• Artigo

Configurando perfis de certificado no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObservação

As informações neste tópico aplicam-se somente às versões do System Center 2012 R2 Configuration Manager.

Antes de usar o Gerenciador de Configurações para registrar certificados em dispositivos e para usuários, você deve executar as etapas de configuração descritas neste tópico.

Etapas para configurar o registro de certificado no Configuration Manager

Use a tabela a seguir que contém etapas, detalhes e mais informações sobre como configurar o registro de certificado no Gerenciador de Configurações. Antes de começar, verifique quais são os pré-requisitos relacionados em Pré-requisitos para perfis de certificado no Configuration Manager.

Após completar estas etapas e verificar a instalação, você pode configurar e implantar os perfis de certificado. Para obter mais informações, consulte Como criar perfis de certificado no Configuration Manager.

Etapas

Detalhes

Mais informações

Etapa 1: Instalar e configurar o Serviço de Registro de Dispositivo de Rede e as dependências

O serviço da função Serviço de Registro de Dispositivo de Rede para Serviços de Certificados do Active Directory (AD CS) devem estar em execução no sistema operacional do Windows Server 2012 R2.

System_CAPS_importantImportante

Você tem que concluir as etapas de configuração adicionais antes de poder usar o Serviço de Registro de Dispositivo de Rede com o Gerenciador de Configurações.

Consulte Etapa 1: instalar e configurar o Serviço de Registro de Dispositivo de Rede e as dependências neste tópico.

Etapa 2: Instalar e configurar o ponto de registro de certificado

Você deve instalar pelo menos um ponto de registro de certificado. Este ponto de registro pode estar em um site de administração central ou em um site primário.

Consulte Etapa 2: instalar e configurar o ponto de registro de certificado neste tópico.

Etapa 3: Instale o Módulo de Política do Gerenciador de Configurações

Instalar o Módulo de Política no servidor executando o Serviço de Registro de Dispositivo de Rede.

Consulte Etapa 3: instalar o Módulo de Política do Configuration Manager neste tópico.

Procedimentos complementares para configurar o registro de certificado no Configuration Manager

Use as seguintes informações quando as etapas descritas na tabela anterior exigirem procedimentos complementares.

Etapa 1: instalar e configurar o Serviço de Registro de Dispositivo de Rede e as dependências

Você deve instalar e configurar o serviço da função do Serviço de Registro de Dispositivo de Rede para os Serviços de Certificados do Active Directory (AD CS), alterar as permissões de segurança nos modelos de certificado, implantar um certificado de autenticação de cliente da infraestrutura de chave pública (PKI) e editar o registro para aumentar o tamanho limite da URL padrão dos Serviços de Informações da Internet (IIS). Se necessário, você também deve configurar a AC (autoridade de certificação) emissora para permitir um período de validade personalizado.

System_CAPS_importantImportante

Antes de configurar o Gerenciador de Configurações para trabalhar com o Serviço de Registro de Dispositivo de Rede, verifique a instalação e a configuração do Serviço de Registro de Dispositivo de Rede. Se estas dependências não estiverem funcionando corretamente, você terá problemas ao solucionar os problemas de registro de certificado usando o Gerenciador de Configurações.

Para instalar e configurar o Serviço de Registro de Dispositivo de Rede e as dependências

  1. Em um servidor que está executando o Windows Server 2012 R2, instale e configure o serviço de função Serviço de Registro de Dispositivo de Rede para a função de servidor Serviços de Certificados do Active Directory. Para mais informações, consulte Diretrizes do Serviço de Registro de Dispositivo de Rede na biblioteca de Serviços de Certificados do Active Directory no TechNet.

  2. Verifique e, se necessário, modifique as permissões de segurança dos modelos de certificado que o Serviço de Registro de Dispositivo de Rede está usando:

    - Para a conta que executa o console do Gerenciador de Configurações: Permissão de **Leitura**.

