取得憑證以搭配 Windows Server 和 System Center Operations Manager 使用
本文說明如何使用 Windows 平臺上的 Stand-Alone 或 Enterprise Active Directory 憑證服務 (AD CS) 證書頒發機構單位 (CA) 伺服器,取得憑證,並與 Operations Manager 管理伺服器、網關或代理程式搭配使用。
- 若要要求並接受憑證,請使用 certreq 命令行公用程式。 若要提交和擷取憑證,請使用Web介面。
必要條件
請確定您有下列專案:
- AD-CS 會使用 Web 服務 或 符合所顯示必要設定的憑證的第三方證書頒發機構單位,在環境中安裝和設定 AD-CS。
- HTTPS 系結及其相關聯的憑證已安裝。 如需建立 HTTPS 系結的詳細資訊,請參閱 如何設定 Windows Server CA 的 HTTPS 系結。
- 典型的桌面體驗,而不是核心伺服器。
重要
Operations Manager 憑證不支援加密 API 金鑰記憶體提供者 (KSP) 。
注意
如果您的組織未使用AD CS或使用外部證書頒發機構單位,請使用為該應用程式提供的指示來建立憑證,並確保它符合Operations Manager的下列需求,然後遵循提供的匯入和安裝步驟:
- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)
- [Key Usage]
- Key Exportable=TRUE ; This setting is required for Server Authentication
- HashAlgorithm = SHA256
- KeyLength=2048
- KeySpec=1
- KeyUsage=0xf0
- MachineKeySet=TRUE
- [EnhancedKeyUsageExtension]
- OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
- OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
- [Compatibility Settings]
- Compatible with Windows Server 2003 ; (or newer based on environment)
- [Cryptography Settings]
- Provider Category: Legacy Cryptography Service Provider
- Algorithm name: RSA
- Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
- Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
重要
針對本主題,AD-CS 的預設設定如下所示:
- 標準金鑰長度:2048
- 密碼編譯 API:密碼編譯服務提供者 (CSP)
- 安全哈希演算法:256 (SHA256) 根據公司安全策略的需求評估這些選擇。
取得憑證的高階程式:
從 CA 下載跟證書。
將跟證書匯入客戶端伺服器。
建立憑證範本。
將範本新增至 [證書範本] 資料夾。
建立安裝信息檔,以搭配
<certreq>
命令行公用程式使用。建立要求檔案 (或使用入口網站) 。
將要求提交至 CA。
將憑證匯入證書存儲。
使用
<MOMCertImport>
將憑證匯入 Operations Manager。
從 CA 下載併匯入跟證書
若要信任及驗證從企業或 Stand-Alone CA 建立的任何憑證,目標計算機必須在其信任的根存放區中擁有跟證書的複本。 大部分已加入網域的計算機都必須信任企業 CA。 不過,沒有計算機會在未安裝跟證書的情況下,信任來自 Stand-Alone CA 的憑證。
如果您使用第三方 CA,下載程式將會不同。 不過,匯入程式會維持不變。
從 CA 下載受信任的跟證書
若要下載受信任的跟證書,請遵循下列步驟:
