Colocação passo-a-passo exemplo dos certificados PKI para Gestor de Configuração: Windows Autoridade de certificação do Servidor 2008
Aplica-se a: Configuration Manager (ramo atual)
Esta implementação passo-a-passo exemplo, que utiliza uma autoridade de certificação Windows Server 2008 (CA), tem procedimentos que mostram como criar e implantar os certificados de infraestrutura de chaves públicas (PKI) que o Gestor de Configuração utiliza. Estes procedimentos utilizam uma autoridade de certificação (AC) empresarial e modelos de certificado. Os passos são adequados apenas para uma rede de teste, como prova de conceito.
Como não existe um único método de implantação para os certificados necessários, consulte a documentação de implantação do PKI em particular para os procedimentos e boas práticas necessários para implementar os certificados necessários para um ambiente de produção. Para obter mais informações sobre os requisitos do certificado, consulte os requisitos do certificado PKI para o Gestor de Configuração.
Dica
Pode adaptar as instruções neste tópico para sistemas operativos que não estejam documentados na secção de Requisitos da Rede de Teste. No entanto, se estiver a executar o CA emitindo no Windows Server 2012, não é solicitado para a versão do modelo de certificado. Em vez disso, especifique isto no separador Compatibilidade das propriedades do modelo:
- Autoridade de Certificação: Windows Server 2003
- Destinatário do certificado: Windows XP/Server 2003
Requisitos da rede de teste
As instruções passo a passo têm os seguintes requisitos:
A rede de teste está a executar os Serviços de Domínio do Active Directory com o Windows Server 2008 e está instalada como único domínio e única floresta.
Tem um servidor de membro a funcionar Windows Enterprise Edition do Server 2008, que tem a função de Serviços de Certificados de Diretório Ativo instalados no mesmo, e é criado como uma autoridade de certificação de raiz empresarial (CA).
Tem um computador que tem Windows Server 2008 (Standard Edition ou Enterprise Edition, R2 ou posterior) instalado nele, que o computador é designado como servidor de membros, e Serviços de Informação Internet (IIS) está instalado nele. Este computador será o servidor do sistema de site do Gestor de Configuração que irá configurar com um nome de domínio totalmente qualificado intranet (FQDN) para suportar as ligações do cliente na intranet e um FQDN de internet se tiver de suportar dispositivos móveis que estejam matriculados pelo Gestor de Configuração e clientes na internet.
Você tem um Windows cliente Vista que tem o mais recente pacote de serviços instalado, e este computador é configurado com um nome de computador que compreende caracteres ASCII e está ligado ao domínio. Este computador será um computador cliente do Gestor de Configuração.
Pode iniciar sôs com uma conta de administrador de domínio de raiz ou com uma conta de administrador de domínio da empresa e utilizar esta conta para todos os procedimentos neste exemplo de implementação.
Visão geral dos certificados
A tabela que se segue lista os tipos de certificados PKI que podem ser necessários para o Gestor de Configuração e descreve como são utilizados.
Requisito de Certificado | Descrição do Certificado |
---|---|
Certificado de servidor Web para os sistemas de sites que executam o IIS | Este certificado é utilizado para encriptar dados e autenticar o servidor para clientes. Deve ser instalado externamente a partir do Gestor de Configuração nos servidores de sistemas de site que executam Serviços de Informação Internet (IIS) e que são configurados no Gestor de Configurações para utilizar HTTPS. Para que os passos para configurar e instalar este certificado, consulte implementar o certificado do servidor web para sistemas de site que executam iIS neste tópico. |
Certificado de serviço para clientes que ligam a pontos de distribuição baseados na nuvem | Para os passos para configurar e instalar este certificado, consulte implementar o certificado de serviço para pontos de distribuição baseados na nuvem neste tópico. Importante: este certificado é utilizado em conjunto com o certificado de gestão do Windows Azure. Para obter mais informações sobre o certificado de gestão, consulte Como Criar um Certificado de Gestão e Como Adicionar um Certificado de Gestão a uma Subscrição Windows Azure. |
Certificado de cliente para computadores com o Windows | Este certificado é utilizado para autenticar os computadores clientes do Gestor de Configuração para sistemas de site que são configurados para utilizar HTTPS. Também pode ser utilizado para pontos de gestão e pontos de migração do Estado para monitorizar o seu estado de funcionamento quando são criados para utilizar HTTPS. Deve ser instalado externamente a partir do Gestor de Configuração em computadores. Para que os passos para configurar e instalar este certificado, consulte implementar o certificado de cliente para Windows computadores neste tópico. |
Certificado de cliente para pontos de distribuição | Este certificado tem duas finalidades: O certificado é utilizado para autenticar o ponto de distribuição para um ponto de gestão ativado para HTTPS antes de o ponto de distribuição enviar mensagens de estado. Quando a opção do ponto de distribuição Ativar suporte PXE para clientes está selecionada, o certificado é enviado para computadores com arranque PXE para que liguem a um ponto de gestão ativado para HTTPS durante a implementação do sistema operativo. Para os passos para configurar e instalar este certificado, consulte implementar o certificado de cliente para pontos de distribuição neste tópico. |
Certificado de inscrição para dispositivos móveis | Este certificado é utilizado para autenticar clientes de dispositivos móveis do Gestor de Configuração para sistemas de site que são configurados para utilizar HTTPS. Deve ser instalado como parte da inscrição de dispositivos móveis no Gestor de Configuração, e escolha o modelo de certificado configurado como configuração do cliente do dispositivo móvel. Para as etapas de configuração deste certificado, consulte implementar o certificado de inscrição para dispositivos móveis neste tópico. |
Certificado de cliente para computadores Mac | Pode solicitar e instalar este certificado a partir de um computador Mac quando utilizar a inscrição do Gestor de Configuração e escolher o modelo de certificado configurado como configuração do cliente do dispositivo móvel. Para os passos para configurar este certificado, consulte implementar o certificado de cliente para computadores Mac neste tópico. |
Implemente o certificado do servidor web para sistemas de site que executam o IIS
Esta implementação de certificados possui os seguintes procedimentos:
Criar e emitir o modelo de certificado de servidor web na autoridade de certificação
Solicite o certificado de servidor web
Configurar o IIS para utilizar o certificado de servidor web
Criar e emitir o modelo de certificado de servidor web na autoridade de certificação
Este procedimento cria um modelo de certificado para sistemas de site do Gestor de Configuração e adiciona-o à autoridade de certificação.
