Obter um certificado para uso com servidores Windows e System Center Operations Manager
Quando o System Center Operations Manager opera além dos limites de confiança em que a autenticação Kerberos com máquinas cliente Gateway ou Windows não é possível, a autenticação baseada em certificado é necessária. Esse método é usado para estabelecer a comunicação entre o Microsoft Monitoring Agent e os Servidores de Gerenciamento. O principal caso de uso é autenticar-se junto a sistemas Gateway e Windows Client em Workgroups, Zonas Desmilitarizadas (DMZ) ou outros domínios sem uma confiança bidirecional.
Os certificados gerados usando este artigo não são para monitorização do Linux, a menos que um servidor Gateway a realizar a monitorização esteja num limite de confiança. Nesse caso, o certificado é usado apenas para autenticação de Windows para o Gateway e o Servidor de Gestão. Certificados separados (SCX-Certificates) são usados para a autenticação Linux e são geridos pelo próprio Operations Manager.
Este artigo descreve como obter um certificado e usar com o Operations Manager Management Server, Gateway ou Agent usando um servidor de Autoridade de Certificação (CA) do Enterprise Ative Directory Certificate Services (AD CS) na plataforma Windows. Se estiver a usar uma autoridade de certificação Stand-Alone ou uma CA não-Microsoft, consulte a sua equipa de certificados/PKI para obter assistência na criação de certificados usados para Operations Manager.
Certifique-se de que tem os seguintes requisitos em vigor:
- Serviços de Certificados do Ative Directory (AD CS) instalados e configurados ou uma Autoridade de Certificação (CA) que não seja da Microsoft. (Observação: este guia não aborda a solicitação de certificados de uma autoridade de certificação que não seja da Microsoft.)
- Privilégios de administrador de domínio.
- Os Servidores de Gerenciamento do Operations Manager ingressaram no domínio.
Importante
O Provedor de Armazenamento de Chaves de API de Criptografia (KSP) não é suportado para certificados do Operations Manager.
No momento, o Operations Manager não oferece suporte a certificados mais avançados e depende de provedores herdados.
Se sua organização não usa o AD CS ou usa uma autoridade de certificação externa, use as instruções fornecidas para essa autoridade criar seu certificado, garantindo que ele atenda aos seguintes requisitos para o Operations Manager:
- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)
- [Key Usage]
Key Exportable = FALE ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
HashAlgorithm = SHA256
KeyLength = 2048 ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1 ; AT_KEYEXCHANGE
KeyUsage = 0xf0 ; Digital Signature, Key Encipherment
MachineKeySet = TRUE ; The key belongs to the local computer account
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
KeyAlgorithm = RSA
- [EnhancedKeyUsageExtension]
- OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
- OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
- [Compatibility Settings]
- Compatible with Windows Server 2012 R2 ; (or newer based on environment)
- [Cryptography Settings]
- Provider Category: Legacy Cryptography Service Provider
- Algorithm name: RSA
- Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
- Providers: "Microsoft RSA Schannel Cryptographic Provider"
Importante
Para este artigo, as configurações padrão para AD-CS são:
- Comprimento da chave padrão: 2048
- API de criptografia: provedor de serviços de criptografia (CSP)
- Algoritmo de hash seguro: 256 (SHA256)
Avalie essas seleções em relação aos requisitos da política de segurança da sua empresa.
- Baixe o certificado raiz de uma autoridade de certificação.
- Importe o certificado raiz para um servidor cliente.
- Crie um modelo de certificado.
- Envie uma solicitação à autoridade de certificação.
- Se necessário, aprove o pedido.
- Recupere o certificado.
- Importe o certificado para o armazenamento de certificados.
- Importe o certificado para o Operations Manager usando
<MOMCertImport>
.
Gorjeta
Se você estiver usando uma autoridade de certificação corporativa e estiver em um sistema associado a um domínio, os certificados raiz já devem estar instalados nos armazenamentos apropriados e você pode ignorar esta etapa.
