquina de destino debe tener una copia del certificado raíz en su almacén raíz de confianza. La mayoría de los equipos unidos a un dominio deben confiar en la CA empresarial. Sin embargo, ninguna máquina confiará en un certificado de una entidad de certificación de Stand-Alone sin el certificado raíz instalado.

Si usa una entidad de certificación de terceros, el proceso de descarga será diferente. Sin embargo, el proceso de importación sigue siendo el mismo.

Descarga del certificado raíz de confianza de una entidad de certificación

Para descargar el certificado raíz de confianza, siga estos pasos:

  1. Inicie sesión en el equipo donde desea instalar un certificado. Por ejemplo, un servidor de puerta de enlace o un servidor de administración.

  2. Abra un explorador web y conéctese a la dirección web del servidor de certificados. Por ejemplo, https://<servername>/certsrv.

  3. En la página principal , seleccione Descargar un certificado de ENTIDAD de certificación, unacadena de certificados o una CRL.

    a. Si se le solicita una confirmación de acceso web, compruebe el servidor y la dirección URL y seleccione .

    b. Compruebe las varias opciones en Certificado de ENTIDAD de certificación y confirme la selección.

  4. Cambie el método de codificación a Base 64 y, después, seleccione Descargar cadena de certificados de CA.

  5. Guarde el certificado y proporcione un nombre descriptivo.

Importar el certificado raíz de confianza de la entidad de certificación en el cliente

Nota

Para importar un certificado raíz de confianza, debe tener privilegios administrativos en el equipo de destino.

Para importar el certificado raíz de confianza, siga estos pasos:

  1. Copie el archivo generado en el paso anterior en el cliente.
  2. Abra el Administrador de certificados.
    1. En la línea de comandos, PowerShell o Ejecutar, escriba certlm.msc y presione Entrar.
    2. Seleccione Iniciar > ejecución y escriba mmc para buscar Microsoft Management Console (mmc.exe).
      1. Vaya a Agregar o>quitar complemento de archivos....
      2. En el cuadro de diálogo Agregar o quitar complementos, seleccione Certificados y, a continuación, seleccione Agregar.
      3. En el cuadro de diálogo Complemento de certificado,
        1. Seleccione Cuenta de equipo y seleccione Siguiente. Se abre el cuadro de diálogo Seleccionar equipo.
        2. Seleccione Equipo local y finalizar.
      4. Seleccione Aceptar.
      5. En Raíz de la consola, expanda Certificados (equipo local)
  3. Expanda Entidades de certificación raíz de confianza y, a continuación, seleccione Certificados.
  4. Seleccione Todas las tareas.
  5. En el Asistente para importación de certificados, deje la primera página como predeterminada y seleccione Siguiente.
    1. Vaya a la ubicación donde descargó el archivo de certificado de entidad de certificación y seleccione el archivo de certificado raíz de confianza copiado de la CA.
    2. Seleccione Next (Siguiente).
    3. En la ubicación almacén de certificados, deje las entidades de certificación raíz de confianza como predeterminadas.
    4. Seleccione Siguiente y Finalizar.
  6. Si se ejecuta correctamente, el certificado raíz de confianza de la ENTIDAD de certificación estará visible enCertificados de entidades de certificación> raíz de confianza.

Creación de una plantilla de certificado: CA empresariales

Entidades de certificación de empresa:

  • Se integra con Servicios de dominio de Active Directory (AD-DS).
  • Publica certificados y listas de revocación de certificados (CRL) en AD-DS.
  • Usa la información de cuentas de usuario y grupos de seguridad que se almacena en AD-DS para aprobar o denegar solicitudes de certificado.
  • Usa plantillas de certificado.

Para emitir un certificado, la ENTIDAD de certificación de empresa usa información en la plantilla de certificado para generar un certificado con los atributos adecuados para ese tipo de certificado.

CA independientes:

  • No requiera AD-DS.
  • No use plantillas de certificado.

Si usa entidades de certificación independientes, incluya toda la información sobre el tipo de certificado solicitado en la solicitud de certificado.

