Configuración del módulo de directivas para utilizar un nuevo certificado de cliente en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Los servidores que ejecutan el módulo de directivas de Configuration Manager con el servicio de rol Servicio de inscripción de dispositivos de red usan un certificado de cliente para autenticar el módulo de directivas con el servidor del sistema de sitios de punto de registro de certificado en System Center 2012 Configuration Manager. Normalmente, un certificado de autenticación de cliente es válido durante un año. Antes de que el certificado expire, renuévelo, actualice el Registro para el nuevo certificado y, a continuación, reinicie el servidor web que ejecuta el Servicio de inscripción de dispositivos de red.
Nota
Si el certificado ya ha expirado, se muestra "ERROR (Error al enviar la solicitud HTTP <huella digital>. Error 12037)", en el archivo NDESPlugin.log del servidor que ejecuta el Servicio de inscripción de dispositivos de red. En el mensaje de error, <huella digital> se reemplaza con la huella digital de certificado del certificado que ha expirado.
Para renovar el certificado:
Si solicitó manualmente este certificado de cliente, solicite manualmente un certificado nuevo. Si necesita ayuda en la implementación de este certificado, puede usar las instrucciones de Implementación del certificado de cliente para puntos de distribución en el tema Ejemplo paso a paso de implementación de los certificados PKI para Configuration Manager: Entidad de certificación de Windows Server 2008, con una excepción: No active la casilla Permitir que la clave privada se pueda exportar en la pestaña Tratamiento de la solicitud de las propiedades de la plantilla de certificado.
Si ha implementado automáticamente este certificado de cliente mediante la inscripción de directiva de grupo, la configuración predeterminada es solicitar automáticamente un nuevo certificado antes de que el certificado original expire.
Tras la implementación del nuevo certificado en el servidor que ejecuta el Servicio de inscripción de dispositivos de red y el módulo de directivas de Configuration Manager, utilice el siguiente procedimiento para configurar el servidor para que utilice el nuevo certificado.
Para configurar el módulo de directivas para que utilice el nuevo certificado de cliente
-
En el servidor que ejecuta el Servicio de inscripción de dispositivos de red y el módulo de directivas de Configuration Manager, abra el editor del Registro y sustituya la antigua huella digital de certificado por la nueva. Para ello use la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.
.jpeg "System_CAPS_tip")
SugerenciaPara identificar la huella digital del nuevo certificado, busque el certificado en el almacén del equipo mediante el complemento Certificados. A continuación, haga clic con el botón secundario en el certificado, haga clic en Propiedades, haga clic en Ver certificado, haga clic en la pestaña Detalles y, a continuación, desplácese y seleccione Huella digital. Podrá ver y copiar la cadena de caracteres hexadecimales que es la huella digital del certificado de este certificado.
-
Reinicie los servicios del servidor web mediante uno de los métodos siguientes:
En Administrador de Internet Information Services (IIS): Navegue hasta el nodo del servidor web del árbol. En el panel Acciones, haga clic en Reiniciar.
Desde la línea de comandos: Escriba iisreset /restart y presione Entrar.
Para obtener más información, consulte Iniciar o detener el servidor web (IIS 8) en la biblioteca de Windows Server en TechNet.
Para confirmar que el módulo de directivas está utilizando el nuevo certificado, compruebe la siguiente entrada en el archivo NDESPlugin.log del servidor que ejecuta el Servicio de inscripción de dispositivos de red: INFO("La huella digital de NDES es <huella digital>.", wszBuffer);