Udostępnij za pośrednictwem

Uzyskiwanie certyfikatu do użycia z serwerami z systemem Windows i programem System Center Operations Manager

  • Artykuł

W tym artykule opisano sposób uzyskiwania certyfikatu i używania go z serwerem zarządzania programu Operations Manager, bramą lub agentem przy użyciu serwera Stand-Alone lub usług certyfikatów Active Directory przedsiębiorstwa (AD CS) na platformie Windows.

  • Aby zażądać certyfikatu i zaakceptować go, użyj narzędzia wiersza polecenia certreq . Aby przesłać i pobrać certyfikat, użyj interfejsu internetowego.

Wymagania wstępne

Upewnij się, że masz następujące elementy:

Ważne

Dostawca magazynu kluczy kryptograficznych interfejsu API (KSP) nie jest obsługiwany w przypadku certyfikatów programu Operations Manager.

Uwaga

Jeśli Twoja organizacja nie korzysta z usług AD CS lub korzysta z zewnętrznego urzędu certyfikacji, postępuj zgodnie z instrukcjami podanymi dla tej aplikacji, aby utworzyć certyfikat i upewnić się, że spełnia następujące wymagania dotyczące programu Operations Manager, a następnie wykonaj podane kroki importowania i instalacji:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Ważne

W tym temacie ustawienia domyślne usług AD-CS są następujące:

  • Standardowa długość klucza: 2048
  • Interfejs API kryptografii: Dostawca usług kryptograficznych (CSP)
  • Bezpieczny algorytm wyznaczania wartości skrótu: 256 (SHA256) Oceń te wybory pod kątem wymagań zasad zabezpieczeń firmy.

Ogólny proces uzyskiwania certyfikatu:

  1. Pobierz certyfikat główny z urzędu certyfikacji.

  2. Zaimportuj certyfikat główny na serwer klienta.

  3. Utworzenie szablonu certyfikatu.

  4. Dodaj szablon do folderu Szablony certyfikatów.

  5. Utwórz plik informacji o konfiguracji do użycia z narzędziem <certreq> wiersza polecenia.

  6. Utwórz plik żądania (lub użyj portalu internetowego).

  7. Prześlij żądanie do urzędu certyfikacji.

  8. Zaimportuj certyfikat do magazynu certyfikatów.

  9. Zaimportuj certyfikat do programu Operations Manager przy użyciu polecenia <MOMCertImport>.

Pobieranie i importowanie certyfikatu głównego z urzędu certyfikacji

Aby ufać i weryfikować wszystkie certyfikaty utworzone na podstawie urzędów certyfikacji przedsiębiorstwa lub Stand-Alone, maszyna docelowa musi mieć kopię certyfikatu głównego w zaufanym magazynie głównym. Większość komputerów przyłączonych do domeny musi ufać urzędowi certyfikacji przedsiębiorstwa. Jednak żadna maszyna nie będzie ufać certyfikatowi z Stand-Alone urzędu certyfikacji bez zainstalowanego certyfikatu głównego.

Jeśli używasz urzędu certyfikacji innej firmy, proces pobierania będzie inny. Jednak proces importowania pozostaje taki sam.

Pobieranie zaufanego certyfikatu głównego z urzędu certyfikacji

Aby pobrać zaufany certyfikat główny, wykonaj następujące kroki:

  1. Zaloguj się na komputerze, na którym chcesz zainstalować certyfikat. Na przykład serwer bramy lub serwer zarządzania.

  2. Otwórz przeglądarkę internetową i połącz się z adresem internetowym serwera certyfikatów. Na przykład https://<servername>/certsrv.

  3. Na stronie powitalnej wybierz pozycję Pobierz certyfikat urzędu certyfikacji, łańcuch certyfikatów lub listę CRL.

    a. Jeśli zostanie wyświetlony monit z potwierdzeniem dostępu do sieci Web, sprawdź serwer i adres URL, a następnie wybierz pozycję Tak.

    b. Sprawdź wiele opcji w obszarze Certyfikat urzędu certyfikacji i potwierdź wybór.

