Obter um certificado para uso com Windows Servers e System Center Operations Manager

Quando o System Center Operations Manager opera entre limites de confiança em que a autenticação Kerberos com computadores cliente Gateway ou Windows não é possível, a autenticação baseada em certificado é necessária. Esse método é usado para estabelecer a comunicação entre o Microsoft Monitoring Agent e os Servidores de Gerenciamento. O principal caso de uso é autenticar com sistemas cliente Gateway e Windows em Grupos de Trabalho, DMZs (Zonas Desmilitarizadas) ou outros domínios sem uma confiança bidirecional.

Os certificados gerados usando este artigo não são para monitoramento do Linux, a menos que um servidor Gateway que executa o monitoramento esteja em um limite de confiança. Nesse caso, o certificado é usado somente para autenticação de Windows para Windows no Gateway e no Servidor de Gerenciamento. Certificados separados (SCX-Certificates) são usados para autenticação do Linux e são gerenciados pelo próprio Operations Manager.

Este artigo descreve como obter um certificado e usá-lo com o Servidor de Gerenciamento do Operations Manager, o Gateway ou o Agente usando um servidor de Autoridade de certificação de Serviços de Certificados do Active Directory (AD CS) na plataforma Windows. Se você estiver usando um Stand-Alone ou uma CA que não é da Microsoft, consulte sua equipe de Certificados/PKI para obter assistência na criação de certificados usados no Operations Manager.

Pré-requisitos

Verifique se você tem os seguintes requisitos em vigor:

• Serviços de Certificados do Active Directory (AD CS) instalados e configurados, ou uma Autoridade Certificadora (CA) não Microsoft. (Observação: este guia não aborda a solicitação de certificados de uma AC não Microsoft.)
• Privilégios de Administrador de Domínio.
• Servidores de Gerenciamento do Operations Manager vinculados ao domínio.

Requisitos de certificado

Importante

O Provedor de Armazenamento de Chaves da API de Criptografia (KSP) não tem suporte para certificados do Operations Manager.

No momento, o Operations Manager não dá suporte a certificados mais avançados e depende de provedores herdados.

Se sua organização não usar o AD CS ou usar uma autoridade de certificação externa, use as instruções fornecidas para essa autoridade criar seu certificado, garantindo que ele atenda aos seguintes requisitos para o Operations Manager:

- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)

- [Key Usage]
    Key Exportable = FALE  ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
    HashAlgorithm = SHA256
    KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
    KeySpec = 1  ; AT_KEYEXCHANGE
    KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
    MachineKeySet = TRUE ; The key belongs to the local computer account
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    KeyAlgorithm = RSA

- [EnhancedKeyUsageExtension]
     - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
     - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
     - Compatible with Windows Server 2012 R2 ; (or newer based on environment)

- [Cryptography Settings]
     - Provider Category: Legacy Cryptography Service Provider
     - Algorithm name: RSA
     - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
     - Providers: "Microsoft RSA Schannel Cryptographic Provider"

Processo de alto nível para obter um certificado

Importante

Para este artigo, as configurações padrão para AD-CS são:

• Comprimento de chave padrão: 2048
• API de criptografia: CSP (provedor de serviços de criptografia)
• Algoritmo de hash seguro: 256 (SHA256)

Avalie essas seleções em relação aos requisitos da política de segurança da sua empresa.

Autoridade Certificadora Empresarial

1. Baixe o certificado raiz de uma autoridade de certificação.
2. Importe o certificado raiz para um servidor cliente.
3. Criar um modelo de certificado.
4. Envie uma solicitação à CA.
5. Aprove a solicitação, se necessário.
6. Recupere o certificado.
7. Importe o certificado para o repositório de certificados.
8. Importe o certificado no Operations Manager usando <MOMCertImport>.

Stand-Alone ou Autoridades Certificadoras não-Microsoft

1. Baixe o certificado raiz de uma autoridade de certificação.
2. Importe o certificado raiz para um cliente-servidor.
3. Solicite um certificado da AC que corresponda aos requisitos do Operations Manager.
4. Aprove a solicitação, se necessário.
5. Recupere o certificado da autoridade de certificação.
6. Importe o certificado para o repositório de certificados.
7. Importe o certificado no Operations Manager usando <MOMCertImport>.

Baixar e importar o certificado raiz da autoridade de certificação

Dica

Se você estiver usando uma CA Empresarial e estiver em um sistema conectado ao domínio, os certificados raiz já deverão estar instalados no armazenamento apropriado e você poderá ignorar essa etapa.