Para criar e emitir o modelo de certificado de servidor Web na autoridade de certificação
Crie um grupo de segurança chamado ConfigMgr IIS Servers que tenha os servidores dos membros para instalar sistemas de site do Gestor de Configuração que irão executar o IIS.
No servidor de membros que tem Serviços de Certificado instalados, na consola da Autoridade de Certificação, clique com o botão direito Modelos de Certificado e, em seguida, escolha Gerir para carregar a consola De Modelos de Certificado.
No painel de resultados, clique à direita na entrada que tem Servidor Web na coluna Nome do Modelo de Exibição e, em seguida, escolha o Modelo duplicado.
Na caixa de diálogo do modelo duplicado, certifique-se de que Windows Servidor de 2003, Enterprise Edition é selecionado e, em seguida, escolha OK.
Importante
Não selecione Windows Servidor de 2008, Enterprise Edition.
Na caixa de diálogo de novas propriedades do novo modelo, no separador Geral, introduza um nome de modelo, como o Certificado de Servidor Web ConfigMgr, para gerar os certificados web que serão utilizados nos sistemas do site do Gestor de Configuração.
Escolha o separador Nome de Assunto e certifique-se de que a Reserva no pedido está selecionada.
Escolha o separador De Segurança e, em seguida, remova a permissão de Inscrição dos grupos de segurança Dedmins e Administrações empresariais.
Escolha Adicionar, insira os Servidores ConfigMgr IIS na caixa de texto e, em seguida, escolha OK.
Escolha a permissão de inscrição para este grupo e não limpe a permissão de Leitura.
Escolha OK e, em seguida, feche a Consola de Modelos de Certificado.
Na consola da Autoridade de Certificação, clique à direita nos modelos de certificados, escolha Novo e, em seguida, escolha o Modelo de Certificado para Emitir.
Na caixa de diálogo "Modelos de Certificados de Ativação", escolha o novo modelo que acabou de criar, o Certificado de Servidor Web ConfigMgr e, em seguida, escolha OK.
Se não precisar de criar e emitir mais certificados, feche a Autoridade de Certificação.
Solicite o certificado de servidor web
Este procedimento permite especificar os valores intranet e internet FQDN que serão configurados nas propriedades do servidor do sistema de site e, em seguida, instala o certificado de servidor web no servidor de membros que executa o IIS.
Para pedir o certificado de servidor Web
Reinicie o servidor de membros que executa o IIS para garantir que o computador pode aceder ao modelo de certificado que criou utilizando as permissões de Leitura e Inscrição que configura.
Escolha Iniciar, escolha Executar e, em seguida, digite mmc.exe. Na consola vazia, escolha 'Ficheiro' e, em seguida, escolha Adicionar/Remover Snap-in.
Na caixa de diálogo Add or Remove Snap-ins, escolha Certificados da lista de snap-ins disponíveis e, em seguida, escolha Adicionar.
Na caixa de diálogo snap-in certificate, escolha a conta de Computador e, em seguida, escolha a seguinte.
Na caixa de diálogo Select Computer, certifique-se de que o computador local: (o computador em que a consola está a funcionar) é selecionado e, em seguida, escolha Terminar.
Na caixa de diálogo Add or Remove Snap-ins, escolha OK.
Na consola, expanda os Certificados (Computador Local) e, em seguida, escolha Personal.
Clique à direita Em Certificados, escolha Todas as Tarefas e, em seguida, escolha Novo Certificado de Pedido.
Na página Antes de Começar, escolha a seguir.
Se vir a página 'Escolha a Política de Inscrição de Certificados', escolha a seguir.
Na página 'Certificados de Pedido', identifique o Certificado ConfigMgr Web Server da lista de certificados disponíveis e, em seguida, escolha Mais informações são necessárias para se inscrever para este certificado. Clique aqui para configurar as definições.
Na caixa de diálogo Certificate Properties, no separador Assunto, não eis quaisquer alterações ao nome sujeito. Isto significa que a caixa Valor para a secção Nome do requerente permanece em branco. Em vez disso, na secção nome alternativo, escolha a lista de drop-down tipo e, em seguida, escolha DNS.
Na caixa Valor, especifique os valores FQDN que irá especificar nas propriedades do sistema do site do Gestor de Configuração e, em seguida, escolha OK para fechar a caixa de diálogo Certificate Properties.