  4. Zmień metodę kodowania na Base 64 , a następnie wybierz pozycję Pobierz łańcuch certyfikatów urzędu certyfikacji.

  5. Zapisz certyfikat i podaj przyjazną nazwę.

Importowanie zaufanego certyfikatu głównego z urzędu certyfikacji na kliencie

Uwaga

Aby zaimportować zaufany certyfikat główny, musisz mieć uprawnienia administracyjne na maszynie docelowej.

Aby zaimportować zaufany certyfikat główny, wykonaj następujące kroki:

  1. Skopiuj plik wygenerowany w poprzednim kroku do klienta.
  2. Otwórz menedżera certyfikatów.
    1. W wierszu polecenia, programie PowerShell lub uruchomieniu wpisz polecenie certlm.msc i naciśnij klawisz Enter.
    2. Wybierz pozycję Uruchom i > wpisz mmc , aby znaleźć konsolę Microsoft Management Console (mmc.exe).
      1. Przejdź do pozycji Plik>Dodaj/Usuń przystawkę w....
      2. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz pozycję Certyfikaty, a następnie wybierz pozycję Dodaj.
      3. W oknie dialogowym Przystawka certyfikatu
        1. Wybierz pozycję Konto komputera i wybierz pozycję Dalej. Zostanie otwarte okno dialogowe Wybieranie komputera.
        2. Wybierz pozycję Komputer lokalny i wybierz pozycję Zakończ.
      4. Wybierz przycisk OK.
      5. W obszarze Katalog główny konsoli rozwiń węzeł Certyfikaty (komputer lokalny)
  3. Rozwiń węzeł Zaufane główne urzędy certyfikacji, a następnie wybierz pozycję Certyfikaty.
  4. Wybierz pozycję Wszystkie zadania.
  5. W Kreatorze importu certyfikatów pozostaw pierwszą stronę jako domyślną i wybierz przycisk Dalej.
    1. Przejdź do lokalizacji, w której pobrano plik certyfikatu urzędu certyfikacji, a następnie wybierz plik zaufanego certyfikatu głównego skopiowany z urzędu certyfikacji.
    2. Wybierz opcję Dalej.
    3. W lokalizacji Magazyn certyfikatów pozostaw domyślne zaufane główne urzędy certyfikacji.
    4. Wybierz pozycję Dalej i Zakończ.
  6. W przypadku powodzenia zaufany certyfikat główny z urzędu certyfikacji będzie widoczny w obszarze Certyfikaty zaufanych głównych urzędów> certyfikacji.

Tworzenie szablonu certyfikatu: Urzędy certyfikacji przedsiębiorstwa

Urzędy certyfikacji przedsiębiorstwa:

  • Integruje się z Active Directory Domain Services (AD-DS).
  • Publikuje certyfikaty i listy odwołania certyfikatów (CRL) do usług AD-DS.
  • Używa informacji o kontach użytkowników i grupach zabezpieczeń przechowywanych w usługach AD-DS do zatwierdzania lub odrzucania żądań certyfikatów.
  • Używa szablonów certyfikatów.

Aby wydać certyfikat, urząd certyfikacji przedsiębiorstwa używa informacji w szablonie certyfikatu do generowania certyfikatu z odpowiednimi atrybutami dla tego typu certyfikatu.

Autonomiczne urzędy certyfikacji:

  • Nie wymagaj usług AD-DS.
  • Nie używaj szablonów certyfikatów.

Jeśli używasz autonomicznych urzędów certyfikacji, uwzględnij wszystkie informacje o żądanym typie certyfikatu w żądaniu certyfikatu.

Aby uzyskać więcej informacji, zobacz szablony certyfikatów.

Tworzenie szablonu certyfikatu dla programu System Center Operations Manager

  1. Zaloguj się do serwera przyłączonego do domeny przy użyciu usług AD CS w twoim środowisku (twój urząd certyfikacji).

  2. Na pulpicie systemu Windows wybierz pozycję Uruchom>urząd certyfikacjiNarzędzia> administracyjne systemu Windows.

  3. W okienku nawigacji po prawej stronie rozwiń urząd certyfikacji, kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie wybierz pozycję Zarządzaj.