Para obtener más información, consulte Plantillas de certificado.

Creación de una plantilla de certificado para System Center Operations Manager

  1. Inicie sesión en un servidor unido a un dominio con AD CS en su entorno (su CA).

  2. En el escritorio de Windows, seleccione Iniciar> entidad decertificaciónde herramientas> administrativas de Windows.

  3. En el panel de navegación derecho, expanda la ENTIDAD de certificación, haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.

  4. Haga clic con el botón derecho en IPSec (solicitud sin conexión) y seleccione Duplicar plantilla.

  5. Se abre el cuadro de diálogo Propiedades de nueva plantilla ; realice las selecciones como se indica a continuación:

    Pestaña Descripción
    Compatibilidad 1. Entidad de certificación: Windows Server 2008 (o el nivel funcional de AD más bajo en el entorno).
    2. Destinatario del certificado: Windows Server 2012 (o el sistema operativo de la versión más baja del entorno).
    General 1. Nombre para mostrar de la plantilla: escriba un nombre descriptivo, como Operations Manager.
    2. Nombre de plantilla: escriba el mismo nombre que el nombre para mostrar.
    3. Período de validez: escriba el período de validez para que coincida con los requisitos de la organización.
    4. Seleccione Publicar certificado en Active Directory y No volver a inscribir automáticamente si existe un certificado duplicado en las casillas active Directory .
    Request Handling 1. Propósito: seleccione Firma y cifrado en la lista desplegable.
    2. Active la casilla Permitir que se exporte la clave privada .
    Criptografía 1. Categoría del proveedor: seleccione Proveedor
    de servicios de criptografía heredado 2. Nombre del algoritmo: seleccione Determinado por CSP en la lista desplegable.
    3. Tamaño mínimo de clave: 2048 o 4096 según el requisito de seguridad de la organización.
    4. Proveedores: seleccione Proveedor criptográfico de canal RSA de Microsoft y Proveedor criptográfico mejorado de Microsoft v1.0 en la lista desplegable.
    Extensiones 1. En Extensiones incluidas en esta plantilla, seleccione Directivas de aplicación y, a continuación, seleccione Editar
    2. Se abre el cuadro de diálogo Editar extensión de directivas de aplicación.
    3. En Directivas de aplicación:, seleccione Ip security IKE intermediate (Intermedio de IKE de seguridad de IP ) y, después, seleccione Remove 4 (Quitar
    4). Seleccione Agregar y, a continuación, seleccione Autenticación de cliente y Autenticación de servidor en Directivas de aplicación.
    5. Seleccione Aceptar.
    6. Seleccione Uso de claves y Editar.
    7. Asegúrese de que la firma digital y Permitir intercambio de claves solo con cifrado de claves (cifrado de claves) están seleccionadas.
    8. Active la casilla Make this extension critical (Convertir esta extensión en crítica ) y seleccione Aceptar.
    Seguridad 1. Asegúrese de que el grupo Usuarios autenticados (o el objeto Equipo) tenga permisos de lectura e inscripción y seleccione Aplicar para crear la plantilla.

Agregar la plantilla a la carpeta Plantillas de certificado

  1. Inicie sesión en un servidor unido a un dominio con AD CS en su entorno (su CA).
  2. En el escritorio de Windows, seleccione Iniciar> entidad decertificaciónde herramientas> administrativas de Windows.
  3. En el panel de navegación derecho, expanda la ENTIDAD de certificación, haga clic con el botón derecho en Plantillas de certificado y seleccione Nuevas>plantillas de certificado para emitir.
  4. Seleccione la nueva plantilla creada en los pasos anteriores y seleccione Aceptar.

Solicitud de un certificado mediante un archivo de solicitud

Crear un archivo de información de instalación (.inf)

  1. En el equipo que hospeda la característica de Operations Manager para la que solicita un certificado, abra un nuevo archivo de texto en un editor de texto.