Exemplos:
Se o sistema de site apenas aceitar as ligações do cliente a partir da intranet, e a intranet FQDN do servidor do sistema de site for server1.internal.contoso.com, introduza server1.internal.contoso.com, e depois escolha Adicionar.
Se o sistema de site aceitar as ligações do cliente a partir da intranet e da internet, e a intranet FQDN do servidor do sistema de site é server1.internal.contoso.com e o FQDN da Internet do servidor do sistema de site é server.contoso.com:
Introduza server1.internal.contoso.com e, em seguida, escolha Adicionar.
Introduza server.contoso.com e, em seguida, escolha Adicionar.
Nota
Pode especificar as FQDNs para O Gestor de Configuração em qualquer ordem. No entanto, verifique se todos os dispositivos que utilizarão o certificado, tais como dispositivos móveis e servidores web proxy, podem usar um nome alternativo sujeito de certificado (SAN) e vários valores na SAN. Se os dispositivos têm suporte limitado para valores de SAN nos certificados, terá de alterar a ordem dos FQDN ou utilizar em vez disso o valor Requerente.
Na página 'Certificados de Pedido', escolha o Certificado ConfigMgr Web Server da lista de certificados disponíveis e, em seguida, escolha inscrever-se.
Na página Resultados da Instalação de Certificados, aguarde até que o certificado seja instalado e, em seguida, escolha Terminar.
Feche Certificados (Computador Local).
Configurar o IIS para utilizar o certificado de servidor web
Este procedimento vincula o certificado instalado ao Web Site Predefinido do IIS.
Para configurar o IIS para utilizar o certificado de servidor web
No servidor membro que tem o IIS instalado, escolha Iniciar, escolha Programas, escolha Ferramentas Administrativas e, em seguida, escolha Serviços de Informação Internet (IIS) Manager.
Expandir sites, clicar no Web Site com o botão direito e, em seguida, escolher As Ligações de Edição.
Escolha a entrada em https e, em seguida, escolha Editar.
Na caixa de diálogo de ligação do site de edição, selecione o certificado que solicitou utilizando o modelo de Certificados de Servidor Web ConfigMgr e, em seguida, escolha OK.
Nota
Se não tiver a certeza de qual é o certificado correto, escolha um e, em seguida, escolha Ver. Isto permite comparar os dados do certificado selecionado com os certificados no snap-in certificados. Por exemplo, o snap-in certificados mostra o modelo de certificado que foi usado para solicitar o certificado. Em seguida, pode comparar a impressão digital do certificado que foi solicitada utilizando o modelo de Certificados de Servidor Web ConfigMgr com o certificado de impressão digital do certificado atualmente selecionado na caixa de diálogo de ligação do site de edição.
Escolha OK na caixa de diálogo de ligação do site de edição e, em seguida, escolha Fechar.
Feche o Gestor de Serviços de Informação Internet (IIS).
O servidor de membros é agora configurado com um certificado de servidor web Do Gestor de Configuração.
Importante
Quando instalar o servidor do sistema de site do Gestor de Configuração neste computador, certifique-se de que especifica as mesmas FQDNs nas propriedades do sistema do site tal como especificou quando solicitou o certificado.
Implementar o certificado de serviço para pontos de distribuição baseados na nuvem
Esta implementação de certificados possui os seguintes procedimentos:
Criar e emitir um modelo de certificado de servidor web personalizado na autoridade de certificação
Exporte o certificado de servidor web personalizado para pontos de distribuição baseados na nuvem
Criar e emitir um modelo de certificado de servidor web personalizado na autoridade de certificação
Este procedimento cria um modelo de certificado personalizado que é baseado no modelo de certificado do servidor web. O certificado destina-se a pontos de distribuição baseados na nuvem do Gestor de Configuração e a chave privada deve ser exportável. Após a criação do modelo de certificado, este é adicionado à autoridade de certificação.
Nota
Este procedimento utiliza um modelo de certificado diferente do modelo de certificado do servidor web que criou para sistemas de site que executam o IIS. Embora ambos os certificados exijam capacidade de autenticação do servidor, o certificado para pontos de distribuição baseados na nuvem requer que introduza um valor definido por medida para o Nome do Sujeito e a chave privada deve ser exportada. Como uma boa prática de segurança, não crie modelos de certificado para que a chave privada possa ser exportada a menos que esta configuração seja necessária. O ponto de distribuição baseado na nuvem requer esta configuração porque você deve importar o certificado como um arquivo, em vez de escolhê-lo na loja de certificados.
Quando criar um novo modelo de certificado para este certificado, pode restringir os computadores que podem solicitar um certificado cuja chave privada pode ser exportada. Numa rede de produção, poderá também considerar a possibilidade de adicionar as seguintes alterações a este certificado:
- Requer aprovação para instalar o certificado para segurança adicional.
- Aumente o período de validade do certificado. Uma vez que deve exportar e importar o certificado cada vez antes de expirar, um aumento do período de validade reduz a frequência com que deve repetir este procedimento. No entanto, um aumento do período de validade também diminui a segurança do certificado, uma vez que dá mais tempo a um intruso para desencriptar a chave privada e roubar o certificado.
- Utilize um valor personalizado no Nome Alternativo do Requerente (SAN) do certificado para ajudar a identificar este certificado entre certificados de servidor Web padrão que utiliza com o IIS.
