Partilhar via


Exemplo Passo a Passo de Implementação dos Certificados PKI para o Configuration Manager: Autoridade de Certificação do Windows Server 2008

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Este exemplo passo a passo de implementação, que utiliza uma autoridade de certificação (AC) do Windows Server 2008, contém procedimentos que orientam através do processo de criação e implementação dos certificados de infraestrutura de chaves públicas (PKI) que o Microsoft System Center 2012 Configuration Manager utiliza. Estes procedimentos utilizam uma autoridade de certificação (AC) empresarial e modelos de certificado. Os passos são adequados apenas para uma rede de teste, como prova de conceito.

Uma vez que não existe um método de implementação único para os certificados necessários, tem de consultar a sua documentação de implementação de PKI específica para obter as melhores práticas e os procedimentos necessários para implementar os certificados necessários num ambiente de produção. Para mais informações sobre os requisitos de certificados, consulte Requisitos de Certificado PKI para o Configuration Manager.

System_CAPS_tipSugestão

As instruções neste tópico podem facilmente ser adaptadas para sistemas operativos diferentes dos mencionados na secção Requisitos de Rede de Teste. No entanto, se estiver a executar a AC emissora no Windows Server 2012, não lhe será solicitada a indicação da versão do modelo de certificado. Em vez disso, especifique isto no separador Compatibilidade das propriedades do modelo, da seguinte forma:

  • Autoridade de Certificação: Windows Server 2003

  • Destinatário do certificado: Windows XP/Server 2003

Nesta secção

As secções seguintes incluem instruções de exemplo passo a passo para criar e implementar os seguintes certificados que podem ser utilizados com o System Center 2012 Configuration Manager:

Requisitos de Rede de Teste

Descrição Geral dos Certificados

Implementar o Certificado do Servidor Web para Sistemas de Sites que Executam o IIS

Implementar o Certificado de Serviço para Pontos de Distribuição Baseados na Nuvem

Implementar o Certificado de Cliente em Computadores com Windows

Implementar o Certificado de Cliente nos Pontos de Distribuição

Implementar o Certificado de Inscrição em Dispositivos Móveis

Implementar os Certificados para AMT.

Implementar o Certificado de Cliente em Computadores Mac

Requisitos de Rede de Teste

As instruções passo a passo têm os seguintes requisitos:

  • A rede de teste está a executar os Serviços de Domínio do Active Directory com o Windows Server 2008 e está instalada como único domínio e única floresta.

  • Tem um servidor membro a executar o Windows Server 2008 Enterprise Edition que está instalado na função Serviços de Certificados do Active Directory e está configurado como autoridade de certificação (AC) empresarial de raiz.

  • Tem um computador que tem o Windows Server 2008 (Standard Edition ou Enterprise Edition) instalado e que é designado como servidor membro e os Serviços de Informação Internet (IIS) instalados. Este computador será o servidor de sistema de sites do Gestor de configuração que irá ser configurado com um FQDN de intranet (para suportar ligações de cliente na intranet) e um FQDN de Internet caso seja necessário suportar dispositivos móveis inscritos pelo Gestor de configuração e clientes na Internet.

  • Tem um cliente Windows Vista com o service pack mais recente instalado e este computador é configurado com um nome de computador que abrange carateres ASCII e está associado ao domínio. Este computador será um computador cliente do Gestor de configuração.

  • Pode iniciar sessão com uma conta de administrador de domínio de raiz ou uma conta de administrador de domínio da empresa e utilizar esta conta para todos os procedimentos nesta implementação de exemplo.

Descrição Geral dos Certificados

A tabela seguinte lista os tipos de certificados PKI que podem ser necessários para o System Center 2012 Configuration Manager e descreve a forma como são utilizados.

Requisito de Certificado

Descrição do Certificado

Certificado de servidor Web para os sistemas de sites que executam o IIS

Este certificado é utilizado para encriptar dados e autenticar o servidor para clientes. Deve ser instalado externamente a partir de servidores de sistema de sites do Gestor de configuração que executam o IIS e estão configurados no Gestor de configuração para utilizar HTTPS.

Para o System Center 2012 Configuration Manager SP1 e posterior: Este certificado pode ainda ser solicitado nos pontos de gestão quando o tráfego de notificação do cliente reverte para a utilização de HTTPS.

Para os passos de configuração e instalação deste certificado, consulte Implementar o Certificado do Servidor Web para Sistemas de Sites que Executam o IIS neste tópico.

Certificado de serviço para clientes que ligam a pontos de distribuição baseados na nuvem

Para o System Center 2012 Configuration Manager SP1 e posterior:

Este certificado é utilizado para encriptar dados e autenticar o serviço de ponto de distribuição baseado na nuvem para clientes. Deve ser pedido, instalado e exportado externamente a partir do Gestor de configuração para que possa ser importado ao criar um ponto de distribuição baseado na nuvem.

Para os passos de configuração e instalação deste certificado, consulte Implementar o Certificado de Serviço para Pontos de Distribuição Baseados na Nuvem neste tópico.

Nota

Este certificado é utilizado em conjunto com o certificado de gestão do Windows Azure. Para mais informações sobre o certificado de gestão, consulte Como Criar um Certificado de Gestão e Como Adicionar um Certificado de Gestão a uma Subscrição do Windows Azure na secção Plataforma Windows Azure da Biblioteca MSDN.

Certificado de cliente para computadores com o Windows

Este certificado é utilizado para autenticar computadores cliente do Gestor de configuração para os sistemas de sites que estão configurados para utilizar HTTPS. Também pode ser utilizado para pontos de gestão e pontos de migração de estado para monitorizar o respetivo estado operacional quando são configurados para utilizar HTTPS. Deve ser instalado externamente a partir do Gestor de configuração em computadores.

Para os passos de configuração e instalação deste certificado, consulte Implementar o Certificado de Cliente em Computadores com Windows neste tópico.

Certificado de cliente para pontos de distribuição

Este certificado tem duas finalidades:

  • O certificado é utilizado para autenticar o ponto de distribuição para um ponto de gestão ativado para HTTPS antes de o ponto de distribuição enviar mensagens de estado.

  • Quando a opção do ponto de distribuição Ativar suporte PXE para clientes está selecionada, o certificado é enviado para computadores com arranque PXE para que liguem a um ponto de gestão ativado para HTTPS durante a implementação do sistema operativo.

Para os passos de configuração e instalação deste certificado, consulte Implementar o Certificado de Cliente nos Pontos de Distribuição neste tópico.

