Share via

Criar perfis de certificado

  • Artigo

Aplica-se a: Gerenciador de Configurações (branch atual)

Importante

A partir da versão 2203, esse recurso de acesso a recursos da empresa não tem mais suporte. Para obter mais informações, confira Perguntas frequentes sobre a preterição do acesso ao recurso.

Use perfis de certificado em Configuration Manager para provisionar dispositivos gerenciados com os certificados necessários para acessar os recursos da empresa. Antes de criar perfis de certificado, configure a infraestrutura de certificado conforme descrito em Configurar infraestrutura de certificado.

Este artigo descreve como criar perfis de certificado SCEP (protocolo de registro de certificado) de raiz confiável e simples. Se você quiser criar perfis de certificado PFX, consulte Criar perfis de certificado PFX.

Para criar um perfil de certificado:

  1. Inicie o Assistente criar perfil de certificado.
  2. Forneça informações gerais sobre o certificado.
  3. Configure um certificado de autoridade de certificado confiável (AC).
  4. Configurar informações de certificado SCEP.
  5. Especifique plataformas com suporte para o perfil de certificado.

Iniciar o assistente

Para iniciar o Perfil criar certificado:

  1. No console Configuration Manager, acesse o workspace Ativos e Conformidade, expanda Configurações de Conformidade, expandaAcesso a Recursos da Empresa e selecione o nó Perfis de Certificado.

  2. Na guia Página Inicial da faixa de opções, no grupo Criar , selecione Criar Perfil de Certificado.

Geral

Na página Geral do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

  • Nome: insira um nome exclusivo para o perfil de certificado. Você pode usar um máximo de 256 caracteres.

  • Descrição: forneça uma descrição que forneça uma visão geral do perfil do certificado. Inclua também outras informações relevantes que ajudam a identificá-la no console Configuration Manager. Você pode usar um máximo de 256 caracteres.

  • Especifique o tipo de perfil de certificado que você deseja criar:

    • Certificado de AC confiável: selecione esse tipo para implantar uma AC (autoridade de certificação raiz) confiável ou um certificado de AC intermediário para formar uma cadeia de certificados de confiança quando o usuário ou o dispositivo precisar autenticar outro dispositivo. Por exemplo, o dispositivo pode ser um servidor RADIUS (Serviço de Usuário discado de autenticação remota) ou um servidor VPN (rede virtual privada).

      Configure também um perfil de certificado de AC confiável antes de criar um perfil de certificado SCEP. Nesse caso, o certificado de AC confiável deve ser para a AC que emite o certificado para o usuário ou dispositivo.

    • Configurações simples do Protocolo de Registro de Certificado (SCEP): selecione esse tipo para solicitar um certificado para um usuário ou dispositivo com o Protocolo de Registro de Certificado Simples e o serviço de função NDES (Serviço de Registro de Dispositivo de Rede).

    • Configurações do PKCS #12 (PFX) do Exchange de Informações Pessoais – Importação: selecione esta opção para importar um certificado PFX. Para obter mais informações, consulte Importar perfis de certificado PFX.

    • Configurações do PFX (Personal Information Exchange PKCS #12) – Criar: selecione esta opção para processar certificados PFX usando uma autoridade de certificado. Para obter mais informações, consulte Criar perfis de certificado PFX.

Certificado de AC confiável

Importante

Antes de criar um perfil de certificado SCEP, configure pelo menos um perfil de certificado de AC confiável.

Depois que o certificado for implantado, se você alterar qualquer um desses valores, um novo certificado será solicitado:

  • Provedor de Armazenamento de Chaves
  • Nome do modelo de certificado
  • Tipo de certificado
  • Formato de nome da entidade
  • Nome alternativo da entidade
  • Período de validade do certificado
  • Uso de chave
  • Tamanho da chave
  • Uso estendido de chave
  • Certificado de AC raiz

  1. Na página Certificado de AC confiável do Assistente criar perfil de certificado, especifique as seguintes informações:

    • Arquivo de certificado: selecione Importar e, em seguida, navegue até o arquivo de certificado.

    • Repositório de destino: para dispositivos com mais de um repositório de certificados, selecione onde armazenar o certificado. Para dispositivos que têm apenas um repositório, essa configuração é ignorada.

  2. Use o valor da impressão digital certificado para verificar se você importou o certificado correto.

Certificados SCEP

1. Servidores SCEP

Na página Servidores SCEP do Assistente criar perfil de certificado, especifique as URLs para os servidores NDES que emitirão certificados por meio do SCEP. Você pode atribuir automaticamente uma URL do NDES com base na configuração do ponto de registro do certificado ou adicionar URLs manualmente.

2. Registro de SCEP

Conclua a página Registro SCEP do Assistente criar perfil de certificado.

