取得憑證以搭配 Windows Server 和 System Center Operations Manager 使用

  • 發行項

本文說明如何使用 Windows 平臺上的 Stand-Alone 或 Enterprise Active Directory 憑證服務 (AD CS) 證書頒發機構單位 (CA) 伺服器,取得憑證,並與 Operations Manager 管理伺服器、網關或代理程式搭配使用。

  • 若要要求並接受憑證,請使用 certreq 命令行公用程式。 若要提交和擷取憑證,請使用Web介面。

必要條件

請確定您有下列專案:

  • AD-CS 會使用 Web 服務 符合所顯示必要設定的憑證的第三方證書頒發機構單位,在環境中安裝和設定 AD-CS。
  • HTTPS 系結及其相關聯的憑證已安裝。 如需建立 HTTPS 系結的詳細資訊,請參閱 如何設定 Windows Server CA 的 HTTPS 系結
  • 典型的桌面體驗,而不是核心伺服器。

重要

Operations Manager 憑證不支援加密 API 金鑰記憶體提供者 (KSP) 。

注意

如果您的組織未使用AD CS或使用外部證書頒發機構單位,請使用為該應用程式提供的指示來建立憑證,並確保它符合Operations Manager的下列需求,然後遵循提供的匯入和安裝步驟:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

重要

針對本主題,AD-CS 的預設設定如下所示:

  • 標準金鑰長度:2048
  • 密碼編譯 API:密碼編譯服務提供者 (CSP)
  • 安全哈希演算法:256 (SHA256) 根據公司安全策略的需求評估這些選擇。

取得憑證的高階程式:

  1. 從 CA 下載跟證書。

  2. 將跟證書匯入客戶端伺服器。

  3. 建立憑證範本。

  4. 將範本新增至 [證書範本] 資料夾。

  5. 建立安裝信息檔,以搭配 <certreq> 命令行公用程式使用。

  6. 建立要求檔案 (或使用入口網站) 。

  7. 將要求提交至 CA。

  8. 將憑證匯入證書存儲。

  9. 使用 <MOMCertImport>將憑證匯入 Operations Manager。

從 CA 下載併匯入跟證書

若要信任及驗證從企業或 Stand-Alone CA 建立的任何憑證,目標計算機必須在其信任的根存放區中擁有跟證書的複本。 大部分已加入網域的計算機都必須信任企業 CA。 不過,沒有計算機會在未安裝跟證書的情況下,信任來自 Stand-Alone CA 的憑證。

如果您使用第三方 CA,下載程式將會不同。 不過,匯入程式會維持不變。

從 CA 下載受信任的跟證書

若要下載受信任的跟證書,請遵循下列步驟:

  1. 登入您要安裝憑證的計算機。 例如, 閘道伺服器或管理伺服器

  2. 開啟網頁瀏覽器並連線到證書伺服器網址。 例如: https://<servername>/certsrv

  3. 在 [ 歡迎使用 ] 頁面上,選取 [下載 CA 憑證]、 [憑證鏈結] 或 [CRL]。

    a. 如果出現 Web 存取確認提示,請確認伺服器和 URL,然後選取 [ ]。

    b. 確認 [CA 憑證 ] 底下的多個選項,並確認選取專案。

  4. 將編碼方法變更為 Base 64 ,然後選取 [下載 CA 憑證鏈結]。

  5. 儲存憑證並提供易記名稱。

從用戶端上的 CA 匯入受信任的跟證書

注意

若要匯入受信任的跟證書,您必須擁有目標電腦上的系統管理許可權。

若要匯入受信任的跟證書,請遵循下列步驟:

