Compartir a través de

Obtención de un certificado para su uso con servidores de Windows y System Center Operations Manager

  • Artículo

En este artículo se describe cómo obtener un certificado y usarlo con el servidor de administración, puerta de enlace o agente de Operations Manager mediante un servidor de entidad de certificación (CA) de Servicios de servidor de certificados de Active Directory (AD CS) independiente o empresarial en la plataforma Windows.

  • Para solicitar y aceptar un certificado, usa la utilidad de línea de comandos certreq. Para enviar y recuperar un certificado, usa una interfaz web.

Requisitos previos

Asegúrate de tener lo siguiente:

  • AD-CS instalado y configurado en el entorno con servicios web o una entidad de certificación de terceros con certificados que coincidan con la configuración necesaria que se muestra.
  • Enlace HTTPS y su certificado asociado instalado. Para obtener información sobre cómo crear un enlace HTTPS, consulta Configuración de un enlace HTTPS para una CA de Windows Server.
  • Una experiencia de escritorio típica y sin servidores Core.

Importante

No se admite el proveedor de almacenamiento de claves de API de criptografía (KSP) para los certificados de Operations Manager.

Nota:

Si tu organización no usa AD CS o usa una entidad de certificación externa, usa las instrucciones proporcionadas para que esa aplicación cree un certificado, asegúrate de que cumple los siguientes requisitos de Operations Manager y después completa los pasos de importación e instalación proporcionados:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Importante

Para este tema, la configuración predeterminada para AD-CS es la siguiente:

  • Longitud de clave estándar: 2048
  • API de criptografía: proveedor de servicios criptográficos (CSP)
  • El algoritmo hash seguro:256 (SHA256) evalúa estas selecciones en función de los requisitos de la directiva de seguridad de la empresa.

Proceso de alto nivel para obtener un certificado:

  1. Descarga el certificado raíz de una entidad de certificación (CA).

  2. Importa el certificado raíz al servidor de clientes.

  3. Cree una plantilla de certificados.

  4. Agrega la plantilla a la carpeta Certificate Templates.

  5. Crea un archivo de información de instalación para usarlo con la utilidad <certreq> de línea de comandos.

  6. Crea un archivo de solicitud (o usa el portal web).

  7. Envía una solicitud a la entidad de certificación (CA).

  8. Importa el certificado al almacén de certificados.

  9. Importa el certificado a Operations Manager mediante <MOMCertImport>.

Descargar e importar el certificado raíz de la CA.

Para confiar y validar los certificados creados a partir de CA independientes o empresariales, la máquina de destino debe tener una copia del certificado raíz en su almacén raíz de confianza. La mayoría de los equipos unidos a un dominio deben confiar en la CA empresarial. Pero ninguna máquina confiará en un certificado de una CA independiente sin el certificado raíz instalado.

Si usas una CA de terceros, el proceso de descarga será diferente. Pero el proceso de importación sigue siendo el mismo.

Descarga del certificado raíz de confianza de una CA

Para descargar el certificado raíz de confianza, sigue estos pasos:

  1. Inicia sesión en el equipo donde quieres instalar un certificado. Por ejemplo, un servidor de puerta de enlace o un servidor de administración.

  2. Abre un explorador web y conéctate a la dirección web del servidor de certificados. Por ejemplo, https://<servername>/certsrv.

  3. En la página de bienvenida selecciona Descargar certificado CA, Cadena de certificados o CRL.

    a. Si se solicita una Confirmación de acceso web, comprueba el servidor y la dirección URL y selecciona .

    b. Comprueba varias opciones en Certificado CA y confirma la selección.

  4. Cambia el método de codificación a Base 64 y luego selecciona Descargar cadena de certificados CA.

  5. Guarda el certificado y especifica un nombre descriptivo.

Importar el certificado raíz de confianza desde el CA en el cliente

Nota:

Para importar un certificado raíz de confianza, debes tener privilegios administrativos en la máquina de destino.