Para verificar se os certificados estão instalados, execute o seguinte comando do PowerShell no sistema associado ao domínio, substituindo "Domínio" pelo seu nome de domínio parcial:
# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }
# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }
Para confiar e validar quaisquer certificados criados pelas Autoridades de Certificação, a máquina de destino precisa ter uma cópia do Certificado Raiz no seu Armazenamento Raiz Confiável. A maioria dos computadores que ingressaram no domínio já confiam na autoridade de certificação corporativa. No entanto, nenhuma máquina confia em um certificado de uma autoridade de certificação que não seja corporativa sem o certificado raiz instalado para essa autoridade de certificação.
Se você estiver usando uma autoridade de certificação que não seja da Microsoft, o processo de download será diferente. No entanto, o processo de importação permanece o mesmo.
- Inicie sessão no computador onde pretende instalar os certificados como Administrador.
- Abra um Prompt de Comando do Administrador ou um console do PowerShell.
- Execute o comando
gpupdate /force
- Depois de concluído, verifique a presença de certificados Raiz e CA no armazenamento de certificados, que devem estar visíveis no Gerenciador de Certificados de Máquina Local em Autoridades de Certificação Raiz Confiáveis>Certificados.
Para fazer o download do certificado raiz fidedigno, siga estas etapas:
- Inicie sessão no computador onde pretende instalar um certificado. Por exemplo, um Servidor Gateway ou Servidor de Gerenciamento.
- Abra um navegador da Web e conecte-se ao endereço da Web do servidor de certificados.
Por exemplo,
https://<servername>/certsrv
. - Na página de boas-vindas , selecione Baixar um certificado de autoridade, Cadeia de certificadosou CRL.
- Se solicitado um de Confirmação de Acesso à Web, verifique o servidor e a URL, e selecione Sim.
- Verifique as várias opções em certificado CA e confirme a seleção.
- Altere o método Encoding para Base 64 e, em seguida, selecione Download CA Certificate Chain.
- Salve o certificado e forneça um nome amigável.
Nota
Para importar um Certificado Raiz Confiável, você deve ter privilégios administrativos na máquina de destino.
Para importar o certificado raiz confiável, execute estas etapas:
- Copie o arquivo gerado na etapa anterior para o cliente.
- Abra o Gerenciador de Certificados.
- Na Linha de Comando, PowerShell ou Executar, digite certlm.msc e pressione digite.
- Selecione Iniciar > Executar e digite mmc para localizar o Console de Gerenciamento Microsoft (mmc.exe).
- Vá para Arquivo>Adicionar/Remover Snap in....
- Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Certificadose, em seguida, selecione Adicionar.
- Na caixa de diálogo Snap-in de Certificado,
- Selecione conta de computador e selecione Avançar. A caixa de diálogo Selecionar computador é aberta.
- Selecione Computador Local e selecione Concluir.
- Selecione OK.
- Em Raiz do Console, expanda Certificados (Computador Local)
- Expanda Autoridades de Certificação Raiz Confiáveise selecione Certificados.
- Selecione Todas as tarefas.
- No Assistente para Importação de Certificados, deixe a primeira página como padrão e selecione Próximo.
- Navegue até o local onde você baixou o arquivo de certificado da autoridade de certificação e selecione o arquivo de certificado raiz confiável copiado da autoridade de certificação.
- Selecione Avançar.
- Na localização do Armazenamento de Certificados, deixe as Autoridades de Certificação Raiz Confiáveis como predefinição.
- Selecione Próxima e Concluir.
- Se for bem-sucedido, o Certificado Raiz Confiável da CA estará visível em Autoridades de Certificação Raiz Confiáveis>Certificados.
Importante
Se você estiver utilizando CAs Stand-Alone ou não-Microsoft, consulte sua equipe de certificado ou PKI sobre como proceder com a geração de sua solicitação de certificado.
Para mais informações, consulte os modelos de certificado .
Inicie sessão num servidor associado a um domínio com o AD CS no seu ambiente (a sua AC).
Na área de trabalho do Windows, selecione Iniciar >Ferramentas Administrativas do Windows>Autoridade de Certificação.
No painel de navegação da direita, expanda a CA, clique com o botão direito do rato Modelos de Certificado e selecione Gerir.
Clique com botão direito do mouse Computador e selecione Modelo Duplicado.
A caixa de diálogo Propriedades do Novo Modelo é aberta; Faça as seleções conforme indicado:
Separador Descrição Compatibilidade 1. Autoridade de Certificação: Windows Server 2012 R2 (ou o nível funcional AD mais baixo no ambiente).