  1. 將上一個步驟中產生的檔案複製到用戶端。
  2. 開啟 [憑證管理員]。
    1. 從命令行、PowerShell 或執行中,輸入 certlm.msc ,然後按 Enter
    2. 選取 [開始 > 執行],然後輸入 mmc 以尋找 Microsoft Management Console (mmc.exe) 。
      1. 移至 [檔案>新增/移除嵌入式管理單元...]。
      2. 在 [新增或移除嵌入式管理單元] 對話框中,選取 [ 憑證],然後選取 [ 新增]。
      3. 在 [憑證嵌入式管理單元] 對話框中,
        1. 選取 [計算機帳戶 ],然後選取 [ 下一步]。 選取 [計算機] 對話框隨即開啟。
        2. 選取 [本機計算機 ],然後選取 [ 完成]。
      4. 選取 [確定]。
      5. 在 [主控台根目錄] 底下,展開 [本機計算機] ([憑證])
  3. 展開 [受信任的跟證書授權單位],然後選取 [憑證]。
  4. 選取 [所有工作]。
  5. 在 [憑證匯入精靈] 中,將第一頁保留為預設值,然後選取 [ 下一步]。
    1. 流覽至您下載 CA 憑證檔案的位置,然後選取從 CA 複製的受信任跟證書檔案。
    2. 選取 [下一步] 。
    3. 在證書儲存位置中,將 [受信任的跟證書授權單位] 保留為預設值。
    4. 選取 [下一步],然後選取 [完成]。
  6. 如果成功,則會在 [受信任的跟證書授權單位>憑證] 底下顯示來自 CA 的受信任跟證書。

建立證書範本:企業 CA

企業 CA:

  • 與 Active Directory 網域服務 (AD-DS) 整合。
  • 將憑證和證書吊銷清單發佈至 AD-DS (CRL) 。
  • 使用儲存在 AD-DS 中的用戶帳戶和安全組資訊來核准或拒絕憑證要求。
  • 使用證書範本。

若要發出憑證,企業 CA 會使用證書範本中的資訊,為該憑證類型產生具有適當屬性的憑證。

獨立 CA:

  • 不需要 AD-DS。
  • 請勿使用證書範本。

如果您使用獨立 CA,請在憑證要求中包含所要求憑證類型的所有資訊。

如需詳細資訊,請參閱 證書範本

建立 System Center Operations Manager 的證書範本

  1. 在 CA) (您的環境中,使用 AD CS 登入已加入網域的伺服器。

  2. 在 Windows 桌面上,選取 [啟動>Windows 系統管理工具>證書頒發機構單位]。

  3. 在右導覽窗格中,展開 CA,以滑鼠右鍵按兩下 [ 證書範本],然後選取 [ 管理]。

  4. 以滑鼠右鍵按兩下 [IPSec] ([離線要求]) ,然後選取 [ 複製範本]。

  5. [ 新增範本的屬性 ] 對話框隨即開啟;選取專案如下:

    索引標籤 描述
    相容性 1. 證書頒發機構單位:Windows Server 2008 (或環境中最低 AD 功能等級) 。
    2. 憑證收件者:環境中 Windows Server 2012 (或最低版本的OS) 。
    一般 1. 範本顯示名稱:輸入易記名稱,例如 Operations Manager
    2. 範本名稱:輸入與顯示名稱相同的名稱。
    3. 有效期間:輸入符合組織需求的有效期間。
    4. 選取 [Active Directory 中的發佈憑證 ], 如果 Active Directory 複選框中有重複的憑證,請勿自動重新註冊
    處理要求 1. 目的:從下拉式清單中選取 [簽章和加密 ]。
    2. 選取 [允許匯出私鑰] 複選框。
    密碼編譯 1. 提供者類別:選取 [舊版密碼編譯服務提供者
    2]。 演算法名稱:從下拉式清單中選取 [由 CSP 決定]。
    3. 根據組織安全性需求,金鑰大小下限:2048 或 4096。
    4. 提供者:從下拉式清單中選取 [Microsoft RSA 信道密碼編譯提供者 ] 和 [Microsoft Enhanced Cryptographic Provider v1.0 ]。
    擴充功能 1.在此 範本中包含的 [擴充功能] 下,選取 [應用程式原則 ],然後選取 [ 編輯
    2]。 [編輯應用程式原則擴充功能 ] 對話框隨即開啟。
    3. 在 [應用程式原則:] 底下,選取 [IP 安全性 IKE 中繼] ,然後選取 [ 移除
    4]。 選取 [新增],然後選取 [應用程式原則] 下的 [客戶端驗證] 和 [伺服器驗證]。
    5. 選取 [確定]。
    6. 選取 [金鑰使用方式 ] 和 [編輯]。
    7. 確定已選取 [數字簽名 ] 和 [ 僅允許與金鑰加密交換] (金鑰加密)
    8. 選取 [將此擴充功能設為重大 ] 複選框,然後選取 [ 確定]。
    安全性 1.請確定 [ 已驗證的使用者 ] 群組 (或 [計算機] 物件) 具有 讀取註冊 許可權,然後選取 [ 套用 ] 來建立範本。