Certificado de inscrição para dispositivos móveis

Este certificado é utilizado para autenticar clientes de dispositivos móveis do Gestor de configuração para os sistemas de sites que estão configurados para utilizar HTTPS. Tem de ser instalado como parte da inscrição de dispositivos móveis no Gestor de configuração, devendo ser selecionado o modelo de certificado configurado como uma definição de cliente de dispositivo móvel.

Para os passos de configuração deste certificado, consulte Implementar o Certificado de Inscrição em Dispositivos Móveis neste tópico.

Certificados para o Intel AMT

Existem três certificados que se relacionam com a gestão fora de banda para computadores baseados em Intel AMT: Um certificado de aprovisionamento de AMT; um certificado de servidor Web de AMT; e, opcionalmente, um certificado de autenticação de cliente para redes 802.1X com e sem fios.

O certificado de aprovisionamento de AMT deve ser instalado externamente a partir do Gestor de configuração no computador do ponto de serviço fora de banda e, em seguida, deve ser selecionado o certificado instalado nas propriedades do ponto de serviço fora de banda. O certificado de servidor Web de AMT e o certificado de autenticação de cliente são instalados durante o aprovisionamento e gestão de AMT, devendo ser selecionados os modelos de certificado configurados nas propriedades de componente de gestão fora de banda.

Para os passos de configuração destes certificados, consulte Implementar os Certificados para AMT. neste tópico.

Certificado de cliente para computadores Mac

Para o System Center 2012 Configuration Manager SP1 e posterior:

Este certificado é utilizado para autenticar o Gestor de configuração em computadores Mac para pontos de gestão e pontos de distribuição configurados para suportar HTTPS.

Pode pedir e instalar este certificado a partir de um computador Mac quando utiliza a inscrição do Gestor de configuração e selecionar o modelo de certificado configurado como definição de cliente de dispositivo móvel.

Para os passos de configuração deste certificado, consulte Implementar o Certificado de Cliente em Computadores Mac neste tópico.

Implementar o Certificado do Servidor Web para Sistemas de Sites que Executam o IIS

Esta implementação de certificados possui os seguintes procedimentos:

  • Criar e Emitir o Modelo de Certificado de Servidor Web na Autoridade de Certificação

  • Pedir o Certificado de Servidor Web

  • Configurar o IIS para Utilizar o Certificado de Servidor Web

Criar e Emitir o Modelo de Certificado de Servidor Web na Autoridade de Certificação

Este procedimento cria um modelo de certificado para sistemas de site do Gestor de configuração e adiciona-o à autoridade de certificação.

Para criar e emitir o modelo de certificado de servidor Web na autoridade de certificação

  1. Crie um grupo de segurança com o nome Servidores IIS do ConfigMgr que contenha os servidores membro para instalar os sistemas de sites do System Center 2012 Configuration Manager que irão gerir o IIS.

  2. No servidor membro onde estão instalados os Serviços de Certificados, na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola Modelos de Certificado.

  3. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Servidor Web na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.

  4. Na caixa de diálogo Duplicar Modelo, certifique-se de que Windows 2003 Server, Enterprise Edition se encontra selecionado e clique em OK.

    System_CAPS_importantImportante

    Não selecione Windows 2008 Server, Enterprise Edition.

  5. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para gerar os certificados Web que serão utilizados nos sistemas de sites do Configuration Manager, tal como o Certificado de Servidor Web do ConfigMgr.

  6. Clique no separador Nome do Requerente e certifique-se de que Fornecer no pedido está selecionado.

  7. Clique no separador Segurança e remova a permissão Inscrever dos grupos de segurança Admins do Domínio e Admins de Empresa.

  8. Clique em Adicionar, introduza Servidores IIS do ConfigMgr na caixa de texto e clique em OK.

  9. Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura.

  10. Clique em OK e feche a Consola de Modelos de Certificado.

  11. Na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.

  12. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Certificado de Servidor Web do ConfigMgr e clique em OK.

  13. Se não for necessário criar e emitir mais certificados, feche Autoridade de Certificação.

Pedir o Certificado de Servidor Web

Este procedimento permite especificar os valores de FQDN de intranet e de Internet que serão configurados nas propriedades do servidor do sistema de sites, instalando em seguida o certificado de servidor Web no servidor membro que executa o IIS.

Para pedir o certificado de servidor Web

  1. Reinicie o servidor membro que executa o IIS, para assegurar que o computador pode aceder ao modelo de certificado criado, utilizando as permissões Leitura e Inscrever configuradas por si.

  2. Clique em Iniciar, clique em Executar e escreva mmc.exe. Na consola vazia, clique em Ficheiro e clique em Adicionar/Remover Snap-in.

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados na lista de Snap-ins disponíveis e clique em Adicionar.

  4. Na caixa de diálogo Snap-in de certificado, selecione Conta de computador e clique em Seguinte.

  5. Na caixa de diálogo Selecionar Computador, certifique-se de que Computador local: (o computador onde esta consola está a ser executada) está selecionado e, em seguida, clique em Concluir.

  6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.

  7. Na consola, expanda Certificados (Computador Local) e clique em Pessoais.

  8. Clique com o botão direito do rato em Certificados, clique em Todas as Tarefas e clique em Requisitar um Novo Certificado.

  9. Na página Antes de Começar, clique em Seguinte.

  10. Se for apresentada a página Selecionar Política de Inscrição de Certificados, clique em Seguinte.

  11. Na página Pedir Certificados, identifique o Certificado de Servidor Web do ConfigMgr na lista de certificados apresentados e, em seguida, clique em São necessárias mais informações para fazer a inscrição neste certificado. Clique aqui para configurar as definições.

  12. Na caixa de diálogo Propriedades do Certificado, no separador Requerente, não faça quaisquer alterações a Nome do requerente. Isto significa que a caixa Valor para a secção Nome do requerente permanece em branco. Em vez disso, na secção Nome alternativo, clique na lista pendente Tipo e, em seguida, selecione DNS.

  13. Na caixa Valor, especifique os valores FQDN que irá especificar nas propriedades do sistema de sites do Gestor de configuração e, em seguida, clique em OK para fechar a caixa de diálogo Propriedades do Certificado.

    Exemplos:

    • Se o sistema de sites apenas aceitar ligações de cliente a partir da intranet e o FQDN de intranet do servidor do sistema de sites for server1.internal.contoso.com: Escreva server1.internal.contoso.com e, em seguida, clique em Adicionar.