  4. Kliknij prawym przyciskiem myszy pozycję IPSec (żądanie offline) i wybierz pozycję Duplikuj szablon.

  5. Zostanie otwarte okno dialogowe Właściwości nowego szablonu ; wybierz wybrane opcje, jak pokazano poniżej:

    Tab Opis
    Zgodność 1. Urząd certyfikacji: Windows Server 2008 (lub najniższy poziom funkcjonalności usługi AD w środowisku).
    2. Odbiorca certyfikatu: Windows Server 2012 (lub najniższej wersji systemu operacyjnego w środowisku).
    Ogólne 1. Nazwa wyświetlana szablonu: wprowadź przyjazną nazwę, taką jak Operations Manager.
    2. Nazwa szablonu: wprowadź taką samą nazwę jak nazwa wyświetlana.
    3. Okres ważności: wprowadź okres ważności zgodny z wymaganiami organizacji.
    4. Wybierz pozycję Publikuj certyfikat w usłudze Active Directory i nie wyrejestruj automatycznie, jeśli w polach wyboru usługi Active Directory istnieje zduplikowany certyfikat .
    Obsługa żądań 1. Cel: wybierz pozycję Podpis i szyfrowanie z listy rozwijanej.
    2. Zaznacz pole wyboru Zezwalaj na eksportowanie klucza prywatnego .
    Kryptografia 1. Kategoria dostawcy: wybierz pozycję Starszy dostawca
    usług kryptograficznych 2. Nazwa algorytmu: wybierz pozycję Określona przez dostawcę usług kryptograficznych z listy rozwijanej.
    3. Minimalny rozmiar klucza: 2048 lub 4096 zgodnie z wymaganiami dotyczącymi zabezpieczeń organizacji.
    4. Dostawcy: z listy rozwijanej wybierz pozycję Dostawca kryptograficzny kanału RSA firmy Microsoft i dostawcę kryptograficznego Rozszerzonego dostawcy kryptograficznego firmy Microsoft w wersji 1.0 .
    Rozszerzenia 1. W obszarze Rozszerzenia uwzględnione w tym szablonie wybierz pozycję Zasady aplikacji , a następnie wybierz pozycję Edytuj
    2. Zostanie otwarte okno dialogowe Edytowanie rozszerzenia zasad aplikacji.
    3. W obszarze Zasady aplikacji wybierzpozycję Zabezpieczenia adresów IP pośredniczące IKE , a następnie wybierz pozycję Usuń
    4. Wybierz pozycję Dodaj , a następnie wybierz pozycję Uwierzytelnianie klienta i uwierzytelnianie serwera w obszarze Zasady aplikacji.
    5. Wybierz przycisk OK.
    6. Wybierz pozycję Użycie klucza i edytuj.
    7. Upewnij się, że wybrano opcję Podpis cyfrowy i Zezwalaj na wymianę kluczy tylko z szyfrowaniem kluczy (szyfrowaniem kluczy).
    8. Zaznacz pole wyboru Ustaw to rozszerzenie o znaczeniu krytycznym i wybierz przycisk OK.
    Zabezpieczenia 1. Upewnij się, że grupa Uwierzytelnieni użytkownicy (lub obiekt komputera) ma uprawnienia Do odczytu i rejestracji , a następnie wybierz pozycję Zastosuj , aby utworzyć szablon.

Dodawanie szablonu do folderu Szablony certyfikatów

  1. Zaloguj się do serwera przyłączonego do domeny przy użyciu usług AD CS w środowisku (twój urząd certyfikacji).
  2. Na pulpicie systemu Windows wybierz pozycję Uruchom> urządcertyfikacjiNarzędzia> administracyjne systemu Windows.
  3. W okienku nawigacji po prawej stronie rozwiń urząd certyfikacji, kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie wybierz pozycję Nowe>szablony certyfikatów do wydania.
  4. Wybierz nowy szablon utworzony w powyższych krokach i wybierz przycisk OK.