Para verificar se os certificados estão instalados, execute o seguinte comando do PowerShell no sistema conectado ao domínio, substituindo "Domínio" pelo nome de domínio parcial:

# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }

# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }

Para confiar e validar quaisquer certificados emitidos por autoridades certificadoras, o computador de destino precisa ter uma cópia do Certificado Raiz em seu Armazenamento de Raízes Confiáveis. A maioria dos computadores no domínio já confia na AC corporativa. No entanto, nenhum computador confia em um certificado de uma AC não corporativa sem o Certificado Raiz instalado para essa AC.

Se você estiver usando uma AC que não seja da Microsoft, o processo de download será diferente. No entanto, o processo de importação permanece o mesmo.

Instalar automaticamente os certificados raiz e de autoridade de certificação usando a Política de Grupo

1. Entre no computador em que você deseja instalar os certificados como administrador.
2. Abra um prompt de comando do administrador ou um console do PowerShell.
3. Executar o comando gpupdate /force
4. Após a conclusão, verifique a presença de certificados Raiz e de Autoridade de Certificação no repositório de certificados, que devem estar visíveis no Gerenciador de Certificados da Máquina Local em Autoridades de certificação raiz confiáveis>Certificados.

Baixar manualmente o certificado raiz confiável de uma Autoridade Certificadora

Para baixar o certificado Raiz Confiável, siga estas etapas:

1. Entre no computador em que deseja instalar um certificado. Por exemplo, um Servidor de Gateway ou Servidor de Gerenciamento.
2. Abra um navegador da Web e conecte-se ao endereço da Web do servidor de certificados. Por exemplo, https://<servername>/certsrv.
3. Na página Bem-vindo, selecione Baixar um certificado AC, cadeia de certificação ou CRL.
   1. Se for solicitada uma Confirmação de Acesso à Web, verifique o servidor e a URL e selecione Sim.
   2. Verifique as várias opções em Certificado de Autoridade Certificadora (CA) e confirme a seleção.
4. Altere o método de codificação para Base 64 e selecione Baixar Cadeia de Certificados da CA.
5. Salve o certificado e forneça um nome amigável.

Importar o certificado raiz confiável da CA no cliente

Observação

Para importar um Certificado Raiz Confiável, você deve ter privilégios administrativos na máquina de destino.

Para importar o Certificado Raiz Confiável, siga estas etapas:

1. Copie o arquivo gerado na etapa anterior para o cliente.
2. Abra o Gerenciador de Certificados.
   1. Na Linha de Comando, PowerShell ou Executar, digite certlm.msc e pressione Enter.
   2. Selecione Iniciar > Executar e digite mmc para localizar o Console de Gerenciamento da Microsoft (mmc.exe).
      1. Vá para Arquivo>Adicionar/Remover Snap-in….
      2. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados e, em seguida, selecione Adicionar.
      3. Na caixa de diálogo Snap-in do Certificado,
         1. Selecione Conta de computador e selecione Avançar. A caixa de diálogo Selecionar computador é aberta.
         2. Selecione Computador local e selecione Concluir.
      4. Selecione OK.
      5. Na Raiz do Console, expanda Certificados (Computador local)
3. Expanda Autoridades de Certificação Raiz Confiáveis e selecione Certificados.
4. Selecione Todas as tarefas.
5. No Assistente de Importação de Certificado, deixe a primeira página como padrão e selecione Avançar.
   1. Navegue até o local onde você baixou o arquivo de certificado de CA e selecione o arquivo de certificado raiz confiável copiado da CA.
   2. Selecione Avançar.
   3. No local do Repositório de certificados, deixe as Autoridades de Certificação Confiáveis como padrão.
   4. Selecione Avançar e Concluir.
6. Se bem-sucedido, o Certificado Raiz Confiável da AC ficará visível em Autoridades de Certificação Raiz Confiáveis>Certificados.

Criar um modelo de certificado para uma AC Corporativa

Importante

Se você estiver utilizando AC Autônomas ou não Microsoft, consulte a equipe responsável pelo certificado ou PKI sobre como gerar a sua solicitação de certificado.

Para obter mais informações, consulte modelos de certificado.