  2. Cree un archivo de texto que contenga el siguiente contenido:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Guarde el archivo con una extensión de archivo .inf . Por ejemplo, CertRequestConfig.inf.

  4. Cierre el editor de texto.

Creación de un archivo de solicitud de certificado

Este proceso codifica la información especificada en nuestro archivo de configuración en Base64 y se genera en un archivo nuevo.

  1. En el equipo que hospeda la característica de Operations Manager para la que solicita un certificado, abra un símbolo del sistema de administrador.

  2. Vaya al mismo directorio donde se encuentra el archivo .inf .

  3. Ejecute el comando siguiente para modificar el nombre de archivo .inf para asegurarse de que coincide con el nombre de archivo creado anteriormente. Deje el nombre del archivo .req tal como está:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Abra el archivo recién creado y copie el contenido.

Envío de una nueva solicitud de certificado en el portal web de AD CS mediante el archivo de solicitud

  1. En el equipo que hospeda la característica de Operations Manager para la que solicita un certificado, abra un explorador web y conéctese al equipo que hospeda la dirección web del servidor de certificados. Por ejemplo, https://<servername>/certsrv.

  2. En la página principal de Servicios de certificados de Microsoft Active Directory , seleccione Solicitar un certificado.

  3. En la página Solicitar un certificado , seleccione solicitud de certificado avanzada.

  4. En la página Solicitud de certificado avanzada , seleccione Enviar una solicitud de certificado mediante un archivo CMC o PKCS #10 codificado en base 64 , o bien envíe una solicitud de renovación mediante un archivo PKCS #7 codificado en base 64.

  5. En la página Enviar una solicitud de certificado o solicitud de renovación , en el cuadro de texto Solicitud guardada , pegue el contenido del archivo CertRequest.req que copió en el paso 4 del procedimiento anterior.

  6. En Plantilla de certificado, seleccione la plantilla de certificado que ha creado. Por ejemplo, OperationsManagerCert y, a continuación, seleccione Enviar.

  7. Si se ejecuta correctamente, en la página Certificado emitido, seleccioneCertificado de descargacodificado> en Base 64.

  8. Guarde el certificado y proporcione un nombre descriptivo. Por ejemplo, guarde como SCOM-MS01.cer.

  9. Cierre el explorador web.

Uso del portal web de AD-CS para solicitar un certificado

Además del archivo de solicitud, puede crear una solicitud de certificado a través del portal web servicios de certificados. Este paso se completa en la máquina de destino para facilitar la instalación de certificados. Si la solicitud de certificado mediante el portal web de AD-CS no es posible, asegúrese de exportar el certificado como se indica a continuación:

  1. En el equipo que hospeda la característica de Operations Manager para la que solicita un certificado, abra un explorador web y conéctese al equipo que hospeda la dirección web del servidor de certificados. Por ejemplo, https://<servername>/certsrv.
  2. En la página principal de Servicios de certificados de Microsoft Active Directory , seleccione Solicitar un certificado.
  3. En la página Solicitar un certificado , seleccione solicitud de certificado avanzada.
  4. Seleccione Crear y envíe una solicitud a esta ENTIDAD de certificación.
  5. Se abre una solicitud de certificado avanzada. Haga lo siguiente:
    1. Plantilla de certificado: use la plantilla creada anteriormente o una designada para Operations Manager.
    2. Información de identificación de la plantilla sin conexión:
      1. Nombre: FQDN del servidor o tal como aparece en DNS
      2. Proporcione otra información según corresponda para su organización.
    3. Opciones de clave:
      1. Active la casilla Marcar claves como exportables.
    4. Opciones adicionales:
      1. Nombre descriptivo: FQDN del servidor o tal como aparece en DNS
  6. Seleccione Submit (Enviar).
  7. Tras la finalización correcta de la tarea, se abre la página Certificado emitido con un vínculo para instalar este certificado.
  8. Seleccione Instalar este certificado.
  9. En el servidor, el almacén de certificados Personal almacena el certificado.
  10. Cargue las consolas MMC o CertMgr y vaya aCertificadospersonales> y busque el certificado recién creado.
  11. Si esta tarea no se completa en el servidor de destino, exporte el certificado:
    1. Haga clic con el botón derecho en el nuevo certificado > Exportar todas las tareas > .
    2. En el Asistente para exportación de certificados, seleccione Siguiente.
    3. Seleccione Sí, exporte la clave privada y seleccione Siguiente.
    4. Seleccione Intercambio de información personal : PKCS #12 (. PFX).
    5. Seleccione Incluir todos los certificados en la ruta de certificación si es posible y Export all extended properties (Exportar todas las propiedades extendidas ) y seleccione Siguiente.
    6. Proporcione una contraseña para cifrar el archivo de certificado en reposo y seleccione Siguiente.
    7. Guarde el archivo exportado y proporcione un nombre descriptivo.
    8. Seleccione Siguiente y Finalizar.
    9. Busque el archivo de certificado exportado e inspeccione el icono del archivo.
      1. Si el icono contiene una clave, debe tener asociada la clave privada.
      2. Si el icono no contiene una clave, vuelva a exportar el certificado con la clave privada según lo necesite para su uso posterior.
    10. Copie el archivo exportado en la máquina de destino.
  12. Cierre el explorador web.