Żądanie certyfikatu przy użyciu pliku żądania

Tworzenie pliku informacji o instalacji (inf)

  1. Na komputerze hostujący funkcję programu Operations Manager, dla której żądasz certyfikatu, otwórz nowy plik tekstowy w edytorze tekstów.

  2. Utwórz plik tekstowy zawierający następującą zawartość:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Zapisz plik za pomocą rozszerzenia pliku inf . Na przykład CertRequestConfig.inf.

  4. Zamknij edytor tekstów.

Tworzenie pliku żądania certyfikatu

Ten proces koduje informacje określone w naszym pliku konfiguracji w bazie Base64 i dane wyjściowe do nowego pliku.

  1. Na komputerze hostujący funkcję programu Operations Manager, dla której żądasz certyfikatu, otwórz wiersz polecenia administratora.

  2. Przejdź do tego samego katalogu, w którym znajduje się plik inf .

  3. Uruchom poniższe polecenie, aby zmodyfikować nazwę pliku inf, aby upewnić się, że jest zgodna z wcześniej utworzoną nazwą pliku. Pozostaw nazwę pliku req w następujący sposób:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Otwórz nowo utworzony plik i skopiuj zawartość.

Przesyłanie nowego żądania certyfikatu w portalu internetowym usług AD CS przy użyciu pliku żądania

  1. Na komputerze hostujący funkcję programu Operations Manager, dla której żądasz certyfikatu, otwórz przeglądarkę internetową i połącz się z komputerem hostujący adres internetowy serwera certyfikatów. Na przykład https://<servername>/certsrv.

  2. Na stronie Powitalne usługi certyfikatów Microsoft Active Directory wybierz pozycję Zażądaj certyfikatu.

  3. Na stronie Żądanie certyfikatu wybierz zaawansowane żądanie certyfikatu.

  4. Na stronie Żądanie certyfikatu zaawansowanego wybierz pozycję Prześlij żądanie certyfikatu przy użyciu pliku PKCS #7 zakodowanego w formacie base-64 lub PKCS #10.

  5. Na stronie Prześlij żądanie certyfikatu lub żądanie odnowienia w polu tekstowym Zapisane żądanie wklej zawartość pliku CertRequest.req skopiowanego w kroku 4 w poprzedniej procedurze.

  6. W szablonie certyfikatu wybierz utworzony szablon certyfikatu. Na przykład OperationsManagerCert, a następnie wybierz pozycję Prześlij.

  7. W przypadku powodzenia na stronie Wystawiony certyfikat wybierz pozycję Certyfikat zakodowany> w formacie Base 64Pobierz certyfikat.

  8. Zapisz certyfikat i podaj przyjazną nazwę. Na przykład zapisz jako SCOM-MS01.cer.

  9. Zamknij przeglądarkę internetową.

Używanie portalu internetowego AD-CS do żądania certyfikatu

Oprócz pliku żądania można utworzyć żądanie certyfikatu za pośrednictwem portalu internetowego usług certyfikatów. Ten krok zostanie ukończony na maszynie docelowej w celu ułatwienia instalacji certyfikatu. Jeśli żądanie certyfikatu przy użyciu portalu internetowego AD-CS nie jest możliwe, upewnij się, że należy wyeksportować certyfikat, jak pokazano poniżej:

  1. Na komputerze hostujący funkcję programu Operations Manager, dla której żądasz certyfikatu, otwórz przeglądarkę internetową i połącz się z komputerem hostujący adres internetowy serwera certyfikatów. Na przykład https://<servername>/certsrv.
  2. Na stronie Powitanie usług certyfikatów Microsoft Active Directory wybierz pozycję Zażądaj certyfikatu.
  3. Na stronie Żądanie certyfikatu wybierz zaawansowane żądanie certyfikatu.
  4. Wybierz pozycję Utwórz i prześlij żądanie do tego urzędu certyfikacji.
  5. Zostanie otwarte zaawansowane żądanie certyfikatu. Wykonaj następujące czynności:
    1. Szablon certyfikatu: użyj utworzonego wcześniej szablonu lub szablonu wyznaczonego dla programu Operations Manager.
    2. Identyfikowanie informacji dotyczących szablonu trybu offline:
      1. Nazwa: nazwa FQDN serwera lub wyświetlana w systemie DNS
      2. Podaj inne informacje odpowiednie dla organizacji
    3. Opcje klucza:
      1. Zaznacz pole wyboru oznaczania kluczy jako możliwe do wyeksportowania
    4. Dodatkowe opcje:
      1. Przyjazna nazwa: nazwa FQDN serwera lub wyświetlana w systemie DNS
  6. Wybierz pozycję Prześlij.
  7. Po pomyślnym zakończeniu zadania zostanie otwarta strona Wystawiony certyfikat z linkiem do instalacji tego certyfikatu.
  8. Wybierz pozycję Zainstaluj ten certyfikat.
  9. Na serwerze magazyn certyfikatów Osobisty przechowuje certyfikat.
  10. Załaduj konsole MMC lub CertMgr i przejdź do pozycji Certyfikaty osobiste> i znajdź nowo utworzony certyfikat.
  11. Jeśli to zadanie nie zostanie ukończone na serwerze docelowym, wyeksportuj certyfikat:
    1. Kliknij prawym przyciskiem myszy nowy certyfikat > Wszystkie zadania > eksportu.
    2. W Kreatorze eksportu certyfikatów wybierz przycisk Dalej.
    3. Wybierz pozycję Tak, wyeksportuj klucz prywatny, wybierz pozycję Dalej.
    4. Wybierz pozycję Wymiana informacji osobistych — PKCS #12 (. PFX).
    5. Zaznacz pole wyboru Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe , i zaznacz pole wyboru Eksportuj wszystkie właściwości rozszerzone , a następnie wybierz przycisk Dalej.
    6. Podaj hasło, aby zaszyfrować plik certyfikatu magazynowanych, a następnie wybierz przycisk Dalej.
    7. Zapisz wyeksportowany plik i podaj przyjazną nazwę.
    8. Wybierz pozycję Dalej i zakończ.
    9. Znajdź wyeksportowany plik certyfikatu i sprawdź ikonę pliku.
      1. Jeśli ikona zawiera klucz, musisz mieć dołączony klucz prywatny.
      2. Jeśli ikona nie zawiera klucza, wyeksportuj ponownie certyfikat z kluczem prywatnym, ponieważ będzie on potrzebny do późniejszego użycia.
    10. Skopiuj wyeksportowany plik na maszynę docelową.
  12. Zamknij przeglądarkę internetową.

Żądanie certyfikatu przy użyciu Menedżera certyfikatów

W przypadku urzędów certyfikacji przedsiębiorstwa ze zdefiniowanym szablonem certyfikatu można zażądać nowego certyfikatu z komputera klienckiego przyłączonego do domeny przy użyciu Menedżera certyfikatów. Ponieważ używa to szablonów, ta metoda nie ma zastosowania do Stand-Alone urzędów certyfikacji.

  1. Zaloguj się do maszyny docelowej przy użyciu uprawnień administratora (serwer zarządzania, brama, agent itd.).
  2. Użyj wiersza polecenia administratora lub okna programu PowerShell, aby otworzyć Menedżera certyfikatów.
    1. certlm.msc — otwiera magazyn certyfikatów komputera lokalnego.
    2. mmc.msc — otwiera program Microsoft Management Console.
      1. Załaduj przystawkę Menedżer certyfikatów.
      2. Przejdź do pozycjiDodaj/usuń przystawkęPlik>.
      3. wybierz opcję Certyfikaty.
      4. Wybierz pozycję Dodaj.
      5. Po wyświetleniu monitu wybierz pozycję Konto komputera i wybierz pozycję Dalej
      6. Upewnij się, że wybrano pozycję Komputer lokalny , a następnie wybierz pozycję Zakończ.
      7. Wybierz przycisk OK , aby zamknąć kreatora.
  3. Uruchom żądanie certyfikatu:
    1. W obszarze Certyfikaty rozwiń folder Osobiste.
    2. Kliknij prawym przyciskiem myszy pozycję Certyfikaty>Wszystkie zadania>żądają nowego certyfikatu.
  4. Kreator rejestracji certyfikatów