將範本新增至 [證書範本] 資料夾

  1. 使用您環境中的 AD CS 登入已加入網域的伺服器, (CA) 。
  2. 在 Windows 桌面上,選取 [ 啟動>Windows 系統管理工具>證書頒發機構單位]。
  3. 在右導覽窗格中,展開 [CA],以滑鼠右鍵按兩下 [證書範本],然後選取[要發行的新>證書範本]。
  4. 選取在上述步驟中建立的新範本,然後選取 [ 確定]。

使用要求檔案要求憑證

建立安裝程式資訊 (.inf) 檔案

  1. 在裝載您要要求憑證之 Operations Manager 功能的計算機上,在文本編輯器中開啟新的文本檔。

  2. 建立包含下列內容的文字檔:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. 使用 .inf 擴展名儲存盤案。 例如: CertRequestConfig.inf

  4. 關閉文字編輯器。

建立憑證要求檔案

此程式會將Base64中組態檔中指定的資訊編碼,並輸出至新的檔案。

  1. 在裝載您要要求憑證之 Operations Manager 功能的計算機上,開啟系統管理員命令提示字元。

  2. 流覽至 .inf 檔案所在的相同目錄。

  3. 執行下列命令來修改 .inf 檔名,以確保它符合稍早建立的檔名。 保留 .req 檔名原樣:

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. 開啟新建立的檔案,並複製內容。

使用要求檔案在 AD CS 入口網站中提交新的憑證要求

  1. 在裝載您要要求憑證之 Operations Manager 功能的計算機上,開啟網頁瀏覽器並連線到主控憑證伺服器網址的計算機。 例如: https://<servername>/certsrv

  2. [Microsoft Active Directory 憑證服務歡迎使用] 頁面上,選取 [ 要求憑證]。

  3. 在 [ 要求憑證] 頁面上,選取 [進階憑證要求]。

  4. 在 [ 進階憑證要求 ] 頁面上,選取 [使用 base-64 編碼的 CMC 或 PKCS #10 檔案提交憑證要求 ],或使用 base-64 編碼的 PKCS #7 檔案提交更新要求

  5. 在 [ 提交憑證要求或更新要求 ] 頁面上,於 [ 已儲存的要求 ] 文本框中,貼上您在上一個程式中步驟 4 中複製的 CertRequest.req 檔案內容。

  6. [證書範本] 上,選取您建立的證書範本。 例如, OperationsManagerCert,然後選取 [ 提交]。

  7. 如果成功,請在 [ 憑證發行 ] 頁面上,選取 [Base 64 編碼的>下載憑證]。

  8. 儲存憑證並提供易記名稱。 例如,儲存為 SCOM-MS01.cer

  9. 關閉網頁瀏覽器。

使用 AD-CS 入口網站來要求憑證

除了要求檔案之外,您還可以透過憑證服務入口網站建立憑證要求。 此步驟會在目標計算機上完成,以方便憑證安裝。 如果無法使用 AD-CS 入口網站要求憑證,請確定匯出憑證,如下所示:

  1. 在裝載您要要求憑證之 Operations Manager 功能的計算機上,開啟網頁瀏覽器,然後連線到主控憑證伺服器網址的計算機。 例如: https://<servername>/certsrv
  2. [Microsoft Active Directory 憑證服務歡迎使用] 頁面上,選取 [ 要求憑證]。
  3. 在 [ 要求憑證] 頁面上,選取 [進階憑證要求]。
  4. 選取 [建立],並將要求提交至此 CA
  5. [進階憑證要求] 隨即開啟。 執行下列動作:
    1. 證書範本:使用稍早建立的範本,或針對 Operations Manager 指定的範本。
    2. 識別離本的資訊:
      1. 名稱:伺服器的 FQDN,或在 DNS 中出現時顯示
      2. 視您的組織提供其他資訊
    3. 索引鍵選項:
      1. 選取 [將金鑰標示為可匯出] 的複選框
    4. 其他選項:
      1. 易記名稱:伺服器的 FQDN,或在 DNS 中出現時顯示
  6. 選取 [提交] 。
  7. 成功完成工作時, [憑證發行 ] 頁面隨即開啟,並顯示 [安裝此憑證] 的連結。
  8. 選取 [安裝此憑證]。
  9. 在伺服器上, 個人證書存儲 會儲存憑證。
  10. 載入 MMCCertMgr 控制台,然後移至 [個人>憑證 ],並找出新建立的憑證。
  11. 如果目標伺服器上未完成此工作,請匯出憑證:
    1. 以滑鼠右鍵按兩下新的憑證 > [所有工作 > 匯出]。
    2. 在 [憑證匯出精靈] 中選取 [下一步]。
    3. 選取 [是],匯出私鑰,然後選取 [ 下一步]。
    4. 選取 [個人信息交換 – PKCS #12 (]。PFX)
    5. 如果可能的話,請選取 [ 包含證書路徑中的所有憑證 ],然後選取 [ 匯出所有擴充屬性 ] 複選框,然後選取 [ 下一步]。
    6. 提供密碼來加密待用憑證檔案,然後選取 [ 下一步]。
    7. 儲存導出的檔案並提供易記名稱。
    8. 選取 [下一步],然後 選取 [完成]。
    9. 找出導出的憑證檔案,並檢查檔案的圖示。
      1. 如果圖示包含金鑰,則您必須附加私鑰。
      2. 如果圖示不包含金鑰,請視需要使用私鑰重新匯出憑證以供稍後使用。
    10. 將導出的檔案複製到目標計算機。
  12. 關閉網頁瀏覽器。

使用憑證管理員要求憑證

針對具有已定義證書範本的企業 CA,您可以使用憑證管理員,向已加入網域的用戶端電腦要求新的憑證。 使用範本時,這個方法不適用於 Stand-Alone CA。

  1. 使用系統管理員許可權登入目標計算機 (管理伺服器、閘道、代理程式等) 。
  2. 使用 [系統管理員命令提示字元] 或 [PowerShell] 視窗來開啟 [憑證管理員]。
    1. certlm.msc – 開啟本機計算機證書存儲。
    2. mmc.msc – 開啟 Microsoft Management Console。
      1. 加載憑證管理員嵌入式管理單元。
      2. 移至 [檔案>新增/移除嵌入式管理單元]。
      3. 選取 [ 憑證]。
      4. 選取 [新增]。
      5. 出現提示時,選取 [計算機帳戶 ],然後選取 [ 下一步]
      6. 確定選取 [ 本機計算機] ,然後選取 [ 完成]。
      7. 選取 [確定 ] 以關閉精靈。
  3. 啟動憑證要求:
    1. 在 [憑證] 底下,展開 [個人] 資料夾。
    2. 以滑鼠右鍵按兩下 [ 憑證>所有工作>要求新憑證]。
  4. 憑證註冊精靈

    1. 在 [ 開始之前] 頁面上,選取 [ 下一步]。

    2. 選取適用的憑證註冊原則 (預設值可能是 Active Directory 註冊原則) ,選取 [ 下一步]