Para criar e emitir o modelo de certificado de servidor web personalizado na autoridade de certificação
Crie um grupo de segurança chamado ConfigMgr Site Servers que tem os servidores dos membros para instalar servidores de site primários do Gestor de Configuração que irão gerir pontos de distribuição baseados na nuvem.
No servidor de membros que está a executar a consola da Autoridade de Certificação, clique com o botão direito Modelos de Certificados e, em seguida, escolha Gerir para carregar a consola de gestão de Modelos de Certificado.
No painel de resultados, clique à direita na entrada que tem Servidor Web na coluna Nome do Modelo de Exibição e, em seguida, escolha o Modelo duplicado.
Na caixa de diálogo do modelo duplicado, certifique-se de que Windows Servidor de 2003, Enterprise Edition é selecionado e, em seguida, escolha OK.
Importante
Não selecione Windows Servidor de 2008, Enterprise Edition.
Na caixa de diálogo de novas propriedades do novo modelo, no separador Geral, introduza um nome de modelo, como ConfigMgr Cloud-Based Distribution Point Certificate, para gerar o certificado de servidor web para pontos de distribuição baseados na nuvem.
Escolha o separador Tratamento de Pedidos e, em seguida, escolha Permitir a exportação da chave privada.
Escolha o separador Segurança e, em seguida, remova a permissão de Inscrição do grupo de segurança Enterprise Admins.
Escolha Adicionar, insira servidores de sítios ConfigMgr na caixa de texto e, em seguida, escolha OK.
Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura .
Escolha o separador Criptografia e certifique-se de que o tamanho mínimo da chave foi definido para 2048.
Escolha OK e, em seguida, feche a Consola de Modelos de Certificado.
Na consola da Autoridade de Certificação, clique à direita nos modelos de certificados, escolha Novo e, em seguida, escolha o Modelo de Certificado para Emitir.
Na caixa de diálogo "Enable Certificate Templates", escolha o novo modelo que acabou de criar, ConfigMgr Cloud-Based Certificado de Ponto de Distribuição, e, em seguida, escolha OK.
Se não tiver de criar e emitir mais certificados, feche a Autoridade de Certificação.
Solicite o certificado de servidor web personalizado
Este procedimento solicita e, em seguida, instala o certificado de servidor web personalizado no servidor de membros que executará o servidor do site.
Para pedir o certificado de servidor Web personalizado
Reinicie o servidor de membros depois de criar e configurar o grupo de segurança ConfigMgr Site Servers para garantir que o computador pode aceder ao modelo de certificado que criou utilizando as permissões de Leitura e Inscrição que configura.
Escolha Iniciar, escolha Executar e, em seguida, introduzammc.exe. Na consola vazia, escolha 'Ficheiro' e, em seguida, escolha Adicionar/Remover Snap-in.
Na caixa de diálogo Add or Remove Snap-ins, escolha Certificados da lista de snap-ins disponíveis e, em seguida, escolha Adicionar.
Na caixa de diálogo snap-in certificate, escolha a conta de Computador e, em seguida, escolha a seguinte.
Na caixa de diálogo Select Computer, certifique-se de que o computador local: (o computador em que a consola está a funcionar) é selecionado e, em seguida, escolha Terminar.
Na caixa de diálogo Add or Remove Snap-ins, escolha OK.
Na consola, expanda os Certificados (Computador Local) e, em seguida, escolha Personal.
Clique à direita Em Certificados, escolha Todas as Tarefas e, em seguida, escolha Novo Certificado de Pedido.
Na página Antes de Começar, escolha a seguir.
Se vir a página 'Escolha a Política de Inscrição de Certificados', escolha a seguir.
Na página 'Certificados de Pedido', identifique o Certificado de Ponto de Distribuição ConfigMgr Cloud-Based da lista de certificados disponíveis e, em seguida, escolha Mais informações são necessárias para se inscrever para este certificado.
Na caixa de diálogo Certificate Properties, no separador Assunto, para o nome sujeito, escolha o nome comum como tipo.
Na caixa Valor , especifique a sua escolha de nome de serviço e o nome do domínio utilizando um formato FQDN. Por exemplo: pdnuvem1.contoso.com.
Nota
Torne o nome de serviço único no seu espaço de nome. Irá utilizar DNS para criar um alias (registo CNAME) para mapear este nome de serviço para um identificador (GUID) gerado automaticamente e um endereço IP do Windows Azure.
Escolha Adicionar e, em seguida, escolha OK para fechar a caixa de diálogo Certificate Properties.
Na página 'Certificados de Pedido', escolha ConfigMgr Cloud-Based Certificado de Ponto de Distribuição da lista dos certificados disponíveis e, em seguida, escolha inscrição.
Na página Resultados da Instalação de Certificados, aguarde até que o certificado seja instalado e, em seguida, escolha Terminar.
Feche Certificados (Computador Local).
Exporte o certificado de servidor web personalizado para pontos de distribuição baseados na nuvem
Este procedimento exporta o certificado de servidor Web personalizado para um ficheiro para que possa ser importado quando criar o ponto de distribuição baseado na nuvem.
Para exportar o certificado de servidor Web personalizado para pontos de distribuição baseados na nuvem
Na consola Certificados (Computador Local), clique com o botão direito no certificado que acabou de instalar, escolha Todas as Tarefas e, em seguida, escolha Exportação.
No Assistente de Exportação de Certificados, escolha a seguir.