2. Destinatário do Certificado: Windows Server 2012 R2 (ou a versão mais baixa do sistema operativo no ambiente).Geral 1. Nome de exibição do modelo: Insira um nome amigável, como Operations Manager.
2. Nome do modelo: Digite o mesmo nome que o nome de exibição.
3. Período de validade e Período de renovação: insira os períodos de validade e renovação que se alinham com a política de certificados da sua organização. A recomendação para a validade é não exceder metade da vida útil da autoridade competente que emite o certificado. (Por exemplo: 4 anos para a sub-CA, vida útil máxima de 2 anos para o certificado.)
4. Selecione as caixas de seleção Publicar certificado no Active Directory e Não se inscrever novamente automaticamente se existir um certificado duplicado no Active Directory.Tratamento de Pedidos 1. de finalidade: Selecione de assinatura e criptografia na lista suspensa.
2. Selecione a caixa de seleção Permitir que a chave privada seja exportada.Criptografia 1. Categoria de Provedor: Selecione Fornecedor de Serviços de Criptografia Legada
2. Nome do algoritmo: Selecione a opção Determinado pelo CSP na lista suspensa.
3. Tamanho mínimo da chave: 2048 ou 4096 de acordo com o requisito de segurança da organização.
4. Provedores: Selecione Provedor Criptográfico de Canal RSA da Microsoft e Provedor Criptográfico Avançado da Microsoft v1.0.Segurança 1. Remova a conta de utilizador do utilizador que está a criar o modelo, devem ser usados grupos em vez disso.
2. Verifique se o grupo Usuários Autenticados (ou objeto Computador) tem permissões de Leitura e Inscrever-se.
2. Desmarque a permissão Registrar para Administradores de Domínioe Administradores Corporativos.
3. Adicione permissões para o Grupo de Segurança que contém os seus servidores do Operations Manager e conceda a esse grupo a permissão Inscrever.Requisitos de emissão 1. Marque a caixa para aprovação do gerente de certificado da autoridade de certificação
2. Em "Exigir o seguinte para reinscrição", selecione Certificado existente válido
3. Marque a caixa de seleção para Permitir renovação baseada em chaveNome do assunto 1. Selecione fornecimento no pedido
2. Marque a caixa Usar informações de assunto de certificados existentes...Selecione Aplicar e OK para criar o novo modelo.
- Inicie sessão num servidor associado a um domínio com AD CS no seu ambiente (a sua autoridade de certificação).
- Na área de trabalho do Windows, selecione Iniciar>Ferramentas Administrativas do Windows>Autoridade de Certificação.
- No painel de navegação à direita, expanda a AC, clique com o botão direito do rato em Modelos de Certificadoe selecione Novo>Modelos de Certificado para Emitir.
- Selecione o novo modelo criado nas etapas acima e selecione OK.
Nota
Criar solicitações de certificado usando um arquivo INF é um método herdado e não é recomendado.
No computador que hospeda o recurso Operations Manager para o qual você está solicitando um certificado, abra um novo arquivo de texto em um editor de texto.
Crie um arquivo de texto contendo o seguinte conteúdo:
[NewRequest] Subject="CN=server.contoso.com" Key Exportable = TRUE ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE HashAlgorithm = SHA256 KeyLength = 2048 ; (2048 or 4096 as per Organization security requirement.) KeySpec = 1 ; AT_KEYEXCHANGE KeyUsage = 0xf0 ; Digital Signature, Key Encipherment MachineKeySet = TRUE ; The key belongs to the local computer account ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 KeyAlgorithm = RSA ; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named [RequestAttributes] CertificateTemplate="OperationsManager" ; Not required if using a template with this defined [EnhancedKeyUsageExtension] OID = 1.3.6.1.5.5.7.3.1 ; Server Authentication OID = 1.3.6.1.5.5.7.3.2 ; Client Authentication
Salve o arquivo com uma extensão de arquivo
.inf
. Por exemplo,CertRequestConfig.inf
.Feche o editor de texto.
Este processo codifica as informações especificadas no nosso ficheiro de configuração em Base64 e produz um novo ficheiro.
