Requisitos de certificado PKI para o Configuration Manager
Aplica-se a: Gestor de Configuração (ramo atual)
Os certificados de infraestrutura de chaves públicas (PKI) que pode necessitar para o Gestor de Configuração estão listados nas tabelas seguintes. Estas informações pressupõem um conhecimento básico dos certificados PKI. Para obter mais informações, consulte a distribuição passo a passo dos certificados PKI para o Gestor de Configuração: Windows Server 2008 Certification Authority.
Para mais informações sobre os Serviços de Certificados de Diretório Ativo, consulte a Visão Geral dos Serviços de Certificados do Diretório Ativo.
Para obter informações sobre a utilização de certificados de criptografia API: Próxima Geração (CNG) v3 com Gestor de Configuração, consulte a visão geral dos certificados CNG v3.
Importante
O Gestor de Configuração suporta certificados Secure Hash Algorithm 2 (SHA-2). Os certificados SHA-2 trazem uma importante vantagem de segurança. Por isso, recomendamos o seguinte:
- Emite novos certificados de autenticação de servidor e cliente que são assinados com SHA-2, que inclui SHA-256 e SHA-512, entre outros.
- Todos os serviços virados para a Internet devem utilizar um certificado SHA-2. Por exemplo, se comprar um certificado público para uso com uma porta de entrada de gestão de nuvem, certifique-se de que compra um certificado SHA-2.
A partir de 14 de fevereiro de 2017, Windows já não confia em certos certificados assinados com a SHA-1. Em geral, recomendamos que emita novos certificados de autenticação de servidor e cliente assinados com SHA-2 (que inclui SHA-256 e SHA-512, entre outros). Além disso, recomendamos que quaisquer serviços virados para a Internet utilizem um certificado SHA-2. Por exemplo, se comprar um certificado público para uso com uma porta de entrada de gestão de nuvem, certifique-se de que compra um certificado SHA-2."
Na maioria dos casos, a alteração dos certificados SHA-2 não tem qualquer impacto nas operações. Para obter mais informações, consulte Windows Execução dos certificados SHA1.
Pode utilizar qualquer PKI para criar, implantar e gerir estes certificados, com as seguintes exceções:
- Certificados de cliente que o Gestor de Configuração se inscreve em dispositivos móveis e computadores Mac
- Certificados que Microsoft Intune cria automaticamente para gerir dispositivos móveis
Quando utiliza serviços de certificados de diretório ativo e modelos de certificados, esta solução Microsoft PKI pode facilitar a gestão de certificados. Utilize a coluna Modelo de certificado Microsoft a utilizar nas tabelas seguintes para identificar o modelo de certificado que melhor corresponde aos requisitos de certificado. Apenas uma autoridade de certificação empresarial que funciona na Enterprise Edition ou Datacenter Edition do sistema operativo do servidor, como Windows Server 2008 Enterprise e Windows Server 2008 Datacenter, pode utilizar certificados baseados em modelos.
Utilize as seguintes secções para visualizar os requisitos do certificado.
Certificados PKI para servidores
| Componente do Gestor de Configuração | Objetivo do certificado | Modelo de certificado Microsoft a utilizar | Informações específicas no certificado | Como o certificado é usado no Gestor de Configuração |
|---|---|---|---|---|
Sistemas de site que gerem serviços de informação de internet (IIS) e que são configurado para ligações ao cliente HTTPS:
|
Autenticação de servidor | Servidor Web | O valor de Utilização de Chave Avançada tem de conter Autenticação de servidor (1.3.6.1.5.5.7.3.1). Se o sistema de site aceitar ligações a partir da internet, o Nome do Sujeito ou Nome Alternativo sujeito deve conter o nome de domínio totalmente qualificado da Internet (FQDN). Se o sistema de sítio aceitar ligações a partir da intranet, o Nome do Sujeito ou nome alternativo sujeito deve conter a intranet FQDN (recomendada) ou o nome do computador, dependendo da configuração do sistema de sítio. Se o sistema de site aceitar ligações tanto da internet como da intranet, tanto a Internet FQDN como a intranet FQDN (ou nome de computador) devem ser especificadas utilizando o limítrodulo de símbolo ampersand (&) entre os dois nomes. Nota: Quando o ponto de atualização do software aceita apenas ligações de clientes a partir da internet, o certificado deve conter tanto o FQDN da internet como o FQDN intranet. O algoritmo de hash SHA-2 é suportado. O Gestor de Configuração não especifica um comprimento máximo de chave suportado para este certificado. Consulte a documentação do seu PKI e IIS para quaisquer questões relacionadas com o tamanho da chave para este certificado. |
Este certificado deve residir na loja Personal na loja de certificados de computador. Este certificado de servidor web é utilizado para autenticar estes servidores ao cliente e encriptar todos os dados que são transferidos entre o cliente e estes servidores utilizando a Camada de Tomadas Seguras (SSL). |