Para importar el certificado, sigue estos pasos:

  1. Copia el archivo generado en el paso anterior en el cliente.
  2. Abra el Administrador de certificados.
    1. En la línea de comandos, PowerShell o Ejecutar, escribe certlm.msc y presiona ENTRAR.
    2. Selecciona Inicio > Ejecutar y escribe mmc para buscar Microsoft Management Console (mmc.exe).
      1. Ve a Archivo>Agregar/Eliminar complemento....
      2. En el cuadro de diálogo Agregar o quitar complemento, selecciona Certificados y luego selecciona Agregar.
      3. En el cuadro de diálogo Complemento de certificado,
        1. Selecciona la cuenta de equipo y selecciona Siguiente. Se abre el cuadro de diálogo Seleccionar equipo.
        2. Selecciona Equipo local y selecciona Finalizar.
      4. Seleccione Aceptar.
      5. En Raíz de la consola, expande Certificados (equipo local)
  3. Expande Entidades de certificación raíz de confianza y después selecciona Certificados.
  4. Selecciona Todas las tareas.
  5. En el Asistente para importación de certificados, deja la primera página como predeterminada y selecciona Siguiente.
    1. Navega a la ubicación donde descargaste el archivo de certificado CA y selecciona el archivo de certificado raíz de confianza copiado de la CA.
    2. Seleccione Siguiente.
    3. En la ubicación almacén de certificados, deja las entidades de certificación raíz de confianza como predeterminadas.
    4. Seleccione Siguiente y Finalizar.
  6. Si se ejecuta correctamente, el certificado raíz de confianza de la CA estará visible en los certificados de entidades de certificación raíz de confianza>.

Crear una plantilla de certificado: CA empresariales

CA empresarial:

  • Se integra con Servicios de dominio de Active Directory (AD-DS).
  • Publica certificados y listas de revocación de certificados (CRL) en AD-DS.
  • Usa información de cuentas de usuario y grupos de seguridad que se almacena en AD-DS para aprobar o denegar solicitudes de certificado.
  • Usa plantillas de certificado.

Para emitir un certificado, las CA empresariales usan la información de la plantilla de certificado para generar un certificado con los atributos apropiados para ese tipo de certificado.

CA independientes:

  • No requieren AD-DS.
  • No usan plantillas de certificado.

Si usas CA independientes, toda la información sobre el tipo de certificado solicitado deberá estar incluida en la solicitud de certificado.

Para más información, consulta Plantillas de certificado.

Crear una plantilla de certificado para System Center Operations Manager

  1. Inicia sesión en un servidor unido a un dominio con AD CS en el entorno (tu CA).

  2. En el escritorio de Windows, selecciona Iniciar>entidad de certificación>de herramientas administrativas de Windows.

  3. En el panel de navegación derecho, expanda la CA, haz clic con el botón derecho en Plantillas de certificado y selecciona Administrar.

  4. Haz clic con el botón derecho en IPSec (solicitud sin conexión) y selecciona Duplicar plantilla.

  5. Se abre el cuadro de diálogo Propiedades de nueva plantilla; haz las selecciones como se indica a continuación:

    Pestaña Descripción
    Compatibilidad 1. Entidad de certificación: Windows Server 2008 (o el nivel funcional de AD más bajo del entorno).
    2. Destinatario del certificado: Windows Server 2012 (o el sistema operativo de la versión más baja del entorno).
    General 1. Nombre para mostrar de plantilla: escribe un nombre descriptivo, como Operations Manager.
    2. Nombre de plantilla: escribe el mismo nombre que el nombre para mostrar.
    3. Período de validez: escribe el período de validez para que coincida con los requisitos de tu organización.
    4. Selecciona Publicar certificado en Active Directory y No volver a inscribir automáticamente si existe un certificado duplicado en las casillas de Active Directory.
    Gestión de solicitudes 1. Propósito: seleccionar Firma y cifrado en la lista desplegable.
    2. Selecciona la casilla Permitir que se exporte la clave privada.
    Criptografía 1. Categoría del proveedor: selecciona Proveedor de servicios de criptografía heredado
    2. Nombre del algoritmo: selecciona Determinado por CSP en la lista desplegable.
    3. Tamaño mínimo de clave: 2048 o 4096 según el requisito de seguridad de la organización.
    4. Proveedores: selecciona Proveedor criptográfico del canal RSA de Microsoft y Proveedor criptográfico mejorado de Microsoft v1.0 en la lista desplegable.
    Extensiones 1. En Extensiones que se incluye en esta plantilla, selecciona Directivas de aplicación y luego selecciona Editar
    2. Se abre el diálogo Editar extensión de directivas de aplicación.
    3. En Directivas de aplicación: selecciona IKE intermedio de seguridad IP y después selecciona Quitar
    4. Selecciona Agregar y luego selecciona Autenticación de cliente y Autenticación de servidor en Directivas de aplicación.
    5. Selecciona Aceptar .
    . 6. Selecciona Uso de claves y Editar.
    7. Asegúrate de que Firma digital y Permitir el intercambio de claves solo con cifrado de claves (cifrado de claves) están seleccionados.
    8. Selecciona la casilla Convertir esta extensión en crítica y selecciona Aceptar.
    Seguridad 1. Asegúrate de que el grupo Usuarios autenticados (u Objeto de equipo) tiene permisos de Lectura e Inscripción y selecciona Aplicar para crear la plantilla.