  Essa permissão é necessária para que, quando executar o Assistente para Criar Perfil de Certificado, você possa procurar pelo modelo de certificado que deseja utilizar e selecioná-lo ao criar um perfil de configurações do SCEP. Selecionar um modelo de certificado significa que algumas configurações do assistente são preenchidas automaticamente, de forma que você tenha menos configurações para definir e de que haja menos risco de selecionar configurações não compatíveis com os modelos de certificado que o Serviço de Registro de Dispositivo de Rede está usando.

- Para a conta de serviço do SCEP que o pool de aplicativos do Serviço de Registro de Dispositivo de Rede usa: permissões **Ler** e **Registrar**.

  Este requisito não é específico para o Gerenciador de Configurações, mas faz parte da configuração do Serviço de Registro de Dispositivo de Rede. Para mais informações, consulte [Diretrizes do Serviço de Registro de Dispositivo de Rede](https://go.microsoft.com/fwlink/p/?linkid=309016) na biblioteca de Serviços de Certificados do Active Directory no TechNet.
    System_CAPS_tipDica

    Para identificar quais modelos de certificado o Serviço de Registro de Dispositivo de Rede está usando, exiba a seguinte chave do Registro no servidor que está executando o Serviço de Registro de Dispositivo de Rede: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.
    System_CAPS_noteObservação

    Essas são as permissões de segurança padrão adequadas para a maioria dos ambientes. No entanto, você pode usar uma configuração de segurança alternativa. Para obter mais informações, consulte Planejando permissões de modelo de certificado para os perfis de certificado no Configuration Manager.

  3. Implante um certificado PKI neste servidor que ofereça suporte à autenticação de clientes. Talvez você já tenha um certificado apropriado instalado no computador que possa usar, ou talvez tenha que (ou ainda prefira) implantar um certificado especificamente para este propósito. Para obter mais informações sobre os requisitos desse certificado, consulte os detalhes para “Servidores que executam o Módulo de Política do Configuration Manager com o serviço de função Serviço de Registro de Dispositivo de Rede” na seção Certificados PKI para servidores no tópico Requisitos de certificado PKI para o Configuration Manager.

    System_CAPS_tipDica

    Se precisar de ajuda para implantar esse certificado, você poderá usar as instruções de Implantando o certificado do cliente para pontos de distribuição no tópico Exemplo passo a passo para implantação dos certificados PKI para o Configuration Manager: Autoridade de certificação do Windows Server 2008, pois os requisitos de certificado são os mesmos, com uma exceção:

    • Não selecione a caixa de seleção Permitir que a chave particular seja exportada na guia Tratamento de solicitação das propriedades do modelo de certificado.

    Não é necessário exportar este certificado com a chave privada porque você poderá navegar até a loja local do Computador e selecioná-lo ao configurar o Módulo de Política do Gerenciador de Configurações.

  4. Localize o certificado raiz ao qual o certificado de autenticação de cliente se encadeia. Em seguida, exporte esse certificado da AC raiz para um arquivo de certificado (.cer). Salve esse arquivo em local seguro de onde possa acessá-lo mais tarde quando for instalar e configurar o servidor de sistema para o ponto de registro de certificado.

  5. No mesmo servidor, use o editor de Registro para aumentar o tamanho limite da URL padrão para o IIS, definindo as seguintes chaves do Registro de valores DWORD no HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

    - Defina a chave **MaxFieldLength** como **65534**.

- Defina a chave **MaxRequestBytes** como **16777216**.

    Para obter mais informações, leia o artigo 820129: Configurações de Registro Http.sys para Windows na Base de Dados de Conhecimento Microsoft.

  6. No mesmo servidor, no Gerenciador do IIS (Serviços de Informações da Internet), modifique as configurações de filtragem de solicitação do aplicativo /certsrv/mscep e reinicie o servidor. Na caixa de diálogo Editar Configurações de Filtragem de Solicitações, as configurações de Limites de Solicitações devem ser as seguintes:

    - **Tamanho máximo de conteúdo permitido (Bytes)**: **30000000**

- **Tamanho máximo da URL (Bytes)**: **65534**

- **Cadeia de caracteres de consulta máxima (Bytes)**: **65534**

    Para obter mais informações sobre estas configurações e sobre como defini-las, consulte Limites de solicitações na Biblioteca de Referência do IIS.

