Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O WDP (Portal de Dispositivos do Windows) fornece uma maneira para os administradores de dispositivos instalarem um certificado personalizado para uso na comunicação HTTPS.
Embora você possa fazer isso em seu próprio computador, esse recurso destina-se principalmente a empresas que têm uma infraestrutura de certificado existente em vigor.
Por exemplo, uma empresa pode ter uma AC (autoridade de certificação) que usa para assinar certificados para sites da intranet atendidos por HTTPS. Esse recurso baseia-se nessa infraestrutura.
Visão geral
Por padrão, o WDP gera uma CA raiz autoassinada e, em seguida, usa-a para assinar certificados SSL para cada endpoint nos quais está escutando. Isso inclui localhost, 127.0.0.1e ::1 (localhost IPv6).
Também estão incluídos o nome do host do dispositivo (por exemplo, https://LivingRoomPC) e cada endereço IP local de link atribuído ao dispositivo (até dois [IPv4, IPv6] por adaptador de rede).
Você pode ver os endereços IP link-local de um dispositivo ao examinar a ferramenta de rede no WDP. Eles começarão com 10. ou 192. para IPv4 ou fe80: para IPv6.
Na configuração padrão, um aviso de certificado pode aparecer no navegador devido à AC raiz não confiável. Especificamente, o certificado SSL fornecido pelo WDP é assinado por uma AC raiz na qual o navegador ou computador não confia. Isso pode ser corrigido criando uma nova Autoridade Certificadora (AC) raiz confiável.
Criar uma AC raiz
Isso só deve ser feito se sua empresa (ou casa) não tiver uma infraestrutura de certificado configurada e só deve ser feita uma vez. O script do PowerShell a seguir cria uma CA raiz chamada WdpTestCA.cer. A instalação desse arquivo na Autoridade Certificadora Raiz Confiável do computador local fará com que seu dispositivo confie em certificados SSL assinados por essa autoridade raiz. Você pode (e deve) instalar esse arquivo .cer em cada computador que deseja conectar ao WDP.
$CN = "PickAName"
$OutputPath = "c:\temp\"
# Create root certificate authority
$FilePath = $OutputPath + "WdpTestCA.cer"
$Subject = "CN="+$CN
$rootCA = New-SelfSignedCertificate -certstorelocation cert:\currentuser\my -Subject $Subject -HashAlgorithm "SHA512" -KeyUsage CertSign,CRLSign
$rootCAFile = Export-Certificate -Cert $rootCA -FilePath $FilePath
Depois que isso for criado, você poderá usar o arquivo WdpTestCA.cer para assinar certificados SSL.
Criar um certificado SSL com a Autoridade Certificadora (AC) raiz
Os certificados SSL têm duas funções críticas: proteger sua conexão por meio da criptografia e verificar se você está realmente se comunicando com o endereço exibido na barra do navegador (Bing.com, 192.168.1.37 etc.) e não um terceiro mal-intencionado.
O script do PowerShell a seguir cria um certificado SSL para o ponto de extremidade localhost. Cada ponto de extremidade que o WDP escuta precisa de seu próprio certificado; você pode substituir o argumento $IssuedTo no script por cada um dos diferentes pontos de extremidade do seu dispositivo: o nome do host, o localhost e os endereços IP.
$IssuedTo = "localhost"
$Password = "PickAPassword"
$OutputPath = "c:\temp\"
$rootCA = Import-Certificate -FilePath C:\temp\WdpTestCA.cer -CertStoreLocation Cert:\CurrentUser\My\
# Create SSL cert signed by certificate authority
$IssuedToClean = $IssuedTo.Replace(":", "-").Replace(" ", "_")
$FilePath = $OutputPath + $IssuedToClean + ".pfx"
$Subject = "CN="+$IssuedTo
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -Subject $Subject -DnsName $IssuedTo -Signer $rootCA -HashAlgorithm "SHA512"
$certFile = Export-PfxCertificate -cert $cert -FilePath $FilePath -Password (ConvertTo-SecureString -String $Password -Force -AsPlainText)
Se você tiver vários dispositivos, poderá reutilizar os arquivos .pfx localhost, mas ainda precisará criar certificados de endereço IP e nome de host para cada dispositivo separadamente.
Quando o pacote de arquivos .pfx for gerado, você precisará carregá-los no WDP.
Provisionar o Portal de Dispositivos do Windows com as certificações
Para cada arquivo .pfx criado para um dispositivo, você precisará executar o comando a seguir em um prompt de comando com privilégios elevados.
WebManagement.exe -SetCert <Path to .pfx file> <password for pfx>
Veja abaixo o exemplo de uso:
WebManagement.exe -SetCert localhost.pfx PickAPassword
WebManagement.exe -SetCert --1.pfx PickAPassword
WebManagement.exe -SetCert MyLivingRoomPC.pfx PickAPassword
Depois de instalar os certificados, basta reiniciar o serviço para que as alterações possam entrar em vigor:
sc stop webmanagement
sc start webmanagement
Dica
Os endereços IP podem ser alterados ao longo do tempo. Muitas redes usam DHCP para distribuir endereços IP, para que os dispositivos nem sempre obtenham o mesmo endereço IP que tinham anteriormente. Se você tiver criado um certificado para um endereço IP em um dispositivo e o endereço desse dispositivo tiver sido alterado, o WDP gerará um novo certificado usando o certificado autoassinado existente e ele deixará de usar o que você criou. Isso fará com que a página de aviso do certificado apareça no navegador novamente. Por esse motivo, recomendamos conectar-se aos seus dispositivos por meio de seus nomes de host, que você pode definir no Portal de Dispositivos do Windows. Elas permanecerão as mesmas independentemente dos endereços IP.