Uzyskiwanie certyfikatu do użycia z serwerami z systemem Windows i programem System Center Operations Manager

Gdy program System Center Operations Manager działa poza granicami zaufania, gdzie autentykacja Kerberos z bramą lub maszynami klienckimi z systemem Windows nie jest możliwa, wymagane jest uwierzytelnianie oparte na certyfikatach. Ta metoda służy do nawiązywania komunikacji między programem Microsoft Monitoring Agent i serwerami zarządzania. Podstawowym przypadkiem użycia jest uwierzytelnianie w systemach Gateway i klienta systemu Windows w grupach roboczych, strefach zdemilitaryzowanych (DMZ) lub innych domenach bez dwukierunkowego zaufania.

Certyfikaty generowane przy użyciu tego artykułu nie są przeznaczone do monitorowania systemu Linux, chyba że serwer bramy wykonujący monitorowanie znajduje się poza granicami zaufania. Wtedy certyfikat jest używany tylko do uwierzytelniania Windows do Windows dla bramy i serwera zarządzania. Oddzielne certyfikaty (SCX-Certificates) są używane do uwierzytelniania systemu Linux i są obsługiwane przez program Operations Manager.

W tym artykule opisano sposób uzyskania certyfikatu i jego użycia z serwerem zarządzania programu Operations Manager, bramą lub agentem przy użyciu usług certyfikatów Active Directory przedsiębiorstwa (AD CS) serwera urzędu certyfikacji na platformie Windows. Jeśli używasz Stand-Alone lub urzędu certyfikacji innego niż Microsoft, skontaktuj się z zespołem ds. certyfikatów/infrastruktury kluczy publicznych, aby uzyskać pomoc w tworzeniu certyfikatów używanych w programie Operations Manager.

Wymagania wstępne

Upewnij się, że obowiązują następujące wymagania:

• Usługi certyfikatów Active Directory (AD CS) zostały zainstalowane i skonfigurowane, lub urząd certyfikacji firmy innej niż Microsoft. (Uwaga: ten przewodnik nie obejmuje żądania certyfikatów z urzędu certyfikacji innej firmy niż Microsoft).
• Uprawnienia administratora domeny.
• Serwery zarządzania programu Operations Manager przyłączone do domeny.

Wymagania dotyczące certyfikatu

Ważne

Dostawca magazynu kluczy interfejsu API kryptografii (KSP) nie jest obsługiwany w przypadku certyfikatów programu Operations Manager.

Obecnie program Operations Manager nie obsługuje bardziej zaawansowanych certyfikatów i korzysta ze starszych dostawców.

Jeśli Organizacja nie korzysta z usług AD CS lub używa zewnętrznego urzędu certyfikacji, skorzystaj z instrukcji podanych dla tego urzędu, aby utworzyć certyfikat, upewniając się, że spełnia następujące wymagania dotyczące programu Operations Manager:

- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)

- [Key Usage]
    Key Exportable = FALE  ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
    HashAlgorithm = SHA256
    KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
    KeySpec = 1  ; AT_KEYEXCHANGE
    KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
    MachineKeySet = TRUE ; The key belongs to the local computer account
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    KeyAlgorithm = RSA

- [EnhancedKeyUsageExtension]
     - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
     - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
     - Compatible with Windows Server 2012 R2 ; (or newer based on environment)

- [Cryptography Settings]
     - Provider Category: Legacy Cryptography Service Provider
     - Algorithm name: RSA
     - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
     - Providers: "Microsoft RSA Schannel Cryptographic Provider"

Proces wysokiego poziomu w celu uzyskania certyfikatu

Ważne

W tym artykule ustawienia domyślne dla AD-CS to:

• Długość klucza standardowego: 2048
• Interfejs API kryptografii: Dostawca usług kryptograficznych (CSP)
• Bezpieczny algorytm wyznaczania skrótu: 256 (SHA256)

Oceń te opcje pod kątem wymagań zasad zabezpieczeń firmy.