    3. 選取所需的註冊原則範本以建立憑證

      1. 如果範本無法立即使用,請選取清單下方的 [ 顯示所有範本 ] 方塊
      2. 如果需要的範本旁邊有紅色 X,請洽詢您的 Active Directory 或憑證小組

    4. 在大部分的環境中,您可以在證書範本下找到含有超連結的警告訊息,選取連結並繼續填入憑證的資訊。

    5. 憑證屬性精靈:

      索引標籤 描述
      主旨 1.在 [主體名稱] 中,選取 [ 一般名稱 ] 或 [ 完整 DN],提供值 - 目標伺服器的主機名或 BIOS 名稱,選取 [ 新增]。
      一般 1.提供所產生憑證的易記名稱。
      2. 如有需要,請提供此票證用途的描述。
      擴充功能 1.在 [金鑰使用方式] 底下,確定選取 [ 數字簽名密鑰加密 ] 選項,然後選取 [ 讓這些金鑰使用方式很重要] 複選框。
      2.在 [擴充密鑰使用方式] 下,確定選取 [ 伺服器驗證 ] 和 [ 用戶端驗證 ] 選項。
      私鑰 1.在 [金鑰選項] 下,確定 [金鑰大小] 至少為 1024 或 2048,然後選取 [ 讓私鑰可匯出] 複選框。
      2. 在 [金鑰類型] 底下,確定選取 [Exchange ] 選項。
      證書頒發機構單位索引標籤 確定選取 [CA] 複選框。
      簽章 如果您的組織需要註冊授權單位,請為此要求提供簽署憑證。

    6. 在 [憑證屬性] 精靈中提供信息之後,來自先前的警告超連結就會消失。

    7. 選取 [註冊] 以建立憑證。 如果發生錯誤,請洽詢您的 AD 或憑證小組。

    8. 如果成功,狀態會讀取 [成功 ],並將新的憑證放在 [個人/憑證] 存放區中。

  5. 如果在憑證預定收件者上採取這些動作,請繼續進行後續步驟。
  6. 否則,請從計算機導出新的憑證,並複製到下一個。
    1. 開啟 [憑證管理員] 視窗,並流覽至 [個人>憑證]。
    2. 選取要導出的憑證。
    3. 以滑鼠右鍵按兩下 [所有 工作>導出]。
    4. 在 [憑證導出精靈] 中。
      1. 在歡迎頁面上選取 [下一步]
      2. 確定選取 [ 是],匯出私鑰
      3. 選取 [個人信息交換 – PKCS #12 (]。來自格式選項的 PFX)
        1. 如果可能的話,請選取 [ 包含證書路徑中的所有憑證 ],然後 選取 [匯出所有擴充屬性 ] 複選框。
      4. 選取 [下一步] 。
      5. 提供已知的密碼來加密憑證檔案。
      6. 選取 [下一步] 。
      7. 提供憑證的可存取路徑和可辨識的檔名。
    5. 將新建立的憑證檔案複製到目標計算機。

在目標計算機上安裝憑證

若要使用新建立的憑證,請將它匯入用戶端電腦上的證書存儲。

將憑證新增至證書存儲

  1. 登入建立管理伺服器、閘道或代理程式之憑證的電腦。

  2. 將上面建立的憑證複製到這部電腦上的可存取位置。

  3. 開啟 [系統管理員命令提示字元] 或 [PowerShell] 視窗,並流覽至憑證檔案所在的資料夾。

  4. 執行下列命令,確定以正確的檔案名稱/路徑取代 NewCertificate.cer

    CertReq -Accept -Machine NewCertificate.cer

  5. 此憑證現在應該會出現在此計算機的 [本機計算機個人] 存放區中。

或者,以滑鼠右鍵按兩下憑證檔案 > [安裝 > 本機計算機],然後選擇個人存放區的目的地以安裝憑證。

注意

如果您使用私鑰將憑證新增至證書存儲,並在稍後從存放區中刪除憑證,則重新匯入時,憑證將不再包含私鑰。 Operations Manager 通訊需要私鑰,因為需要加密傳出數據。 您可以使用 certutil 修復憑證;您必須提供憑證的序號。例如,若要還原私鑰,請在系統管理員命令提示字元或 PowerShell 視窗中使用下列命令:

certutil -repairstore my <certificateSerialNumber>

將憑證匯入 Operations Manager

除了在系統上安裝憑證之外,您必須更新 Operations Manager,才能知道您想要使用的憑證。 下列動作將會重新啟動 Microsoft Monitoring Agent 服務。