No computador que hospeda o recurso Operations Manager para o qual você está solicitando um certificado, abra um prompt de comando do Administrador.
Navegue até o mesmo diretório onde o arquivo
.inf
está localizado.Execute o seguinte comando para modificar o nome do arquivo
.inf
para garantir que ele corresponda ao nome do arquivo criado anteriormente. Deixe o nome do arquivo.req
as-is:CertReq –New –f CertRequestConfig.inf CertRequest.req
Valide o novo arquivo
.req
executando o seguinte comando e verificando os resultados:CertUtil CertRequest.req
No computador que hospeda o recurso Operations Manager para o qual você está solicitando um certificado, abra um prompt de comando do Administrador.
Navegue até o mesmo diretório onde o arquivo
.req
está localizado.Execute o seguinte comando para enviar uma solicitação à sua autoridade de certificação:
CertReq -Submit CertRequest.req
Você pode receber opções para selecionar sua autoridade de certificação, em caso afirmativo, selecione uma autoridade de certificação apropriada e continue.
Uma vez concluídos, os resultados podem dizer que a "Solicitação de certificado está pendente", exigindo que seu aprovador de certificado aprove a solicitação antes de continuar.
- Caso contrário, o certificado será importado para o armazenamento de certificados.
Para CAs corporativas com um modelo de certificado definido, você pode solicitar um novo certificado de uma máquina cliente associada a um domínio usando o Gerenciador de certificados. Este método é específico para CAs empresariais e não se aplica a CAs Stand-Alone.
Entre na máquina de destino com direitos de administrador (Servidor de Gerenciamento, Gateway, Agente e assim por diante).
Use o Prompt de Comando do Administrador ou a janela do PowerShell para abrir o Gerenciador de Certificados.
- certlm.msc - abre o armazenamento de certificados do Computador Local.
-
mmc.msc - abre o Console de Gerenciamento Microsoft.
- Carregue o snap-in Gestor de Certificados.
- Vá para Arquivo>Adicionar/Remover Snap-In.
- Selecione Certificados.
- Selecione Adicionar.
- Quando solicitado, selecione Conta de Computador e selecione Avançar
- Certifique-se de selecionar Computador Local e selecione Concluir.
- Selecione OK para fechar o assistente.
Inicie a solicitação de certificado:
- Em Certificados, expanda a pasta Pessoal.
- Clique com o botão direito do rato Certificados>Todas as Tarefas>Solicitar Novo Certificado.
No assistente de inscrição de certificados
- Na página Antes de começar, selecione Avançar.
- Selecione a Política de Inscrição de Certificados aplicável (o padrão pode ser a Política de Inscrição do Active Directory), selecione Avançar
- Selecione o modelo de Política de Inscrição desejado.
- Se o modelo não estiver disponível imediatamente, selecione a caixa "Mostrar todos os modelos" abaixo da lista.
- Se o modelo necessário estiver disponível com um X vermelho ao lado, consulte sua equipe do Ative Directory ou do Certificado
- Como as informações no certificado precisam ser inseridas manualmente, você encontrará uma mensagem de aviso no modelo selecionado como um hiperlink que diz
⚠️ More Information is required to enroll for this certificate. Click here to configure settings.
- Selecione o hiperlink e continue a preencher as informações do certificado na janela pop-up.
No assistente de propriedades de certificado :
Tecla Tab Descrição Assunto 1. Em Nome do Assunto, selecione o Nome Comum ou DN Completo, forneça o valor - nome do host ou nome do BIOS do servidor de destino, Selecione Adicionar.
2. Adicione nomes alternativos conforme desejado. Ao utilizar nomes alternativos em substituição a um Sujeito, o primeiro nome deve corresponder ao nome do host ou ao nome do BIOS.Geral 1. Forneça um Nome Amigável para o certificado gerado.
2. Se desejar, forneça uma descrição da finalidade do presente certificado.Extensões 1. Em Uso de chave, certifique-se de selecionar a opção Assinatura Digital e a opção Codificação de chave, e marque a caixa de seleção Tornar esses usos de chave críticos.