Urząd certyfikacji przedsiębiorstw

1. Pobierz certyfikat główny z urzędu certyfikacji.
2. Zaimportuj certyfikat główny do serwera klienckiego.
3. Utworzenie szablonu certyfikatu.
4. Prześlij żądanie do podmiotu certyfikującego.
5. W razie potrzeby zatwierdź żądanie.
6. Pobierz certyfikat.
7. Zaimportuj certyfikat do magazynu certyfikatów.
8. Zaimportuj certyfikat do programu Operations Manager przy użyciu polecenia <MOMCertImport>.

Stand-Alone lub urzędy certyfikacji inne niż Microsoft

1. Pobierz certyfikat główny z urzędu certyfikacji.
2. Zaimportuj certyfikat główny do serwera klienckiego.
3. Zażądaj certyfikatu z urzędu certyfikacji spełniającego wymagania programu Operations Manager.
4. W razie potrzeby zatwierdź żądanie.
5. Pobierz certyfikat z urzędu certyfikacji.
6. Zaimportuj certyfikat do magazynu certyfikatów.
7. Zaimportuj certyfikat do programu Operations Manager przy użyciu polecenia <MOMCertImport>.

Pobieranie i importowanie certyfikatu głównego z urzędu certyfikacji

Napiwek

Jeśli używasz urzędu certyfikacji przedsiębiorstwa i korzystasz z systemu przyłączonego do domeny, certyfikaty root powinny być już zainstalowane w odpowiednich magazynach certyfikatów i można pominąć ten krok.

Aby sprawdzić, czy certyfikaty są zainstalowane, uruchom następujące polecenie programu PowerShell w systemie przyłączonym do domeny, zastępując ciąg "Domena" częściową nazwą domeny:

# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }

# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }

Aby ufać i weryfikować dowolne certyfikaty utworzone przez urzędy certyfikacji, maszyna docelowa musi mieć kopię certyfikatu głównego w zaufanym magazynie głównych certyfikatów. Większość komputerów przyłączonych do domeny ma już zaufanie do Urzędu Certyfikacji Korporacyjnego. Jednak żaden komputer nie ufa certyfikatowi z urzędu certyfikacji spoza przedsiębiorstwa bez zainstalowanego certyfikatu głównego dla tego urzędu certyfikacji.

Jeśli używasz urzędu certyfikacji innego niż Microsoft, proces pobierania jest inny. Jednak proces importowania pozostaje taki sam.

Aby automatycznie zainstalować główne i CA certyfikaty przy użyciu polityki grupowej

1. Zaloguj się na komputerze, na którym chcesz zainstalować certyfikaty jako administrator.
2. Otwórz wiersz polecenia administratora lub konsolę programu PowerShell.
3. Wykonaj polecenie gpupdate /force
4. Po zakończeniu sprawdź obecność certyfikatów głównych i CA w magazynie certyfikatów, które powinny być widoczne w Menedżerze Certyfikatów Lokalnego Komputera w obszarze Zaufanych Głównych Urzędów Certyfikacji>Certyfikaty.

Ręczne pobieranie zaufanego certyfikatu głównego z urzędu certyfikacji

Aby pobrać zaufany certyfikat główny, wykonaj następujące kroki:

1. Zaloguj się na komputerze, na którym chcesz zainstalować certyfikat. Na przykład serwer bramy lub serwer zarządzania.
2. Otwórz przeglądarkę internetową i połącz się z adresem internetowym serwera certyfikatów. Na przykład https://<servername>/certsrv.
3. Na stronie Welcome wybierz Pobierz certyfikat CA, łańcuch certyfikatów lub CRL.
   1. Jeśli zostanie wyświetlony monit z potwierdzeniem dostępu do sieci Web, sprawdź serwer i adres URL, a następnie wybierz pozycję Tak.
   2. Sprawdź wiele opcji w obszarze Certyfikat CA i potwierdź wybór.
4. Zmień metodę kodowania na Base 64, a następnie wybierz Pobierz łańcuch certyfikatów CA.
5. Zapisz certyfikat i podaj przyjazną nazwę.

Importowanie zaufanego certyfikatu głównego z urzędu certyfikacji do klienta

Uwaga

Aby zaimportować zaufany certyfikat główny, musisz mieć uprawnienia administracyjne na maszynie docelowej.

