Formação
Certificação
Certificado pela Microsoft: Analista de Operações de Segurança Associado - Certifications
Investigue, pesquise e mitigue ameaças usando o Microsoft Sentinel, o Microsoft Defender for Cloud e o Microsoft 365 Defender.
Este browser já não é suportado.
Atualize para o Microsoft Edge para tirar partido das mais recentes funcionalidades, atualizações de segurança e de suporte técnico.
Quando o System Center Operations Manager opera além dos limites de confiança em que a autenticação Kerberos com máquinas cliente Gateway ou Windows não é possível, a autenticação baseada em certificado é necessária. Esse método é usado para estabelecer a comunicação entre o Microsoft Monitoring Agent e os Servidores de Gerenciamento. O principal caso de uso é autenticar-se junto a sistemas Gateway e Windows Client em Workgroups, Zonas Desmilitarizadas (DMZ) ou outros domínios sem uma confiança bidirecional.
Os certificados gerados usando este artigo não são para monitorização do Linux, a menos que um servidor Gateway a realizar a monitorização esteja num limite de confiança. Nesse caso, o certificado é usado apenas para autenticação de Windows para o Gateway e o Servidor de Gestão. Certificados separados (SCX-Certificates) são usados para a autenticação Linux e são geridos pelo próprio Operations Manager.
Este artigo descreve como obter um certificado e usar com o Operations Manager Management Server, Gateway ou Agent usando um servidor de Autoridade de Certificação (CA) do Enterprise Ative Directory Certificate Services (AD CS) na plataforma Windows. Se estiver a usar uma autoridade de certificação Stand-Alone ou uma CA não-Microsoft, consulte a sua equipa de certificados/PKI para obter assistência na criação de certificados usados para Operations Manager.
Certifique-se de que tem os seguintes requisitos em vigor:
Importante
O Provedor de Armazenamento de Chaves de API de Criptografia (KSP) não é suportado para certificados do Operations Manager.
No momento, o Operations Manager não oferece suporte a certificados mais avançados e depende de provedores herdados.
Se sua organização não usa o AD CS ou usa uma autoridade de certificação externa, use as instruções fornecidas para essa autoridade criar seu certificado, garantindo que ele atenda aos seguintes requisitos para o Operations Manager:
- Subject="CN=server.contoso.com" ; (this should be the FQDN of the target, or how the system shows in DNS)
- [Key Usage]
Key Exportable = FALE ; Private key is NOT exportable, unless creating on a domain machine for a non-domain machine, then use TRUE
HashAlgorithm = SHA256
KeyLength = 2048 ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1 ; AT_KEYEXCHANGE
KeyUsage = 0xf0 ; Digital Signature, Key Encipherment
MachineKeySet = TRUE ; The key belongs to the local computer account
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
KeyAlgorithm = RSA
- [EnhancedKeyUsageExtension]
- OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
- OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
- [Compatibility Settings]
- Compatible with Windows Server 2012 R2 ; (or newer based on environment)
- [Cryptography Settings]
- Provider Category: Legacy Cryptography Service Provider
- Algorithm name: RSA
- Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
- Providers: "Microsoft RSA Schannel Cryptographic Provider"
Importante
Para este artigo, as configurações padrão para AD-CS são:
Avalie essas seleções em relação aos requisitos da política de segurança da sua empresa.
<MOMCertImport>
.Gorjeta
Se você estiver usando uma autoridade de certificação corporativa e estiver em um sistema associado a um domínio, os certificados raiz já devem estar instalados nos armazenamentos apropriados e você pode ignorar esta etapa.
Para verificar se os certificados estão instalados, execute o seguinte comando do PowerShell no sistema associado ao domínio, substituindo "Domínio" pelo seu nome de domínio parcial:
# Check for Root Certificates
Get-ChildItem Cert:\LocalMachine\Root\ | Where-Object { $_.Subject -match "Domain" }
# Check for CA Certificates
Get-ChildItem Cert:\LocalMachine\CA\ | Where-Object { $_.Subject -match "Domain" }
Para confiar e validar quaisquer certificados criados pelas Autoridades de Certificação, a máquina de destino precisa ter uma cópia do Certificado Raiz no seu Armazenamento Raiz Confiável. A maioria dos computadores que ingressaram no domínio já confiam na autoridade de certificação corporativa. No entanto, nenhuma máquina confia em um certificado de uma autoridade de certificação que não seja corporativa sem o certificado raiz instalado para essa autoridade de certificação.