    1. Na stronie Przed rozpoczęciem wybierz pozycję Dalej.

    2. Wybierz odpowiednie zasady rejestracji certyfikatu (ustawieniem domyślnym mogą być zasady rejestracji w usłudze Active Directory), wybierz pozycję Dalej

    3. Wybierz żądany szablon zasad rejestracji, aby utworzyć certyfikat

      1. Jeśli szablon nie jest natychmiast dostępny, wybierz pole Pokaż wszystkie szablony poniżej listy
      2. Jeśli potrzebny szablon jest dostępny z czerwonym symbolem X obok niego, skontaktuj się z zespołem usługi Active Directory lub certyfikatu

    4. W większości środowisk można znaleźć komunikat ostrzegawczy z hiperlinkiem w szablonie certyfikatu, wybrać link i kontynuować wypełnianie informacji dotyczących certyfikatu.

    5. Kreator właściwości certyfikatu:

      Tab Opis
      Temat 1. W polu Nazwa podmiotu wybierz nazwę pospolitą lub pełną nazwę wyróżniającą, podaj wartość — nazwa hosta lub nazwę BIOS serwera docelowego, wybierz pozycję Dodaj.
      Ogólne 1. Podaj przyjazną nazwę wygenerowanego certyfikatu.
      2. Podaj opis przeznaczenia tego biletu, jeśli jest to konieczne.
      Rozszerzenia 1. W obszarze Użycie klucza upewnij się, że wybrano opcję Podpis cyfrowy i Szyfrowanie klucza , a następnie zaznacz pole wyboru Ustaw te użycie kluczy jako krytyczne .
      2. W obszarze Rozszerzone użycie klucza upewnij się, że wybrano opcje Uwierzytelnianie serwera i Uwierzytelnianie klienta .
      Klucz prywatny 1. W obszarze Opcje klucza upewnij się, że rozmiar klucza wynosi co najmniej 1024 lub 2048, a następnie zaznacz pole wyboru Ustaw klucz prywatny do eksportowania .
      2. W obszarze Typ klucza upewnij się, że wybrano opcję Exchange .
      Karta Urząd certyfikacji Upewnij się, że zaznaczono pole wyboru Urząd certyfikacji.
      Podpis Jeśli organizacja wymaga urzędu rejestracji, podaj certyfikat podpisywania dla tego żądania.

    6. Po podaniu informacji w kreatorze Właściwości certyfikatu hiperlink ostrzegawczy z wcześniejszego znika.

    7. Wybierz pozycję Zarejestruj, aby utworzyć certyfikat. Jeśli wystąpi błąd, skontaktuj się z zespołem usługi AD lub certyfikatu.

    8. W przypadku pomyślnego odczytania stanu zostanie odczytany Powodzenie , a nowy certyfikat zostanie umieszczony w magazynie Osobiste/Certyfikaty.

  5. Jeśli te akcje zostały wykonane dla zamierzonego adresata certyfikatu, przejdź do następnych kroków.
  6. W przeciwnym razie wyeksportuj nowy certyfikat z maszyny i skopiuj go do następnego.
    1. Otwórz okno Menedżer certyfikatów i przejdź do pozycjiCertyfikatyosobiste>.
    2. Wybierz certyfikat do wyeksportowania.
    3. Kliknij prawym przyciskiem myszy pozycję Wszystkie zadania>eksportu.
    4. W Kreatorze eksportu certyfikatów.
      1. Wybierz pozycję Dalej na stronie Powitanie.
      2. Upewnij się, że wybierz pozycję Tak, wyeksportuj klucz prywatny.
      3. Wybierz pozycję Wymiana informacji osobistych — PKCS #12 (. Plik PFX) z opcji formatu.
        1. Wybierz pozycję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe , i zaznacz pole wyboru Eksportuj wszystkie właściwości rozszerzone .
      4. Wybierz opcję Dalej.
      5. Podaj znane hasło do szyfrowania pliku certyfikatu.
      6. Wybierz opcję Dalej.
      7. Podaj dostępną ścieżkę i rozpoznawalną nazwę pliku certyfikatu.
    5. Skopiuj nowo utworzony plik certyfikatu na maszynę docelową.