Aby zaimportować zaufany certyfikat główny, wykonaj następujące kroki:

1. Skopiuj plik wygenerowany w poprzednim kroku do klienta.
2. Otwórz menedżera certyfikatów.
   1. W wierszu polecenia, programie PowerShell lub uruchom wpisz certlm.msc i naciśnij Enter.
   2. Wybierz pozycję Uruchom > i wpisz mmc , aby znaleźć konsolę zarządzania firmy Microsoft (mmc.exe).
      1. Przejdź do pozycji Plik>Dodaj/Usuń przystawkę w....
      2. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz pozycję Certyfikaty, a następnie wybierz pozycję Dodaj.
      3. W oknie dialogowym Przystawka certyfikatów,
         1. Wybierz pozycję Konto komputera i wybierz pozycję Dalej. Otworzy się okno dialogowe "Wybierz komputer".
         2. Wybierz Komputer lokalny i wybierz Zakończ.
      4. Wybierz przycisk OK.
      5. W Konsoli głównej rozwiń węzeł Certyfikaty (komputer lokalny)
3. Rozwiń węzeł Główni zaufani urzędy certyfikacji, a następnie wybierz pozycję Certyfikaty.
4. Wybierz pozycję Wszystkie zadania.
5. W Kreatorze importu certyfikatów pozostaw pierwszą stronę domyślną i wybierz przycisk Dalej.
   1. Przejdź do lokalizacji, w której pobrano plik certyfikatu urzędu certyfikacji, i wybierz zaufany certyfikat główny skopiowany z urzędu certyfikacji.
   2. Wybierz Dalej.
   3. W lokalizacji Magazyn certyfikatów pozostaw domyślnie Zaufane Główne Urzędy Certyfikacji.
   4. Wybierz pozycję Dalej i Zakończ.
6. W przypadku powodzenia zaufany certyfikat główny z urzędu certyfikacji jest widoczny w obszarze Zaufane główne urzędy certyfikacji>Certyfikaty.

Tworzenie szablonu certyfikatu dla korporacyjnego urzędu certyfikacji

Ważne

Jeśli używasz Stand-Alone lub urzędów certyfikacji innych niż Microsoft, skontaktuj się z zespołem ds. certyfikatów lub infrastruktury kluczy publicznych, aby dowiedzieć się, jak kontynuować generowanie żądania certyfikatu.

Aby uzyskać więcej informacji, zobacz szablony certyfikatów.

Tworzenie szablonu certyfikatu dla programu System Center Operations Manager

1. Zaloguj się do serwera przyłączonego do domeny przy użyciu usługi AD CS w Twoim środowisku (Twoje centrum autoryzacji).

2. Na pulpicie systemu Windows wybierz pozycję Start>Narzędzia administracyjne systemu Windows>Urząd certyfikacji.

3. W okienku nawigacji po prawej stronie rozwiń CA, kliknij prawym przyciskiem myszy Szablony certyfikatów, a następnie wybierz Zarządzaj.