登入您要安裝憑證的計算機。 例如, 閘道伺服器或管理伺服器。
開啟網頁瀏覽器並連線到證書伺服器網址。 例如:
https://<servername>/certsrv
。在 [ 歡迎使用 ] 頁面上,選取 [下載 CA 憑證]、 [憑證鏈結] 或 [CRL]。
a. 如果出現 Web 存取確認提示,請確認伺服器和 URL,然後選取 [ 是]。
b. 確認 [CA 憑證 ] 底下的多個選項,並確認選取專案。
將編碼方法變更為 Base 64 ,然後選取 [下載 CA 憑證鏈結]。
儲存憑證並提供易記名稱。
從用戶端上的 CA 匯入受信任的跟證書
注意
若要匯入受信任的跟證書,您必須擁有目標電腦上的系統管理許可權。
若要匯入受信任的跟證書,請遵循下列步驟:
- 將上一個步驟中產生的檔案複製到用戶端。
- 開啟 [憑證管理員]。
- 從命令行、PowerShell 或執行中,輸入 certlm.msc ,然後按 Enter。
- 選取 [開始 > 執行],然後輸入 mmc 以尋找 Microsoft Management Console (mmc.exe) 。
- 移至 [檔案>新增/移除嵌入式管理單元...]。
- 在 [新增或移除嵌入式管理單元] 對話框中,選取 [ 憑證],然後選取 [ 新增]。
- 在 [憑證嵌入式管理單元] 對話框中,
- 選取 [計算機帳戶 ],然後選取 [ 下一步]。 選取 [計算機] 對話框隨即開啟。
- 選取 [本機計算機 ],然後選取 [ 完成]。
- 選取 [確定]。
- 在 [主控台根目錄] 底下,展開 [本機計算機] ([憑證])
- 展開 [受信任的跟證書授權單位],然後選取 [憑證]。
- 選取 [所有工作]。
- 在 [憑證匯入精靈] 中,將第一頁保留為預設值,然後選取 [ 下一步]。
- 流覽至您下載 CA 憑證檔案的位置,然後選取從 CA 複製的受信任跟證書檔案。
- 選取 [下一步] 。
- 在證書儲存位置中,將 [受信任的跟證書授權單位] 保留為預設值。
- 選取 [下一步],然後選取 [完成]。
- 如果成功,則會在 [受信任的跟證書授權單位>憑證] 底下顯示來自 CA 的受信任跟證書。
建立證書範本:企業 CA
企業 CA:
- 與 Active Directory 網域服務 (AD-DS) 整合。
- 將憑證和證書吊銷清單發佈至 AD-DS (CRL) 。
- 使用儲存在 AD-DS 中的用戶帳戶和安全組資訊來核准或拒絕憑證要求。
- 使用證書範本。
若要發出憑證,企業 CA 會使用證書範本中的資訊,為該憑證類型產生具有適當屬性的憑證。
獨立 CA:
- 不需要 AD-DS。
- 請勿使用證書範本。
如果您使用獨立 CA,請在憑證要求中包含所要求憑證類型的所有資訊。
如需詳細資訊,請參閱 證書範本。
建立 System Center Operations Manager 的證書範本
在 CA) (您的環境中,使用 AD CS 登入已加入網域的伺服器。
在 Windows 桌面上,選取 [啟動>Windows 系統管理工具>證書頒發機構單位]。
在右導覽窗格中,展開 CA,以滑鼠右鍵按兩下 [ 證書範本],然後選取 [ 管理]。
以滑鼠右鍵按兩下 [IPSec] ([離線要求]) ,然後選取 [ 複製範本]。
[ 新增範本的屬性 ] 對話框隨即開啟;選取專案如下:
索引標籤 描述 相容性 1. 證書頒發機構單位:Windows Server 2008 (或環境中最低 AD 功能等級) 。
2. 憑證收件者:環境中 Windows Server 2012 (或最低版本的OS) 。一般 1. 範本顯示名稱:輸入易記名稱,例如 Operations Manager。
2. 範本名稱:輸入與顯示名稱相同的名稱。
3. 有效期間:輸入符合組織需求的有效期間。
4. 選取 [Active Directory 中的發佈憑證 ], 如果 Active Directory 複選框中有重複的憑證,請勿自動重新註冊 。處理要求 1. 目的:從下拉式清單中選取 [簽章和加密 ]。
2. 選取 [允許匯出私鑰] 複選框。密碼編譯 1. 提供者類別:選取 [舊版密碼編譯服務提供者
2]。 演算法名稱:從下拉式清單中選取 [由 CSP 決定]。