  7. Se deseja poder solicitar um certificado com um período de validade inferior ao do modelo do certificado que está utilizando: Por padrão, essa configuração é desabilitada para uma AC corporativa. Para habilitar essa opção em uma AC corporativa, use a ferramenta de linha de comando Certutil, pare e reinicie o serviço de certificado usando os comandos a seguir:

    1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

    Para mais informações, consulte Configurações e Ferramentas dos Serviços de Certificados na biblioteca de Tecnologias PKI no TechNet.

  8. Verifique se o Serviço de Registro de Dispositivo de Rede está funcionando usando o seguinte link como exemplo: https://server.contoso.com/certsrv/mscep/mscep.dll. Você deverá ver a página da Web interna do Serviço de Registro de Dispositivo de Rede. Esta página da Web explica sobre o que é o serviço e explica que os dispositivos de rede usam a URL para submeterem os pedidos de certificado.

Agora que o Serviço de Registro de Dispositivo de Rede e as dependências estão configuradas, você está pronto para instalar e configurar o ponto de registro de certificado.

Etapa 2: instalar e configurar o ponto de registro de certificado

Você tem que instalar e configurar pelo menos um ponto de registro de certificado na hierarquia do Gerenciador de Configurações, e você pode instalar esta função de sistema do site no site da administração central ou em um site primário.

System_CAPS_importantImportante

Antes de instalar o ponto de registro de certificado, consulte a seção no tópico para os requisitos de sistema operacional e as dependências para ponto de registro de certificado.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

Para instalar e configurar o ponto de registro de certificado

  1. No console do Gerenciador de Configurações, clique em Administração.

  2. No espaço de trabalho Administração, expanda Configuração de Site, clique em Funções de Servidores e Sistema de Site e selecione o servidor a ser usado para o ponto de registro do certificado.

  3. Na guia Início, no grupo Servidor, clique em Adicionar Funções do Sistema de Site.

  4. Na página Geral, especifique as configurações gerais para o sistema de site e clique em Próximo.

  5. Na página Proxy, clique em Avançar. O ponto de registro de certificado não usa as configurações de proxy da internet.

  6. Na página Seleção de Função do Sistema, selecione Ponto de Registro de Certificado na lista de funções disponíveis e clique em Avançar.

  7. Na página Ponto de Registro de Certificado, aceite ou altere as configurações padrão e clique em Adicionar.

  8. Na caixa de diálogo Adicionar URL e Certificado da AC Raiz, especifique o seguinte e clique em OK:

    1. URL do Serviço de Registro de Dispositivo de Rede: Especifique a URL no seguinte formato: https://<server_FQDN>/certsrv/mscep/mscep.dll. Por exemplo, se o FQDN do servidor que está executando o Serviço de Registro de Dispositivo de Rede for server1.contoso.com, digite https://server1.contoso.com/certsrv/mscep/mscep.dll.

    2. Certificado de AC Raiz: Navegue até e selecione o arquivo de certificado (.cer) criado e salvo na Etapa 1: Instale e configure o Serviço de Registro de Dispositivo de Rede e dependências. Este certificado da AC raiz permite que o ponto de registro de certificado valide o certificado de autenticação de cliente que o Módulo de Política do Gerenciador de Configurações ira usar.

    System_CAPS_noteObservação

    Se estiver usando mais do que um servidor executando o Serviço de Registro de Dispositivo de Rede, clique em Adicionar para especificar os detalhes para os outros servidores.

  9. Clique em Próximo e conclua o assistente.

  10. Espere alguns minutos até que a instalação seja finalizada e verifique se o ponto de registro de certificado foi instalado com êxito, usando qualquer um dos métodos a seguir:

    • No espaço de trabalho Monitoramento, expanda Status do Sistema, clique em Status do Componente e procure pelas mensagens de status do componente SMS_CERTIFICATE_REGISTRATION_POINT.

    • No servidor do sistema de sites, use o arquivo <ConfigMgr Installation Path>\Logs\crpsetup.log e o arquivo <ConfigMgr Installation Path>\Logs\crpmsi.log. Uma instalação bem-sucedida retornará um código de saída igual a 0.

