Configure a infraestrutura para apoiar o SCEP com a Intune
A Intune apoia a utilização do Protocolo de Inscrição de Certificados Simples (SCEP) para autenticar ligações às suas apps e recursos corporativos. A SCEP utiliza o certificado da Autoridade de Certificação (CA) para garantir a troca de mensagens para o Pedido de Assinatura de Certificado (CSR). Quando a sua infraestrutura suporta o SCEP, pode utilizar perfis de certificados Intune SCEP (um tipo de perfil do dispositivo no Intune) para implantar os certificados nos seus dispositivos. O Conector de Certificado para Microft Intune é obrigado a usar perfis de certificado SCEP com o Intune quando também utiliza uma Autoridade de Certificação de Certificados de Diretório Ativo, também chamada microsoft CA. O conector não é necessário quando se utiliza as Autoridades de Certificação de Terceiros.
As informações deste artigo podem ajudá-lo a configurar a sua infraestrutura para apoiar o SCEP ao utilizar os Serviços de Certificados de Diretório Ativo. Depois de configurar a sua infraestrutura, pode criar e implementar perfis de certificado SCEP com o Intune.
Dica
A Intune também apoia a utilização de normas de criptografia de chaves públicas #12 certificados.
Pré-requisitos para a utilização de SCEP para certificados
Antes de continuar, certifique-se de que criou e implementou um perfil de certificado de confiança para dispositivos que utilizarão perfis de certificado SCEP. Os perfis de certificado SCEP referem diretamente o perfil de certificado fidedigno que utiliza para dispositivos de provisão com um certificado De Raiz Fidedigna.
- Servidores e funções de servidor
- Contas
- Requisitos de rede
- Certificados e modelos
- Requisito PIN para Android Enterprise
Servidores e funções de servidor
Para suportar o SCEP, a infraestrutura que se segue no local deve ser executada em servidores que estejam ligados ao seu Diretório Ativo, com exceção do Servidor de Procuração de Aplicações Web.
Conector de Certificado para Microsoft Intune – O Conector de Certificado para Microsoft Intune é obrigado a utilizar perfis de certificado SCEP com o Intune quando utilizar um Microsoft CA.
Para obter informações sobre o conector do certificado, consulte:
- Visão geral do Conector de Certificado para Microsoft Intune.
- Pré-requisitos.
- Instalação e configuração.
Dica
A partir de 29 de julho de 2021, o Conector certificado da Microsoft Intune substitui a utilização do Conector de Certificado PFX para Microsoft Intune e Microsoft Intune Connector. O novo conector inclui a funcionalidade de ambos os conectores anteriores. Apesar de os conectores anteriores se manterem no suporte,já não estão disponíveis para download. Se precisar de instalar um novo conector ou reinstalar um conector, instale o conector de certificado mais recente para Microsoft Intune.
Certifie-se Autoridade – Utilize uma Microsoft Ative Directory Certificate Services Enterprise Certification Authority (CA) que funciona numa edição empresarial do Windows Server 2008 R2 com o pack de serviços 1 ou mais tarde. A versão do Windows Server que utiliza deve permanecer no suporte da Microsoft. Um CA autónomo não é apoiado. Para mais informações, consulte instalar a Autoridade de Certificação.
Se o seu CA correr Windows Server 2008 R2 SP1, deve instalar o hotfix a partir de KB2483564.
Função do servidor NDES – Para apoiar a utilização do Conector de Certificado para Microsoft Intune com o SCEP, tem de configurar o Servidor Windows que irá acolher o conector de certificado com a função de servidor do Serviço de Registo de Dispositivos de Rede (NDES). O conector suporta a instalação no Windows Server 2012 R2 ou mais tarde. Numa secção posterior deste artigo, guiamo-lo através da instalação do NDES.
- O servidor que acolhe o NDES e o conector deve estar ligado ao domínio e na mesma floresta que a sua Enterprise CA.
- Recomendamos que não utilize NDES instalados no servidor que acolhe a Enterprise CA. Embora a utilização de NDES que esteja instalada numa Enterprise CA seja suportada, esta configuração representa um risco de segurança quando os serviços de CA solicitam internet.