3. 根據組織安全性需求,金鑰大小下限:2048 或 4096。
4. 提供者:從下拉式清單中選取 [Microsoft RSA 信道密碼編譯提供者 ] 和 [Microsoft Enhanced Cryptographic Provider v1.0 ]。擴充功能 1.在此 範本中包含的 [擴充功能] 下,選取 [應用程式原則 ],然後選取 [ 編輯
2]。 [編輯應用程式原則擴充功能 ] 對話框隨即開啟。
3. 在 [應用程式原則:] 底下,選取 [IP 安全性 IKE 中繼] ,然後選取 [ 移除
4]。 選取 [新增],然後選取 [應用程式原則] 下的 [客戶端驗證] 和 [伺服器驗證]。
5. 選取 [確定]。
6. 選取 [金鑰使用方式 ] 和 [編輯]。
7. 確定已選取 [數字簽名 ] 和 [ 僅允許與金鑰加密交換] (金鑰加密) 。
8. 選取 [將此擴充功能設為重大 ] 複選框,然後選取 [ 確定]。安全性 1.請確定 [ 已驗證的使用者 ] 群組 (或 [計算機] 物件) 具有 讀取 和 註冊 許可權,然後選取 [ 套用 ] 來建立範本。
將範本新增至 [證書範本] 資料夾
- 使用您環境中的 AD CS 登入已加入網域的伺服器, (CA) 。
- 在 Windows 桌面上,選取 [ 啟動>Windows 系統管理工具>證書頒發機構單位]。
- 在右導覽窗格中,展開 [CA],以滑鼠右鍵按兩下 [證書範本],然後選取[要發行的新>證書範本]。
- 選取在上述步驟中建立的新範本,然後選取 [ 確定]。
使用要求檔案要求憑證
建立安裝程式資訊 (.inf) 檔案
在裝載您要要求憑證之 Operations Manager 功能的計算機上,在文本編輯器中開啟新的文本檔。
建立包含下列內容的文字檔:
[NewRequest] Subject=”CN=server.contoso.com” Key Exportable = TRUE ; Private key is exportable HashAlgorithm = SHA256 KeyLength = 2048 ; (2048 or 4096 as per Organization security requirement.) KeySpec = 1 ; Key Exchange – Required for encryption KeyUsage = 0xf0 ; Digital Signature, Key Encipherment MachineKeySet = TRUE ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0" ProviderType = 12 KeyAlgorithm = RSA ; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment ; [RequestAttributes] ; CertificateTemplate="SystemCenterOperationsManager" [EnhancedKeyUsageExtension] OID = 1.3.6.1.5.5.7.3.1 ; Server Authentication OID = 1.3.6.1.5.5.7.3.2 ; Client Authentication
使用 .inf 擴展名儲存盤案。 例如:
CertRequestConfig.inf
。關閉文字編輯器。
建立憑證要求檔案
此程式會將Base64中組態檔中指定的資訊編碼,並輸出至新的檔案。
在裝載您要要求憑證之 Operations Manager 功能的計算機上,開啟系統管理員命令提示字元。
流覽至 .inf 檔案所在的相同目錄。
執行下列命令來修改 .inf 檔名,以確保它符合稍早建立的檔名。 保留 .req 檔名原樣:
CertReq –New –f CertRequestConfig.inf CertRequest.req
開啟新建立的檔案,並複製內容。
使用要求檔案在 AD CS 入口網站中提交新的憑證要求
在裝載您要要求憑證之 Operations Manager 功能的計算機上,開啟網頁瀏覽器並連線到主控憑證伺服器網址的計算機。 例如:
https://<servername>/certsrv
。在 [Microsoft Active Directory 憑證服務歡迎使用] 頁面上,選取 [ 要求憑證]。
在 [ 要求憑證] 頁面上,選取 [進階憑證要求]。
在 [ 進階憑證要求 ] 頁面上,選取 [使用 base-64 編碼的 CMC 或 PKCS #10 檔案提交憑證要求 ],或使用 base-64 編碼的 PKCS #7 檔案提交更新要求。
在 [ 提交憑證要求或更新要求 ] 頁面上,於 [ 已儲存的要求 ] 文本框中,貼上您在上一個程式中步驟 4 中複製的 CertRequest.req 檔案內容。
在 [證書範本] 上,選取您建立的證書範本。 例如, OperationsManagerCert,然後選取 [ 提交]。
如果成功,請在 [ 憑證發行 ] 頁面上,選取 [Base 64 編碼的>下載憑證]。
儲存憑證並提供易記名稱。 例如,儲存為 SCOM-MS01.cer。
關閉網頁瀏覽器。
使用 AD-CS 入口網站來要求憑證
除了要求檔案之外,您還可以透過憑證服務入口網站建立憑證要求。 此步驟會在目標計算機上完成,以方便憑證安裝。 如果無法使用 AD-CS 入口網站要求憑證,請確定匯出憑證,如下所示:
- 在裝載您要要求憑證之 Operations Manager 功能的計算機上,開啟網頁瀏覽器,然後連線到主控憑證伺服器網址的計算機。
例如:
https://<servername>/certsrv
。 - 在 [Microsoft Active Directory 憑證服務歡迎使用] 頁面上,選取 [ 要求憑證]。
- 在 [ 要求憑證] 頁面上,選取 [進階憑證要求]。
- 選取 [建立],並將要求提交至此 CA。
- [進階憑證要求] 隨即開啟。 執行下列動作:
- 證書範本:使用稍早建立的範本,或針對 Operations Manager 指定的範本。
- 識別離本的資訊:
- 名稱:伺服器的 FQDN,或在 DNS 中出現時顯示
- 視您的組織提供其他資訊
- 索引鍵選項:
- 選取 [將金鑰標示為可匯出] 的複選框
- 其他選項:
- 易記名稱:伺服器的 FQDN,或在 DNS 中出現時顯示
- 選取 [提交] 。
- 成功完成工作時, [憑證發行 ] 頁面隨即開啟,並顯示 [安裝此憑證] 的連結。
- 選取 [安裝此憑證]。
- 在伺服器上, 個人證書存儲 會儲存憑證。
- 載入 MMC 或 CertMgr 控制台,然後移至 [個人>憑證 ],並找出新建立的憑證。
- 如果目標伺服器上未完成此工作,請匯出憑證:
- 以滑鼠右鍵按兩下新的憑證 > [所有工作 > 匯出]。
- 在 [憑證匯出精靈] 中選取 [下一步]。
- 選取 [是],匯出私鑰,然後選取 [ 下一步]。
- 選取 [個人信息交換 – PKCS #12 (]。PFX) 。
- 如果可能的話,請選取 [ 包含證書路徑中的所有憑證 ],然後選取 [ 匯出所有擴充屬性 ] 複選框,然後選取 [ 下一步]。
- 提供密碼來加密待用憑證檔案,然後選取 [ 下一步]。
- 儲存導出的檔案並提供易記名稱。
- 選取 [下一步],然後 選取 [完成]。
- 找出導出的憑證檔案,並檢查檔案的圖示。
- 如果圖示包含金鑰,則您必須附加私鑰。
- 如果圖示不包含金鑰,請視需要使用私鑰重新匯出憑證以供稍後使用。
- 將導出的檔案複製到目標計算機。
- 關閉網頁瀏覽器。
使用憑證管理員要求憑證
針對具有已定義證書範本的企業 CA,您可以使用憑證管理員,向已加入網域的用戶端電腦要求新的憑證。 使用範本時,這個方法不適用於 Stand-Alone CA。
- 使用系統管理員許可權登入目標計算機 (管理伺服器、閘道、代理程式等) 。
- 使用 [系統管理員命令提示字元] 或 [PowerShell] 視窗來開啟 [憑證管理員]。
- certlm.msc – 開啟本機計算機證書存儲。
- mmc.msc – 開啟 Microsoft Management Console。
- 加載憑證管理員嵌入式管理單元。
- 移至 [檔案>新增/移除嵌入式管理單元]。