使用 Operations Manager 安裝媒體中 SupportTools 資料夾中所包含的 MOMCertImport.exe 公用程式。 將檔案複製到您的伺服器。

若要使用 MOMCertImport 將憑證匯入 Operations Manager,請遵循下列步驟:

  1. 登入目標計算機。

  2. 開啟系統管理員命令提示字元或 PowerShell 視窗,並流覽至 MOMCertImport.exe 公用程式資料夾。

  3. 執行 MomCertImport.exe 公用程式

    1. 在 CMD 中: MOMCertImport.exe
    2. 在 PowerShell:.\MOMCertImport.exe

  4. GUI 視窗會出現在 [選取憑證]

    1. 如果您未立即看到清單,您可以查看憑證清單,請選取 [更多選擇]。

  5. 從清單中,選取計算機的新憑證

    1. 您可以選取憑證來驗證憑證。 選取之後,您可以檢視憑證屬性。

  6. 選取 [確定]

  7. 如果成功,彈出視窗會顯示下列訊息:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. 若要驗證,請移至事件標識碼20053事件檢視器>Applications 和服務記錄> Operations Manager。 這表示已成功載入驗證憑證

  9. 如果系統上沒有事件標識碼 20053 ,請尋找下列其中一個事件標識元是否有錯誤,並據以更正:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport 會更新此登錄位置,以包含符合憑證上顯示之序號反向的值:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

更新憑證

當管理伺服器和閘道的匯入憑證即將到期時,Operations Manager 會產生警示。 如果您收到警示,請在到期日之前更新或建立伺服器的新憑證。 只有在憑證包含企業 CA) (範本資訊時,才能運作。

  1. 使用過期憑證登入伺服器,並啟動憑證組態管理員 (certlm.msc) 。
  2. 找出即將到期的 Operations Manager 憑證。
  3. 如果您找不到憑證,它可能已透過檔案移除或匯入,而不是證書存儲。 您可能需要從 CA 發行此電腦的新憑證。 請參閱上述指示來執行這項操作。
  4. 如果您發現憑證,以下是更新憑證的選項:
    1. 使用新金鑰要求憑證
    2. 使用新金鑰更新憑證
    3. 使用相同的金鑰更新憑證
  5. 選取最適合您想要執行之動作的選項,然後遵循精靈。
  6. 完成後,請執行 MOMCertImport.exe 此工具,以確保 Operations Manager 在憑證變更時 (反轉) 新的序號;如需進一步的詳細數據,請參閱上一節。

如果無法使用透過此方法更新憑證,請使用先前的步驟來要求新的憑證,或向組織的證書頒發機構單位要求。 安裝並匯入 (MOMCertImport) Operations Manager 要使用的新憑證。

選擇性:設定憑證自動註冊和續約

使用企業 CA 在憑證到期時設定憑證自動註冊和續約。 這會將受信任的跟證書散發到所有已加入網域的系統。

憑證自動註冊和更新的設定不適用於 Stand-Alone 或第三方 CA。 對於工作組或個別網域中的系統,憑證更新和註冊仍是手動程式。

如需詳細資訊,請參閱 Windows Server 指南

注意

自動註冊和更新不會自動設定 Operations Manager 使用新的憑證。 如果憑證以相同的密鑰自動更新,指紋可能也會維持不變,系統管理員不需要採取任何動作。 如果產生新的憑證或指紋變更,則必須使用上述的 MOMCertImport 工具將更新的憑證匯入 Operations Manager。