- A configuração de segurança melhorada do Internet Explorer deve ser desativada no servidor que hospeda o NDES e o conector Microsoft Intune.
Para saber mais sobre o NDES, consulte a Orientação do Serviço de Inscrição de Dispositivos de Rede na documentação do Servidor Windows e utilização de um Módulo de Política com o Serviço de Inscrição de Dispositivos de Rede.
Apoio ao NDES na internet
Para permitir que os dispositivos na internet obtenham certificados, tem de publicar o seu URL NDES externo à sua rede corporativa. Para isso, pode utilizar um proxy invertido como o Azure AD Application Proxy, o Microsoft's Web Application Proxy Server, ou um serviço ou dispositivo de procuração inversa de terceiros.
Azure AD Application Proxy – Pode utilizar o Proxy de Aplicação AD AZure em vez de um Servidor dedicado à Aplicação Web Proxy (WAP) para publicar o seu URL NDES na internet. Esta solução permite que tanto os dispositivos intranet como os dispositivos virados para a internet obtenham certificados. Para obter mais informações, consulte Integrar-se com o Azure AD Application Proxy num servidor do Serviço de Registo de Dispositivos de Rede (NDES).
Web Application Proxy Server - Utilize um servidor que executa Windows Server 2012 R2 ou mais tarde como servidor de Proxy de Aplicação Web (WAP) para publicar o URL do NDES na internet. Esta solução permite que tanto os dispositivos intranet como os dispositivos virados para a internet obtenham certificados.
O servidor que aloja o WAP tem de instalar uma atualização que ativa o suporte para os URLs longos que são utilizados pelo Serviço de Inscrição de Dispositivos de Rede. Esta atualização está incluída com o roll up de atualização de dezembro de 2014,ou individualmente a partir de KB3011135.
O servidor WAP deve ter um certificado SSL que corresponda ao nome que é publicado a clientes externos e confie no certificado SSL que é utilizado no computador que acolhe o serviço NDES. Estes certificados permitem ao servidor WAP encerrar a ligação SSL dos clientes e criar uma nova ligação SSL ao serviço NDES.
Para obter mais informações, veja Plan certificates for WAP (Planear certificados para o WAP) e as informações gerais sobre os servidores WAP.
Procuração inversa de terceiros – Quando utilizar um representante inverso de terceiros, certifique-se de que o proxy suporta um pedido de URI longo. Como parte do fluxo de pedido de certificado, o cliente faz um pedido com o pedido de certificado na cadeia de consulta. Como resultado, o comprimento URI pode ser grande, até 40 kb de tamanho.
As limitações do protocolo SCEP impedem a utilização da pré-autenticação. Quando publicar o URL NDES através de um servidor de procuração inversa, tem de ter pré-autenticação definida para Passthrough. A Intune protege o URL NDES quando instala o conector do Certificado Intune, instalando um módulo de política Intune-SCEP no servidor NDES. O módulo ajuda a garantir o URL NDES, impedindo que os certificados sejam emitidos para pedidos de certificados inválidos ou digitalmente adulterados. Isto limita o acesso apenas a dispositivos inscritos intune que gere com a Intune e que têm pedidos de certificados bem formados.
Quando um perfil de certificado Intune SCEP é entregue a um dispositivo, o Intune gera uma bolha de desafio personalizada que encripta e assina. A bolha não é legível pelo dispositivo. Apenas o módulo de política e o serviço Intune podem ler e verificar o desafio blob. O blob inclui detalhes que a Intune espera que seja fornecido pelo dispositivo no seu pedido de assinatura de certificado (CSR). Por exemplo, o sujeito esperado e nome alternativo sujeito (SAN).
O módulo de política Intune funciona para garantir o NDES das seguintes formas:
Ao tentar aceder diretamente ao URL NDES publicado, o servidor devolve uma resposta 403 – Proibida: O acesso é negada.
Quando um pedido de certificado SCEP bem formado é recebido e a carga útil do pedido inclui tanto a bolha de desafio como a CSR do dispositivo, o módulo de política compara os detalhes do dispositivo CSR com a bolha de desafio:
Se a validação falhar, não será emitido nenhum certificado.
Apenas os pedidos de certificado de um dispositivo inscrito intune que passa a validação blob de desafio são emitidos um certificado.