4. Kliknij prawym przyciskiem myszy Komputer i wybierz pozycję Duplikuj szablon.

5. Zostanie otwarte okno dialogowe Właściwości nowego szablonu; wybierz wybrane opcje, jak wskazano:

   Karta	opis
   Zgodność	1. urząd certyfikacji: Windows Server 2012 R2 (lub najniższy poziom funkcjonalności AD w środowisku). 2. odbiorca certyfikatu: Windows Server 2012 R2 (lub najniższa wersja systemu operacyjnego w środowisku).
   Ogólne	1. Nazwa wyświetlana dla szablonu: Wprowadź przyjazną nazwę, taką jak Operations Manager. 2. Nazwa szablonu: wprowadź taką samą nazwę jak nazwa wyświetlana. 3. okres ważności i okres odnowienia: wprowadź okresy ważności i odnowienia zgodne z zasadami certyfikatów organizacji. Zaleca się, aby ważność nie przekraczała połowy okresu eksploatacji urzędu certyfikacji wystawiającego certyfikat. (Na przykład: Podrzędny urząd certyfikacji na cztery lata, maksymalny okres ważności certyfikatu to dwa lata). 4. Wybierz pozycję Publikuj certyfikat w usłudze Active Directory i nie rejestruj się automatycznie, jeśli w polach wyboru usługi Active Directory istnieje zduplikowany certyfikat.
   Obsługa żądań	1. Cel: wybierz pozycję Podpis i szyfrowanie z listy rozwijanej. 2. Zaznacz pole wyboru Zezwalaj na eksportowanie klucza prywatnego.
   Kryptografia	1. Kategoria dostawcy: wybierz Dostawca usług kryptograficznych starego typu 2. Nazwa algorytmu: wybierz opcję Określona przez CSP z listy rozwijanej. 3. minimalny rozmiar klucza: 2048 lub 4096 zgodnie z wymaganiami dotyczącymi zabezpieczeń organizacji. 4. Dostawcy : Wybierz Microsoft RSA Channel Cryptographic Provider i Microsoft Enhanced Cryptographic Provider w wersji 1.0.
   Zabezpieczenia	1. Usuń konto użytkownika tworzącego szablon, zamiast tego powinny znajdować się grupy. 2. Upewnij się, że grupa Użytkownicy uwierzytelnieni (lub obiekt komputera) ma uprawnienia Odczyt i Zapis. 2. Usuń zaznaczenie uprawnienia Enroll dla Domain Adminsi Enterprise Admins. 3. Dodaj uprawnienia dla grupy zabezpieczeń, która zawiera serwery programu Operations Manager, i przyznaj tej grupie uprawnienia Zarejestruj.
   Wymagania dotyczące wystawiania	1. Zaznacz pole wyboru dla zatwierdzenia menedżera certyfikatów CA 2. W obszarze "Wymagaj następującej rejestracji" wybierz pozycję Prawidłowy istniejący certyfikat 3. Zaznacz pole wyboru Zezwalaj na odnawianie oparte na kluczach
   Nazwa podmiotu	1. Wybierz Dostawa w żądaniu 2. Zaznacz pole wyboru Użyj informacji podmiotu z istniejących certyfikatów...

6. Wybierz pozycję Zastosuj i OK, aby utworzyć nowy szablon.

Publikowanie szablonu we wszystkich odpowiednich urzędach certyfikacji

1. Zaloguj się do serwera przyłączonego do domeny przy użyciu usługi AD CS w Twoim środowisku (Twoje centrum autoryzacji).
2. Na pulpicie systemu Windows wybierz pozycję Start>Narzędzia administracyjne systemu Windows>Urząd certyfikacji.
3. W okienku nawigacji po prawej stronie rozwiń CA, kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz pozycję Nowy>Szablony certyfikatów do wydania.
4. Wybierz nowy szablon utworzony w powyższych krokach i wybierz przycisk OK.

Żądanie certyfikatu przy użyciu pliku żądania

Uwaga

Tworzenie żądań certyfikatów przy użyciu pliku INF jest starszą metodą i nie jest zalecane.

Tworzenie pliku informacyjnego (inf)

1. Na komputerze hostujący funkcję programu Operations Manager, dla której żądasz certyfikatu, otwórz nowy plik tekstowy w edytorze tekstów.

2. Utwórz plik tekstowy zawierający następującą zawartość:

   [NewRequest]
   Subject="CN=server.contoso.com"
   Key Exportable = TRUE  ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE
   HashAlgorithm = SHA256
   KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
   KeySpec = 1  ; AT_KEYEXCHANGE
   KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
   MachineKeySet = TRUE ; The key belongs to the local computer account
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   KeyAlgorithm = RSA
   
   ; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named
   [RequestAttributes]
   CertificateTemplate="OperationsManager"
   
   ; Not required if using a template with this defined
   [EnhancedKeyUsageExtension]
   OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
   OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication
   

3. Zapisz plik przy użyciu rozszerzenia pliku .inf. Na przykład CertRequestConfig.inf.

4. Zamknij edytor tekstów.

Tworzenie pliku żądania certyfikatu

Ten proces koduje informacje określone w naszym pliku konfiguracji w formacie Base64 i zapisuje do nowego pliku.