  • Repetições: especifique o número de vezes que o dispositivo tenta automaticamente a solicitação de certificado para o servidor NDES. Essa configuração dá suporte ao cenário em que um gerente de AC deve aprovar uma solicitação de certificado antes de ser aceita. Essa configuração normalmente é usada para ambientes de alta segurança ou se você tiver uma AC emissora autônoma em vez de uma AC corporativa. Você também pode usar essa configuração para fins de teste para que você possa inspecionar as opções de solicitação de certificado antes que a AC emissora processe a solicitação de certificado. Use essa configuração com a configuração de atraso de repetição (minutos).

  • Repita o atraso (minutos): especifique o intervalo, em minutos, entre cada tentativa de registro ao usar a aprovação do gerente de AC antes que a AC emissora processe a solicitação de certificado. Se você usar a aprovação do gerente para fins de teste, especifique um valor baixo. Em seguida, você não está esperando muito tempo para que o dispositivo tente novamente a solicitação de certificado depois de aprovar a solicitação.

    Se você usar a aprovação do gerente em uma rede de produção, especifique um valor mais alto. Esse comportamento permite tempo suficiente para o administrador da AC aprovar ou negar aprovações pendentes.

  • Limite de renovação (%): especifique o percentual do tempo de vida do certificado que permanece antes que o dispositivo solicite a renovação do certificado.

  • KSP (Provedor de Armazenamento de Chaves): especifique onde a chave do certificado é armazenada. Escolha um dos valores a seguir:

    • Instale no TPM (Trusted Platform Module) se estiver presente: instala a chave no TPM. Se o TPM não estiver presente, a chave será instalada no provedor de armazenamento da chave de software.

    • Instalar no TPM (Trusted Platform Module) caso contrário, falhará: instala a chave no TPM. Se o módulo TPM não estiver presente, a instalação falhará.

    • Instale para Windows Hello para Empresas caso contrário, falhar: essa opção está disponível para dispositivos Windows 10 ou posteriores. Ele permite armazenar o certificado no repositório Windows Hello para Empresas, que é protegido pela autenticação multifator. Para obter mais informações, consulte Windows Hello para Empresas.

      Observação

      Essa opção não dá suporte a logon de cartão inteligente para o uso de chave aprimorada na página Propriedades do Certificado.

    • Instalar no Provedor de Armazenamento de Chaves de Software: instala a chave no provedor de armazenamento da chave de software.

  • Dispositivos para registro de certificado: se você implantar o perfil de certificado em uma coleção de usuários, permita o registro de certificado somente no dispositivo primário do usuário ou em qualquer dispositivo ao qual o usuário entre.

    Se você implantar o perfil de certificado em uma coleção de dispositivos, permita o registro de certificado apenas para o usuário principal do dispositivo ou para todos os usuários que entrarem no dispositivo.

3. Propriedades do certificado

Na página Propriedades de Certificado do Assistente criar perfil de certificado, especifique as seguintes informações:

  • Nome do modelo de certificado: selecione o nome de um modelo de certificado que você configurou no NDES e adicionado a uma AC emissora. Para navegar com êxito em modelos de certificado, sua conta de usuário precisa de permissão de leitura para o modelo de certificado. Se você não puder procurar o certificado, digite seu nome.

    Importante

    Se o nome do modelo de certificado contiver caracteres não ASCII, o certificado não será implantado. (Um exemplo desses caracteres é do alfabeto chinês.) Para garantir que o certificado seja implantado, primeiro crie uma cópia do modelo de certificado na AC. Em seguida, renomeie a cópia usando caracteres ASCII.

    • Se você procurar para selecionar o nome do modelo de certificado, alguns campos na página serão preenchidos automaticamente no modelo de certificado. Em alguns casos, você não pode alterar esses valores a menos que escolha um modelo de certificado diferente.

    • Se você digitar o nome do modelo de certificado, verifique se o nome corresponde exatamente a um dos modelos de certificado. Ele deve corresponder aos nomes listados no registro do servidor NDES. Especifique o nome do modelo de certificado e não o nome de exibição do modelo de certificado.

      Para encontrar os nomes dos modelos de certificado, navegue até a seguinte chave do registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Ele lista os modelos de certificado como os valores de EncryptionTemplate, GeneralPurposeTemplate e SignatureTemplate. Por padrão, o valor para todos os três modelos de certificado é IPSECIntermediateOffline, que mapeia para o nome de exibição de modelo do IPSec (solicitação offline).

      Aviso

      Quando você digita o nome do modelo de certificado, Configuration Manager não pode verificar o conteúdo do modelo de certificado. Você pode selecionar opções que o modelo de certificado não dá suporte, o que pode resultar em uma solicitação de certificado com falha. Quando esse comportamento acontecer, você verá uma mensagem de erro para w3wp.exe no arquivo CPR.log que o nome do modelo na CSR (solicitação de assinatura de certificado) e o desafio não correspondem.