    • Se o sistema de sites aceitar ligações de cliente a partir da intranet e da Internet e o FQDN de intranet do servidor do sistema de sites for server1.internal.contoso.com e o FQDN de Internet do servidor do sistema de sites for server.contoso.com:

      1. Escreva server1.internal.contoso.com e, em seguida, clique em Adicionar.

      2. Escreva server.contoso.com e, em seguida, clique em Adicionar.

      Nota

      Não importa a ordem pela qual especifica o FQDN para Gestor de configuração. No entanto, verifique se todos os dispositivos que irão utilizar o certificado, tais como dispositivos móveis e servidores Web proxy, podem utilizar um SAN de certificado e múltiplos valores no SAN. Se os dispositivos têm suporte limitado para valores de SAN nos certificados, terá de alterar a ordem dos FQDN ou utilizar em vez disso o valor Requerente.

  14. Na página Pedir Certificados, selecione o Certificado de Servidor Web do ConfigMgr na lista de certificados apresentados e clique em Inscrever.

  15. Na página Resultados da Instalação de Certificados, aguarde pela instalação do certificado e clique em Concluir.

  16. Feche Certificados (Computador Local).

Configurar o IIS para Utilizar o Certificado de Servidor Web

Este procedimento vincula o certificado instalado ao Web Site Predefinido do IIS.

Para configurar o IIS para utilizar o certificado de servidor Web

  1. No servidor membro que tem o IIS instalado, clique em Iniciar, clique em Programas, clique em Ferramentas Administrativas e, em seguida, clique em Gestor de Serviços de Informação Internet (IIS).

  2. Expanda Sites, clique com o botão direito do rato no Web Site Predefinido e, em seguida, selecione Editar Enlaces.

  3. Clique na entrada https e, em seguida, clique em Editar.

  4. Na caixa de diálogo Editar Enlace de Site, selecione o certificado que pediu, através do modelo de Certificados de Servidor Web do ConfigMgr e, em seguida, clique em OK.

    Nota

    Se não tiver a certeza de que se trata do certificado correto, selecione um e, em seguida, clique em Ver. Isto permite-lhe comparar os detalhes do certificado selecionado com os certificados que são apresentados com o Snap-in de certificados. Por exemplo, o Snap-in de certificados apresenta o modelo de certificado que foi utilizado para pedir o certificado. Poderá então comparar a thumbprint de certificado do certificado que foi pedido com o modelo de Certificados de Servidor Web do ConfigMgr com a thumbprint de certificado do certificado atualmente selecionado na caixa de diálogo Editar Enlace de Site.

  5. Clique em OK na caixa de diálogo Editar Enlace de Site e, em seguida, clique em Fechar.

  6. Feche o Gestor de Serviços de Informação Internet (IIS).

O servidor membro está agora aprovisionado com um certificado de servidor Web do Gestor de configuração.

System_CAPS_importantImportante

Ao instalar o servidor do sistema de sites do Gestor de configuração neste computador, certifique-se de que especifica os mesmos FQDN nas propriedades do sistema de sites que especificou quando pediu o certificado.

Implementar o Certificado de Serviço para Pontos de Distribuição Baseados na Nuvem

Nota

O certificado de serviço para pontos de distribuição baseados na nuvem aplica-se ao Gestor de configuração SP1 e posterior.

Esta implementação de certificados possui os seguintes procedimentos:

  • Criar e Emitir um Modelo de Certificado de Servidor Web Personalizado na Autoridade de Certificação 

  • Pedir o Certificado de Servidor Web Personalizado

  • Exportar o Certificado de Servidor Web Personalizado para Pontos de Distribuição Baseados na Nuvem

Criar e Emitir um Modelo de Certificado de Servidor Web Personalizado na Autoridade de Certificação

Este procedimento cria um modelo de certificado personalizado baseado no modelo de certificado de Servidor Web. O certificado destina-se a pontos de distribuição baseados na nuvem do Gestor de configuração e a chave privada tem de ser exportável. Após a criação do modelo de certificado, este é adicionado à autoridade de certificação.

Nota

Este procedimento utiliza um modelo de certificado diferente do modelo de certificado de servidor Web que criou para sistemas de sites com o IIS porque, embora ambos os certificados necessitem de capacidade de autenticação do servidor, o certificado para pontos de distribuição baseados na nuvem requer que introduza um valor personalizado para o Nome do Requerente e a chave privada tem de ser exportada. Como melhor prática de segurança, não configure modelos de certificado para permitirem que a chave privada seja exportada, a menos que esta configuração seja necessária. O ponto de distribuição baseado na nuvem necessita desta configuração porque é necessário importar o certificado como um ficheiro, em vez selecioná-lo no arquivo de certificados.

Ao criar um novo modelo de certificado para este certificado, pode restringir os computadores que pedirão um certificado que permite que a chave privada seja exportada. Numa rede de produção, também poderá adicionar as seguintes alterações a este certificado:

  • Exija aprovação para a instalação do certificado para segurança adicional.

  • Aumente o período de validade do certificado. Uma vez que tem de exportar e importar o certificado antes de cada expiração, o aumento do período de validade reduz a frequência com que tem de repetir este procedimento. No entanto, quando aumenta o período de validade, diminui a segurança do certificado porque proporciona mais tempo para que um intruso desencripte a chave privada e roube o certificado.

  • Utilize um valor personalizado no Nome Alternativo do Requerente (SAN) do certificado para ajudar a identificar este certificado entre certificados de servidor Web padrão que utiliza com o IIS.

Para criar e emitir o modelo de certificado de servidor Web personalizado na autoridade de certificação

  1. Crie um grupo de segurança denominado Servidores de Site do ConfigMgr que contenha os servidores membro para instalar os servidores de site primário do Gestor de configuração que irão gerir pontos de distribuição baseados na nuvem.

  2. No servidor membro onde é executada a consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola de gestão de Modelos de Certificado.

  3. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Servidor Web na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.

  4. Na caixa de diálogo Duplicar Modelo, certifique-se de que Windows 2003 Server, Enterprise Edition se encontra selecionado e clique em OK.

    System_CAPS_importantImportante

    Não selecione Windows 2008 Server, Enterprise Edition.

  5. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para gerar o certificado de servidor Web para pontos de distribuição baseados na nuvem, como Certificado de Ponto de Distribuição Baseado na Nuvem do ConfigMgr.

  6. Clique no separador Processamento de Pedidos e selecione Permitir que a chave privada seja exportada.

  7. Clique no separador Segurança e remova a permissão Inscrever do grupo de segurança Admins de Empresa.

  8. Clique em Adicionar, introduza Servidores de Site do ConfigMgr na caixa de texto e clique em OK.

  9. Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura.