1. Na komputerze hostujący funkcję programu Operations Manager, dla której żądasz certyfikatu, otwórz wiersz polecenia administratora.

2. Przejdź do tego samego katalogu, w którym znajduje się plik .inf.

3. Uruchom następujące polecenie, aby zmodyfikować nazwę pliku .inf, aby upewnić się, że jest zgodna z wcześniej utworzoną nazwą pliku. Pozostaw nazwę pliku .req as-is:

   CertReq –New –f CertRequestConfig.inf CertRequest.req
   

4. Zweryfikuj nowy plik .req, uruchamiając następujące polecenie i sprawdzając wyniki:

   CertUtil CertRequest.req
   

Przesyłanie nowego żądania certyfikatu

1. Na komputerze hostujący funkcję programu Operations Manager, dla której żądasz certyfikatu, otwórz wiersz polecenia administratora.

2. Przejdź do tego samego katalogu, w którym znajduje się plik .req.

3. Uruchom następujące polecenie, aby przesłać żądanie do CA.

   CertReq -Submit CertRequest.req
   

4. Możesz zapoznać się z opcjami wyboru urzędu certyfikacji, jeśli tak, wybierz odpowiedni urząd certyfikacji i kontynuuj.

5. Po zakończeniu wyniki mogą wskazywać, że "Wniosek o certyfikat jest oczekujący", co wymaga, aby zatwierdzający certyfikat zaakceptował wniosek przed kontynuowaniem.

   1. W przeciwnym razie certyfikat zostanie zaimportowany do magazynu certyfikatów.

Żądanie certyfikatu przy użyciu Menedżera certyfikatów

Dla korporacyjnych urzędów certyfikacji z określonym szablonem certyfikatu, można wystąpić o nowy certyfikat z komputera klienckiego przyłączonego do domeny, używając Menedżera certyfikatów. Ta metoda jest specyficzna dla urzędów certyfikacji przedsiębiorstwa i nie ma zastosowania do odrębnych urzędów certyfikacji.

1. Zaloguj się na maszynie docelowej przy użyciu uprawnień administratora (serwer zarządzania, brama, agent itd.).

2. Użyj wiersza polecenia administratora lub okna programu PowerShell, aby otworzyć Menedżera certyfikatów.

   1. certlm.msc — otwiera magazyn certyfikatów komputera lokalnego.
   2. mmc.msc — otwiera konsolę Microsoft Management Console.
      1. Załaduj przystawkę Zarządzanie certyfikatami.
      2. Przejdź do Plik>Dodaj/Usuń przystawkę.
      3. Wybierz Certyfikaty.
      4. Wybierz Dodaj.
      5. Po wyświetleniu monitu wybierz pozycję Konto komputera i wybierz pozycję Dalej
      6. Upewnij się, że wybierz pozycję Komputer lokalny i wybierz pozycję Zakończ.
      7. Wybierz przycisk OK , aby zamknąć kreatora.

3. Uruchom żądanie certyfikatu:

   1. W obszarze Certyfikaty rozwiń folder Osobiste.
   2. Kliknij prawym przyciskiem myszy pozycję Certyfikaty>Wszystkie zadania>Zażądaj nowego certyfikatu.

4. W kreatorze do rejestracji certyfikatów

   1. Na stronie Przed rozpoczęciem wybierz pozycję Dalej.
   2. Wybierz odpowiednie zasady rejestracji certyfikatów (ustawieniem domyślnym mogą być zasady rejestracji usługi Active Directory), wybierz pozycję Dalej
   3. Wybierz żądany szablon zasad rejestracji.
   4. Jeśli szablon nie jest natychmiast dostępny, wybierz pole Pokaż wszystkie szablony poniżej listy
   5. Jeśli potrzebny szablon jest dostępny z czerwonym X obok niego, skontaktuj się z zespołem usługi Active Directory lub certyfikatu
   6. Ponieważ informacje w certyfikacie muszą zostać wprowadzone ręcznie, pod wybranym szablonem znajdziesz komunikat ostrzegawczy w formie hiperłącza z napisem ⚠️ More Information is required to enroll for this certificate. Click here to configure settings..
      1. Wybierz łącze i dalej wypełniaj informacje dotyczące certyfikatu w oknie.