      Quando você digitar o nome do modelo de certificado especificado para o valor GeneralPurposeTemplate, selecione a encipherment Key e as opções de assinatura digital para este perfil de certificado. Se você quiser habilitar apenas a opção Dencifamento de chave neste perfil de certificado, especifique o nome do modelo de certificado para a chave EncryptionTemplate . Da mesma forma, se você quiser habilitar apenas a opção Assinatura digital neste perfil de certificado, especifique o nome do modelo de certificado para a chave SignatureTemplate .

  • Tipo de certificado: selecione se você implantará o certificado em um dispositivo ou usuário.

  • Formato nome da entidade: selecione como Configuration Manager cria automaticamente o nome do assunto na solicitação de certificado. Se o certificado for para um usuário, você também poderá incluir o endereço de email do usuário no nome do assunto.

    Observação

    Se você selecionar número IMEI ou número de série, poderá diferenciar entre dispositivos diferentes que pertencem ao mesmo usuário. Por exemplo, esses dispositivos podem compartilhar um nome comum, mas não um número de série ou número de série IMEI. Se o dispositivo não relatar um IMEI ou um número de série, o certificado será emitido com o nome comum.

  • Nome alternativo do assunto: especifique como Configuration Manager cria automaticamente os valores para o SAN (nome alternativo da entidade) na solicitação de certificado. Por exemplo, se você selecionou um tipo de certificado de usuário, poderá incluir o nome da entidade de usuário (UPN) no nome alternativo do assunto. Se o certificado do cliente for autenticado em um Servidor de Política de Rede, defina o nome alternativo do assunto como UPN.

  • Período de validade do certificado: se você definir um período de validade personalizado na AC emissora, especifique a quantidade de tempo restante antes do certificado expirar.

    Dica

    Defina um período de validade personalizado com a seguinte linha de comando:certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE Para obter mais informações sobre esse comando, consulte Infraestrutura de certificado.

    Você pode especificar um valor menor que o período de validade no modelo de certificado especificado, mas não maior. Por exemplo, se o período de validade do certificado no modelo de certificado for de dois anos, você poderá especificar um valor de um ano, mas não um valor de cinco anos. O valor também tem que ser inferior ao período de validade restante do certificado da AC emissora.

  • Uso de chave: especifique as principais opções de uso para o certificado. Escolha dentre as seguintes opções:

    • Codificação de chave: Permitir a troca de chaves apenas quando a chave é criptografada.

    • Assinatura digital: Permitir a troca de chaves apenas quando uma assinatura digital ajudar a proteger a chave.

    Se você navegou por um modelo de certificado, não poderá alterar essas configurações, a menos que selecione um modelo de certificado diferente.

    Configure o modelo de certificado selecionado com uma ou ambas as duas opções de uso de chave acima. Caso contrário, você verá a seguinte mensagem no arquivo de log do ponto de registro de certificado, Crp.log: O uso da chave no CSR e o desafio não correspondem

  • Tamanho da chave (bits): selecione o tamanho da chave em bits.

  • Uso de chave estendida: adicionar valores para a finalidade pretendida do certificado. Na maioria dos casos, o certificado requer Autenticação do Cliente para que o usuário ou dispositivo possa se autenticar em um servidor. Você pode adicionar outros usos de chave conforme necessário.

  • Algoritmo hash: selecione um dos tipos de algoritmo de hash disponíveis para usar com esse certificado. Selecione o nível mais alto de segurança que dá suporte aos dispositivos de conexão.

    Observação

    O SHA-2 dá suporte a SHA-256, SHA-384 e SHA-512. O SHA-3 dá suporte apenas ao SHA-3.

  • Certificado de AC raiz: escolha um perfil de certificado de AC raiz que você configurou e implantou anteriormente para o usuário ou dispositivo. Esse certificado de AC deve ser o certificado raiz da AC que emitirá o certificado que você está configurando neste perfil de certificado.

    Importante

    Se você especificar um certificado de AC raiz que não foi implantado no usuário ou dispositivo, Configuration Manager não iniciará a solicitação de certificado que você está configurando neste perfil de certificado.

Plataformas compatíveis

Na página Plataformas Com Suporte do Assistente para Criar Perfil de Certificado, selecione as versões do sistema operacional em que você deseja instalar o perfil de certificado. Escolha Selecionar tudo para instalar o perfil de certificado em todos os sistemas operacionais disponíveis.

Próximas etapas

O novo perfil de certificado aparece no nó Perfis de Certificado no workspace Ativos e Conformidade . Ele está pronto para você implantar em usuários ou dispositivos. Para obter mais informações, consulte Como implantar perfis.