  10. Clique em OK e feche a Consola de Modelos de Certificado.

  11. Na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.

  12. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Certificado de Ponto de Distribuição Baseado na Nuvem do ConfigMgr, e clique em OK.

  13. Se não for necessário criar e emitir mais certificados, feche Autoridade de Certificação.

Pedir o Certificado de Servidor Web Personalizado

Este procedimento pede e, em seguida, instala o certificado de servidor Web personalizado no servidor membro que irá executar o servidor do site.

Para pedir o certificado de servidor Web personalizado

  1. Reinicie o servidor membro depois de criar e configurar o grupo de segurança Servidores de Site do ConfigMgr para garantir que o computador consegue aceder ao modelo de certificado que criou, utilizando as permissões Leitura e Inscrever configuradas.

  2. Clique em Iniciar, clique em Executar e escreva mmc.exe. Na consola vazia, clique em Ficheiro e clique em Adicionar/Remover Snap-in.

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados na lista de Snap-ins disponíveis e clique em Adicionar.

  4. Na caixa de diálogo Snap-in de certificado, selecione Conta de computador e clique em Seguinte.

  5. Na caixa de diálogo Selecionar Computador, certifique-se de que Computador local: (o computador onde esta consola está a ser executada) está selecionado e, em seguida, clique em Concluir.

  6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.

  7. Na consola, expanda Certificados (Computador Local) e clique em Pessoais.

  8. Clique com o botão direito do rato em Certificados, clique em Todas as Tarefas e clique em Requisitar um Novo Certificado.

  9. Na página Antes de Começar, clique em Seguinte.

  10. Se for apresentada a página Selecionar Política de Inscrição de Certificados, clique em Seguinte.

  11. Na página Pedir Certificados, identifique o Certificado de Ponto de Distribuição Baseado na Nuvem do ConfigMgr na lista de certificados apresentada e, em seguida, clique em São necessárias mais informações para fazer a inscrição neste certificado. Clique aqui para configurar as definições.

  12. Na caixa de diálogo Propriedades do Certificado, no separador Requerente, selecione Nome comum como o Tipo para o Nome do requerente.

  13. Na caixa Valor, especifique a sua escolha de nome de serviço e o nome do domínio utilizando um formato FQDN. Por exemplo: pdnuvem1.contoso.com.

    Nota

    Pode escolher o nome de serviço que pretender, desde que seja exclusivo no seu espaço de nomes. Irá utilizar DNS para criar um alias (registo CNAME) para mapear este nome de serviço para um identificador (GUID) gerado automaticamente e um endereço IP do Windows Azure.

  14. Clique em Adicionar e clique em OK para fechar a caixa de diálogo Propriedades do Certificado.

  15. Na página Pedir Certificados, selecione o Certificado de Ponto de Distribuição Baseado na Nuvem do ConfigMgr na lista de certificados apresentada e clique em Inscrever.

  16. Na página Resultados da Instalação de Certificados, aguarde pela instalação do certificado e clique em Concluir.

  17. Feche Certificados (Computador Local).

Exportar o Certificado de Servidor Web Personalizado para Pontos de Distribuição Baseados na Nuvem

Este procedimento exporta o certificado de servidor Web personalizado para um ficheiro para que possa ser importado quando criar o ponto de distribuição baseado na nuvem.

Para exportar o certificado de servidor Web personalizado para pontos de distribuição baseados na nuvem

  1. Na consola Certificados (Computador Local), faça duplo clique no certificado que acabou de instalar, selecione Todas as Tarefas e clique em Exportar.

  2. No Assistente Para Exportar Certificados, clique em Seguinte.

  3. Na página Exportar Chave Privada, selecione Sim, exportar a chave privada e clique em Seguinte.

    Nota

    Se esta opção não estiver disponível, o certificado foi criado sem a opção para exportar a chave privada. Neste cenário, não é possível exportar o certificado no formato necessário. Tem de reconfigurar o modelo de certificado para permitir que a chave privada seja exportada e, em seguida, pedir o certificado novamente.

  4. Na página Formato de Ficheiro de Exportação, certifique-se de que a opção Personal Information Exchange - PKCS n.º12 (.PFX) está selecionada.

  5. Na página Palavra-passe, especifique uma palavra-passe segura para proteger o certificado exportado com a respetiva chave privada e clique em Seguinte.

  6. Na página Ficheiro a Exportar, especifique o nome do ficheiro que pretende exportar e clique em Seguinte.

  7. Para fechar o assistente, clique em Concluir na página Assistente Para Exportar Certificados e clique em OK na caixa de diálogo de confirmação.

  8. Feche Certificados (Computador Local).

  9. Guarde o ficheiro de forma segura e certifique-se de que consegue aceder ao mesmo a partir do consola do Gestor de configuração.

O certificado está agora pronto para ser importado quando criar um ponto de distribuição baseado na nuvem.

Implementar o Certificado de Cliente em Computadores com Windows

Esta implementação de certificados possui os seguintes procedimentos:

  • Criar e Emitir o Modelo de Certificado de Autenticação de Estação de Trabalho na Autoridade de Certificação

  • Configurar a Inscrição Automática do Modelo de Autenticação de Estação de Trabalho Utilizando a Política de Grupo

  • Inscrever o Certificado de Autenticação de Estação de Trabalho e Verificar a Instalação nos Computadores Automaticamente

Criar e Emitir o Modelo de Certificado de Autenticação de Estação de Trabalho na Autoridade de Certificação

Este procedimento cria um modelo de certificado para computadores cliente do System Center 2012 Configuration Manager e adiciona-o à autoridade de certificação.

Para criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho na autoridade de certificação

  1. No servidor membro onde é executada a consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola de gestão de Modelos de Certificado.

  2. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Autenticação de Estação de Trabalho na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.

  3. Na caixa de diálogo Duplicar Modelo, certifique-se de que Windows 2003 Server, Enterprise Edition se encontra selecionado e clique em OK.

    System_CAPS_importantImportante

    Não selecione Windows 2008 Server, Enterprise Edition.

  4. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para gerar os certificados de cliente que serão utilizados em computadores cliente do Configuration Manager, como Certificado de Cliente do ConfigMgr.

  5. Clique no separador Segurança, selecione o grupo Computadores do Domínio e selecione as permissões adicionais Leitura e Inscrever automaticamente. Não desmarque Inscrever.

  6. Clique em OK e feche a Consola de Modelos de Certificado.

  7. Na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.

  8. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Certificado de Cliente do ConfigMgr, e clique em OK.