Contas
Para configurar o conector para suportar o SCEP, precisará de uma conta que tenha permissões para configurar o NDES no Servidor Windows e gerir a sua Autoridade de Certificação. Para mais informações, consulte as Contas nos Pré-Requisitos para o Conector de Certificado para Microsoft Intune artigo.
Requisitos de rede
Além dos requisitos de rede para o conector de certificado, recomendamos a publicação do serviço NDES através de um representante inverso, como o proxy de aplicação AD AD Azure, o Proxy do Acesso Webou um proxy de terceiros. Se não utilizar um representante inverso, então permita o tráfego TCP na porta 443 de todos os anfitriões e endereços IP na internet para o serviço NDES.
Permitir todos os portos e protocolos necessários para a comunicação entre o serviço NDES e qualquer infraestrutura de apoio no seu ambiente. Por exemplo, o computador que acolhe o serviço NDES precisa de comunicar com os servidores CA, DNS, controladores de domínio e, possivelmente, outros serviços ou servidores dentro do seu ambiente, como o Gestor de Configuração.
Certificados e modelos
Os seguintes certificados e modelos são utilizados quando utiliza o SCEP.
| Objeto | Detalhes |
|---|---|
| Modelo de certificado SCEP | Modelo que irá configurar na sua CA de emissão usada para preencher os pedidos SCEP dos dispositivos. |
| Certificado de autenticação de servidor | Certificado do Web Server solicitado a partir da sua Emissão ca ou CA público. Instala e liga este certificado SSL no IIS no computador que acolhe NDES. |
| Certificado da AC de Raiz Fidedigna | Para utilizar um perfil de certificado SCEP, os dispositivos devem confiar na sua Autoridade de Certificação de Raiz Fidedigna (CA). Utilize um perfil de certificado de confiança no Intune para doar o certificado Trust Root CA aos utilizadores e dispositivos. - Utilize um único certificado de CA de raiz fidedigna por plataforma do sistema operativo e associe esse certificado a cada perfil de certificado fidedigno que criar. - Pode utilizar certificados de CA de raiz fidedigna adicionais quando necessário. Por exemplo, pode utilizar certificados adicionais para fornecer um fundo a uma AC que assina os certificados de autenticação do servidor para os seus Wi-Fi pontos de acesso. Crie certificados de CA de raiz fidedigna adicionais para a emissão de CAs. No perfil de certificado SCEP que cria no Intune, certifique-se de especificar o perfil de CA de raiz fidedigna para a CA emissora. Para obter informações sobre o perfil de certificado fidedigno, consulte Exportar o certificado de CA de raiz fidedigna e criar perfis de certificados fidedignos em Certificados de Utilização para autenticação no Intune. |
Nota
O seguinte certificado não é utilizado no Conector de Certificado para Microsoft Intune. Estas informações são fornecidas para aqueles que ainda não substituíram o conector mais antigo do SCEP (instalado por NDESConnectorSetup.exe) pelo novo software de conector.
| Objeto | Detalhes |
|---|---|
| Certificado de autenticação de cliente | Solicitado da sua A.C. emitindo ou da AC pública. Instala este certificado no computador que acolhe o serviço NDES e é utilizado pelo Conector de Certificados para Microsoft Intune. Se o certificado tiver o conjunto de utilizações das chaves de autenticação do cliente e do servidor (Utilizações de chave melhoradas) no modelo de CA que utiliza para emitir este certificado, pode então utilizar o mesmo certificado para autenticação do servidor e do cliente. |
Requisito PIN para Android Enterprise
Para o Android Enterprise, a versão de encriptação num dispositivo determina se o dispositivo deve ser configurado com um PIN antes que o SCEP possa forcrer esse dispositivo com um certificado. Os tipos de encriptação disponíveis são:
Encriptação completa do disco, que requer que o dispositivo tenha um PIN configurado.
Encriptação baseada em ficheiros– que é necessária em dispositivos instalados pelo OEM com o Android 10 ou posteriormente. Estes dispositivos não requerem um PIN. Os dispositivos que atualizam para o Android 10 podem ainda necessitar de um PIN.
