Compartilhar via

Configurar certificados para comunicações confiáveis com o MDM local

  • Artigo

Aplica-se a: Gerenciador de Configurações (branch atual)

Configuration Manager MDM (gerenciamento de dispositivo móvel local) exige que você configure as funções do sistema de site para comunicações confiáveis com dispositivos gerenciados. Você precisa de dois tipos de certificados:

  • Um certificado de servidor Web no IIS nos servidores que hospedam as funções necessárias do sistema de site. Se um servidor hospedar várias funções do sistema de site, você precisará apenas de um certificado para esse servidor. Se cada função estiver em um servidor separado, cada servidor precisará de um certificado separado.

  • O certificado raiz confiável da autoridade de certificado (AC) que emite os certificados do servidor Web. Instale esse certificado raiz em todos os dispositivos que precisam se conectar às funções do sistema do site.

Para dispositivos ingressados no domínio, se você usar os Serviços de Certificado do Active Directory, ele poderá instalar automaticamente esses certificados em todos os dispositivos. Para dispositivos não associados ao domínio, instale o certificado raiz confiável por alguns outros meios.

Para dispositivos registrados em massa, você pode incluir o certificado no pacote de registro. Para dispositivos registrados pelo usuário, você precisa adicionar o certificado por email, download da Web ou algum outro método.

Se você usar um provedor de certificados público e globalmente confiável para emitir os certificados do servidor, poderá evitar ter que instalar manualmente o certificado raiz confiável em cada dispositivo. A maioria dos dispositivos confia nativamente nessas autoridades públicas. Esse método é uma alternativa útil para dispositivos registrados pelo usuário, em vez de instalar o certificado por meio de outros meios.

Importante

Há várias maneiras de configurar os certificados para comunicações confiáveis entre dispositivos e os servidores do sistema de sites para MDM local. As informações neste artigo são um exemplo de uma maneira de fazê-lo. Esse método requer os Serviços de Certificado do Active Directory, com uma autoridade de certificação e a função de registro web da autoridade de certificação. Para obter mais informações, consulte Serviços de Certificado do Active Directory.

Publicar o CRL

Por padrão, a AUTORIDADE de certificação do Active Directory (AC) usa as listas de revogação de certificados baseadas em LDAP (CRLs). Ele permite conexões com o CRL para dispositivos ingressados no domínio. Para permitir que dispositivos não associados ao domínio confiem em certificados emitidos da AC, adicione um CRL baseado em HTTP.

  1. No servidor que executa a autoridade de certificação do seu site, acesse o menu Iniciar , selecione Ferramentas Administrativas e escolha Autoridade de Certificação.

  2. No console da Autoridade de Certificação, clique com o botão direito do mouse em CertificateAuthority e selecione Propriedades.

  3. Nas propriedades CertificateAuthority, alterne para a guia Extensões . Verifique se Selecionar extensão está definida como CDP (Ponto de Distribuição de CRL).

  4. Selecione http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl. Em seguida, selecione as seguintes opções:

    • Inclua em CRLs. Os clientes usam isso para localizar locais de CRL Delta.

    • Inclua na extensão CDP de certificados emitidos.

    • Incluir na extensão IDP de CRLs emitidas

  5. Alterne para a guia Módulo de Saída . Selecione Propriedades e selecione Permitir que certificados sejam publicados no sistema de arquivos. Você verá um aviso para reiniciar os Serviços de Certificado do Active Directory.

  6. Clique com o botão direito do mouse em Certificados Revogados, selecione Todas as Tarefas e escolha Publicar.

  7. Na janela Publicar CRL, selecione Somente Delta CRL e, em seguida, selecione OK para fechar a janela.

Criar o modelo de certificado

A AC usa o modelo de certificado do servidor Web para emitir certificados para os servidores que hospedam as funções do sistema de site. Esses servidores serão pontos de extremidade SSL para comunicações confiáveis entre as funções do sistema de site e os dispositivos registrados.

  1. Crie um grupo de segurança de domínio chamado servidores MDM do ConfigMgr. Adicione ao grupo as contas de computador dos servidores do sistema de sites.

  2. No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado e escolha Gerenciar. Essa ação carrega o console Modelos de Certificado.

  3. No painel de resultados, clique com o botão direito do mouse na entrada que exibe o Servidor Web na coluna Nome da Exibição de Modelo e selecione Modelo duplicado.

  4. Na janela Modelo duplicado, selecione Windows 2003 Server, Edição Enterprise ou Windows 2008 Server, Edição Enterprise e selecione OK.

    Dica

    Configuration Manager dá suporte a modelos de certificado do Windows 2008 Server, também conhecidos como certificados V3 ou Cryptography: Next Generation (CNG). Para obter mais informações, confira Visão geral dos certificados CNG v3.

    Se sua AC for executada em Windows Server 2012 ou posterior, essa janela não mostrará a opção para a versão do modelo de certificado. Depois de duplicar o modelo, selecione a versão na guia Compatibilidade das propriedades do modelo.

  5. Na janela Propriedades do Novo Modelo , na guia Geral , insira um nome de modelo. A AC usa esse nome para gerar os certificados Web que serão usados em Configuration Manager sistemas de site. Por exemplo, digite servidor Web ConfigMgr MDM.

  6. Alterne para a guia Nome do Assunto e selecione Compilar de informações do Active Directory. Para o formato de nome do assunto, especifique o nome DNS. Se o Nome da Entidade de Usuário (UPN) estiver selecionado, desabilite a opção para o nome de assunto alternativo.