2. Em Uso Estendido de Chave, certifique-se de selecionar as opções Autenticação do Servidor e Autenticação do Cliente.Chave Privada 1. Em Opções de chave, verifique se o Tamanho da chave é pelo menos 1024 bits ou 2048 bits, e marque a caixa de seleção Tornar a chave privada exportável.
2. Em Tipo de chave, certifique-se de selecionar a opção Exchange.Guia Autoridade de certificação Certifique-se de selecionar a caixa de seleção CA. Assinatura Se sua organização exigir uma autoridade de registro, forneça um certificado de assinatura para essa solicitação. - Uma vez que as informações são fornecidas no assistente Propriedades do Certificado, o hiperlink de aviso de anteriormente desaparece.
- Selecione Inscrever-se para criar o certificado. Se houver um erro, consulte o AD ou a equipa de certificados.
- Se for bem-sucedido, o status será bem-sucedido e um novo certificado estará no armazenamento Pessoal/Certificados.
Se essas ações foram executadas no destinatário pretendido do certificado, prossiga para as próximas etapas.
Se a solicitação de certificado precisar ser aprovada por um Gerente de Certificados, continue assim que a solicitação for validada e aprovada.
- Uma vez aprovado, se o Registro Automático estiver configurado, o certificado aparecerá no sistema após uma atualização da Diretiva de Grupo (
gpupdate /force
). - Se ele não aparecer no repositório pessoal do Computador Local, procure em Certificados - Computador Local>Solicitações de Assinatura de Certificado>Certificados
- Se o certificado solicitado estiver presente aqui, copie-o para o armazenamento de certificados pessoal.
- Se o certificado solicitado não estiver aqui, consulte sua equipe de certificados.
- Uma vez aprovado, se o Registro Automático estiver configurado, o certificado aparecerá no sistema após uma atualização da Diretiva de Grupo (
Caso contrário, exporte o novo certificado da máquina e copie para a próxima.
- Abra a janela do Gerenciador de Certificados e navegue até Certificados Pessoais>.
- Selecione o certificado a ser exportado.
- Clique com o botão direito do rato em Todas as Tarefas>Exportar.
- No Assistente para Exportação de Certificados.
- Selecione Seguinte na página Bem-vindo.
- Certifique-se de selecionar Sim, exporte a chave privada.
- Selecione Troca de Informações Pessoais – PKCS #12 (. PFX) a partir das opções de formato.
- Selecione Incluir todos os certificados no caminho de certificação, se possível, e caixas de seleção Exportar todas as propriedades estendidas.
- Selecione Avançar.
- Forneça uma senha conhecida para criptografar o arquivo de certificado.
- Selecione Avançar.
- Forneça um caminho acessível e um nome de arquivo reconhecível para o certificado.
- Copie o arquivo de certificado recém-criado para a máquina de destino.
Para usar o certificado recém-criado, importe-o para o armazenamento de certificados na máquina cliente.
Entre no computador onde os certificados são criados para o Servidor de Gerenciamento, Gateway ou Agente.
Copie o certificado criado anteriormente para um local acessível nesta máquina.
Abra uma janela do Prompt de Comando do Administrador ou do PowerShell e navegue até a pasta onde o arquivo de certificado está localizado.
Execute o seguinte comando, substituindo NewCertificate.cer pelo nome/caminho correto do arquivo:
CertReq -Accept -Machine NewCertificate.cer
Esse certificado agora deve estar presente no armazenamento pessoal da máquina local neste computador.
Como alternativa, clique com o botão direito do mouse no arquivo de certificado > Instalar > máquina local e escolha o destino do armazenamento pessoal para instalar o certificado.
Gorjeta
Se você adicionar um certificado ao armazenamento de certificados com a chave privada e depois excluí-lo, o certificado perderá a chave privada quando reimportado. O Operations Manager requer a chave privada para criptografar os dados de saída. Para restaurar a chave privada, use o comando certutil com o número de série do certificado. Execute o seguinte comando em um prompt de comando do administrador ou janela do PowerShell:
certutil -repairstore my <certificateSerialNumber>
Além da instalação do certificado no sistema, você deve atualizar o Operations Manager para estar ciente do certificado que deseja usar. Essas ações resultam em uma reinicialização do serviço Microsoft Monitoring Agent para que as alterações sejam aplicadas.