Nota
Microsoft Endpoint Manager não consegue identificar o tipo de encriptação num dispositivo Android.
A versão do Android num dispositivo pode afetar o tipo de encriptação disponível:
Android 10 e mais tarde: Os dispositivos instalados com o Android 10 ou posteriormente pelo OEM utilizarão encriptação baseada em ficheiros e não exigirão um PIN para o SCEP para a disponibilização de um certificado. Os dispositivos que atualizam para a versão 10 ou mais tarde e começam a usar encriptação baseada em ficheiros podem ainda necessitar de um PIN.
Android 8 a 9: Estas versões do Android suportam o uso de encriptação baseada em ficheiros, mas não é necessário. Cada OEM escolhe qual o tipo de encriptação a implementar para um dispositivo. Também é possível que as modificações do OEM resultem em que um PIN não seja necessário mesmo quando a encriptação completa do disco estiver a ser utilizada.
Android 7 e anteriores: A encriptação baseada em disco é típica, se não universal. Com a versão 7, a encriptação baseada em ficheiros é uma opção de utilizador final. Para os dispositivos em que os utilizadores optam por utilizar encriptação baseada em ficheiros, um PIN ainda pode ser necessário antes de o SCEP poder apresentar um certificado. Também é possível que as modificações do OEM resultem na não necessidade de um PIN.
Para mais informações, consulte os seguintes artigos na documentação do Android:
Considerações para dispositivos matriculados como Android Enterprise dedicado
Para dispositivos matriculados como Android Enterprise dedicados, a aplicação de passwords pode apresentar desafios.
Para dispositivos que executam 9.0 e posteriormente e recebem uma política de modo quiosque, pode utilizar uma política de conformidade do dispositivo ou configuração do dispositivo para impor o requisito da palavra-passe. Ver Dica de Suporte: Novos ecrãs de conformidade baseados no Google para o modo quiosque da Equipa de Suporte Intune, para entender a experiência do dispositivo.
Para dispositivos que executam 8.x e mais cedo, também pode utilizar uma política de conformidade do dispositivo ou configuração do dispositivo para impor o requisito da palavra-passe. No entanto, para configurar um PIN, terá de introduzir manualmente a aplicação de definições no dispositivo e configurar o PIN.
Configurar a autoridade de certificação
Nas seguintes secções,:
- Configure e publique o modelo exigido para o NDES
- Desa estada as permissões necessárias para a revogação do certificado.
As seguintes secções requerem conhecimentos de Windows Server 2012 R2 ou posterior, e de Serviços de Certificados de Diretório Ativo (CS AD).
Aceda ao seu CA de emissão
Inscreva-se na sua AE emite com uma conta de domínio com direitos suficientes para gerir a AC.
Abra a Consola de Gestão microsoft (MMC) da Autoridade de Certificação. Executar 'certsrv.msc' ou no Server Manager, clique em Ferramentas e, em seguida, clique em Certification Authority.
Selecione o nó de modelos de certificado, clique em Gerir a ação. >
Crie o modelo de certificado SCEP
Crie um modelo de certificado v2 (com Windows compatibilidade de 2003) para utilização como modelo de certificado SCEP. Pode:
- Utilize o snap-in dos modelos de certificado para criar um novo modelo personalizado.
- Copie um modelo existente (como o modelo do Servidor Web) e, em seguida, atualize a cópia para usar como modelo NDES.
Configure as seguintes definições nos separadores especificados do modelo:
General:
- Desveri o certificado de publicação em Diretório Ativo.
- Especifique um nome de exibição de modelo amigável para que possa identificar este modelo mais tarde.
Denominação do sujeito:
Selecione Fornecer no pedido. A segurança é aplicada pelo módulo de política Intune para o NDES.
Extensões:
Certifique-se de que a Descrição das Políticas de Aplicação inclui a Autenticação do Cliente.
Importante
Adicione apenas as políticas de aplicação que necessita. Confirme as escolhas com os administradores de segurança.
Para modelos de certificados iOS/iPadOS e macOS, edite também o Uso da Chave e certifique-se de que signature is proof of origin is not selected.
Segurança:
Adicione a conta de serviço NDES. Esta conta requer permissões de Leitura e Inscrição neste modelo.