Solicitud de un certificado mediante el Administrador de certificados

En el caso de las CA empresariales con una plantilla de certificado definida, es posible que pueda solicitar un nuevo certificado desde un equipo cliente unido a un dominio mediante el Administrador de certificados. Como esto usa plantillas, este método no se aplica a Stand-Alone CA.

  1. Inicie sesión en la máquina de destino con derechos de administrador (Servidor de administración, puerta de enlace, agente, etc.).
  2. Use el símbolo del sistema del administrador o la ventana de PowerShell para abrir el Administrador de certificados.
    1. certlm.msc : abre el almacén de certificados del equipo local.
    2. mmc.msc : abre Microsoft Management Console.
      1. Cargue el complemento Administrador de certificados.
      2. Vaya a Agregar o>quitar complemento de archivos.
      3. Seleccione Certificados.
      4. Seleccione Agregar.
      5. Cuando se le solicite, seleccione Cuenta de equipo y seleccione Siguiente.
      6. Asegúrese de seleccionar Equipo local y seleccione Finalizar.
      7. Seleccione Aceptar para cerrar el asistente.
  3. Inicie la solicitud de certificado:
    1. En Certificados, expanda la carpeta Personal.
    2. Haga clic con el botón derecho en Certificados>Todas las tareas>Solicitar nuevo certificado.
  4. Asistente para inscripción de certificados

    1. En la página Antes de empezar, seleccione Siguiente.

    2. Seleccione la directiva de inscripción de certificados aplicable (el valor predeterminado puede ser la directiva de inscripción de Active Directory), seleccione Siguiente.

    3. Seleccione la plantilla de directiva de inscripción deseada para crear el certificado.

      1. Si la plantilla no está disponible inmediatamente, seleccione mostrar todas las plantillas debajo de la lista.
      2. Si la plantilla necesaria está disponible con una X roja junto a ella, consulte a su equipo de Active Directory o Certificado.

    4. En la mayoría de los entornos, puede encontrar un mensaje de advertencia con un hipervínculo en la plantilla de certificado, seleccionar el vínculo y continuar rellenando la información del certificado.

    5. Asistente para propiedades de certificado:

      Pestaña Descripción
      Asunto 1. En Nombre del firmante, seleccione el Nombre común o DN completo, proporcione el valor - nombre de host o nombre bios del servidor de destino, Seleccione Agregar.
      General 1. Proporcione un nombre descriptivo al certificado generado.
      2. Proporcione una descripción del propósito de este vale si lo desea.
      Extensiones 1. En Uso de claves, asegúrese de seleccionar la opción Firma digital y Cifrado de claves, y seleccione la casilla Hacer que estos usos de clave sean críticos .
      2. En Uso extendido de claves, asegúrese de seleccionar Opciones de autenticación de servidor y Autenticación de cliente .
      Clave privada 1. En Opciones de clave, asegúrese de que el tamaño de la clave sea al menos 1024 o 2048, y seleccione la casilla Convertir la clave privada exportable .
      2. En Tipo de clave, asegúrese de seleccionar la opción Exchange .
      Pestaña Entidad de certificación Asegúrese de activar la casilla ca.
      Firma Si su organización requiere una entidad de registro, proporcione un certificado de firma para esta solicitud.