    • Usando um navegador, verifique se é possível se conectar à URL do ponto de registro de certificado, por exemplo, https://server1.contoso.com/CMCertificateRegistration. Uma página de Erro do Servidor será exibida para o nome do aplicativo com uma descrição HTTP 404.

  11. Localize o arquivo de certificado exportado para a AC raiz que o ponto de registro de certificado criou automaticamente na seguinte pasta no computador do servidor do site primário: <ConfigMgr Installation Path>\inboxes\certmgr.box. Salve este arquivo em um local seguro, onde você possa acessá-lo mais tarde quando for instalar o Módulo de Política do Gerenciador de Configurações no servidor que executa o Serviço de Registro de Dispositivo de Rede.

    System_CAPS_tipDica

    Este certificado não está imediatamente disponível nessa pasta. Talvez você precise esperar um pouco (ex.: meia hora) até que o Gerenciador de Configurações copie o arquivo para este local.

Agora que o ponto de registro de certificado está instalado e configurado, você está pronto para instalar o Módulo de Política do Gerenciador de Configurações do Serviço de Registro de Dispositivo de Rede.

Etapa 3: instalar o Módulo de Política do Configuration Manager

Você deve instalar e configurar o Módulo de Política do Gerenciador de Configurações em cada servidor especificado na Etapa 2: Instale e configure o ponto de registro de certificado como URL do Serviço de Registro de Dispositivo de Rede nas propriedades do ponto de registro de certificado.

Para instalar o Módulo de Política

  1. No servidor que executa o Serviço de Registro de Dispositivo de Rede, faça logon como administrador de domínio e copie os seguintes arquivos da pasta <ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 na mídia de instalação do Gerenciador de Configurações para uma pasta temporária:

    - PolicyModule.msi

- PolicyModuleSetup.exe

    Além disso, se você possuir uma pasta LanguagePack na mídia de instalação, copie essa pasta e todo o seu conteúdo.

  2. Execute PolicyModuleSetup.exe na pasta temporária para iniciar o Assistente de Instalação do Módulo de Política do Gerenciador de Configurações.

  3. Na página inicial do assistente, clique em Avançar, aceite os temos da licença e clique em Avançar.

  4. Na página Pasta de Instalação, aceite a pasta de instalação padrão do módulo de política ou especifique uma pasta alternativa e clique em Avançar.

  5. Na página Ponto de Registro de Certificado, especifique a URL do ponto de registro de certificado usando o FQDN do servidor de sistema do site e o nome do aplicativo virtual especificado nas propriedades do ponto de registro de certificado. O nome padrão do aplicativo virtual é CMCertificateRegistration. Por exemplo, se o servidor de sistema do site tiver um FQDN igual a server1.contoso.com e você usou o nome padrão do aplicativo virtual, especifique https://server1.contoso.com/CMCertificateRegistration.

  6. Aceite a porta padrão 443 ou especifique o número alternativo de porta que o ponto de registro de certificado está utilizando e clique em Avançar.

  7. Na página Certificado do Cliente para o Módulo de Política, navegue até e especifique o certificado de autenticação de cliente implantado na Etapa 1: Instale e configure o Serviço de Registro de Dispositivo de Rede e dependências e clique em Próximo.

  8. Na página Certificado do Ponto de Registro de Certificado, clique em Procurar para selecionar o arquivo de certificado exportado para a AC raiz localizado e salvo ao final da Etapa 2: Instale e configure o ponto de registro de certificado.

    System_CAPS_noteObservação

    Se você não salvou este arquivo de certificado anteriormente, ele estará localizado em

  9. Clique em Próximo e conclua o assistente.

    10. Agora que você concluiu as etapas de configuração para instalar o Serviço de Registro de Dispositivo de Rede e as dependências, o ponto de registro de certificado e o Módulo de Política do Gerenciador de Configurações, você está pronto para implantar certificados em usuários e dispositivos criando e implantando os perfis de certificado. Para obter mais informações sobre como criar perfis de certificado, consulte Como criar perfis de certificado no Configuration Manager.

    Se desejar desinstalar o Módulo de Política do Gerenciador de Configurações, use Programas e Recursos no Painel de Controle.