Se você estiver usando uma autoridade de certificação que não seja da Microsoft, o processo de download será diferente. No entanto, o processo de importação permanece o mesmo.
gpupdate /force
Para fazer o download do certificado raiz fidedigno, siga estas etapas:
https://<servername>/certsrv
.Nota
Para importar um Certificado Raiz Confiável, você deve ter privilégios administrativos na máquina de destino.
Para importar o certificado raiz confiável, execute estas etapas:
Importante
Se você estiver utilizando CAs Stand-Alone ou não-Microsoft, consulte sua equipe de certificado ou PKI sobre como proceder com a geração de sua solicitação de certificado.
Para mais informações, consulte os modelos de certificado .
Inicie sessão num servidor associado a um domínio com o AD CS no seu ambiente (a sua AC).
Na área de trabalho do Windows, selecione Iniciar >Ferramentas Administrativas do Windows>Autoridade de Certificação.
No painel de navegação da direita, expanda a CA, clique com o botão direito do rato Modelos de Certificado e selecione Gerir.
Clique com botão direito do mouse Computador e selecione Modelo Duplicado.
A caixa de diálogo Propriedades do Novo Modelo é aberta; Faça as seleções conforme indicado:
Separador | Descrição |
---|---|
Compatibilidade | 1. Autoridade de Certificação: Windows Server 2012 R2 (ou o nível funcional AD mais baixo no ambiente).
2. Destinatário do Certificado: Windows Server 2012 R2 (ou a versão mais baixa do sistema operativo no ambiente). |
Geral | 1. Nome de exibição do modelo: Insira um nome amigável, como Operations Manager.
2. Nome do modelo: Digite o mesmo nome que o nome de exibição. 3. Período de validade e Período de renovação: insira os períodos de validade e renovação que se alinham com a política de certificados da sua organização. A recomendação para a validade é não exceder metade da vida útil da autoridade competente que emite o certificado. (Por exemplo: 4 anos para a sub-CA, vida útil máxima de 2 anos para o certificado.) 4. Selecione as caixas de seleção Publicar certificado no Active Directory e Não se inscrever novamente automaticamente se existir um certificado duplicado no Active Directory. |
Tratamento de Pedidos | 1. de finalidade: Selecione de assinatura e criptografia na lista suspensa.
2. Selecione a caixa de seleção Permitir que a chave privada seja exportada. |
Criptografia | 1. Categoria de Provedor: Selecione Fornecedor de Serviços de Criptografia Legada 2. Nome do algoritmo: Selecione a opção Determinado pelo CSP na lista suspensa. 3. Tamanho mínimo da chave: 2048 ou 4096 de acordo com o requisito de segurança da organização. 4. Provedores: Selecione Provedor Criptográfico de Canal RSA da Microsoft e Provedor Criptográfico Avançado da Microsoft v1.0. |
Segurança | 1. Remova a conta de utilizador do utilizador que está a criar o modelo, devem ser usados grupos em vez disso. 2. Verifique se o grupo Usuários Autenticados (ou objeto Computador) tem permissões de Leitura e Inscrever-se. 2. Desmarque a permissão Registrar para Administradores de Domínioe Administradores Corporativos. 3. Adicione permissões para o Grupo de Segurança que contém os seus servidores do Operations Manager e conceda a esse grupo a permissão Inscrever. |
Requisitos de emissão | 1. Marque a caixa para aprovação do gerente de certificado da autoridade de certificação 2. Em "Exigir o seguinte para reinscrição", selecione Certificado existente válido 3. Marque a caixa de seleção para Permitir renovação baseada em chave |
Nome do assunto | 1. Selecione fornecimento no pedido 2. Marque a caixa Usar informações de assunto de certificados existentes... |
Selecione Aplicar e OK para criar o novo modelo.
Nota
Criar solicitações de certificado usando um arquivo INF é um método herdado e não é recomendado.
No computador que hospeda o recurso Operations Manager para o qual você está solicitando um certificado, abra um novo arquivo de texto em um editor de texto.
Crie um arquivo de texto contendo o seguinte conteúdo:
[NewRequest]
Subject="CN=server.contoso.com"
Key Exportable = TRUE ; Private key is exportable, leave if exporting for another machine, otherwise change to FALSE
HashAlgorithm = SHA256
KeyLength = 2048 ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1 ; AT_KEYEXCHANGE
KeyUsage = 0xf0 ; Digital Signature, Key Encipherment
MachineKeySet = TRUE ; The key belongs to the local computer account
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
KeyAlgorithm = RSA
; Utilizes the certificate created earlier, ensure to set the name of the template to what yours is named
[RequestAttributes]
CertificateTemplate="OperationsManager"
; Not required if using a template with this defined
[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1 ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2 ; Client Authentication
Salve o arquivo com uma extensão de arquivo .inf
. Por exemplo, CertRequestConfig.inf
.