Criar um modelo de certificado para o System Center Operations Manager

1. Acesse um servidor associado ao domínio com o AD CS no seu ambiente (sua AC).

2. Na área de trabalho do Windows, selecione Iniciar>Ferramentas Administrativas do Windows>Autoridade de Certificação.

3. No painel de navegação direito, expanda o CA, clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar.

4. Clique com o botão direito do mouse em Computador e selecione Duplicar Modelo.

5. A caixa de diálogo Propriedades do Novo Modelo é aberta; faça as seleções conforme indicado:

   Tab	Descrição
   Compatibilidade	1. Autoridade de certificação: Windows Server 2012 R2 (ou o nível funcional mais baixo do Active Directory no ambiente). 2. Destinatário do Certificado: Windows Server 2012 R2 (ou o sistema operacional de versão mais baixa no ambiente).
   Geral	1. Nome de exibição do modelo: insira um nome amigável, como Operations Manager. 2. Nome do modelo: insira o mesmo nome do nome de exibição. 3. período de validade e período de renovação: insira os períodos de validade e renovação que se alinham à política de certificado da sua organização. A recomendação de validade é não exceder metade da vida útil da AC que emite o certificado. (Por exemplo: subcertificado AC de quatro anos, tempo máximo de vida de dois anos para o certificado). 4. Selecione as caixas de seleção Publicar certificado no Active Directory e Não registrar novamente automaticamente se existir um certificado duplicado no Active Directory.
   Tratamento de solicitações	1. Finalidade: selecione Assinatura e criptografia no menu suspenso. 2. Marque a caixa de seleção Permitir que a chave privada seja exportada .
   Criptografia	1. Categoria do provedor: Selecione o provedor de serviços de criptografia herdado 2. Nome do algoritmo: selecione "Determinado pelo CSP" na lista suspensa. 3. tamanho mínimo da chave: 2048 ou 4096 de acordo com o requisito de segurança da organização. 4. Provedores : selecione Provedor criptográfico do canal Microsoft RSA e Provedor de criptografia aprimorado da Microsoft v1.0.
   Segurança	1. Remova a conta de usuário do usuário que está criando o modelo; os grupos devem estar em seu lugar. 2. Verifique se o grupo Usuários autenticados (ou objeto Computer) tem permissões de Leitura e Registro. 2. Desmarque a permissão Inscrever para Domain Admins e Enterprise Admins. 3. Adicione permissões para o Grupo de Segurança que contém seus Servidores do Operations Manager e conceda a esse grupo permissão Registrar.
   Requisitos de emissão	1. Marque a caixa para Aprovação do gerenciador de certificados da AC 2. Em "Exigir o seguinte para reenrollamento", selecione certificado existente válido 3. Marque a caixa para Permitir renovação baseada em chave
   Nome do Sujeito	1. Selecione Fornecimento na solicitação 2. Marque a opção para Usar informações do requerente de certificados existentes...

6. Selecione Aplicar e OK para criar o novo modelo.

Publicar o modelo em todas as Autoridades de Certificação relevantes

1. Acesse um servidor associado ao domínio com o AD CS no seu ambiente (sua AC).
2. Na área de trabalho do Windows, selecione Iniciar>Ferramentas Administrativas do Windows>Autoridade de Certificação.
3. No painel de navegação à direita, expanda a CA, clique com o botão direito do mouse em Modelos de Certificado e selecione Novos>Modelos de Certificado a Emitir.
4. Selecione o novo modelo criado nas etapas acima e selecione OK.

Solicitar um certificado usando um arquivo de solicitação

Observação

A criação de solicitações de certificado usando um arquivo INF é um método herdado e não é recomendada.

Criar um arquivo de informações (.inf)

1. No computador que hospeda o recurso do Operations Manager para o qual você está solicitando um certificado, abra um novo arquivo de texto em um editor de texto.

2. Crie um arquivo de texto contendo o seguinte conteúdo:

   [NewRequest]
   Subject="CN=server.contoso.com"
   Key Exportable = TRUE  ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE
   HashAlgorithm = SHA256
   KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
   KeySpec = 1  ; AT_KEYEXCHANGE
   KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
   MachineKeySet = TRUE ; The key belongs to the local computer account
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   KeyAlgorithm = RSA
   
   ; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named
   [RequestAttributes]
   CertificateTemplate="OperationsManager"
   
   ; Not required if using a template with this defined
   [EnhancedKeyUsageExtension]
   OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
   OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication
   

3. Salve o arquivo com uma extensão de arquivo .inf. Por exemplo, CertRequestConfig.inf.

4. Feche o editor de texto.

Criar um arquivo de solicitação de certificado

Esse processo codifica as informações especificadas em nosso arquivo de configuração em Base64 e gera um novo arquivo.