  9. Se não for necessário criar e emitir mais certificados, feche Autoridade de Certificação.

Configurar a Inscrição Automática do Modelo de Autenticação de Estação de Trabalho Utilizando a Política de Grupo

Este procedimento configura uma Política de Grupo para inscrever automaticamente os certificados de cliente nos computadores.

Para configurar a inscrição automática do modelo de autenticação de estação de trabalho utilizando a Política de Grupo

  1. No controlador de domínio, clique em Iniciar, clique em Ferramentas Administrativas e clique em Gestão de Políticas de Grupo.

  2. Navegue para o domínio, clique com o botão direito do rato no domínio e selecione Criar um GPO neste domínio e ligá-lo aqui.

    Nota

    Este passo utiliza a melhor prática de criar uma nova Política de Grupo para definições personalizadas, em vez de editar a Política de Domínios Predefinida que é instalada com os Serviços de Domínio do Active Directory. Ao atribuir esta Política de Grupo ao nível do domínio, irá aplicá-la a todos os computadores do domínio. No entanto, num ambiente de produção, pode restringir a inscrição automática de forma a que inscreva apenas computadores selecionados atribuindo a Política de Grupo ao nível de uma unidade organizacional ou pode filtrar a Política de Grupo do domínio com um grupo de segurança para aplicá-la apenas aos computadores do grupo. Se restringir a inscrição automática, não se esqueça de incluir o servidor que está configurado como ponto de gestão.

  3. Na caixa de diálogo Novo GPO, introduza um nome para a nova Política de Grupo, como Certificados de Inscrição Automática, e clique em OK.

  4. No painel de resultados, no separador Objetos de Política de Grupo Ligados, faça duplo clique na nova Política de Grupo e clique em Editar.

  5. No Editor de Gestão de Políticas de Grupo, expanda Políticas em Configuração do Computador e navegue para Definições do Windows/Definições de Segurança/Políticas de Chaves Públicas.

  6. Faça duplo clique no tipo de objeto com o nome Cliente de Serviços de Certificados - Inscrição Automática e clique em Propriedades.

  7. Na lista pendente Modelo de Configuração, selecione Ativado, selecione Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados, selecione Atualizar certificados que utilizam modelos de certificado e clique em OK.

  8. Feche a Gestão de Políticas de Grupo.

Inscrever o Certificado de Autenticação de Estação de Trabalho e Verificar a Instalação nos Computadores Automaticamente

Este procedimento instala o certificado de cliente nos computadores e verifica a instalação.

Para inscrever o certificado de autenticação de estação de trabalho e verificar a instalação no computador cliente automaticamente

  1. Reinicie o computador da estação de trabalho e aguarde alguns minutos antes de iniciar sessão.

    Nota

    Reiniciar um computador é o método mais fiável de garantir o sucesso da inscrição automática de certificados.

  2. Inicie sessão com uma conta que tenha privilégios administrativos.

  3. Na caixa de pesquisa, escreva mmc.exe. e prima Enter.

  4. Na consola de gestão vazia, clique em Ficheiro e clique em Adicionar/Remover Snap-in.

  5. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados na lista de Snap-ins disponíveis e clique em Adicionar.

  6. Na caixa de diálogo Snap-in de certificado, selecione Conta de computador e clique em Seguinte.

  7. Na caixa de diálogo Selecionar Computador, certifique-se de que Computador local: (o computador onde esta consola está a ser executada) está selecionado e, em seguida, clique em Concluir.

  8. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.

  9. Na consola, expanda Certificados (Computador Local), expanda Pessoal e clique em Certificados.

  10. No painel de resultados, confirme que é apresentado um certificado com Autenticação de Cliente na coluna Objetivo a que se Destina e que Certificado de Cliente do ConfigMg é apresentado na coluna Modelo de Certificado.

  11. Feche Certificados (Computador Local).

  12. Repita os passos 1 a 11 para o servidor membro para verificar se o servidor que será configurado como ponto de gestão também tem um certificado de cliente.

O computador está agora aprovisionado com um certificado de cliente do Gestor de configuração.

Implementar o Certificado de Cliente nos Pontos de Distribuição

Nota

Este certificado também pode ser utilizado para imagens de suportes de dados que não utilizem o arranque PXE, uma vez que os requisitos de certificados são os mesmos.

Esta implementação de certificados possui os seguintes procedimentos:

  • Criar e Emitir um Modelo de Certificado de Autenticação de Estação de Trabalho Personalizado na Autoridade de Certificação

  • Pedir o Certificado de Autenticação de Estação de Trabalho Personalizado

  • Exportar o Certificado de Cliente para Pontos de Distribuição

Criar e Emitir um Modelo de Certificado de Autenticação de Estação de Trabalho Personalizado na Autoridade de Certificação

Este procedimento cria um modelo de certificado personalizado para pontos de distribuição do Gestor de configuração que permite que a chave privada seja exportada e adiciona o modelo de certificado à autoridade de certificação.

Nota

Este procedimento utiliza um modelo de certificado diferente do modelo de certificado que criou para computadores cliente porque, embora ambos os certificados necessitem de capacidade de autenticação do cliente, o certificado para pontos de distribuição requer que a chave privada seja exportada. Como melhor prática de segurança, não configure modelos de certificado para permitirem que a chave privada seja exportada, a menos que esta configuração seja necessária. O ponto de distribuição necessita desta configuração porque é necessário importar o certificado como um ficheiro, em vez selecioná-lo no arquivo de certificados.

Ao criar um novo modelo de certificado para este certificado, pode restringir os computadores que pedirão um certificado que permite que a chave privada seja exportada. Na nossa implementação de exemplo, este será o grupo de segurança que criou anteriormente para servidores do sistema de sites do Gestor de configuração com o IIS. Numa rede de produção que distribua as funções de sistema de sites do IIS, considere criar um novo grupo de segurança para os servidores que executam pontos de distribuição para poder restringir o certificado apenas a estes servidores do sistema de sites. Também poderá considerar adicionar as seguintes alterações a este certificado:

  • Exija aprovação para a instalação do certificado para segurança adicional.

  • Aumente o período de validade do certificado. Uma vez que tem de exportar e importar o certificado antes de cada expiração, o aumento do período de validade reduz a frequência com que tem de repetir este procedimento. No entanto, quando aumenta o período de validade, diminui a segurança do certificado porque proporciona mais tempo para que um intruso desencripte a chave privada e roube o certificado.

  • Utilize um valor personalizado no campo Requerente ou Nome Alternativo do Requerente (SAN) do certificado para ajudar a identificar este certificado entre os certificados de cliente padrão. Isto pode ser particularmente útil se pretender utilizar o mesmo certificado para vários pontos de distribuição.