- 選取 [ 憑證]。
- 選取 [新增]。
- 出現提示時,選取 [計算機帳戶 ],然後選取 [ 下一步]
- 確定選取 [ 本機計算機] ,然後選取 [ 完成]。
- 選取 [確定 ] 以關閉精靈。
- 啟動憑證要求:
- 在 [憑證] 底下,展開 [個人] 資料夾。
- 以滑鼠右鍵按兩下 [ 憑證>所有工作>要求新憑證]。
- 憑證註冊精靈
在 [ 開始之前] 頁面上,選取 [ 下一步]。
選取適用的憑證註冊原則 (預設值可能是 Active Directory 註冊原則) ,選取 [ 下一步]
選取所需的註冊原則範本以建立憑證
- 如果範本無法立即使用,請選取清單下方的 [ 顯示所有範本 ] 方塊
- 如果需要的範本旁邊有紅色 X,請洽詢您的 Active Directory 或憑證小組
在大部分的環境中,您可以在證書範本下找到含有超連結的警告訊息,選取連結並繼續填入憑證的資訊。
憑證屬性精靈:
索引標籤 描述 主旨 1.在 [主體名稱] 中,選取 [ 一般名稱 ] 或 [ 完整 DN],提供值 - 目標伺服器的主機名或 BIOS 名稱,選取 [ 新增]。 一般 1.提供所產生憑證的易記名稱。
2. 如有需要,請提供此票證用途的描述。擴充功能 1.在 [金鑰使用方式] 底下,確定選取 [ 數字簽名 和 密鑰加密 ] 選項,然後選取 [ 讓這些金鑰使用方式很重要] 複選框。
2.在 [擴充密鑰使用方式] 下,確定選取 [ 伺服器驗證 ] 和 [ 用戶端驗證 ] 選項。私鑰 1.在 [金鑰選項] 下,確定 [金鑰大小] 至少為 1024 或 2048,然後選取 [ 讓私鑰可匯出] 複選框。
2. 在 [金鑰類型] 底下,確定選取 [Exchange ] 選項。證書頒發機構單位索引標籤 確定選取 [CA] 複選框。 簽章 如果您的組織需要註冊授權單位,請為此要求提供簽署憑證。 在 [憑證屬性] 精靈中提供信息之後,來自先前的警告超連結就會消失。
選取 [註冊] 以建立憑證。 如果發生錯誤,請洽詢您的 AD 或憑證小組。
如果成功,狀態會讀取 [成功 ],並將新的憑證放在 [個人/憑證] 存放區中。
- 如果在憑證預定收件者上採取這些動作,請繼續進行後續步驟。
- 否則,請從計算機導出新的憑證,並複製到下一個。
- 開啟 [憑證管理員] 視窗,並流覽至 [個人>憑證]。
- 選取要導出的憑證。
- 以滑鼠右鍵按兩下 [所有 工作>導出]。
- 在 [憑證導出精靈] 中。
- 在歡迎頁面上選取 [下一步]。
- 確定選取 [ 是],匯出私鑰。
- 選取 [個人信息交換 – PKCS #12 (]。來自格式選項的 PFX) 。
- 如果可能的話,請選取 [ 包含證書路徑中的所有憑證 ],然後 選取 [匯出所有擴充屬性 ] 複選框。
- 選取 [下一步] 。
- 提供已知的密碼來加密憑證檔案。
- 選取 [下一步] 。
- 提供憑證的可存取路徑和可辨識的檔名。
- 將新建立的憑證檔案複製到目標計算機。
在目標計算機上安裝憑證
若要使用新建立的憑證,請將它匯入用戶端電腦上的證書存儲。
將憑證新增至證書存儲
登入建立管理伺服器、閘道或代理程式之憑證的電腦。
將上面建立的憑證複製到這部電腦上的可存取位置。
開啟 [系統管理員命令提示字元] 或 [PowerShell] 視窗,並流覽至憑證檔案所在的資料夾。
執行下列命令,確定以正確的檔案名稱/路徑取代 NewCertificate.cer :
CertReq -Accept -Machine NewCertificate.cer
此憑證現在應該會出現在此計算機的 [本機計算機個人] 存放區中。
或者,以滑鼠右鍵按兩下憑證檔案 > [安裝 > 本機計算機],然後選擇個人存放區的目的地以安裝憑證。
注意
如果您使用私鑰將憑證新增至證書存儲,並在稍後從存放區中刪除憑證,則重新匯入時,憑證將不再包含私鑰。 Operations Manager 通訊需要私鑰,因為需要加密傳出數據。 您可以使用 certutil 修復憑證;您必須提供憑證的序號。例如,若要還原私鑰,請在系統管理員命令提示字元或 PowerShell 視窗中使用下列命令:
certutil -repairstore my <certificateSerialNumber>