5. W kreatorze właściwości certyfikatu:

   Karta	opis
   Temat	1. W polu Nazwa podmiotu wybierz Nazwa pospolita lub Pełna nazwa wyróżniająca, podaj wartość - nazwa hosta lub nazwa BIOS serwera docelowego. Wybierz Dodaj. 2. Dodaj alternatywne nazwy zgodnie z potrzebami. W przypadku używania alternatywnych nazw zamiast podmiotu nazwa pierwszej musi być zgodna z nazwą hosta lub nazwą systemu BIOS.
   Ogólne	1. Podaj przyjazną nazwę wygenerowanego certyfikatu. 2. Podaj opis przeznaczenia tego certyfikatu w razie potrzeby.
   Rozszerzenia	1. W obszarze Użycie klucza upewnij się, że wybrano opcję Podpis cyfrowy i Szyfrowanie klucza, a następnie zaznacz pole wyboru Ustaw te użycie kluczy jako krytyczne. 2. W obszarze Rozszerzone użycie klucza upewnij się, że wybrano opcje Server Authentication i Client Authentication.
   Klucz prywatny	1. W obszarze Opcje klucza upewnij się, że rozmiar klucza wynosi co najmniej 1024 lub 2048, a następnie zaznacz pole wyboru Ustaw klucz prywatny do wyeksportowania . 2. W obszarze Typ klucza upewnij się, że wybrano opcję Exchange .
   Karta Urzędu Certyfikacji	Upewnij się, że zaznaczono pole wyboru CA.
   Podpis	Jeśli Twoja organizacja wymaga organu rejestracyjnego, dostarcz certyfikat podpisu dla tego żądania.

   1. Po wprowadzeniu informacji w kreatorze Właściwości certyfikatu, wcześniejszy hiperlink ostrzegawczy znika.
   2. Wybierz pozycję Zarejestruj, aby utworzyć certyfikat. Jeśli wystąpi błąd, skontaktuj się z zespołem Active Directory lub zespołem certyfikatów.
      1. W przypadku powodzenia stan wskazuje Pomyślnie zakończono, a nowy certyfikat znajduje się w magazynie Osobiste/Certyfikaty.

6. Jeśli te działania zostały wykonane dla zamierzonego adresata certyfikatu, przejdź do następnych kroków.

7. Jeśli żądanie certyfikatu musi zostać zatwierdzone przez Menedżera certyfikatów, kontynuuj po zweryfikowaniu i zatwierdzeniu żądania.

   1. Po zatwierdzeniu, jeśli automatyczna rejestracja jest skonfigurowana, certyfikat pojawi się w systemie po aktualizacji zasad grupy (gpupdate /force).
   2. Jeśli nie jest on wyświetlany w magazynie osobistym dla komputera lokalnego, zapoznaj się z Certyfikaty, lokalny komputer>Żądania rejestracji certyfikatów>Certyfikaty
      1. Jeśli żądany certyfikat jest obecny w tym miejscu, skopiuj go do osobistego magazynu certyfikatów.
      2. Jeśli żądany certyfikat nie znajduje się tutaj, skontaktuj się z zespołem ds. certyfikatów.

8. W przeciwnym razie wyeksportuj nowy certyfikat z maszyny i skopiuj go do następnego.

   1. Otwórz okno Menedżera certyfikatów i przejdź do Osobiste>Certyfikaty.
   2. Wybierz certyfikat do wyeksportowania.
   3. Kliknij prawym przyciskiem myszy Wszystkie ZadaniaEksportuj.
   4. W Kreatorze eksportu certyfikatów.
      1. Wybierz pozycję Dalej na stronie Powitanie.
      2. Upewnij się, że wybierz pozycję Tak, wyeksportuj klucz prywatny.
      3. Wybierz pozycję Wymiana informacji osobistych — PKCS #12 (.PFX) z opcji formatowania.
         1. Zaznacz pola wyboru Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe oraz Eksportuj wszystkie rozszerzone właściwości.
      4. Wybierz Dalej.
      5. Podaj znane hasło do szyfrowania pliku certyfikatu.
      6. Wybierz Dalej.
      7. Podaj dostępną ścieżkę i rozpoznawalną nazwę pliku certyfikatu.
   5. Skopiuj nowo utworzony plik certyfikatu na maszynę docelową.