| Ponto de distribuição baseado na nuvem | Autenticação de servidor | Servidor Web | O valor de Utilização de Chave Avançada tem de conter Autenticação de servidor (1.3.6.1.5.5.7.3.1). O Nome do Sujeito deve conter um nome de serviço e um nome de domínio definido pelo cliente num formato FQDN como nome comum para a instância específica do ponto de distribuição baseado na nuvem. A chave privada deve ser exportável. O algoritmo de hash SHA-2 é suportado. Comprimentos de chave suportados: 4.096 bits. |
Este certificado de serviço é utilizado para autenticar o serviço de ponto de distribuição baseado na nuvem aos clientes do Gestor de Configuração e encriptar todos os dados transferidos entre eles utilizando a Camada de Tomadas Seguras (SSL). Este certificado deve ser exportado num formato De Certificado de Chave Pública (PKCS #12) e a palavra-passe deve ser conhecida para que possa ser importada quando criar um ponto de distribuição baseado na nuvem. Note: este certificado é utilizado em conjunto com o certificado de gestão do Microsoft Azure. |
| Servidores do sistema de sites que executem o Microsoft SQL Server | Autenticação de servidor | Servidor Web | O valor de Utilização de Chave Avançada tem de conter Autenticação de servidor (1.3.6.1.5.5.7.3.1). O Nome do Sujeito deve conter o nome de domínio totalmente qualificado intranet (FQDN). O algoritmo de hash SHA-2 é suportado. O comprimento máximo da chave suportada é de 2.048 bits. |
Este certificado deve estar na loja Pessoal da loja de certificados de computador. O Gestor de Configuração copia-o automaticamente na Loja de Pessoas Fidedignas para servidores na hierarquia do Gestor de Configuração que possam ter de estabelecer confiança com o servidor. Estes certificados são utilizados para a autenticação do servidor-a-servidor. |
| SQL Server Sempre na instância de cluster de failover: servidores de sistema de site que executam Microsoft SQL Server | Autenticação de servidor | Servidor Web | O valor de Utilização de Chave Avançada tem de conter Autenticação de servidor (1.3.6.1.5.5.7.3.1). O Nome do Sujeito deve conter o nome de domínio intranet totalmente qualificado (FQDN) do cluster. A chave privada deve ser exportável. O certificado deve ter um período de validade de pelo menos dois anos quando configurar o Gestor de Configuração para utilizar a instância de cluster de failover. O algoritmo de hash SHA-2 é suportado. O comprimento máximo da chave suportada é de 2.048 bits. |
Depois de ter solicitado e instalado este certificado num nó no cluster, exporte o certificado e importe-o para cada nó adicional no caso do cluster de failover. Este certificado deve estar na loja Pessoal da loja de certificados de computador. O Gestor de Configuração copia-o automaticamente na Loja de Pessoas Fidedignas para servidores na hierarquia do Gestor de Configuração que possam ter de estabelecer confiança com o servidor. Estes certificados são utilizados para a autenticação do servidor-a-servidor. |
Monitorização do sistema do site para as seguintes funções do sistema de site:
|
Autenticação de cliente | Autenticação de Estação de Trabalho | O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2). Os computadores devem ter um valor único no campo Nome de Assunto ou no campo Nome Alternativo sujeito. Nota: Se estiver a utilizar vários valores para o Nome Alternativo do Assunto, apenas é utilizado o primeiro valor. O algoritmo de hash SHA-2 é suportado. O comprimento máximo da chave suportada é de 2.048 bits. |
Este certificado é exigido nos servidores do sistema de site listados, mesmo que o cliente Do Gestor de Configuração não esteja instalado. Esta configuração permite que a saúde destas funções do sistema do site seja monitorizada e reportada ao site. O certificado para estes sistemas de site deve residir na loja pessoal da loja de certificados de computador. |
| Servidores que executam o Módulo de Política do Gestor de Configuração com o serviço de função de serviço de inscrição de dispositivos de rede | Autenticação de cliente | Autenticação de Estação de Trabalho | O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2). Não existem requisitos específicos para o certificado Subject subject ou Nome Alternativo Sujeito (SAN). Pode utilizar o mesmo certificado para vários servidores que executam o Serviço de Inscrição de Dispositivos de Rede. Os algoritmos de hash SHA-2 e SHA-3 são suportados. Comprimentos de teclas suportados: 1.024 bits e 2.048 bits. |
|