Feche o editor de texto.
Este processo codifica as informações especificadas no nosso ficheiro de configuração em Base64 e produz um novo ficheiro.
No computador que hospeda o recurso Operations Manager para o qual você está solicitando um certificado, abra um prompt de comando do Administrador.
Navegue até o mesmo diretório onde o arquivo .inf
está localizado.
Execute o seguinte comando para modificar o nome do arquivo .inf
para garantir que ele corresponda ao nome do arquivo criado anteriormente. Deixe o nome do arquivo .req
as-is:
CertReq –New –f CertRequestConfig.inf CertRequest.req
Valide o novo arquivo .req
executando o seguinte comando e verificando os resultados:
CertUtil CertRequest.req
No computador que hospeda o recurso Operations Manager para o qual você está solicitando um certificado, abra um prompt de comando do Administrador.
Navegue até o mesmo diretório onde o arquivo .req
está localizado.
Execute o seguinte comando para enviar uma solicitação à sua autoridade de certificação:
CertReq -Submit CertRequest.req
Você pode receber opções para selecionar sua autoridade de certificação, em caso afirmativo, selecione uma autoridade de certificação apropriada e continue.
Uma vez concluídos, os resultados podem dizer que a "Solicitação de certificado está pendente", exigindo que seu aprovador de certificado aprove a solicitação antes de continuar.
Para CAs corporativas com um modelo de certificado definido, você pode solicitar um novo certificado de uma máquina cliente associada a um domínio usando o Gerenciador de certificados. Este método é específico para CAs empresariais e não se aplica a CAs Stand-Alone.
Entre na máquina de destino com direitos de administrador (Servidor de Gerenciamento, Gateway, Agente e assim por diante).
Use o Prompt de Comando do Administrador ou a janela do PowerShell para abrir o Gerenciador de Certificados.
Inicie a solicitação de certificado:
No assistente de inscrição de certificados
⚠️ More Information is required to enroll for this certificate. Click here to configure settings.
No assistente de propriedades de certificado :
Tecla Tab | Descrição |
---|---|
Assunto | 1. Em Nome do Assunto, selecione o Nome Comum ou DN Completo, forneça o valor - nome do host ou nome do BIOS do servidor de destino, Selecione Adicionar.
2. Adicione nomes alternativos conforme desejado. Ao utilizar nomes alternativos em substituição a um Sujeito, o primeiro nome deve corresponder ao nome do host ou ao nome do BIOS. |
Geral | 1. Forneça um Nome Amigável para o certificado gerado.
2. Se desejar, forneça uma descrição da finalidade do presente certificado. |
Extensões | 1. Em Uso de chave, certifique-se de selecionar a opção Assinatura Digital e a opção Codificação de chave, e marque a caixa de seleção Tornar esses usos de chave críticos.
2. Em Uso Estendido de Chave, certifique-se de selecionar as opções Autenticação do Servidor e Autenticação do Cliente. |
Chave Privada | 1. Em Opções de chave, verifique se o Tamanho da chave é pelo menos 1024 bits ou 2048 bits, e marque a caixa de seleção Tornar a chave privada exportável.
2. Em Tipo de chave, certifique-se de selecionar a opção Exchange. |
Guia Autoridade de certificação | Certifique-se de selecionar a caixa de seleção CA. |
Assinatura | Se sua organização exigir uma autoridade de registro, forneça um certificado de assinatura para essa solicitação. |
Se essas ações foram executadas no destinatário pretendido do certificado, prossiga para as próximas etapas.
Se a solicitação de certificado precisar ser aprovada por um Gerente de Certificados, continue assim que a solicitação for validada e aprovada.
gpupdate /force
).Caso contrário, exporte o novo certificado da máquina e copie para a próxima.
Para usar o certificado recém-criado, importe-o para o armazenamento de certificados na máquina cliente.
Entre no computador onde os certificados são criados para o Servidor de Gerenciamento, Gateway ou Agente.
Copie o certificado criado anteriormente para um local acessível nesta máquina.
Abra uma janela do Prompt de Comando do Administrador ou do PowerShell e navegue até a pasta onde o arquivo de certificado está localizado.