Para criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho personalizado na autoridade de certificação

  1. No servidor membro onde é executada a consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola de gestão de Modelos de Certificado.

  2. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Autenticação de Estação de Trabalho na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.

  3. Na caixa de diálogo Duplicar Modelo, certifique-se de que Windows 2003 Server, Enterprise Edition se encontra selecionado e clique em OK.

    System_CAPS_importantImportante

    Não selecione Windows 2008 Server, Enterprise Edition.

  4. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para gerar o certificado de autenticação de cliente para pontos de distribuição, como Certificado de Ponto de Distribuição de Cliente do ConfigMgr.

  5. Clique no separador Processamento de Pedidos e selecione Permitir que a chave privada seja exportada.

  6. Clique no separador Segurança e remova a permissão Inscrever do grupo de segurança Admins de Empresa.

  7. Clique em Adicionar, introduza Servidores IIS do ConfigMgr na caixa de texto e clique em OK.

  8. Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura.

  9. Clique em OK e feche a Consola de Modelos de Certificado.

  10. Na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.

  11. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Certificado de Ponto de Distribuição de Cliente do ConfigMgr, e clique em OK.

  12. Se não for necessário criar e emitir mais certificados, feche Autoridade de Certificação.

Pedir o Certificado de Autenticação de Estação de Trabalho Personalizado

Este procedimento pede e, em seguida, instala o certificado de cliente personalizado no servidor membro que executa o IIS e que será configurado como ponto de distribuição.

Para pedir o certificado de Autenticação de Estação de Trabalho personalizado

  1. Clique em Iniciar, clique em Executar e escreva mmc.exe. Na consola vazia, clique em Ficheiro e clique em Adicionar/Remover Snap-in.

  2. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados na lista de Snap-ins disponíveis e clique em Adicionar.

  3. Na caixa de diálogo Snap-in de certificado, selecione Conta de computador e clique em Seguinte.

  4. Na caixa de diálogo Selecionar Computador, certifique-se de que Computador local: (o computador onde esta consola está a ser executada) está selecionado e, em seguida, clique em Concluir.

  5. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.

  6. Na consola, expanda Certificados (Computador Local) e clique em Pessoais.

  7. Clique com o botão direito do rato em Certificados, clique em Todas as Tarefas e clique em Requisitar um Novo Certificado.

  8. Na página Antes de Começar, clique em Seguinte.

  9. Se for apresentada a página Selecionar Política de Inscrição de Certificados, clique em Seguinte.

  10. Na página Pedir Certificados, selecione o Certificado de Ponto de Distribuição de Cliente do ConfigMgr na lista de certificados apresentada e clique em Inscrever.

  11. Na página Resultados da Instalação de Certificados, aguarde pela instalação do certificado e clique em Concluir.

  12. No painel de resultados, confirme que é apresentado um certificado com Autenticação de Cliente na coluna Objetivo a que se Destina e que Certificado de Ponto de Distribuição de Cliente do ConfigMgr é apresentado na coluna Modelo de Certificado.

  13. Não feche Certificados (Computador Local).

Exportar o Certificado de Cliente para Pontos de Distribuição

Este procedimento exporta o certificado de Autenticação de Estação de Trabalho personalizado para um ficheiro para que possa ser importado nas propriedades do ponto de distribuição.

Para exportar o certificado de cliente para pontos de distribuição

  1. Na consola Certificados (Computador Local), faça duplo clique no certificado que acabou de instalar, selecione Todas as Tarefas e clique em Exportar.

  2. No Assistente Para Exportar Certificados, clique em Seguinte.

  3. Na página Exportar Chave Privada, selecione Sim, exportar a chave privada e clique em Seguinte.

    Nota

    Se esta opção não estiver disponível, o certificado foi criado sem a opção para exportar a chave privada. Neste cenário, não é possível exportar o certificado no formato necessário. Tem de reconfigurar o modelo de certificado para permitir que a chave privada seja exportada e, em seguida, pedir o certificado novamente.

  4. Na página Formato de Ficheiro de Exportação, certifique-se de que a opção Personal Information Exchange - PKCS n.º12 (.PFX) está selecionada.

  5. Na página Palavra-passe, especifique uma palavra-passe segura para proteger o certificado exportado com a respetiva chave privada e clique em Seguinte.

  6. Na página Ficheiro a Exportar, especifique o nome do ficheiro que pretende exportar e clique em Seguinte.

  7. Para fechar o assistente, clique em Concluir na página Assistente Para Exportar Certificados e clique em OK na caixa de diálogo de confirmação.

  8. Feche Certificados (Computador Local).

  9. Guarde o ficheiro de forma segura e certifique-se de que consegue aceder ao mesmo a partir do consola do Gestor de configuração.

O certificado está agora pronto para ser importado quando configurar um ponto de distribuição.

System_CAPS_tipSugestão

Pode utilizar o mesmo ficheiro de certificado quando configurar imagens de suportes de dados para a implementação de um sistema operativo que não utilize arranque PXE. A sequência tarefas para instalar a imagem tem de contactar um ponto de gestão que exija ligações de cliente por HTTPS.

Implementar o Certificado de Inscrição em Dispositivos Móveis

Esta implementação de certificado tem um procedimento único para criar e emitir o modelo de certificado de inscrição na autoridade de certificação.

Criar e Emitir o Modelo de Certificado de Inscrição na Autoridade de Certificação

Este procedimento cria um modelo de certificado de inscrição para dispositivos móveis do System Center 2012 Configuration Manager e adiciona-o à autoridade de certificação.

Para criar e emitir o modelo de certificado de inscrição na autoridade de certificação

  1. Crie um grupo de segurança que contenha os utilizadores que irão inscrever dispositivos móveis no System Center 2012 Configuration Manager.

  2. No servidor membro onde estão instalados os Serviços de Certificados, na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola de gestão Modelos de Certificado.

  3. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Sessão Autenticada na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.

  4. Na caixa de diálogo Duplicar Modelo, certifique-se de que Windows 2003 Server, Enterprise Edition se encontra selecionado e clique em OK.

    System_CAPS_importantImportante

    Não selecione Windows 2008 Server, Enterprise Edition.

  5. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para gerar os certificados de inscrição para os dispositivos móveis que serão geridos pelo Gestor de configuração, como Certificado de Inscrição de Dispositivo Móvel do ConfigMgr.

  6. Clique no separador Nome do Requerente, certifique-se de que Incorporar a partir destas informações do Active Directory está selecionado, selecione um Nome comum para o Formato do nome do requerente: e desmarque o Nome principal de utilizador (UPN) de Incluir estas informações no nome do requerente alternativo.