    6. Una vez que se haya proporcionado la información en el Asistente para propiedades del certificado, el hipervínculo de advertencia de desaparece anteriormente.

    7. Seleccione Inscribir para crear el certificado. Si se produce un error, consulte a su equipo de AD o certificado.

    8. Si se ejecuta correctamente, el estado leerá Correcto y se colocará un nuevo certificado en el almacén Personal/Certificates.

  5. Si estas acciones se realizaron en el destinatario previsto del certificado, continúe con los pasos siguientes.
  6. De lo contrario, exporte el nuevo certificado de la máquina y cópielo a la siguiente.
    1. Abra la ventana Administrador de certificados y vaya aCertificadospersonales>.
    2. Seleccione el certificado que se va a exportar.
    3. Haga clic con el botón derecho en Todas las tareas>Exportar.
    4. En el Asistente para exportación de certificados.
      1. Seleccione Siguiente en la página principal.
      2. Asegúrese de seleccionar Sí, exporte la clave privada.
      3. Seleccione Intercambio de información personal : PKCS #12 (. PFX) de las opciones de formato.
        1. Seleccione Incluir todos los certificados en la ruta de certificación si es posible y Export all extended properties (Exportar todas las propiedades extendidas ).
      4. Seleccione Next (Siguiente).
      5. Proporcione una contraseña conocida para cifrar el archivo de certificado.
      6. Seleccione Next (Siguiente).
      7. Proporcione una ruta de acceso accesible y un nombre de archivo reconocible para el certificado.
    5. Copie el archivo de certificado recién creado en la máquina de destino.

Instalación del certificado en la máquina de destino

Para usar el certificado recién creado, impórtelo en el almacén de certificados en el equipo cliente.

Agregar el certificado al almacén de certificados

  1. Inicie sesión en el equipo donde se crean los certificados para el servidor de administración, la puerta de enlace o el agente.

  2. Copie el certificado creado anteriormente en una ubicación accesible en este equipo.

  3. Abra un símbolo del sistema de administrador o una ventana de PowerShell y vaya a la carpeta donde se encuentra el archivo de certificado.

  4. Ejecute el comando siguiente y asegúrese de reemplazar NewCertificate.cer por el nombre o la ruta de acceso correctos del archivo:

    CertReq -Accept -Machine NewCertificate.cer

  5. Este certificado debe estar presente ahora en el almacén personal del equipo local en este equipo.

Como alternativa, haga clic con el botón derecho en el archivo > de certificado Instalar > máquina local y elija el destino del almacén personal para instalar el certificado.

Nota

Si agrega un certificado al almacén de certificados con la clave privada y lo elimina del almacén en un momento posterior, el certificado ya no contendrá la clave privada cuando se vuelva a importar. Las comunicaciones de Operations Manager requieren una clave privada, ya que los datos salientes deben cifrarse. Puede reparar el certificado mediante certutil; debe proporcionar el número de serie del certificado. Por ejemplo, para restaurar la clave privada, use el siguiente comando en un símbolo del sistema de administrador o una ventana de PowerShell:

certutil -repairstore my <certificateSerialNumber>

Importación del certificado en Operations Manager

Además de la instalación del certificado en el sistema, debe actualizar Operations Manager para tener en cuenta el certificado que desea usar. Las acciones siguientes reiniciarán el servicio Microsoft Monitoring Agent.

Use la utilidad MOMCertImport.exe incluida en la carpeta SupportTools del medio de instalación de Operations Manager. Copie el archivo en el servidor.