Instalowanie certyfikatu na maszynie docelowej

Aby użyć nowo utworzonego certyfikatu, zaimportuj go do magazynu certyfikatów na komputerze klienckim.

Dodawanie certyfikatu do magazynu certyfikatów

1. Zaloguj się na komputerze, na którym są tworzone certyfikaty dla serwera zarządzania, bramy lub agenta.

2. Skopiuj utworzony wcześniej certyfikat do dostępnej lokalizacji na tym komputerze.

3. Otwórz wiersz polecenia administratora lub okno programu PowerShell i przejdź do folderu, w którym znajduje się plik certyfikatu.

4. Uruchom następujące polecenie, zastępując NewCertificate.cer poprawną nazwą/ścieżką pliku:

   CertReq -Accept -Machine NewCertificate.cer

5. Ten certyfikat powinien być teraz obecny w magazynie osobistym komputera lokalnego na tym komputerze.

Alternatywnie kliknij prawym przyciskiem myszy plik certyfikatu i wybierz opcję > Zainstaluj > na komputer lokalny, a następnie wybierz lokalizację docelową magazynu osobistego, aby zainstalować certyfikat.

Napiwek

Jeśli dodasz certyfikat do magazynu certyfikatów z kluczem prywatnym, a później go usuniesz, certyfikat utraci klucz prywatny po ponownym zaimportowaniu. Program Operations Manager wymaga klucza prywatnego do szyfrowania danych wychodzących. Aby przywrócić klucz prywatny, użyj polecenia certutil z numerem seryjnym certyfikatu. Uruchom następujące polecenie w wierszu polecenia administratora lub w oknie programu PowerShell:

certutil -repairstore my <certificateSerialNumber>

Importowanie certyfikatu do programu Operations Manager

Oprócz instalacji certyfikatu w systemie należy zaktualizować program Operations Manager, aby był świadomy certyfikatu, którego chcesz użyć. Te akcje powodują ponowne uruchomienie usługi Microsoft Monitoring Agent w celu zastosowania zmian.

Wymagamy narzędzia MOMCertImport.exe, które znajduje się w folderze SupportTools nośnika instalacyjnego programu Operations Manager. Skopiuj plik na serwer.

Aby zaimportować certyfikat do programu Operations Manager przy użyciu narzędzia MOMCertImport, wykonaj następujące kroki:

1. Zaloguj się na komputerze docelowym.

2. Otwórz wiersz polecenia administratora lub okno programu PowerShell i przejdź do folderu narzędzia MOMCertImport.exe .

3. Uruchom narzędzie MomCertImport.exe, wykonując następujące polecenie:

   1. W usłudze CMD: MOMCertImport.exe
   2. W programie PowerShell: .\MOMCertImport.exe

4. Zostanie wyświetlone okno graficznego interfejsu użytkownika z monitem o Wybierz certyfikat.

   1. Możesz zobaczyć listę certyfikatów. Jeśli nie widzisz natychmiast żądanego certyfikatu, wybierz opcję Więcej możliwości.

5. Z listy wybierz nowy certyfikat dla maszyny.

   1. Możesz zweryfikować certyfikat, wybierając go. Po wybraniu można wyświetlić właściwości certyfikatu.

6. Wybierz OK

7. W przypadku powodzenia w oknie podręcznym zostanie wyświetlony następujący komunikat:

   Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

8. Aby sprawdzić poprawność, przejdź do Podgląd zdarzeń>Dzienniki aplikacji i usług>Operations Manager i poszukaj identyfikatora zdarzenia 20053. To zdarzenie wskazuje, że certyfikat uwierzytelniania został pomyślnie załadowany

9. Jeśli identyfikator zdarzenia 20053 nie jest obecny w systemie, poszukaj jednego z następujących identyfikatorów zdarzeń, ponieważ definiują one wszelkie problemy z zaimportowanymi certyfikatami, popraw odpowiednio:

   • 20049
   • 20050
   • 20052
   • 20066
   • 20069
   • 20077

   Jeśli żaden z tych identyfikatorów zdarzeń nie istnieje w dzienniku, importowanie certyfikatu nie powiodło się, sprawdź certyfikat i uprawnienia administracyjne i spróbuj ponownie.