1. No computador que hospeda o recurso do Operations Manager para o qual você está solicitando um certificado, abra um prompt de comando do Administrador.

2. Navegue até o mesmo diretório em que o arquivo .inf está localizado.

3. Execute o comando a seguir para modificar o nome do arquivo .inf para garantir que ele corresponda ao nome do arquivo criado anteriormente. Mantenha o nome do arquivo .req as-is:

   CertReq –New –f CertRequestConfig.inf CertRequest.req
   

4. Valide o novo arquivo .req executando o seguinte comando e verificando os resultados:

   CertUtil CertRequest.req
   

Enviar uma nova solicitação de certificado

1. No computador que hospeda o recurso do Operations Manager para o qual você está solicitando um certificado, abra um prompt de comando do Administrador.

2. Navegue até o mesmo diretório em que o arquivo .req está localizado.

3. Execute o seguinte comando para enviar uma solicitação à CA:

   CertReq -Submit CertRequest.req
   

4. Você pode receber opções para selecionar sua AC, se for o caso, selecione uma AC apropriada e continue.

5. Após a conclusão, os resultados podem dizer "A solicitação de certificado está pendente", exigindo que o aprovador de certificado aprove a solicitação antes de continuar.

   1. Caso contrário, o certificado será importado para o repositório de certificados.

Solicitar um certificado usando o Gerenciador de Certificados

Para Enterprise CAs com um modelo de certificado definido, você pode solicitar um novo certificado de um computador cliente que faz parte do domínio usando o Certificate Manager. Esse método é específico para CAs empresariais e não se aplica a Stand-Alone CAs.

1. Entre na máquina de destino com direitos de administrador (Servidor de Gerenciamento, Gateway, Agente e assim por diante).

2. Use o Prompt de Comando do Administrador ou a janela do PowerShell para abrir o Gerenciador de Certificados.

   1. certlm.msc – abre o repositório de certificados do Computador Local.
   2. mmc.msc – abre o Console de Gerenciamento da Microsoft.
      1. Carregue o snap-in do Gerenciador de certificados.
      2. Vá para Arquivo>Adicionar/Remover Snap-in….
      3. Selecione Certificados.
      4. Selecione Adicionar.
      5. Quando solicitado, selecione Conta do computador e selecione Avançar
      6. Certifique-se de selecionar Computador local e selecione Concluir.
      7. Selecione OK para fechar o assistente.

3. Inicie a solicitação de certificado:

   1. Em Certificados, expanda a pasta Pessoal.
   2. Clique com o botão direito do mouse em Certificados>Todas as Tarefas>Solicitar Novo Certificado.

4. No assistente Registro de certificado

   1. Na página Antes de Começar escolha Avançar.
   2. Selecione a Política de Registro de Certificado aplicável (o padrão pode ser a Política de Registro do Active Directory), selecione Avançar
   3. Selecione o modelo de Política de Registro desejado.
   4. Se o modelo não estiver disponível imediatamente, selecione a caixa Mostrar todos os modelos abaixo da lista
   5. Se o modelo necessário estiver disponível com um X vermelho ao lado, consulte sua equipe do Active Directory ou do Certificado
   6. Como as informações no certificado precisam ser inseridas manualmente, você encontrará uma mensagem de aviso no modelo selecionado como um hiperlink que diz ⚠️ More Information is required to enroll for this certificate. Click here to configure settings.
      1. Selecione o hiperlink e continue preenchendo as informações do certificado na janela pop-up.

5. Nas Propriedades do certificado:

   Tab	Descrição
   Assunto	1. Em Nome do Assunto, selecione o Nome Comum ou DN Completo, forneça o valor: nome do host ou nome do BIOS do servidor de destino, selecione Adicionar. 2. Adicione nomes alternativos conforme desejado. Se estiver usando nomes alternativos no lugar de um Assunto, o primeiro nome deverá corresponder ao nome do host ou do BIOS.
   Geral	1. Forneça um nome amigável para o certificado gerado. 2. Forneça uma descrição da finalidade deste certificado, se desejado.
   Extensões	1. Em Uso da chave, certifique-se de selecionar a opção Assinatura Digital e Confidencialidade de Chave e marque a caixa de seleção Tornar esses usos de chave críticos. 2. Em Uso Estendido de Chave, certifique-se de selecionar as opções de Autenticação de Servidor e de Autenticação de Cliente.
   Chave Privada	1. Em Opções de chave, certifique-se de que o Tamanho da chave seja pelo menos 1024 ou 2048 e marque a caixa de seleção Tornar a chave privada exportável . 2. Em Tipo de chave, certifique-se de selecionar a opção Trocar .
   Aba Autoridade de Certificação	Lembre-se de marcar a caixa de seleção AC.
   Assinatura	Se sua organização exigir uma autoridade de registro, forneça um certificado de assinatura para essa solicitação.