Agregar la plantilla a la carpeta Plantillas de certificado

  1. Inicia sesión en un servidor unido a un dominio con AD CS en el entorno (tu CA).
  2. En el escritorio de Windows, selecciona Iniciar>entidad de certificación>de herramientas administrativas de Windows.
  3. En el panel de navegación derecho, expande la CA, haz clic con el botón derecho en Plantillas de certificado y selecciona Nuevo>Plantillas de certificado para emitir.
  4. Selecciona la nueva plantilla creada en los pasos anteriores y selecciona Aceptar.

Solicitar un certificado mediante un archivo de solicitud

Crear un archivo de información de configuración (.inf)

  1. En el equipo que hospeda la característica de Operations Manager para la que solicitas un certificado, abre un nuevo archivo de texto en un editor de texto.

  2. Crea un archivo de texto con el siguiente contenido:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Guarda el archivo con una extensión de archivo .inf. Por ejemplo, CertRequestConfig.inf.

  4. Cierra el editor de texto.

Creación de un archivo de solicitud de certificado

Este proceso codifica la información especificada en nuestro archivo de configuración en Base64 y la genera en un archivo nuevo.

  1. En el equipo que hospeda la característica de Operations Manager para la que solicitas un certificado, abre un símbolo del sistema de administrador.

  2. Navega hasta el mismo directorio donde se encuentra el archivo .inf.

  3. Ejecuta el siguiente comando para modificar el nombre de archivo .inf para asegurarse de que coincide con el nombre de archivo creado anteriormente. Deja el nombre de archivo .req tal y como está:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Abre el archivo recién creado y copia el contenido.

Envío de una nueva solicitud de certificado en el portal web de AD CS mediante el archivo de solicitud

  1. En el equipo que hospeda la característica de Operations Manager para la que solicitas un certificado, abre un explorador web y conéctate al equipo que hospeda la dirección web del servidor de certificados. Por ejemplo, https://<servername>/certsrv.

  2. En la página de bienvenida de Servicios de servidor de certificados de Microsoft Active Directory, selecciona Solicitar un certificado.

  3. En la página Solicitar un certificado, selecciona solicitud de certificado avanzada.

  4. Selecciona la página Solicitud de certificado avanzada, selecciona Enviar una solicitud de certificado con un archivo codificado en base64 CMC o PKCS #10 o enviar una solicitud de renovación con un archivo PKCS #7 codificado en base64.

  5. En la página Enviar una solicitud de certificado o solicitud de renovación, en el cuadro de texto Solicitud guardada, pega el contenido del archivo CertRequest.req que copiaste en el paso 4 del procedimiento anterior.

  6. En Plantilla de certificado, selecciona la plantilla de certificado que has creado. Por ejemplo, OperationsManagerCert y, después, selecciona Enviar.

  7. Si se ejecuta correctamente, en la página Certificado emitido, selecciona codificación en Base 64>Descargar certificado.

  8. Guarda el certificado y especifica un nombre descriptivo. Por ejemplo, guarda como SCOM-MS01.cer.

  9. Cierre el explorador web.

Uso del portal web de AD-CS para solicitar un certificado

Aparte del archivo de solicitud, puedes crear una solicitud de certificado a través del portal web Servicios de servidor de certificados. Este paso se completa en la máquina de destino para facilitar la instalación del certificado. Si no es posible la solicitud de certificado mediante el portal web de AD-CS, asegúrate de exportar el certificado como se indica a continuación:

  1. En el equipo que hospeda la característica de Operations Manager para la que solicitas un certificado, abre un explorador web y conéctate al equipo que hospeda la dirección web del servidor de certificados. Por ejemplo, https://<servername>/certsrv.
  2. En la página de bienvenida de Servicios de servidor de certificados de Microsoft Active Directory, selecciona Solicitar un certificado.
  3. En la página Solicitar un certificado, selecciona solicitud de certificado avanzada.
  4. Selecciona Crear y enviar una solicitud a esta CA.
  5. Se abre una solicitud de certificado avanzada. Haz lo siguiente:
    1. Plantilla de certificado: usa la plantilla creada anteriormente o una designada para Operations Manager.
    2. Identificación de información para la plantilla sin conexión:
      1. Nombre: FQDN del servidor o como aparece en DNS
      2. Proporciona otra información según corresponda para tu organización.
    3. Opciones de clave:
      1. Activa la casilla Marcar claves como exportables
    4. Opciones adicionales:
      1. Nombre descriptivo: FQDN del servidor o como aparece en DNS
  6. Seleccione Submit (Enviar).
  7. Tras la finalización correcta de la tarea, se abre la página Certificado emitido con un vínculo para Instalar este certificado.
  8. Selecciona Instalar este certificado.
  9. En el servidor, el Almacén de certificados personal almacena el certificado.
  10. Carga las consolas MMC o CertMgr y ve a Personal>Certificadosy busca el certificado recién creado.
  11. Si esta tarea no se completa en el servidor de destino, exporta el certificado:
    1. Haz clic con el botón derecho en el certificado nuevo > Todas las tareas > Exportar.
    2. En el Asistente para exportación de certificados, seleccione Siguiente.
    3. Selecciona Sí, exportar la clave privada y selecciona Siguiente.
    4. Selecciona Intercambio de información personal - PKCS #12 (.PFX).
    5. Selecciona las casillas Incluir todos los certificados en la ruta de certificación si es posible y Exportar todas las propiedades extendidas y selecciona Siguiente.
    6. Proporciona una contraseña para cifrar el archivo de certificado en reposo y selecciona Siguiente.
    7. Guarda el archivo exportado y proporciona un nombre descriptivo.
    8. Selecciona Siguiente y Finalizar.
    9. Busca el archivo de certificado exportado e inspecciona el icono del archivo.
      1. Si el icono contiene una Clave, debes tener la clave privada asociada.
      2. Si el icono no contiene una clave, exporta de nuevo el certificado con la clave privada según sea necesaria para su uso posterior.
    10. Copia el archivo exportado en la máquina de destino.
  12. Cierre el explorador web.

Solicitud de un certificado mediante el Administrador de certificados

En el caso de las CA empresariales con una plantilla de certificado definida, es posible que puedas solicitar un nuevo certificado desde una máquina cliente unida a un dominio mediante el Administrador de certificados. Como esto usa plantillas, este método no se aplica a CA independientes.

  1. Inicia sesión en la máquina de destino con derechos de administrador (Servidor de administración, puerta de enlace, agente, etc.).
  2. Usa el símbolo del sistema de administrador o la ventana de PowerShell para abrir el Administrador de certificados.
    1. certlm.msc: abre el almacén de certificados de la máquina local.
    2. mmc.msc: abre Microsoft Management Console.
      1. Carga el complemento Administrador de certificados.
      2. Ve a Archivo>Agregar o quitar complemento.
      3. Seleccione Certificados.
      4. Seleccione Agregar.
      5. Cuando se solicite, selecciona la Cuenta de equipo y selecciona Siguiente.
      6. Asegúrate de seleccionar Equipo local y selecciona Finalizar.
      7. Selecciona Aceptar para cerrar el asistente.
  3. Inicia la solicitud de certificado:
    1. En Certificados, expande la carpeta Personal.
    2. Haz clic con el botón derecho en Certificados>Todas las tareas>Solicitar nuevo certificado.
  4. Asistente para inscripción de certificado

    1. En la página Antes de empezar, selecciona Siguiente.

    2. Selecciona la directiva de inscripción de certificados aplicable (el valor predeterminado puede ser la directiva de inscripción de Active Directory) y selecciona Siguiente.

    3. Selecciona la plantilla de directiva de inscripción deseada para crear el certificado

      1. Si la plantilla no está disponible inmediatamente, selecciona el cuadro Mostrar todas las plantillas debajo de la lista.
      2. Si la plantilla necesaria está disponible con una X roja junto a ella, consulta a tu equipo de Certificados o Active Directory.