Adicione contas adicionais para administradores intune que irão criar perfis SCEP. Estas contas requerem permissões de leitura no modelo para permitir que estes administradores naveguem para este modelo enquanto criam perfis SCEP.
Tratamento de Pedidos:
A imagem a seguir é um exemplo. A sua configuração pode variar.
Requisitos de emissão:
A imagem a seguir é um exemplo. A sua configuração pode variar.
Guarde o modelo de certificado.
Crie o modelo de certificado de cliente
O Conector de Certificado para Microsoft Intune requer um certificado com o nome de chave e nome de chave melhorado de autenticação do cliente igual ao FQDN da máquina onde o conector está instalado. É necessário um modelo com as seguintes propriedades:
- Extensões > As Políticas de Aplicação devem conter a autenticação do Cliente
- Nome do sujeito > Fornecer no pedido.
Se já tiver um modelo que inclua estas propriedades, pode reutilizá-lo, de outra forma criar um novo modelo, duplicando um existente ou criando um modelo personalizado.
Crie o modelo de certificado do servidor
As comunicações entre dispositivos geridos e o IIS no servidor NDES utilizam HTTPS, que requer a utilização de um certificado. Pode utilizar o modelo de certificado do Web Server para emitir este certificado. Ou, se preferir ter um modelo dedicado, são necessárias as seguintes propriedades:
- Extensões > As Políticas de Aplicação devem conter a autenticação do servidor.
- Nome do sujeito > Fornecer no pedido.
- No separador Segurança, a conta de computador do servidor NDES deve ter permissões de Leitura e Inscrição.
Nota
Se tiver um certificado que satisfaça ambos os requisitos dos modelos de certificado de cliente e servidor, pode utilizar um único certificado tanto para o IIS como para o conector de certificados.
Concessão de permissões para revogação de certificado
Para que a Intune possa revogar certificados que já não são necessários, deve conceder permissões na Autoridade de Certificados.
No servidor que acolhe o conector de certificado, utilize a conta do sistema de servidor NDES ou uma conta específica, como a conta de serviço NDES.
Na sua consola Autoridade de Certificados, clique com o nome CA e selecione Propriedades.
No separador Segurança, clique em Adicionar.
Concessão de emissão e gestão de certificados:
- Se optar por utilizar a conta do sistema de servidor NDES, forneça as permissões ao servidor NDES.
- Se optar por utilizar a conta de serviço NDES, forneça permissões para essa conta.
Alterar o período de validade do modelo de certificado
É opcional modificar o período de validade do modelo de certificado.
Depois de criar o modelo de certificado SCEP,pode editar o modelo para rever o período de Validade no separador Geral.
Por predefinição, o Intune utiliza o valor configurado no modelo, mas pode configurar o CA para permitir que o solicitador introduza um valor diferente, de modo a que o valor possa ser definido a partir da consola Intune.
Planeie utilizar um período de validade de cinco dias ou mais. Quando o prazo de validade for inferior a cinco dias, existe uma alta probabilidade de o certificado entrar num estado de quase expiração ou expirado, o que pode fazer com que o agente MDM nos dispositivos rejeite o certificado antes de ser instalado.
Importante
Para iOS/iPadOS e macOS, utilize sempre um conjunto de valor definido no modelo.
Para configurar um valor que pode ser definido a partir da consola Intune
Na AC, execute os seguintes comandos:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc
Publicar modelos de certificados
Na AC emissora, utilize o snap-in Autoridade de Certificação para publicar o modelo de certificado. Selecione o nó de modelos de certificado, selecione Action > New > Certificate Template to Issue e, em seguida, selecione o modelo de certificado que criou na secção anterior.
Validar que o modelo foi publicado ao vê-lo na pasta De Modelos de Certificado.
Configurar NDES
Os seguintes procedimentos podem ajudá-lo a configurar o Serviço de Inscrição de Dispositivos de Rede (NDES) para utilização com o Intune. Estes são fornecidos como exemplos, uma vez que a configuração real pode variar dependendo da sua versão do Windows Server. Certifique-se de que as configurações necessárias adiciona como as .NET Framework satisfaçam os requisitos para o Conector de Certificado para Microsoft Intune.
