Comment configurer le module de stratégie pour utiliser un nouveau certificat client dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Les serveurs exécutant le module de stratégie Configuration Manager avec le service de rôle du service d'inscription de périphériques réseau utilisent un certificat client pour authentifier le module de stratégie sur le serveur du système de site du point d'enregistrement de certificat dans System Center 2012 Configuration Manager. En général, un certificat d'authentification de client est valable un an. Avant l'expiration du certificat, renouvelez-le, mettez à jour le Registre pour le nouveau certificat, puis redémarrez le serveur Web qui exécute le service d'inscription de périphériques réseau.
Notes
Si le certificat a déjà expiré, “ERROR("Failed to send http request <thumbprint>. Error 12037", apparaît dans le fichier NDESPlugin.log sur le serveur qui exécute le service d'inscription de périphérique réseau. Dans le message d'erreur, <thumbprint> est remplacé par l'empreinte numérique du certificat expiré.
Pour renouveler le certificat :
Si vous avez demandé manuellement ce certificat client, demandez manuellement un nouveau certificat. Pour obtenir de l'aide pour le déploiement de ce certificat, suivez les instructions de la section Déploiement du certificat client pour les points de distribution de la rubrique Exemple détaillé de déploiement des certificats PKI pour Configuration Manager : Autorité de certification Windows Server 2008, à une exception près : N'activez pas la case à cocher Autoriser l'exportation de la clé privée dans l'onglet Traitement de la demande des propriétés du modèle de certificat.
Si vous avez déployé automatiquement ce certificat client à l'aide d'une inscription à la stratégie de groupe, la configuration par défaut consiste à demander automatiquement un nouveau certificat avant que le certificat d'origine expire.
Après avoir déployé le nouveau certificat sur le serveur qui exécute le service d'inscription de périphériques réseau et le module de stratégie Configuration Manager, procédez comme suit pour configurer le serveur afin d'utiliser le nouveau certificat.
Pour configurer le module de stratégie afin d'utiliser le nouveau certificat client
-
Sur le serveur qui exécute le service d'inscription de périphérique réseau et le module de stratégie Configuration Manager, ouvrez l'éditeur du Registre et remplacez l'ancienne empreinte numérique de certificat par la nouvelle à l'aide de la clé de Registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.
.jpeg "System_CAPS_tip")
ConseilPour identifier l'empreinte numérique du nouveau certificat, localisez le certificat dans le magasin de l'ordinateur à l'aide du composant logiciel enfichable Certificats. Ensuite, cliquez avec le bouton droit sur le certificat, cliquez sur Propriétés, cliquez sur Afficher le certificat, cliquez sur l'onglet Détails, puis faites défiler et sélectionnez Empreinte numérique. La chaîne de caractères hexadécimaux correspondant à l'empreinte numérique de ce certificat apparaît alors et vous pouvez la copier.
-
Redémarrez les services du serveur Web selon l'une des méthodes suivantes :
Dans le Gestionnaire des services Internet (IIS) : Accédez au nœud du serveur Web dans l'arborescence. Dans le volet Actions, cliquez sur Redémarrer.
À partir de la ligne de commande : Tapez iisreset /restart et appuyez sur Entrée.
Pour plus d'informations, voir Arrêter ou démarrer le serveur Web (IIS 8) dans la bibliothèque Windows Server sur TechNet.
Vous pouvez vérifier que le module de stratégie utilise le nouveau certificat en cherchant l'entrée suivante dans le fichier NDESPlugin.log sur le serveur qui exécute le service d'inscription de périphériques réseau : INFO("NDES thumbprint is <thumbprint>.", wszBuffer);