| Sistemas de sites que tenham um ponto de distribuição instalado | Autenticação de cliente | Autenticação de Estação de Trabalho | O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2). Não existem requisitos específicos para o certificado Subject subject ou Nome Alternativo Sujeito (SAN). Pode utilizar o mesmo certificado para vários pontos de distribuição. No entanto, é uma boa ideia usar um certificado diferente para cada ponto de distribuição. A chave privada deve ser exportável. O algoritmo de hash SHA-2 é suportado. O comprimento máximo da chave suportada é de 2.048 bits. |
Este certificado tem duas finalidades:
Este certificado deve ser exportado num formato de Norma de Certificado de Chave Pública (PKCS #12). A palavra-passe deve ser conhecida para que possa ser importada para as propriedades do ponto de distribuição. Nota: Os requisitos para este certificado são os mesmos que o certificado cliente para imagens de arranque que implementam sistemas operativos. Como os requisitos são os mesmos, poderá utilizar o mesmo ficheiro de certificado. |
| Servidor do sistema de site que executa o conector Microsoft Intune | Autenticação de cliente | Não aplicável: A Intune cria automaticamente este certificado. | O valor de utilização da chave melhorada contém autenticação do cliente (1.3.6.1.5.5.7.3.2). Três extensões personalizadas identificam exclusivamente a subscrição intune do cliente. O tamanho da chave é de 2048 bits e utiliza o algoritmo de hash SHA-1. Nota: Não é possível alterar estas definições. Estas informações são fornecidas apenas para fins informativos. |
Este certificado é automaticamente solicitado e instalado na base de dados do Gestor de Configuração quando se subscreve Microsoft Intune. Quando instala o conector Microsoft Intune, este certificado é então instalado no servidor do sistema de site que executa o conector Microsoft Intune. Está instalado na loja de certificados do Computador. Este certificado é utilizado para autenticar a hierarquia do Gestor de Configuração para Microsoft Intune utilizando o conector Microsoft Intune. Todos os dados transferidos entre eles utilizam Secure Sockets Layer (SSL). |
Servidores web proxy para gestão de clientes baseados na Internet
Se o site suporta a gestão do cliente baseado na Internet e estiver a utilizar um servidor web proxy utilizando a rescisão SSL (ponte) para ligações à Internet, o servidor web proxy tem os requisitos de certificado listados na tabela seguinte.
Nota
Se estiver a utilizar um servidor web proxy sem terminação SSL (túnel), não são necessários certificados adicionais no servidor web proxy.
| Componente da infraestrutura de rede | Objetivo do certificado | Modelo de certificado Microsoft a utilizar | Informações específicas no certificado | Como o certificado é usado no Gestor de Configuração |
|---|---|---|---|---|
| Servidor web proxy aceitando ligações de clientes através da internet | Autenticação de servidor e autenticação de cliente | 1. Servidor Web 2. Autenticação de Estação de Trabalho |
Internet FQDN no campo Nome do Assunto ou no campo Nome Alternativo Sujeito. Se estiver a utilizar os modelos de certificados da Microsoft, o Nome Alternativo do Assunto está disponível apenas com o modelo de estação de trabalho. O algoritmo de hash SHA-2 é suportado. |
Este certificado é utilizado para autenticar os seguintes servidores para clientes da Internet e encriptar todos os dados transferidos entre o cliente e este servidor utilizando o SSL:
|
Certificados PKI para clientes
| Componente do Gestor de Configuração | Objetivo do certificado | Modelo de certificado Microsoft a utilizar | Informações específicas no certificado | Como o certificado é usado no Gestor de Configuração |
|---|---|---|---|---|
| Computadores cliente com Windows | Autenticação de cliente | Autenticação de Estação de Trabalho | O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2). O valor de utilização da chave deve conter Assinatura Digital, Enciferimento da Chave (a0). Os computadores clientes devem ter um valor único no campo Nome de Assunto ou no campo Nome Alternativo sujeito. Se for utilizado, o campo Nome de Assunto deve conter o nome do computador local, a menos que seja especificado um critério de seleção de certificados alternativos. Para mais informações, consulte Plano de seleção de certificados para clientes PKI. Nota: Se estiver a utilizar vários valores para o Nome Alternativo do Assunto, apenas é utilizado o primeiro valor. O algoritmo de hash SHA-2 é suportado. O comprimento máximo da chave suportada é de 2.048 bits. |
Por predefinição, o Gestor de Configuração procura certificados de computador na loja Personal na loja de certificados de computador. Com exceção do ponto de atualização do software e do ponto de site do Catálogo de Aplicações, este certificado autentica o cliente para servidores de sistema de site que executam o IIS e que estão configurados para utilizar HTTPS. |