Para importar el certificado en Operations Manager mediante MOMCertImport, siga estos pasos:

  1. Inicie sesión en el equipo de destino.

  2. Abra un símbolo del sistema de administrador o una ventana de PowerShell y vaya a la carpeta MOMCertImport.exe utilidad.

  3. Ejecución de la utilidad MomCertImport.exe

    1. En CMD: MOMCertImport.exe
    2. En PowerShell: .\MOMCertImport.exe

  4. Aparece una ventana de GUI para seleccionar un certificado

    1. Puede ver una lista de certificados si no ve inmediatamente una lista, seleccione Más opciones.

  5. En la lista, seleccione el nuevo certificado para la máquina.

    1. Para comprobar el certificado, selecciónelo. Una vez seleccionado, puede ver las propiedades del certificado.

  6. Seleccione Aceptar.

  7. Si se ejecuta correctamente, una ventana emergente mostrará el mensaje siguiente:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Para validarlo, vaya a Visor de eventos>Applications and Services Logs>Operations Manager para un identificador de evento 20053. Esto indica que el certificado de autenticación se cargó correctamente.

  9. Si el identificador de evento 20053 no está presente en el sistema, busque uno de estos identificadores de evento para ver los errores y corrija en consecuencia:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport actualiza esta ubicación del Registro para que contenga el valor que coincide con la inversa del número de serie que se muestra en el certificado:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Renovar un certificado

Operations Manager genera una alerta cuando un certificado importado para servidores de administración y puertas de enlace está a punto de expirar. Si recibe una alerta, renueve o cree un nuevo certificado para los servidores antes de la fecha de expiración. Esto solo funcionará si el certificado contiene información de plantilla (de una ENTIDAD de certificación empresarial).

  1. Inicie sesión en el servidor con el certificado que va a expirar e inicie el administrador de configuración de certificados (certlm.msc).
  2. Busque el certificado de Operations Manager que va a expirar.
  3. Si no encuentra el certificado, es posible que se haya quitado o importado a través del archivo y no del almacén de certificados. Es posible que tenga que emitir un nuevo certificado para esta máquina desde la ENTIDAD de certificación. Consulte las instrucciones anteriores para hacerlo.
  4. Si encuentra el certificado, a continuación se muestran las opciones para renovar el certificado:
    1. Solicitud de certificado con nueva clave
    2. Renovación del certificado con nueva clave
    3. Renovación del certificado con la misma clave
  5. Seleccione la opción que mejor se aplica a lo que desea hacer y siga el asistente.
  6. Una vez completada, ejecute la MOMCertImport.exe herramienta para asegurarse de que Operations Manager tiene el nuevo número de serie (invertido) del certificado si ha cambiado; consulte la sección anterior para obtener más detalles.

Si la renovación de certificados a través de este método no está disponible, siga los pasos anteriores para solicitar un nuevo certificado o con la entidad de certificación de la organización. Instale e importe (MOMCertImport) el nuevo certificado para que lo use Operations Manager.

Opcional: Configuración de la inscripción automática y renovación de certificados

Use la ENTIDAD de certificación empresarial para configurar la inscripción automática de certificados y las renovaciones cuando expiren. Esto distribuirá el certificado raíz de confianza a todos los sistemas unidos a un dominio.

La configuración de la inscripción automática y la renovación de certificados no funcionarán con Stand-Alone ni con entidades de certificación de terceros. En el caso de los sistemas de un grupo de trabajo o un dominio independiente, las renovaciones de certificados y las inscripciones seguirán siendo un proceso manual.

Para obtener más información, consulte la guía de Windows Server.

Nota

La inscripción automática y la renovación no configuran automáticamente Operations Manager para que usen el nuevo certificado. Si el certificado se renueva automáticamente con la misma clave, la huella digital también puede permanecer igual y un administrador no requiere ninguna acción. Si se genera un nuevo certificado o cambia la huella digital, el certificado actualizado deberá importarse a Operations Manager mediante la herramienta MOMCertImport, como se ha descrito anteriormente.