Na página 'Exportar Chave Privada', escolha Sim, exporte a chave privada e, em seguida, escolha Seguinte.
Nota
Se esta opção não estiver disponível, o certificado foi criado sem a opção para exportar a chave privada. Neste cenário, não é possível exportar o certificado no formato necessário. Tem de configurar o modelo de certificado para que a chave privada possa ser exportada e, em seguida, solicitar novamente o certificado.
Na página 'Formato de Ficheiros de Exportação', certifique-se de que o Exchange de Informações Pessoais - PKCS #12 (. A opção PFX) é selecionada.
Na página Palavra-Passe, especifique uma palavra-passe forte para proteger o certificado exportado com a sua chave privada e, em seguida, escolha Seguinte.
Na página 'Ficheiro para Exportar', especifique o nome do ficheiro que pretende exportar e, em seguida, escolha a seguir.
Para fechar o assistente, escolha Terminar na página 'Assistente de Exportação de Certificado' e, em seguida, escolha OK na caixa de diálogo de confirmação.
Feche Certificados (Computador Local).
Guarde o ficheiro de forma segura e certifique-se de que pode aceder ao mesmo a partir da consola Do Gestor de Configuração.
O certificado está agora pronto para ser importado quando criar um ponto de distribuição baseado na nuvem.
Implementar o certificado de cliente para computadores Windows
Esta implementação de certificados possui os seguintes procedimentos:
Criar e emitir o modelo de certificado de autenticação de estação de trabalho na autoridade de certificação
Configurar a inscrição automática do modelo de autenticação de estações de trabalho utilizando a Política de Grupo
Inscreva automaticamente o certificado de autenticação workstation e verifique a sua instalação em computadores
Criar e emitir o modelo de certificado de autenticação de estação de trabalho na autoridade de certificação
Este procedimento cria um modelo de certificado para computadores clientes do Gestor de Configuração e adiciona-o à autoridade de certificação.
Para criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho na autoridade de certificação
No servidor de membros que está a executar a consola da Autoridade de Certificação, clique com o botão direito Modelos de Certificados e, em seguida, escolha Gerir para carregar a consola de gestão de Modelos de Certificado.
No painel de resultados, clique com o botão direito na entrada que tem autenticação da estação de trabalho na coluna Nome do Visor do Modelo e, em seguida, escolha o Modelo Duplicado.
Na caixa de diálogo do modelo duplicado, certifique-se de que Windows Servidor de 2003, Enterprise Edition é selecionado e, em seguida, escolha OK.
Importante
Não selecione Windows Servidor de 2008, Enterprise Edition.
Na caixa de diálogo de novas propriedades do novo modelo, no separador Geral, introduza um nome de modelo, como o Certificado de Cliente ConfigMgr, para gerar os certificados de cliente que serão utilizados nos computadores clientes do Gestor de Configuração.
Escolha o separador Segurança, selecione o grupo De Computadores de Domínio e, em seguida, selecione as permissões adicionais de Ler e Autoenroll. Não desmarque Inscrever.
Escolha OK e, em seguida, feche a Consola de Modelos de Certificado.
Na consola da Autoridade de Certificação, clique à direita nos modelos de certificados, escolha Novo e, em seguida, escolha o Modelo de Certificado para Emitir.
Na caixa de diálogo De Modelos de Certificados De Ativa, escolha o novo modelo que acabou de criar, o Certificado de Cliente ConfigMgr, e, em seguida, escolha OK.
Se não precisar de criar e emitir mais certificados, feche a Autoridade de Certificação.
Configurar a inscrição automática do modelo de autenticação de estações de trabalho utilizando a Política de Grupo
Este procedimento estabelece a Política de Grupo para a fixação automática do certificado de cliente nos computadores.
Para configurar a inscrição automática do modelo de autenticação de estação de trabalho utilizando a Política de Grupo
No controlador de domínio, escolha Iniciar, escolha Ferramentas Administrativas e, em seguida, escolha Gestão de Políticas de Grupo.
Vá ao seu domínio, clique com o direito no domínio e, em seguida, escolha Criar um GPO neste domínio e link-lo aqui.
Nota
Este passo utiliza a melhor prática de criar uma nova Política de Grupo para definições personalizadas, em vez de editar a Política de Domínios Predefinida que é instalada com os Serviços de Domínio do Active Directory. Quando atribuir esta Política de Grupo ao nível de domínio, irá aplicá-la a todos os computadores do domínio. Num ambiente de produção, pode restringir a inscrição automática para que se inscreva apenas em computadores selecionados. Pode atribuir a Política de Grupo a nível de uma unidade organizacional, ou pode filtrar a Política de Grupo de domínio com um grupo de segurança para que se aplique apenas aos computadores do grupo. Se restringir a inscrição automática, lembre-se de incluir o servidor que está configurado como ponto de gestão.
Na nova caixa de diálogo GPO, insira um nome, como Certificados de Inscrição Automática, para a nova Política de Grupo, e, em seguida, escolha OK.
No painel de resultados, no separador "Objetos de Política de Grupo Ligados", clique à direita na nova Política de Grupo e, em seguida, escolha Editar.
No Editor de Gestão de Políticas de Grupo , expanda as políticas sob configuração de computadores, e depois vá para Windows Definições / Segurança Definições Políticas De Chave / Pública.
Clique com o botão direito no tipo de objeto denominado Cliente de Serviços de Certificado - Inscrição automática, e, em seguida, escolha Propriedades.