   1. Depois que as informações são fornecidas no assistente de Propriedades do certificado, o hiperlink de aviso anterior desaparece.
   2. Selecione Registrar para criar o certificado. Se houver um erro, consulte sua equipe de AD ou de certificados.
      1. Se tiver êxito, o status lerá bem-sucedido e um novo certificado estará no repositório Pessoal/Certificados.

6. Se essas ações foram executadas no destinatário pretendido do certificado, prossiga para as próximas etapas.

7. Se a solicitação de certificado precisar ser aprovada por um Gerenciador de Certificados, continue depois que a solicitação for validada e aprovada.

   1. Depois de aprovado, se o Registro Automático estiver configurado, o certificado será exibido no sistema após uma atualização da Política de Grupo (gpupdate /force).
   2. Se ele não aparecer no repositório Pessoal do Computador Local, procure Certificados - Computador Local>Solicitações de registro de certificado>Certificados
      1. Se o certificado solicitado estiver presente aqui, copie-o para o repositório de certificados pessoal.
      2. Se o certificado solicitado não estiver aqui, consulte sua equipe de certificados.

8. Caso contrário, exporte o novo certificado da máquina e copie para a próxima.

   1. Abra a janela do Gerenciador de Certificados e navegue até Certificados Pessoais>.
   2. Selecione o certificado a ser exportado.
   3. Clique com o botão direito em Todas as tarefas>Exportar.
   4. No Assistente para Exportação de Certificados.
      1. Selecione Avançar na página de boas-vindas.
      2. Certifique-se de selecionar Sim, exportar a chave privada.
      3. Selecione Troca de Informações Pessoais – PKCS #12 (. PFX) nas opções de formato.
         1. Marque as caixas de seleção Incluir todos os certificados no caminho do certificado, se possível, e Exportar todas as propriedades estendidas.
      4. Selecione Avançar.
      5. Forneça uma senha conhecida para criptografar o arquivo de certificado.
      6. Selecione Avançar.
      7. Forneça um caminho acessível e um nome de arquivo reconhecível para o certificado.
   5. Copie o arquivo de certificado recém-criado para o computador de destino.

Instalar o certificado no computador de destino

Para usar o certificado recém-criado, importe-o para o repositório de certificados no computador cliente.

Adicionar o certificado ao Repositório de Certificados

1. Entre no computador em que os certificados são criados para o Servidor de Gerenciamento, Gateway ou Agente.

2. Copie o certificado criado anteriormente para um local acessível neste computador.

3. Abra um Prompt de Comando do Administrador ou uma janela do PowerShell e navegue até a pasta onde o arquivo de certificado está localizado.

4. Execute o seguinte comando, substituindo NewCertificate.cer pelo nome/caminho correto do arquivo:

   CertReq -Accept -Machine NewCertificate.cer

5. Esse certificado agora deve estar presente no repositório Pessoal do Computador local neste computador.

Alternativamente, clique com o botão direito do mouse no arquivo de certificado > Instalar > Máquina local e selecione o destino do armazenamento pessoal para instalar o certificado.

Dica

Se você adicionar um certificado ao repositório de certificados com a chave privada e depois excluí-lo, o certificado perderá a chave privada quando reimportado. O Operations Manager requer a chave privada para criptografar dados de saída. Para restaurar a chave privada, use o comando certutil com o número de série do certificado. Execute o seguinte comando em um Prompt de Comando do Administrador ou na janela do PowerShell:

certutil -repairstore my <certificateSerialNumber>

Importar o certificado para o Operations Manager

Além da instalação do certificado no sistema, você deve atualizar o Operations Manager para estar ciente do certificado que deseja usar. Essas ações resultam em uma reinicialização do serviço Microsoft Monitoring Agent para que as alterações sejam aplicadas.