  7. Clique no separador Segurança, selecione o grupo de segurança que contém utilizadores que têm dispositivos móveis para inscrever e selecione a permissão adicional Inscrever. Não desmarque Leitura.

  8. Clique em OK e feche a Consola de Modelos de Certificado.

  9. Na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.

  10. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Certificado de Inscrição de Dispositivo Móvel do ConfigMgr, e clique em OK.

  11. Se não for necessário criar e emitir mais certificados, feche a consola Autoridade de Certificação.

O certificado de inscrição de dispositivo móvel está agora pronto para ser selecionado quando configurar um perfil de inscrição de dispositivo móvel nas definições do cliente.

Implementar os Certificados para AMT.

Esta implementação de certificados possui os seguintes procedimentos:

  • Criar, Emitir e Instalar o certificado de aprovisionamento de AMT

  • Criar e Emitir o Certificado de Servidor Web para Computadores Baseados em AMT

  • Criar e Emitir os Certificados de Autenticação de Cliente para Computadores Baseados em AMT 802.1 X

Criar, Emitir e Instalar o Certificado de Aprovisionamento de AMT

Crie o certificado de aprovisionamento com a AC interna quando os computadores baseados em AMT estiverem configurados com o thumbprint do certificado da AC de raiz interna. Quando não for este o caso e tiver de utilizar uma autoridade de certificação externa, utilize as instruções da empresa emitente do certificado de aprovisionamento de AMT, o que geralmente envolverá o pedido do certificado ao Web site público da empresa. Também poderá encontrar instruções detalhadas para a AC externa escolhida no Web site Intel vPro Expert Center: Microsoft vPro Manageability (https://go.microsoft.com/fwlink/?LinkId=132001).

System_CAPS_importantImportante

As ACs externas poderão não suportar o identificador do objeto de aprovisionamento de AMT da Intel. Quando for este o caso, utilize o método alternativo para fornecer o atributo Intel(R) Client Setup Certificate da UO.

Quando pedir um certificado de aprovisionamento de AMT a uma AC externa, instale o certificado no arquivo de certificados Pessoal do computador no servidor membro que irá alojar o ponto de serviço fora de banda.

Para pedir e emitir o certificado de aprovisionamento de AMT

  1. Crie um grupo de segurança que contenha as contas de computador dos servidores do sistema de sites que irão executar o ponto de serviço fora de banda.

  2. No servidor membro onde estão instalados os Serviços de Certificados, na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola Modelos de Certificado.

  3. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Servidor Web na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.

  4. Na caixa de diálogo Duplicar Modelo, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionado e, em seguida, clique em OK.

    System_CAPS_importantImportante

    Não selecione Windows 2008 Server, Enterprise Edition.

  5. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para o certificado de aprovisionamento de AMT, como Aprovisionamento de AMT do ConfigMgr.

  6. Clique no separador Nome do Requerente, selecione Incorporar a partir destas informações do Active Directory e selecione Nome comum.

  7. Clique no separador Extensões, certifique-se de que a opção Políticas de Aplicações está selecionada e clique em Editar.

  8. Na caixa de diálogo Editar Extensão de Políticas de Aplicação, clique em Adicionar.

  9. Na caixa de diálogo Adicionar Política de Aplicação, clique em Nova.

  10. Na caixa de diálogo Nova Política de Aplicação, escreva Aprovisionamento de AMT no campo Nome e, em seguida, escreva o número seguinte para Identificador de objeto: 2.16.840.1.113741.1.2.3.

  11. Clique em OK e, em seguida, clique em OK na caixa de diálogo Adicionar Política de Aplicação.

  12. Clique em OK na caixa de diálogo Editar Extensão de Políticas de Aplicação.

  13. Na caixa de diálogo Propriedades de Novo Modelo, deverá ver o seguinte listado como descrição das Políticas de Aplicações: Autenticação de Servidor e Aprovisionamento de AMT.

  14. Clique no separador Segurança e remova a permissão Inscrever dos grupos de segurança Admins do Domínio e Admins de Empresa.

  15. Clique em Adicionar, introduza o nome de um grupo de segurança que contenha a conta de computador para a função de sistema de sites de ponto de serviço fora de banda e clique em OK.

  16. Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura.

  17. Clique em OK e feche a consola Modelos de Certificado.

  18. Na Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.

  19. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Aprovisionamento de AMT do ConfigMgr, e clique em OK.

    Nota

    Se não conseguir concluir o passo 18 ou 19, certifique-se de que está a utilizar a Enterprise Edition do Windows Server 2008. Embora possa configurar modelos com o Windows Server Standard Edition e os Serviços de Certificados, não pode implementar certificados ao utilizar modelos de certificado modificados a não ser que esteja a utilizar a Enterprise Edition do Windows Server 2008.

  20. Não feche a Autoridade de Certificação.

O certificado de aprovisionamento de AMT da AC interna está agora pronto para ser instalado no computador do ponto de serviço fora de banda.

Para instalar o certificado de aprovisionamento de AMT

  1. Reinicie o servidor membro com o IIS para garantir que o mesmo consegue aceder ao modelo de certificado com a permissão configurada.

  2. Clique em Iniciar, clique em Executar e escreva mmc.exe. Na consola vazia, clique em Ficheiro e clique em Adicionar/Remover Snap-in.

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificados na lista de Snap-ins disponíveis e clique em Adicionar.

  4. Na caixa de diálogo Snap-in de certificado, selecione Conta de computador e clique em Seguinte.

  5. Na caixa de diálogo Selecionar Computador, certifique-se de que Computador local: (o computador onde esta consola está a ser executada) está selecionado e, em seguida, clique em Concluir.

  6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.

  7. Na consola, expanda Certificados (Computador Local) e clique em Pessoais.

  8. Clique com o botão direito do rato em Certificados, clique em Todas as Tarefas e clique em Requisitar um Novo Certificado.

  9. Na página Antes de Começar, clique em Seguinte.

  10. Se for apresentada a página Selecionar Política de Inscrição de Certificados, clique em Seguinte.

  11. Na página Pedir Certificados, selecione o Aprovisionamento de AMT na lista de certificados apresentada e clique em Inscrever.

  12. Na página Resultados da Instalação de Certificados, aguarde pela instalação do certificado e clique em Concluir.

  13. Feche Certificados (Computador Local).

O certificado de aprovisionamento de AMT da AC interna está agora instalado e pronto para ser selecionado nas propriedades do ponto de serviço fora de banda.