    4. En la mayoría de los entornos, puedes encontrar un mensaje de advertencia con un hipervínculo en la plantilla de certificado, selecciona el vínculo y continúa rellenando la información del certificado.

    5. Asistente para propiedades de certificado:

      Pestaña Descripción
      Asunto 1. En Nombre del firmante, selecciona el Nombre común o DN completo, proporciona el valor : nombre de host o nombre del BIOS del servidor de destino y selecciona Agregar.
      General 1. Especifica un nombre descriptivo para el certificado generado.
      2. Proporciona una descripción del propósito de este vale si quieres.
      Extensiones 1. En Uso de claves, asegúrate de seleccionar la opción Firma digital y Cifrado de clave y active la casilla Hacer que estos usos de claves sean críticos.
      2. En Uso mejorado de clave, asegúrate de seleccionar opciones de Autenticación de servidor y Autenticación de cliente.
      Clave privada 1. En Opciones de clave, asegúrate de que el tamaño de la clave sea al menos 1024 o 2048 y activa la casilla Convertir la clave privada en exportable.
      2. En Tipo de clave, asegúrate de seleccionar la opción Intercambiar.
      Pestaña Entidad de certificación Asegúrate de activar la casilla de CA.
      Firma Si tu organización requiere una entidad de registro, proporciona un certificado de firma para esta solicitud.

    6. Una vez que se haya proporcionado la información en el asistente para propiedades de certificado, el hipervínculo de advertencia anterior desaparece.

    7. Selecciona Inscribir para crear el certificado. Si se produce un error, consulta a tu equipo de certificados o AD.

    8. Si se ejecuta correctamente, el estado indicará Correcto y se colocará un nuevo certificado en el almacén de Certificados/Personal.

  5. Si estas acciones se realizaron en el destinatario previsto del certificado, continúa con los pasos siguientes.
  6. De lo contrario, exporta el nuevo certificado desde la máquina y copia al siguiente.
    1. Abre la ventana Administrador de certificados y desplázate a Personal>Certificados.
    2. Selecciona el certificado para exportar.
    3. Haz clic con el botón derecho en Todas las tareas>Exportar.
    4. En el asistente para exportar certificados.
      1. En la página de bienvenida, seleccione Siguiente .
      2. Asegúrate de seleccionar Sí, exportar la clave privada.
      3. Selecciona Intercambio de información personal - PKCS #12 (. PFX) de las opciones de formato.
        1. Activa las casillas Incluir todos los certificados en la ruta de certificación si es posible y Exportar todas las propiedades extendidas.
      4. Seleccione Siguiente.
      5. Proporciona una contraseña conocida para cifrar el archivo de certificado.
      6. Seleccione Siguiente.
      7. Proporciona una ruta de acceso accesible y un nombre de archivo reconocible para el certificado.
    5. Copia el archivo de certificado recién creado en la máquina de destino.

Instala el certificado en la máquina de destino.

Para usar el certificado recién creado, impórtalo en el almacén de certificados en la máquina cliente.

Agregar el certificado al almacén de certificados

  1. Inicia sesión en el equipo donde se crean los certificados para el servidor de administración, la puerta de enlace o el agente.

  2. Copia el certificado creado anteriormente en una ubicación accesible en esta máquina.

  3. Abre un símbolo del sistema de administrador o una ventana de PowerShell y desplázate a la carpeta donde se encuentra el archivo de certificado.

  4. Ejecuta el comando siguiente y asegúrate de reemplazar NewCertificate.cer por el nombre o la ruta de acceso correctos del archivo:

    CertReq -Accept -Machine NewCertificate.cer

  5. Este certificado debería estar ahora presente en el almacén personal de la máquina local en este equipo.

Como alternativa, haz clic con el botón derecho en el archivo de certificado > Instalar > máquina local y elige el destino del almacén personal para instalar el certificado.

Nota:

Si agregas un certificado al almacén de certificados con la clave privada y lo eliminas del almacén en un momento posterior, el certificado ya no contendrá la clave privada cuando se vuelva a importar. Las comunicaciones de Operations Manager requieren una clave privada, ya que es necesario cifrar los datos salientes. Puedes reparar el certificado mediante certutil; debes proporcionar el número de serie del certificado. Por ejemplo, para restaurar la clave privada, usa el siguiente comando en un símbolo del sistema de administrador o una ventana de PowerShell:

certutil -repairstore my <certificateSerialNumber>

Importación del certificado a Operations Manager

Aparte de la instalación del certificado en el sistema, debes actualizar Operations Manager para tener en cuenta el certificado que quieres usar. Las acciones siguientes reiniciarán el servicio Microsoft Monitoring Agent.