A partir da lista de suspensos do Modelo de Configuração, escolha Enableed, escolha Renovar os certificados expirados, atualizar certificados pendentes, remover certificados revogados, escolher certificados de atualização que utilizem modelos de certificados, e, em seguida, escolher OK.
Feche a Gestão de Políticas de Grupo.
Inscreva automaticamente o certificado de autenticação workstation e verifique a sua instalação em computadores
Este procedimento instala o certificado de cliente nos computadores e verifica a instalação.
Para inscrever automaticamente o certificado de autenticação workstation e verificar a sua instalação no computador cliente
Reinicie o computador da estação de trabalho e aguarde alguns minutos antes de iniciar sinsutar.
Nota
Reiniciar um computador é o método mais fiável de garantir o sucesso da inscrição automática de certificados.
Inscreva-se com uma conta que tenha privilégios administrativos.
Na caixa de pesquisa, introduzammc.exe e, em seguida, prima Enter.
Na consola de gestão vazia, escolha 'Ficheiro' e, em seguida, escolha Adicionar/Remover Snap-in.
Na caixa de diálogo Add or Remove Snap-ins, escolha Certificados da lista de snap-ins disponíveis e, em seguida, escolha Adicionar.
Na caixa de diálogo snap-in certificate, escolha a conta de Computador e, em seguida, escolha a seguinte.
Na caixa de diálogo Select Computer, certifique-se de que o computador local: (o computador em que a consola está a funcionar) é selecionado e, em seguida, escolha Terminar.
Na caixa de diálogo Add or Remove Snap-ins, escolha OK.
Na consola, expandir Certificados (Computador Local), expandir Pessoal, e depois escolher Certificados.
No painel de resultados, confirme que um certificado tem Autenticação do Cliente na coluna Finalidade Pretendida, e que o Certificado de Cliente ConfigMgr está na coluna Modelo de Certificado.
Feche Certificados (Computador Local).
Repita os passos 1 a 11 para que o servidor dos membros verifique se o servidor que será configurado como ponto de gestão também tem um certificado de cliente.
O computador é agora configurado com um certificado de cliente Do Gestor de Configuração.
Implementar o certificado de cliente para pontos de distribuição
Nota
Este certificado também pode ser utilizado para imagens de suportes de dados que não utilizem o arranque PXE, uma vez que os requisitos de certificados são os mesmos.
Esta implementação de certificados possui os seguintes procedimentos:
Criar e emitir um modelo de certificado de autenticação de estação de trabalho personalizado na autoridade de certificação
Solicite o certificado de autenticação da estação de trabalho personalizado
Exportar o certificado de cliente para pontos de distribuição
Criar e emitir um modelo de certificado de autenticação de estação de trabalho personalizado na autoridade de certificação
Este procedimento cria um modelo de certificado personalizado para pontos de distribuição do Gestor de Configuração para que a chave privada possa ser exportada e adicione o modelo de certificado à autoridade de certificação.
Nota
Este procedimento utiliza um modelo de certificado diferente do modelo de certificado que criou para computadores clientes. Embora ambos os certificados exijam capacidade de autenticação do cliente, o certificado para pontos de distribuição requer que a chave privada seja exportada. Como uma boa prática de segurança, não crie modelos de certificado para que a chave privada possa ser exportada a menos que esta configuração seja necessária. O ponto de distribuição requer esta configuração porque deve importar o certificado como um ficheiro em vez de o escolher na loja de certificados.
Quando criar um novo modelo de certificado para este certificado, pode restringir os computadores que podem solicitar um certificado cuja chave privada pode ser exportada. Na implementação do nosso exemplo, este será o grupo de segurança que criou anteriormente para servidores de sistema de site do Gestor de Configuração que executam o IIS. Numa rede de produção que distribua as funções de sistema de sites do IIS, considere criar um novo grupo de segurança para os servidores que executam pontos de distribuição para poder restringir o certificado apenas a estes servidores do sistema de sites. Também poderá considerar adicionar as seguintes alterações a este certificado:
- Requer aprovação para instalar o certificado para segurança adicional.
- Aumente o período de validade do certificado. Uma vez que deve exportar e importar o certificado cada vez antes de expirar, um aumento do período de validade reduz a frequência com que deve repetir este procedimento. No entanto, um aumento do período de validade também diminui a segurança do certificado, uma vez que dá mais tempo a um intruso para desencriptar a chave privada e roubar o certificado.
- Utilize um valor personalizado no campo Requerente ou Nome Alternativo do Requerente (SAN) do certificado para ajudar a identificar este certificado entre os certificados de cliente padrão. Isto pode ser particularmente útil se pretender utilizar o mesmo certificado para vários pontos de distribuição.
Para criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho personalizado na autoridade de certificação
No servidor de membros que está a executar a consola da Autoridade de Certificação, clique com o botão direito Modelos de Certificados e, em seguida, escolha Gerir para carregar a consola de gestão de Modelos de Certificado.
No painel de resultados, clique com o botão direito na entrada que tem autenticação da estação de trabalho na coluna Nome do Visor do Modelo e, em seguida, escolha o Modelo Duplicado.
Na caixa de diálogo do modelo duplicado, certifique-se de que Windows Servidor de 2003, Enterprise Edition é selecionado e, em seguida, escolha OK.
Importante
Não selecione Windows Servidor de 2008, Enterprise Edition.