將憑證匯入 Operations Manager
除了在系統上安裝憑證之外,您必須更新 Operations Manager,才能知道您想要使用的憑證。 下列動作將會重新啟動 Microsoft Monitoring Agent 服務。
使用 Operations Manager 安裝媒體中 SupportTools 資料夾中所包含的 MOMCertImport.exe 公用程式。 將檔案複製到您的伺服器。
若要使用 MOMCertImport 將憑證匯入 Operations Manager,請遵循下列步驟:
登入目標計算機。
開啟系統管理員命令提示字元或 PowerShell 視窗,並流覽至 MOMCertImport.exe 公用程式資料夾。
執行 MomCertImport.exe 公用程式
- 在 CMD 中:
MOMCertImport.exe
- 在 PowerShell:
.\MOMCertImport.exe
- 在 CMD 中:
GUI 視窗會出現在 [選取憑證]
- 如果您未立即看到清單,您可以查看憑證清單,請選取 [更多選擇]。
從清單中,選取計算機的新憑證
- 您可以選取憑證來驗證憑證。 選取之後,您可以檢視憑證屬性。
選取 [確定]
如果成功,彈出視窗會顯示下列訊息:
Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.
若要驗證,請移至事件標識碼20053 的 事件檢視器>Applications 和服務記錄> Operations Manager。 這表示已成功載入驗證憑證
如果系統上沒有事件標識碼 20053 ,請尋找下列其中一個事件標識元是否有錯誤,並據以更正:
- 20049
- 20050
- 20052
- 20066
- 20069
- 20077
MOMCertImport 會更新此登錄位置,以包含符合憑證上顯示之序號反向的值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber
更新憑證
當管理伺服器和閘道的匯入憑證即將到期時,Operations Manager 會產生警示。 如果您收到警示,請在到期日之前更新或建立伺服器的新憑證。 只有在憑證包含企業 CA) (範本資訊時,才能運作。
- 使用過期憑證登入伺服器,並啟動憑證組態管理員 (certlm.msc) 。
- 找出即將到期的 Operations Manager 憑證。
- 如果您找不到憑證,它可能已透過檔案移除或匯入,而不是證書存儲。 您可能需要從 CA 發行此電腦的新憑證。 請參閱上述指示來執行這項操作。
- 如果您發現憑證,以下是更新憑證的選項:
- 使用新金鑰要求憑證
- 使用新金鑰更新憑證
- 使用相同的金鑰更新憑證
- 選取最適合您想要執行之動作的選項,然後遵循精靈。
- 完成後,請執行
MOMCertImport.exe
此工具,以確保 Operations Manager 在憑證變更時 (反轉) 新的序號;如需進一步的詳細數據,請參閱上一節。
如果無法使用透過此方法更新憑證,請使用先前的步驟來要求新的憑證,或向組織的證書頒發機構單位要求。 安裝並匯入 (MOMCertImport) Operations Manager 要使用的新憑證。
選擇性:設定憑證自動註冊和續約
使用企業 CA 在憑證到期時設定憑證自動註冊和續約。 這會將受信任的跟證書散發到所有已加入網域的系統。
憑證自動註冊和更新的設定不適用於 Stand-Alone 或第三方 CA。 對於工作組或個別網域中的系統,憑證更新和註冊仍是手動程式。
如需詳細資訊,請參閱 Windows Server 指南。
注意
自動註冊和更新不會自動設定 Operations Manager 使用新的憑證。 如果憑證以相同的密鑰自動更新,指紋可能也會維持不變,系統管理員不需要採取任何動作。 如果產生新的憑證或指紋變更,則必須使用上述的 MOMCertImport 工具將更新的憑證匯入 Operations Manager。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應