Para obter mais informações sobre o NDES, consulte a Orientação do Serviço de Inscrição de Dispositivos de Rede.
Instalar o serviço NDES
No servidor que irá hospedar o seu serviço NDES, inscreva-se como Administrador Empresarial e, em seguida, utilize o Add Roles and Features Wizard para instalar NDES:
No Assistente, selecione Serviços de Certificados do Active Directory para obter acesso aos Serviços de Função AD CS. Selecione Serviço de Inscrição de Dispositivos de Rede, desmarque a Autoridade de Certificação e, em seguida, complete o assistente.
Dica
No progresso da instalação, não selecione Close. Em alternativa, selecione a ligação para Configurar os Serviços de Certificados do Active Directory no servidor de destino. Abre o assistente de configuração AD CS, que utiliza para o próximo procedimento neste artigo, configurar o serviço NDES. Após a Configuração de AD CS abrir, pode fechar o assistente para Adicionar Funções e Funcionalidades.
Quando o NDES é adicionado ao servidor, o assistente também instala o IIS. Confirme que o IIS tem as seguintes configurações:
Servidor > Web Segurança > Filtragem de pedidos
Servidor > Web Desenvolvimento de Aplicações > ASP.NET 3.5
A instalação do ASP.NET 3.5 instala o .NET Framework 3.5. Ao instalar .NET Framework 3.5, instale tanto o núcleo .NET Framework função 3.5 como a ativação HTTP.
Servidor > Web Desenvolvimento de Aplicações > ASP.NET 4.7.2
A instalação ASP.NET 4.7.2 instala .NET Framework 4.7.2. Ao instalar .NET Framework 4.7.2, instale o núcleo .NET Framework função 4.7.2, ASP.NET 4.7.2, e a função de ativação HTTP dos Serviços WCF. >
Ferramentas de Gestão > IIS 6 Compatibilidade de > Gestão IIS 6 Metabase Compatibilidade
Ferramentas de Gestão > IIS 6 Compatibilidade de > Gestão Compatibilidade IIS 6 WMI
No servidor, adicione a conta do serviço do NDES como membro do grupo local IIS_IUSR.
No computador que acolhe o serviço NDES, executar o seguinte comando num pedido de comando elevado. O seguinte comando define a SPN da conta de Serviço NDES:
setspn -s http/<DNS name of the computer that hosts the NDES service> <Domain name>\<NDES Service account name>Por exemplo, se o computador que acolhe o serviço NDES tiver o nome de Server01, o seu domínio é Contoso.com, e a conta de serviço é NDESService, utilize:
setspn –s http/Server01.contoso.com contoso\NDESService
Configure o serviço NDES
Para configurar o serviço NDES, utilize uma conta que seja administrador da empresa.
No computador que acolhe o serviço NDES, abra o assistente de configuração AD CS e, em seguida, faça as seguintes atualizações:
Dica
Se continuar a partir do último procedimento e clicar nos Serviços de Certificado de Diretório Ativo configurados no link do servidor de destino, este assistente já deve estar aberto. Caso contrário, abra o Gestor de Servidores para aceder à configuração pós-implementação dos Serviços de Certificados do Active Directory.
- Em Serviços de Função, selecione o Serviço de Inscrição de Dispositivos de Rede.
- Na Conta de Serviço para NDES, especifique a Conta de Serviço NDES.
- Em CA para NDES, clique em Select e, em seguida, selecione o CA de emissão onde configura o modelo de certificado.
- Em Criptografia para NDES defina o comprimento da chave para corresponder aos requisitos da sua empresa.
- Em Confirmação, selecione Configurar para concluir o assistente.
Após a conclusão do assistente, atualize a seguinte chave de registo no computador que acolhe o serviço NDES:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Para atualizar esta chave, identifique a Finalidade dos modelos de certificado (encontrada no separador Tratamento de Pedidos). Em seguida, atualize a entrada de registo correspondente substituindo os dados existentes pelo nome do modelo de certificado (não o nome de visualização do modelo) que especificou quando criou o modelo de certificado.