Na caixa de diálogo de novas propriedades do novo modelo, no separador Geral, introduza um nome de modelo, como Certificado de Ponto de Distribuição do Cliente ConfigMgr, para gerar o certificado de autenticação do cliente para pontos de distribuição.
Escolha o separador Tratamento de Pedidos e, em seguida, escolha Permitir a exportação da chave privada.
Escolha o separador Segurança e, em seguida, remova a permissão de Inscrição do grupo de segurança Enterprise Admins.
Escolha Adicionar, insira os Servidores ConfigMgr IIS na caixa de texto e, em seguida, escolha OK.
Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura .
Escolha OK e, em seguida, feche a Consola de Modelos de Certificado.
Na consola da Autoridade de Certificação, clique à direita nos modelos de certificados, escolha Novo e, em seguida, escolha o Modelo de Certificado para Emitir.
Na caixa de diálogo De Modelos de Certificados De Ativa, escolha o novo modelo que acabou de criar, certificado de ponto de distribuição do cliente ConfigMgr, e, em seguida, escolha OK.
Se não tiver de criar e emitir mais certificados, feche a Autoridade de Certificação.
Solicite o certificado de autenticação da estação de trabalho personalizado
Este procedimento solicita e, em seguida, instala o certificado de cliente personalizado no servidor membro que executa o IIS e que será configurado como um ponto de distribuição.
Para pedir o certificado de Autenticação de Estação de Trabalho personalizado
Escolha Iniciar, escolha Executar e, em seguida, introduzammc.exe. Na consola vazia, escolha 'Ficheiro' e, em seguida, escolha Adicionar/Remover Snap-in.
Na caixa de diálogo Add or Remove Snap-ins, escolha Certificados da lista de snap-ins disponíveis e, em seguida, escolha Adicionar.
Na caixa de diálogo snap-in certificate, escolha a conta de Computador e, em seguida, escolha a seguinte.
Na caixa de diálogo Select Computer, certifique-se de que o computador local: (o computador em que a consola está a funcionar) é selecionado e, em seguida, escolha Terminar.
Na caixa de diálogo Add or Remove Snap-ins, escolha OK.
Na consola, expanda os Certificados (Computador Local) e, em seguida, escolha Personal.
Clique à direita Em Certificados, escolha Todas as Tarefas e, em seguida, escolha Novo Certificado de Pedido.
Na página Antes de Começar, escolha a seguir.
Se vir a página 'Escolha a Política de Inscrição de Certificados', escolha a seguir.
Na página 'Certificados de Pedido', escolha o Certificado de Ponto de Distribuição do Cliente ConfigMgr da lista de certificados disponíveis e, em seguida, escolha inscrição.
Na página Resultados da Instalação de Certificados, aguarde até que o certificado seja instalado e, em seguida, escolha Terminar.
No painel de resultados, confirme que um certificado tem autenticação do cliente na coluna Finalidade e que o Certificado de Ponto de Distribuição do Cliente ConfigMgr está na coluna Do Modelo de Certificado.
Não feche Certificados (Computador Local).
Exportar o certificado de cliente para pontos de distribuição
Este procedimento exporta o certificado de autenticação de estação de trabalho personalizado para um ficheiro para que possa ser importado nas propriedades do ponto de distribuição.
Para exportar o certificado de cliente para pontos de distribuição
Na consola Certificados (Computador Local), clique com o botão direito no certificado que acabou de instalar, escolha Todas as Tarefas e, em seguida, escolha Exportação.
No Assistente de Exportação de Certificados, escolha a seguir.
Na página 'Exportar Chave Privada', escolha Sim, exporte a chave privada e, em seguida, escolha Seguinte.
Nota
Se esta opção não estiver disponível, o certificado foi criado sem a opção para exportar a chave privada. Neste cenário, não é possível exportar o certificado no formato necessário. Tem de configurar o modelo de certificado para que a chave privada possa ser exportada e, em seguida, solicitar novamente o certificado.
Na página 'Formato de Ficheiros de Exportação', certifique-se de que o Exchange de Informações Pessoais - PKCS #12 (. A opção PFX) é selecionada.
Na página Palavra-Passe, especifique uma palavra-passe forte para proteger o certificado exportado com a sua chave privada e, em seguida, escolha Seguinte.
Na página 'Ficheiro para Exportar', especifique o nome do ficheiro que pretende exportar e, em seguida, escolha a seguir.
Para fechar o assistente, escolha Terminar na página 'Assistente de Exportação de Certificados' e escolha OK na caixa de diálogo de confirmação.
Feche Certificados (Computador Local).
Guarde o ficheiro de forma segura e certifique-se de que pode aceder ao mesmo a partir da consola Do Gestor de Configuração.
O certificado está agora pronto para ser importado quando configurar o ponto de distribuição.
Dica
Pode utilizar o mesmo ficheiro de certificado quando configurar imagens de mídia para uma implementação do sistema operativo que não utilize o boot PXE, e a sequência de tarefa para instalar a imagem deve contactar um ponto de gestão que requer ligações ao cliente HTTPS.
Implementar o certificado de inscrição para dispositivos móveis
Esta implementação de certificado tem um procedimento único para criar e emitir o modelo de certificado de inscrição na autoridade de certificação.
Criar e emitir o modelo de certificado de inscrição na autoridade de certificação
Este procedimento cria um modelo de certificado de inscrição para dispositivos móveis Do Gestor de Configuração e adiciona-o à autoridade de certificação.