Instalowanie certyfikatu na maszynie docelowej

Aby użyć nowo utworzonego certyfikatu, zaimportuj go do magazynu certyfikatów na maszynie klienckiej.

Dodawanie certyfikatu do magazynu certyfikatów

  1. Zaloguj się na komputerze, na którym są tworzone certyfikaty dla serwera zarządzania, bramy lub agenta.

  2. Skopiuj powyższy certyfikat do lokalizacji dostępnej na tym komputerze.

  3. Otwórz wiersz polecenia administratora lub okno programu PowerShell i przejdź do folderu, w którym znajduje się plik certyfikatu.

  4. Uruchom poniższe polecenie, upewnij się, że zastąp NewCertificate.cer poprawną nazwą/ścieżką pliku:

    CertReq -Accept -Machine NewCertificate.cer

  5. Ten certyfikat powinien teraz znajdować się w magazynie osobistym komputera lokalnego na tym komputerze.

Alternatywnie kliknij prawym przyciskiem myszy plik > certyfikatu Zainstaluj > maszynę lokalną i wybierz miejsce docelowe magazynu osobistego, aby zainstalować certyfikat.

Uwaga

Jeśli dodasz certyfikat do magazynu certyfikatów z kluczem prywatnym i usuniesz go z magazynu w późniejszym momencie, certyfikat nie będzie już zawierać klucza prywatnego po ponownym zaimportowaniu. Komunikacja programu Operations Manager wymaga klucza prywatnego, ponieważ dane wychodzące muszą być szyfrowane. Certyfikat można naprawić przy użyciu narzędzia certutil; Należy podać numer seryjny certyfikatu. Aby na przykład przywrócić klucz prywatny, użyj poniższego polecenia w wierszu polecenia administratora lub w oknie programu PowerShell:

certutil -repairstore my <certificateSerialNumber>

Importowanie certyfikatu do programu Operations Manager

Oprócz instalacji certyfikatu w systemie należy zaktualizować program Operations Manager, aby był świadomy certyfikatu, którego chcesz użyć. Poniższe akcje spowodują ponowne uruchomienie usługi Microsoft Monitoring Agent.

Użyj narzędzia MOMCertImport.exe dołączonego do folderu SupportTools na nośniku instalacyjnym programu Operations Manager. Skopiuj plik na serwer.

Aby zaimportować certyfikat do programu Operations Manager przy użyciu narzędzia MOMCertImport, wykonaj następujące kroki:

  1. Zaloguj się do komputera docelowego.

  2. Otwórz wiersz polecenia administratora lub okno programu PowerShell i przejdź do folderu narzędziaMOMCertImport.exe .

  3. Uruchamianie narzędzia MomCertImport.exe

    1. W usłudze CMD: MOMCertImport.exe
    2. W programie PowerShell: .\MOMCertImport.exe

  4. Zostanie wyświetlone okno graficznego interfejsu użytkownika, aby wybrać certyfikat

    1. Jeśli lista certyfikatów nie zostanie natychmiast wyświetlona, wybierz pozycję Więcej opcji.

  5. Z listy wybierz nowy certyfikat dla maszyny

    1. Certyfikat można zweryfikować, wybierając go. Po wybraniu można wyświetlić właściwości certyfikatu.

  6. Wybierz przycisk OK.

  7. W przypadku pomyślnego wyświetlenia okna podręcznego zostanie wyświetlony następujący komunikat:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Aby zweryfikować, przejdź do pozycji Podgląd zdarzeń>Aplikacje i dzienniki> usługOperations Manager dla zdarzenia o identyfikatorze 20053. Oznacza to, że certyfikat uwierzytelniania został pomyślnie załadowany