Execute o seguinte comando, substituindo NewCertificate.cer pelo nome/caminho correto do arquivo:
CertReq -Accept -Machine NewCertificate.cer
Esse certificado agora deve estar presente no armazenamento pessoal da máquina local neste computador.
Como alternativa, clique com o botão direito do mouse no arquivo de certificado > Instalar > máquina local e escolha o destino do armazenamento pessoal para instalar o certificado.
Gorjeta
Se você adicionar um certificado ao armazenamento de certificados com a chave privada e depois excluí-lo, o certificado perderá a chave privada quando reimportado. O Operations Manager requer a chave privada para criptografar os dados de saída. Para restaurar a chave privada, use o comando certutil com o número de série do certificado. Execute o seguinte comando em um prompt de comando do administrador ou janela do PowerShell:
certutil -repairstore my <certificateSerialNumber>
Além da instalação do certificado no sistema, você deve atualizar o Operations Manager para estar ciente do certificado que deseja usar. Essas ações resultam em uma reinicialização do serviço Microsoft Monitoring Agent para que as alterações sejam aplicadas.
Exigimos o utilitário MOMCertImport.exe, que está incluído na pasta SupportTools da mídia de instalação do Operations Manager. Copie o ficheiro para o servidor.
Para importar o certificado para o Operations Manager usando MOMCertImport, siga estas etapas:
Inicie sessão no computador de destino.
Abra uma janela do Prompt de Comando do Administrador ou do PowerShell e navegue até a pasta do utilitário MOMCertImport.exe.
Execute o utilitário MomCertImport.exe executando o seguinte comando:
MOMCertImport.exe
.\MOMCertImport.exe
Uma janela GUI é exibida, solicitando Selecionar um certificado.
Na lista, selecione o novo certificado para a máquina.
Selecione OK
Se for bem-sucedida, uma janela pop-up exibirá a seguinte mensagem:
Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.
Para validar, vá para Visualizador de Eventos>Registos de Aplicações e Serviços>Operations Manager e procure um ID de Evento 20053. Esse evento indica que o certificado de autenticação foi carregado com êxito
Se a ID de Evento 20053 não estiver presente no sistema, procure uma das seguintes IDs de Evento já que definem quaisquer problemas com o certificado importado, corrija de acordo:
Se nenhum desses IDs de evento estiver presente no log, a importação do certificado falhou, verifique o certificado e as permissões administrativas e tente novamente.
MOMCertImport atualiza o seguinte local do Registro para conter um valor que corresponde ao número de série do certificado importado, espelhado:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
O Operations Manager gera um alerta quando um certificado importado para Servidores de Gerenciamento e Gateways está prestes a expirar. Se você receber esse alerta, renove ou crie um novo certificado para os servidores antes da data de expiração. Essa funcionalidade de alerta só funciona se o certificado contiver informações de modelo de uma autoridade de certificação corporativa.
MOMCertImport.exe
para garantir que o Operations Manager tenha o novo número de série do certificado. Para obter mais informações, consulte a seção Importar o certificado no Operations Manager.Se a renovação do certificado por meio desse método não estiver disponível, use as etapas anteriores para solicitar um novo certificado ou com a autoridade de certificação da organização. Instale e importe (MOMCertImport) o novo certificado para uso pelo Operations Manager.
Use a autoridade de certificação corporativa para configurar o registro automático e as renovações de certificados quando elas expirarem. Isso distribui o certificado Raiz Confiável para todos os sistemas associados ao domínio.
A configuração do registro automático e da renovação de certificados não funciona com autoridades de certificação Stand-Alone ou não-Microsoft. Para sistemas em um grupo de trabalho ou domínio separado, as renovações e inscrições de certificados serão um processo manual.
Para obter mais informações, consulte o Guia do Windows Server.
Nota
O registro e as renovações automáticas não configuram automaticamente o Operations Manager para usar o novo certificado. Se o certificado for renovado automaticamente com a mesma chave, a impressão digital também poderá permanecer a mesma e nenhuma ação será exigida por um administrador. Se um novo certificado for gerado ou a impressão digital for alterada, o certificado atualizado precisará ser reimportado. Para obter mais informações, consulte a seção Importar o certificado para o Operations Manager.
Formação
Certificação
Certificado pela Microsoft: Analista de Operações de Segurança Associado - Certifications
Investigue, pesquise e mitigue ameaças usando o Microsoft Sentinel, o Microsoft Defender for Cloud e o Microsoft 365 Defender.