  7. Alterne para a guia Segurança .

    1. Remova a permissão Registrar dos grupos de segurança administradores de domínio e administradores corporativos .

    2. Selecione Adicionar e insira o nome do grupo de segurança. Por exemplo, servidores MDM do ConfigMgr. Selecione OK para fechar a janela.

    3. Selecione a permissão Registrar para esse grupo. Não remova a permissão De leitura .

  8. Selecione OK para salvar suas alterações e feche o console modelos de certificado.

  9. No console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado, selecione Novo e escolha Modelo de Certificado para Emitir.

  10. Na janela Habilitar Modelos de Certificado , selecione o novo modelo. Por exemplo, servidor Web ConfigMgr MDM. Em seguida, selecione OK para salvar e fechar a janela.

Solicitar o certificado

Esse processo descreve como solicitar o certificado do servidor Web para IIS. Faça esse processo para cada servidor do sistema de site que hospeda uma das funções do MDM local.

  1. No servidor do sistema de site que hospeda uma das funções, abra um prompt de comando como administrador. Insira mmc para abrir um console de gerenciamento de Microsoft vazio.

  2. Na janela do console, acesse o menu Arquivo e selecione Adicionar/Remover Snap-in.

    1. Escolha Certificados na lista de snap-ins disponíveis e selecione Adicionar.

    2. Na janela snap-in Certificados, escolha Conta de computador. Selecione Avançar e selecione Concluir para gerenciar o computador local.

    3. Selecione OK para sair da janela Adicionar ou Remover Snap-in.

  3. Expanda Certificados (Computador Local)e selecione o Repositório Pessoal . Vá para o menu Ação , selecione Todas as Tarefas e escolha Solicitar Novo Certificado. Essa ação se comunica com os Serviços de Certificado do Active Directory para criar um novo certificado usando o modelo que você criou anteriormente.

    1. No assistente Registro de Certificado, na página Antes de Começar, selecione Avançar.

    2. Na página Selecionar Política de Registro de Certificado, selecione Política de Registro do Active Directory e selecione Avançar.

    3. Selecione seu modelo de certificado do servidor Web (Servidor Web ConfigMgr MDM) e selecione Registrar.

    4. Depois de solicitar o certificado, selecione Concluir.

Cada servidor precisa de um certificado de servidor Web exclusivo. Repita esse processo para cada servidor que hospeda uma das funções necessárias do sistema de site. Se um servidor hospedar todas as funções do sistema de sites, você só precisará solicitar um certificado de servidor Web.

Associar o certificado

A próxima etapa é associar o novo certificado ao servidor Web. Siga esse processo para cada servidor que hospeda as funções do sistema do site de ponto de proxy de registro e ponto de registro. Se um servidor hospedar todas as funções do sistema de site, você só precisará fazer esse processo uma vez.

Observação

Você não precisa fazer esse processo para as funções do sistema de site de ponto de gerenciamento de dispositivo e ponto de distribuição. Eles recebem automaticamente o certificado necessário durante o registro.

  1. No servidor que hospeda o ponto de registro ou o ponto de proxy de registro, acesse o menu Iniciar , selecione Ferramentas Administrativas e escolha Gerenciador do IIS.

  2. Na lista de Conexões, selecione o Site Padrão e selecione Editar Associações.

    1. Na janela Associações de Sites, selecione https e selecione Editar.

    2. Na janela Editar Associação de Sites, selecione o certificado recém-registrado para o certificado SSL. Selecione OK para salvar e selecione Fechar.

  3. No console do IIS Manager, na lista de Conexões, selecione o servidor Web. No painel Ação no lado direito, selecione Reiniciar. Essa ação reinicia o serviço do servidor Web.

Exportar o certificado raiz confiável

Os Serviços de Certificado do Active Directory instalam automaticamente o certificado necessário da AC em todos os dispositivos ingressados no domínio. Para obter o certificado necessário para que dispositivos não associados ao domínio se comuniquem com as funções do sistema de site, exporte-o do certificado vinculado ao servidor Web.

  1. No Gerenciador do IIS, selecione o Site Da Web Padrão. No painel Ação no lado direito, selecione Associações.

  2. Na janela Associações do Site, selecione https e selecione Editar.

  3. Selecione o certificado do servidor Web e selecione Exibir.

  4. Nas propriedades do certificado do servidor Web, alterne para a guia Caminho da Certificação . Selecione a raiz do caminho de certificação e selecione Exibir Certificado.

  5. Nas propriedades do certificado raiz, alterne para a guia Detalhes e selecione Copiar para Arquivo.

  6. No Assistente de Exportação de Certificados, na página Bem-vindo, selecione Avançar.

  7. Selecione DER codificado binário X.509 (. CER) como o formato e selecione Avançar.

  8. Insira um caminho e um nome de arquivo para identificar esse certificado raiz confiável. Para o nome do arquivo, clique em Procurar..., escolha um local para salvar o arquivo de certificado, nomeie o arquivo e selecione Avançar.

  9. Examine as configurações e selecione Concluir para exportar o certificado para o arquivo.

Dependendo do design da autoridade de certificado, talvez seja necessário exportar certificados raiz de AC subordinados adicionais. Repita esse processo para exportar os outros certificados no caminho de certificação do certificado do servidor Web.

Próxima etapa

Configurar o registro de dispositivo