A seguinte tabela mapeia o objetivo do modelo de certificado para os valores do registo:
Objetivo do modelo de certificado (no separador Manipulação de Pedidos) Valor do registo a editar Valor visto na consola de administração do Intune para o perfil SCEP Assinatura SignatureTemplate Assinatura Digital Encriptação EncryptionTemplate Cifragem de Chaves Assinatura e encriptação GeneralPurposeTemplate Cifragem de Chaves
Assinatura DigitalPor exemplo, se o Objetivo do seu modelo de certificado for Encriptação, edite o valor EncryptionTemplate para que tenha o mesmo nome do modelo de certificado.
Reinicie o servidor que acolhe o serviço NDES. Não use iisreset; Iireset não completa as alterações necessárias.
Navegue para http:// Server_FQDN /certsrv/mscep/mscep.dll. Deve ver uma página NDES semelhante à seguinte imagem:
Se o endereço web devolver um Serviço 503 indisponível, verifique o visualizador de eventos de computadores. Este erro ocorre geralmente quando o conjunto de aplicações é interrompido devido a uma permissão em falta para a conta de serviço NDES.
Instale e ligue certificados no servidor que acolhe NDES
No servidor NDES, adicione um certificado de autenticação do Servidor.
Certificado de autenticação de servidor
Este certificado é utilizado no IIS. É um certificado de servidor Web simples que permite ao cliente confiar em URL NDES.
Solicite um certificado de autenticação do servidor da sua AC interna ou ca pública e, em seguida, instale o certificado no servidor.
Dependendo da forma como expõe os seus NDES à internet, existem diferentes requisitos.
Uma boa configuração é:
- Um Nome do Sujeito: Desajei um CN (Nome Comum) com um valor que deve ser igual ao FQDN do servidor onde está a instalar o certificado (o Servidor NDES).
- Um nome alternativo ao assunto: Desajei as entradas dns para cada URL a que o seu NDES está a responder, como o FQDN interno e os URLs externos.
Nota
Se estiver a utilizar o Azure AD App Proxy, o conector Proxy da App AAD traduzirá os pedidos do URL externo para o URL interno. Como tal, o NDES apenas responderá aos pedidos direcionados para o URL interno, normalmente o FQDN do Servidor NDES.
Nesta situação, a URL externa não é necessária.
Ligue o certificado de autenticação do servidor no IIS:
Depois de instalar o certificado de autenticação do servidor, abra o IIS Manager e selecione o Web Site Predefinido. No painel Ações, selecione Enlaces.
Selecione Adicionar, defina o Tipo para https e, em seguida, confirme que a porta é 443.
Para o certificado SSL, especifique o certificado de autenticação de servidor.
Nota
Ao configurar NDES para o Conector de Certificado para Microsoft Intune , apenas é utilizado o certificado de autenticação do Servidor. Se o seu NDES configurar para suportar o conector de certificado mais antigo (NDESConnectorSetup.exe), também deve configurar um certificado de autenticação do Cliente. Pode utilizar um único certificado para autenticação do servidor e autenticação do cliente quando esse certificado estiver configurado para satisfazer os critérios de ambas as utilizações. No que diz respeito ao Nome do Sujeito, deve satisfazer os requisitos da certidão de autenticação do cliente.
São fornecidas as seguintes informações para aqueles que ainda não substituíram o conector mais antigo para SCEP (instalado por NDESConnectorSetup.exe) pelo novo software de conector.
Certificado de autenticação de cliente
Este certificado é utilizado durante a instalação do Conector de Certificado para Microsoft Intune para suporte ao SCEP.
Solicite e instale um certificado de autenticação do cliente da sua AC interna, ou uma autoridade de certificados públicos.
O certificado deve satisfazer os seguintes requisitos:
- Utilização melhorada da chave: Este valor deve incluir a autenticação do cliente.
- Nome do assunto: Desajei um CN (Nome Comum) com um valor que deve ser igual ao FQDN do servidor onde está a instalar o certificado (o Servidor NDES).
Faça o download, instale e configuure o Conector certificado para Microsoft Intune
Para obter orientações, consulte instalar e configurar o Conector certificado para Microsoft Intune.
- O conector de certificado instala-se no servidor que executa o seu serviço NDES.
- O conector não é suportado no mesmo servidor que a Sua Autoridade de Certificação emissora (CA).