Exigimos o utilitário MOMCertImport.exe, que está incluído na pasta SupportTools da mídia de instalação do Operations Manager. Copie o ficheiro para o servidor.
Para importar o certificado para o Operations Manager usando MOMCertImport, siga estas etapas:
Inicie sessão no computador de destino.
Abra uma janela do Prompt de Comando do Administrador ou do PowerShell e navegue até a pasta do utilitário MOMCertImport.exe.
Execute o utilitário MomCertImport.exe executando o seguinte comando:
- No CMD:
MOMCertImport.exe
- No PowerShell:
.\MOMCertImport.exe
- No CMD:
Uma janela GUI é exibida, solicitando Selecionar um certificado.
- Você pode ver uma lista de certificados, se você não vir imediatamente o certificado desejado listado, selecione Mais opções.
Na lista, selecione o novo certificado para a máquina.
- Você pode verificar o certificado selecionando-o. Uma vez selecionado, você pode exibir as propriedades do certificado.
Selecione OK
Se for bem-sucedida, uma janela pop-up exibirá a seguinte mensagem:
Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.
Para validar, vá para Visualizador de Eventos>Registos de Aplicações e Serviços>Operations Manager e procure um ID de Evento 20053. Esse evento indica que o certificado de autenticação foi carregado com êxito
Se a ID de Evento 20053 não estiver presente no sistema, procure uma das seguintes IDs de Evento já que definem quaisquer problemas com o certificado importado, corrija de acordo:
- 20049
- 20050
- 20052
- 20066
- 20069
- 20077
Se nenhum desses IDs de evento estiver presente no log, a importação do certificado falhou, verifique o certificado e as permissões administrativas e tente novamente.
MOMCertImport atualiza o seguinte local do Registro para conter um valor que corresponde ao número de série do certificado importado, espelhado:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
O Operations Manager gera um alerta quando um certificado importado para Servidores de Gerenciamento e Gateways está prestes a expirar. Se você receber esse alerta, renove ou crie um novo certificado para os servidores antes da data de expiração. Essa funcionalidade de alerta só funciona se o certificado contiver informações de modelo de uma autoridade de certificação corporativa.
- Entre no servidor com o certificado expirando e inicie o gerenciador de configuração de certificado (certlm.msc).
- Localize o certificado do Operations Manager que está expirando.
- Se não encontrar o certificado, ele pode ter sido removido ou importado através de um ficheiro e não através da loja de certificados. Você precisa emitir um novo certificado para esta máquina junto à autoridade de certificação. Consulte as instruções anteriores sobre como fazê-lo.
- Se você encontrar o certificado, a seguir estão as opções a serem selecionadas para renovar o certificado:
- Solicitar certificado com nova chave
- Renovar certificado com nova chave
- Renovar certificado com a mesma chave
- Selecione a opção que melhor se aplica ao que você deseja fazer e siga o assistente.
- Depois de concluído, execute a ferramenta
MOMCertImport.exe
para garantir que o Operations Manager tenha o novo número de série do certificado. Para obter mais informações, consulte a seção Importar o certificado no Operations Manager.
Se a renovação do certificado por meio desse método não estiver disponível, use as etapas anteriores para solicitar um novo certificado ou com a autoridade de certificação da organização. Instale e importe (MOMCertImport) o novo certificado para uso pelo Operations Manager.
Use a autoridade de certificação corporativa para configurar o registro automático e as renovações de certificados quando elas expirarem. Isso distribui o certificado Raiz Confiável para todos os sistemas associados ao domínio.
A configuração do registro automático e da renovação de certificados não funciona com autoridades de certificação Stand-Alone ou não-Microsoft. Para sistemas em um grupo de trabalho ou domínio separado, as renovações e inscrições de certificados serão um processo manual.
Para obter mais informações, consulte o Guia do Windows Server.
Nota
O registro e as renovações automáticas não configuram automaticamente o Operations Manager para usar o novo certificado. Se o certificado for renovado automaticamente com a mesma chave, a impressão digital também poderá permanecer a mesma e nenhuma ação será exigida por um administrador. Se um novo certificado for gerado ou a impressão digital for alterada, o certificado atualizado precisará ser reimportado. Para obter mais informações, consulte a seção Importar o certificado para o Operations Manager.