10. MOMCertImport aktualizuje następującą lokalizację rejestru, aby zawierała wartość zgodną z numerem seryjnym zaimportowanego certyfikatu dublowanego:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
    

Odnawianie certyfikatu

Program Operations Manager generuje alert, gdy zaimportowany certyfikat dla serwerów zarządzania i bram zbliża się do wygaśnięcia. Jeśli otrzymasz taki alert, odnów lub utwórz nowy certyfikat dla serwerów przed datą wygaśnięcia. Funkcjonalność alertu działa tylko wtedy, gdy certyfikat zawiera informacje o szablonie z firmowego urzędu certyfikacji.

1. Zaloguj się na serwerze przy użyciu wygasającego certyfikatu i uruchom menedżera konfiguracji certyfikatu (certlm.msc).
2. Znajdź wygasający certyfikat programu Operations Manager.
3. Jeśli nie znajdziesz certyfikatu, mógł zostać usunięty lub zaimportowany za pośrednictwem pliku, a nie magazynu certyfikatów. Należy wydać nowy certyfikat dla tej maszyny z urzędu certyfikacji. Zapoznaj się z wcześniejszymi instrukcjami dotyczącymi tego, jak to zrobić.
4. Jeśli znajdziesz certyfikat, poniżej przedstawiono opcje, które należy wybrać, aby odnowić certyfikat:
   1. Żądanie certyfikatu przy użyciu nowego klucza
   2. Odnawianie certyfikatu przy użyciu nowego klucza
   3. Odnawianie certyfikatu przy użyciu tego samego klucza
5. Wybierz opcję, która najlepiej dotyczy tego, co chcesz zrobić, i postępuj zgodnie z instrukcjami kreatora.
6. Po zakończeniu uruchom narzędzie MOMCertImport.exe, aby upewnić się, że program Operations Manager ma nowy numer seryjny certyfikatu. Aby uzyskać więcej informacji, zobacz sekcję Importowanie certyfikatu do programu Operations Manager.

Jeśli odnawianie certyfikatu za pośrednictwem tej metody jest niedostępne, skorzystaj z wcześniejszych kroków, aby zażądać nowego certyfikatu lub skontaktuj się z urzędem certyfikacji organizacji. Zainstaluj i zaimportuj (MOMCertImport) nowy certyfikat do użycia przez program Operations Manager.

Opcjonalnie: Konfigurowanie automatycznej rejestracji i odnawiania certyfikatu

Użyj urzędu certyfikacji przedsiębiorstwa, aby skonfigurować automatyczną rejestrację i odnawianie certyfikatów po ich wygaśnięciu. Dzięki temu zaufany certyfikat główny jest dystrybuowany do wszystkich systemów przyłączonych do domeny.

Konfiguracja automatycznego rejestrowania i odnawiania certyfikatów nie działa z Stand-Alone ani z urzędami certyfikacji innych niż Microsoft. W przypadku systemów w grupie roboczej lub oddzielnej domenie odnawianie certyfikatów i rejestracje będą procesem ręcznym.

Aby uzyskać więcej informacji, zobacz przewodnik Windows Server.

Uwaga

Automatyczne rejestrowanie i odnawianie nie konfiguruje programu Operations Manager do korzystania z nowego certyfikatu. Jeśli certyfikat zostanie automatycznie odnowiony przy użyciu tego samego klucza, odcisk palca może również pozostać taki sam, a administrator nie musi wykonywać żadnych działań. Jeśli nowy certyfikat zostanie wygenerowany lub odcisk palca zmieni się, zaktualizowany certyfikat musi zostać ponownie zaimportowany. Aby uzyskać więcej informacji, zobacz sekcję Importowanie certyfikatu do programu Operations Manager.