Criar e Emitir o Certificado de Servidor Web para Computadores Baseados em AMT

Utilize o procedimento seguinte para preparar os certificados de servidor Web para computadores baseados em AMT.

Para criar e emitir o modelo de certificado de servidor Web

  1. Crie um grupo de segurança vazio para conter as contas de computador de AMT que o System Center 2012 Configuration Manager cria durante o aprovisionamento de AMT.

  2. No servidor membro onde estão instalados os Serviços de Certificados, na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola Modelos de Certificado.

  3. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Servidor Web na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.

  4. Na caixa de diálogo Duplicar Modelo, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionado e, em seguida, clique em OK.

    System_CAPS_importantImportante

    Não selecione Windows 2008 Server, Enterprise Edition.

  5. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para gerar os certificados da Web que serão utilizados para gestão fora de banda em computadores AMT, como Certificado de Servidor Web AMT do ConfigMgr.

  6. Clique no separador Nome do Requerente, clique em Incorporar a partir destas informações do Active Directory, selecione Nome comum para o Formato de nome do requerente e desmarque Nome principal de utilizador (UPN) do nome alternativo do requerente.

  7. Clique no separador Segurança e remova a permissão Inscrever dos grupos de segurança Admins do Domínio e Admins de Empresa.

  8. Clique em Adicionar e introduza o nome do grupo de segurança que criou para o aprovisionamento de AMT. Em seguida, clique em OK.

  9. Selecione as seguintes permissões Permitir para este grupo de segurança: Leitura e Inscrever.

  10. Clique em OK e feche a consola Modelos de Certificado.

  11. Na consola Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.

  12. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Certificado de Servidor Web AMT do ConfigMgr, e clique em OK.

  13. Se não for necessário criar e emitir mais certificados, feche Autoridade de Certificação.

O modelo de servidor Web AMT está pronto para aprovisionar computadores baseados em AMT com certificados de servidor Web. Selecione este modelo de certificado no propriedades do componente de gestão fora de banda.

Criar e Emitir os Certificados de Autenticação de Cliente para Computadores Baseados em AMT 802.1 X

Utilize o procedimento seguinte se os computadores baseados em AMT forem utilizar certificados de cliente para redes com ou sem fios com autenticação 802.1X.

Para criar e emitir o modelo de certificado de autenticação de cliente da AC

  1. No servidor membro onde estão instalados os Serviços de Certificados, na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola Modelos de Certificado.

  2. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Autenticação de Estação de Trabalho na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.

    System_CAPS_importantImportante

    Não selecione Windows 2008 Server, Enterprise Edition.

  3. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para gerar os certificados de cliente que serão utilizados para gestão fora de banda em computadores AMT, como Certificado de Autenticação de Cliente AMT 802.1X do ConfigMgr.

  4. Clique no separador Nome do Requerente, clique em Incorporar a partir destas informações do Active Directory e selecione Nome comum para o Formato de nome do requerente. Desmarque Nome DNS para o nome alternativo do requerente e, em seguida, selecione Nome principal de utilizador (UPN).

  5. Clique no separador Segurança e remova a permissão Inscrever dos grupos de segurança Admins do Domínio e Admins de Empresa.

  6. Clique em Adicionar e introduza o nome do grupo de segurança que irá especificar nas propriedades do componente de gestão fora de banda para conter as contas de computador dos computadores baseados em AMT. Em seguida, clique em OK.

  7. Selecione as seguintes permissões Permitir para este grupo de segurança: Leitura e Inscrever.

  8. Clique em OK e feche a consola de gestão Modelos de Certificado, certtmpl – [Modelos de Certificado].

  9. Na consola de gestão Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.

  10. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Certificado de Autenticação de Cliente AMT 802.1X do ConfigMgr, e clique em OK.

  11. Se não for necessário criar e emitir mais certificados, feche Autoridade de Certificação.

O modelo de certificado de autenticação de cliente está agora pronto para emitir certificados para computadores baseados em AMT que podem ser utilizados para autenticação 802.1 X de clientes. Selecione este modelo de certificado no propriedades do componente de gestão fora de banda.

Implementar o Certificado de Cliente em Computadores Mac

Nota

O certificado de cliente para computadores Mac aplica-se ao Gestor de configuração SP1 e posterior.

Esta implementação de certificado tem um procedimento único para criar e emitir o modelo de certificado de inscrição na autoridade de certificação.

Criar e Emitir um Modelo de Certificado de Cliente Mac na Autoridade de Certificação

Este procedimento cria um modelo de certificado personalizado para computadores Mac do Gestor de configuração e adiciona o modelo de certificado à autoridade de certificação.

Nota

Este procedimento utiliza um modelo de certificado diferente do modelo de certificado que pode ter criado para computadores cliente com Windows ou para pontos de distribuição.

Ao criar um novo modelo de certificado para este certificado, pode restringir os pedidos de certificado a utilizadores autorizados.

Para criar e emitir o modelo de certificado de cliente Mac na autoridade de certificação

  1. Crie um grupo de segurança que contenha contas de utilizador para os utilizadores administrativos que irão inscrever o certificado no computador Mac utilizando o Gestor de configuração.

  2. No servidor membro onde é executada a consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola de gestão de Modelos de Certificado.

  3. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Sessão Autenticada na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.

  4. Na caixa de diálogo Duplicar Modelo, certifique-se de que Windows 2003 Server, Enterprise Edition se encontra selecionado e clique em OK.

    System_CAPS_importantImportante

    Não selecione Windows 2008 Server, Enterprise Edition.

  5. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para gerar o certificado de cliente Mac, como Certificado de Cliente Mac do ConfigMgr.

  6. Clique no separador Nome do Requerente, certifique-se de que Incorporar a partir destas informações do Active Directory está selecionado, selecione um Nome comum para o Formato do nome do requerente: e desmarque o Nome principal de utilizador (UPN) de Incluir estas informações no nome do requerente alternativo.

  7. Clique no separador Segurança e remova a permissão Inscrever dos grupos de segurança Admins do Domínio e Admins de Empresa.

  8. Clique em Adicionar, especifique o grupo de segurança criado no passo um e clique em OK.

  9. Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura.

  10. Clique em OK e feche a Consola de Modelos de Certificado.

  11. Na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.

  12. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Certificado de Cliente Mac do ConfigMgr, e clique em OK.

  13. Se não for necessário criar e emitir mais certificados, feche Autoridade de Certificação.

O modelo de certificado de cliente Mac está agora pronto para ser selecionado quando configurar as definições de cliente para inscrição.