| Clientes de dispositivos móveis | Autenticação de cliente | Sessão autenticada | O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2). SHA-1 O comprimento máximo da chave suportada é de 2.048 bits. Notas:
|
Este certificado autentica o cliente do dispositivo móvel para os servidores do sistema de site com os que comunica, como pontos de gestão e pontos de distribuição. |
| Imagens de arranque para implementação de sistemas operativos | Autenticação de cliente | Autenticação de Estação de Trabalho | O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2). Não existem requisitos específicos para o campo nome de assunto ou nome alternativo sujeito (SAN), e pode utilizar o mesmo certificado para todas as imagens de arranque. A chave privada deve ser exportável. O algoritmo de hash SHA-2 é suportado. O comprimento máximo da chave suportada é de 2.048 bits. |
O certificado é utilizado se as sequências de tarefas no processo de implementação do sistema operativo incluem ações do cliente, como a recuperação da política do cliente ou o envio de informações de inventário. Este certificado é utilizado apenas durante o processo de implementação do sistema operativo, não sendo instalado no cliente. Devido a esta utilização temporária, o mesmo certificado pode ser utilizado para cada implementação do sistema operativo se não quiser utilizar vários certificados de cliente. Este certificado deve ser exportado num formato De Certificado de Chave Pública (PKCS #12) e a palavra-passe deve ser conhecida para que possa ser importada para as imagens de arranque do Gestor de Configuração. Este certificado é temporário para a sequência de tarefas e não é utilizado para instalar o cliente. Quando tiver apenas um ambiente com o protocolo HTTPS, o cliente tem de ter um certificado válido para que o cliente possa comunicar com o site e continuar a implementação. O cliente pode gerar automaticamente um certificado quando o cliente é associado ao Ative Directory, ou pode instalar um certificado de cliente utilizando outro método. Nota: os requisitos deste certificado são iguais aos do certificado do servidor dos sistemas de sites com um ponto de distribuição instalado. Como os requisitos são os mesmos, poderá utilizar o mesmo ficheiro de certificado. |
| Computadores cliente Mac | Autenticação de cliente | Para inscrição no Gestor de Configuração: Sessão Autenticada Para instalação de certificados independente do Gestor de Configuração: Autenticação de estação de trabalho |
O valor de Utilização de Chave Avançada tem de conter Autenticação de cliente (1.3.6.1.5.5.7.3.2). Para o Gestor de Configuração que cria um certificado de Utilizador, o valor do certificado Subject é automaticamente preenchido com o nome de utilizador da pessoa que inscreve o computador Mac. Para a instalação de certificados que não utilize a inscrição do Gestor de Configuração mas que implante um certificado de Computador independentemente do Gestor de Configuração, o valor do certificado Subject deve ser único. Por exemplo, especifique o FQDN do computador. O campo nome alternativo sujeito não é suportado. O algoritmo de hash SHA-2 é suportado. O comprimento máximo da chave suportada é de 2.048 bits. |
Este certificado autentica o computador cliente Mac para os servidores do sistema de site com os que comunica, como pontos de gestão e pontos de distribuição. |
Certificados da Autoridade de Certificação de Raiz (CA) para os seguintes cenários:
|
Cadeia de certificados para uma fonte fidedigna | Não aplicável. | Certificado da AC de raiz padrão. | O certificado da AC de raiz deve ser fornecido quando os clientes têm de encadear os certificados do servidor em comunicação com uma origem fidedigna. Isto aplica-se nos seguintes cenários:
|
| Dispositivos móveis matriculados por Microsoft Intune | Autenticação de cliente | Não aplicável: A Intune cria automaticamente este certificado. | O valor de utilização da chave melhorada contém autenticação do cliente (1.3.6.1.5.5.7.3.2). Três extensões personalizadas identificam exclusivamente a subscrição do Cliente Intune. Os utilizadores podem fornecer o valor do certificado Valor sujeito durante a inscrição. No entanto, o Intune não utiliza este valor para identificar o dispositivo. O tamanho da chave é de 2048 bits e utiliza o algoritmo de hash SHA-1. Nota: Não é possível alterar estas definições. Estas informações são fornecidas apenas para fins informativos. |
Este certificado é automaticamente solicitado e instalado quando os utilizadores autenticados matriculam os seus dispositivos móveis utilizando Microsoft Intune. O certificado resultante no dispositivo reside na loja de computadores e autentica o dispositivo móvel matriculado para o Intune, para que possa ser gerido. Devido às extensões personalizadas no certificado, a autenticação está restrita à subscrição Intune que foi estabelecida para a organização. |