Exigimos o utilitário MOMCertImport.exe, que está incluído na pasta SupportTools da mídia de instalação do Operations Manager. Copie o arquivo para o servidor.

Para importar o certificado para o Operations Manager usando MOMCertImport, siga estas etapas:

1. Entre no computador de destino.

2. Abra uma janela do Prompt de Comando do Administrador ou do PowerShell e navegue até a pasta do utilitário MOMCertImport.exe .

3. Execute o utilitário MomCertImport.exe executando o seguinte comando:

   1. Em CMD: MOMCertImport.exe
   2. No PowerShell:.\MOMCertImport.exe

4. Uma janela gui é exibida, solicitando Selecionar um certificado.

   1. Você pode ver uma lista de certificados. Se não vir imediatamente o certificado listado, selecione Mais opções.

5. Na lista, selecione o novo certificado para o computador.

   1. Você pode verificar o certificado selecionando-o. Uma vez selecionado, você pode exibir as propriedades do certificado.

6. Selecione OK

7. Se tiver êxito, uma janela pop-up exibirá a seguinte mensagem:

   Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

8. Para validar, acesse o Visualizador de eventos>Logs de aplicativos e serviços>Operations Manager e busque um ID de Evento 20053. Esse evento indica que o certificado de autenticação foi carregado com êxito

9. Se as IDs de Evento 20053 não estiverem presentes no sistema, procure uma das seguintes IDs de Evento, pois elas definem quaisquer problemas com o certificado importado e corrija-os conforme necessário.

   • 20049
   • 20050
   • 20052
   • 20066
   • 20069
   • 20077

   Se nenhuma dessas IDs de evento estiver presente no log, a importação do certificado falhará, verifique o certificado e as permissões administrativas e tente novamente.

10. MOMCertImport atualiza o seguinte local do Registro para conter um valor que corresponda ao número de série do certificado importado, espelhado:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
    

Renovar um certificado

O Operations Manager gera um alerta quando um certificado importado para Servidores de Gerenciamento e Gateways está prestes a expirar. Se você receber esse alerta, renove ou crie um novo certificado para os servidores antes da data de validade. Essa funcionalidade de alerta só funcionará se o certificado tiver informações de modelo de uma AC corporativa.

1. Entre no servidor com o certificado expirado e inicie o gerenciador de configuração de certificados (certlm.msc).
2. Localize o certificado expirado do Operations Manager.
3. Se você não encontrar o certificado, ele poderá ter sido removido ou importado por meio do arquivo e não do repositório de certificados. Você precisa emitir um novo certificado para esta máquina da AC. Consulte as instruções anteriores sobre como fazer isso.
4. Se você encontrar o certificado, as opções a seguir serão selecionadas para renovar o certificado:
   1. Solicitar certificado com nova chave
   2. Renovar certificado com nova chave
   3. Renovar certificado com a mesma chave
5. Selecione a opção que melhor se aplica ao que você deseja fazer e siga o assistente.
6. Após a conclusão, execute a ferramenta MOMCertImport.exe para garantir que o Operations Manager tenha o novo número de série do certificado. Para obter mais informações, consulte a seção Importar o certificado para o Operations Manager.

Se a renovação do certificado por meio desse método não estiver disponível, use as etapas anteriores para solicitar um novo certificado ou com a autoridade de certificação da organização. Instale e importe (MOMCertImport) o novo certificado para uso pelo Operations Manager.

Opcional: Configurar o registro automático e a renovação do certificado

Use a autoridade de certificação corporativa para configurar o registro automático e as renovações de certificados quando eles expirarem. Isso distribui o Certificado Raiz Confiável para todos os sistemas dentro do domínio.

A configuração do registro automático e da renovação do certificado não funciona com Stand-Alone ou CAs que não são da Microsoft. Para sistemas em um grupo de trabalho ou domínio separado, as renovações de certificado e os registros serão um processo manual.

Para obter mais informações, consulte o Guia do Windows Server.

Observação

O registro automático e as renovações não configuram automaticamente o Operations Manager para usar o novo certificado. Se o certificado for renovado automaticamente com a mesma chave, a impressão digital também poderá permanecer a mesma e nenhuma ação será necessária por um administrador. Se um novo certificado for gerado ou a impressão digital for alterada, o certificado atualizado precisará ser importado novamente. Para obter mais informações, consulte a seção Importar o certificado para o Operations Manager.