Usa la utilidad MOMCertImport.exe incluida en la carpeta SupportTools del soporte de instalación de Operations Manager. Copia el archivo en tu servidor.

Para importar el certificado a Operations Manager mediante MOMCertImport, sigue estos pasos:

  1. Inicia sesión en el equipo de destino.

  2. Abre un símbolo del sistema de administrador o una ventana de PowerShell y desplázate a la carpeta de la utilidad MOMCertImport.exe.

  3. Ejecución de la utilidad MomCertImport.exe

    1. En CMD: MOMCertImport.exe
    2. En PowerShell: .\MOMCertImport.exe

  4. Aparece una ventana de GUI para Seleccionar un certificado

    1. Puedes ver una lista de certificados; si no ves inmediatamente una lista, selecciona Más opciones.

  5. En la lista, selecciona el nuevo certificado para la máquina.

    1. Puedes comprobar el certificado seleccionándolo. Una vez seleccionado, puedes ver las propiedades del certificado.

  6. Seleccione Aceptar

  7. Si se ejecuta correctamente, una ventana emergente mostrará el siguiente mensaje:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Para validarlo, desplázate a Visor de eventos>Registros de aplicaciones y servicios>Operations Manager para un Id. de evento 20053. Esto indica que el certificado de autenticación se cargó correctamente

  9. Si el Id. de evento 20053 no está presente en el sistema, busca uno de estos identificadores de evento para ver los errores y corrige en consecuencia:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport actualiza esta ubicación de registro para contener el valor que coincide con el inverso del número de serie que se muestra en el certificado:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Renovación de un certificado

Operations Manager genera una alerta cuando un certificado importado para servidores de administración y puertas de enlace está a punto de expirar. Si recibes una alerta, renueva o crea un nuevo certificado para los servidores antes de la fecha de expiración. Esto solo funcionará si el certificado contiene información de plantilla (de una CA empresarial).

  1. Inicia sesión en el servidor con el certificado de expiración e inicia el administrador de configuración de certificados (certlm.msc).
  2. Busca el certificado de Operations Manager que expira.
  3. Si no encuentras el certificado, es posible que se haya quitado o importado a través de archivo y no del almacén de certificados. Es posible que debas emitir un nuevo certificado para esta máquina desde la CA. Consulta las instrucciones anteriores para hacerlo.
  4. Si encuentras el certificado, a continuación se muestran las opciones para renovar el certificado:
    1. Solicitud de certificado con clave nueva
    2. Renovación de certificado con clave nueva
    3. Renovación de certificado con la misma clave
  5. Selecciona la opción que mejor se aplica a lo que quieres hacer y sigue el asistente.
  6. Una vez completado, ejecuta la MOMCertImport.exe herramienta para asegurarte de que Operations Manager tiene el nuevo número de serie (invertido) del certificado si ha cambiado; consulta la sección anterior para obtener más detalles.

Si la renovación de certificado a través de este método no está disponible, sigue los pasos anteriores para solicitar un nuevo certificado o con la entidad de certificación de la organización. Instala e importa (MOMCertImport) el nuevo certificado para que lo utilice Operations Manager.

Opcional: Configuración de la inscripción automática y renovación de certificados

Usa la CA empresarial para configurar la inscripción automática y renovaciones de certificados cuando expiren. Esto distribuirá el certificado raíz de confianza a todos los sistemas unidos a un dominio.

La configuración de la inscripción automática y renovación de certificados no funcionará con CA independientes o de terceros. En el caso de los sistemas de un grupo de trabajo o de un dominio independiente, las renovaciones de certificados y las inscripciones seguirán siendo un proceso manual.

Para obtener más información, consulta Guía para Windows Server.

Nota:

La inscripción automática y renovación no configuran automáticamente Operations Manager para que usen el nuevo certificado. Si el certificado se renueva automáticamente con la misma clave, la huella digital también puede permanecer igual y no se requiere ninguna acción por parte del administrador. Si se genera un nuevo certificado o cambia la huella digital, tendrá que importarse el certificado actualizado a Operations Manager mediante la herramienta MOMCertImport como se ha descrito anteriormente.