Para criar e emitir o modelo de certificado de inscrição na autoridade de certificação
Crie um grupo de segurança que tenha utilizadores que irão inscrever dispositivos móveis no Gestor de Configuração.
No servidor de membros que tem Serviços de Certificado instalados, na consola da Autoridade de Certificação, clique com o botão direito Modelos de Certificados e, em seguida, escolha Gerir para carregar a consola de gestão de Modelos de Certificado.
No painel de resultados, clique à direita na entrada que tem sessão autenticada na coluna Nome do Modelo de Visualização e, em seguida, escolha o Modelo duplicado.
Na caixa de diálogo do modelo duplicado, certifique-se de que Windows Servidor de 2003, Enterprise Edition é selecionado e, em seguida, escolha OK.
Importante
Não selecione Windows Servidor de 2008, Enterprise Edition.
Na caixa de diálogo de novas propriedades do novo modelo, no separador Geral, introduza um nome de modelo, como Certificado de Inscrição de Dispositivos Móveis ConfigMgr, para gerar os certificados de inscrição para os dispositivos móveis a gerir pelo Gestor de Configuração.
Escolha o separador Nome de Assunto, certifique-se de que a Construção a partir desta informação do Diretório Ativo está selecionada, selecione nome comum para o formato nome de nome de assunto:, e, em seguida, limpar o nome principal do utilizador (UPN) a partir de incluir estas informações em nome de assunto alternativo.
Escolha o separador Segurança, escolha o grupo de segurança que tem utilizadores que tenham dispositivos móveis para se inscrever e, em seguida, escolha a permissão adicional de Inscrição. Não desmarque Leitura.
Escolha OK e, em seguida, feche a Consola de Modelos de Certificado.
Na consola da Autoridade de Certificação, clique à direita nos modelos de certificados, escolha Novo e, em seguida, escolha o Modelo de Certificado para Emitir.
Na caixa de diálogo "Enable Certificate Templates", escolha o novo modelo que acabou de criar, certificado de inscrição de dispositivo móvel ConfigMgr, e, em seguida, escolha OK.
Se não precisar de criar e emitir mais certificados, feche a consola da Autoridade de Certificação.
O modelo de certificado de inscrição de dispositivo móvel está agora pronto para ser selecionado quando configurar um perfil de inscrição de dispositivo móvel nas definições do cliente.
Implementar o certificado de cliente para computadores Mac
Esta implementação de certificado tem um procedimento único para criar e emitir o modelo de certificado de inscrição na autoridade de certificação.
Criar e emitir um modelo de certificado de cliente Mac na autoridade de certificação
Este procedimento cria um modelo de certificado personalizado para computadores Mac Gestor de Configuração e adiciona o modelo de certificado à autoridade de certificação.
Nota
Este procedimento utiliza um modelo de certificado diferente do modelo de certificado que pode ter criado para computadores cliente com Windows ou para pontos de distribuição.
Quando criar um novo modelo de certificado para este certificado, pode restringir o pedido de certificado aos utilizadores autorizados.
Para criar e emitir o modelo de certificado de cliente Mac na autoridade de certificação
Crie um grupo de segurança que tenha contas de utilizador para utilizadores administrativos que irão inscrever o certificado no computador Mac utilizando o Gestor de Configuração.
No servidor de membros que está a executar a consola da Autoridade de Certificação, clique com o botão direito Modelos de Certificados e, em seguida, escolha Gerir para carregar a consola de gestão de Modelos de Certificado.
No painel de resultados, clique com o botão direito na entrada que exibe a Sessão Autenticada na coluna Nome do Modelo de Visualização e, em seguida, escolha o Modelo duplicado.
Na caixa de diálogo do modelo duplicado, certifique-se de que Windows Servidor de 2003, Enterprise Edition é selecionado e, em seguida, escolha OK.
Importante
Não selecione Windows Servidor de 2008, Enterprise Edition.
Na caixa de diálogo de novas propriedades do novo modelo, no separador Geral, introduza um nome de modelo, como o Certificado de Cliente ConfigMgr Mac, para gerar o certificado de cliente Mac.
Escolha o separador Nome de Assunto, certifique-se de que a Build a partir desta informação do Ative Directory é selecionada, escolha o nome comum para o formato nome do nome de assunto:, e, em seguida, limpar o nome principal do utilizador (UPN) de Incluir estas informações em nome de assunto alternativo.
Escolha o separador De Segurança e, em seguida, remova a permissão de Inscrição dos grupos de segurança Dedmins e Administrações empresariais.
Escolha Adicionar, especifique o grupo de segurança que criou no primeiro passo e, em seguida, escolha OK.
Escolha a permissão de inscrição para este grupo e não limpe a permissão de Leitura.
Escolha OK e, em seguida, feche a Consola de Modelos de Certificado.
Na consola da Autoridade de Certificação, clique à direita nos modelos de certificados, escolha Novo e, em seguida, escolha o Modelo de Certificado para Emitir.
Na caixa de diálogo De Modelos de Certificados De Ativa, escolha o novo modelo que acabou de criar, o Certificado de Cliente ConfigMgr Mac, e, em seguida, escolha OK.
Se não tiver de criar e emitir mais certificados, feche a Autoridade de Certificação.
O modelo de certificado do cliente Mac está agora pronto para ser selecionado quando configurar as configurações do cliente para inscrição.