  9. Jeśli identyfikator zdarzenia 20053 nie jest obecny w systemie, poszukaj jednego z tych identyfikatorów zdarzeń pod kątem błędów i popraw odpowiednio:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MomCertImport aktualizuje tę lokalizację rejestru, aby zawierała wartość zgodną z odwrotnym numerem seryjnym wyświetlanym na certyfikacie:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Odnawianie certyfikatu

Program Operations Manager generuje alert, gdy zaimportowany certyfikat dla serwerów zarządzania i bram zbliża się do wygaśnięcia. Jeśli otrzymasz alert, odnów lub utwórz nowy certyfikat dla serwerów przed datą wygaśnięcia. Będzie to działać tylko wtedy, gdy certyfikat zawiera informacje o szablonie (z urzędu certyfikacji przedsiębiorstwa).

  1. Zaloguj się na serwerze przy użyciu wygasającego certyfikatu i uruchom menedżera konfiguracji certyfikatu (certlm.msc).
  2. Znajdź wygasający certyfikat programu Operations Manager.
  3. Jeśli certyfikat nie zostanie odnaleziony, być może został on usunięty lub zaimportowany za pośrednictwem pliku, a nie magazynu certyfikatów. Może być konieczne wystawienie nowego certyfikatu dla tej maszyny z urzędu certyfikacji. Zapoznaj się z powyższymi instrukcjami, aby to zrobić.
  4. Jeśli znajdziesz certyfikat, poniżej przedstawiono opcje odnowienia certyfikatu:
    1. Żądanie certyfikatu z nowym kluczem
    2. Odnawianie certyfikatu przy użyciu nowego klucza
    3. Odnawianie certyfikatu przy użyciu tego samego klucza
  5. Wybierz opcję, która najlepiej dotyczy tego, co chcesz zrobić, i postępuj zgodnie z instrukcjami kreatora.
  6. Po zakończeniu MOMCertImport.exe uruchom narzędzie, aby upewnić się, że program Operations Manager ma nowy numer seryjny (odwrócony) certyfikatu, jeśli został zmieniony, zobacz sekcję powyżej, aby uzyskać więcej szczegółów.

Jeśli odnawianie certyfikatu za pośrednictwem tej metody nie jest dostępne, wykonaj wcześniejsze kroki, aby zażądać nowego certyfikatu lub urzędu certyfikacji organizacji. Zainstaluj i zaimportuj (MOMCertImport) nowy certyfikat do użycia przez program Operations Manager.

Opcjonalnie: Konfigurowanie automatycznej rejestracji i odnawiania certyfikatu

Użyj urzędu certyfikacji przedsiębiorstwa, aby skonfigurować automatyczną rejestrację i odnawianie certyfikatu po wygaśnięciu. Spowoduje to dystrybucję zaufanego certyfikatu głównego do wszystkich systemów przyłączonych do domeny.

Konfiguracja automatycznego rejestrowania i odnawiania certyfikatu nie będzie działać z urzędami certyfikacji Stand-Alone ani innych firm. W przypadku systemów w grupie roboczej lub oddzielnej domenie odnawianie certyfikatów i rejestracje nadal będzie procesem ręcznym.

Aby uzyskać więcej informacji, zobacz Przewodnik po systemie Windows Server.

Uwaga

Automatyczne rejestrowanie i odnawianie nie powoduje automatycznego skonfigurowania programu Operations Manager do korzystania z nowego certyfikatu. Jeśli certyfikat jest automatycznie odnawiany przy użyciu tego samego klucza, odcisk palca może również pozostać taki sam, a administrator nie wymaga żadnej akcji. Jeśli zostanie wygenerowany nowy certyfikat lub odcisk palca zmieni się, zaktualizowany certyfikat będzie musiał zostać zaimportowany do programu Operations Manager przy użyciu narzędzia MOMCertImport, jak opisano powyżej.