Artigo
10/26/2015

Como Criar Perfis de Certificado no Configuration Manager

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

As informações deste tópico aplicam-se apenas às versões do System Center 2012 R2 Configuration Manager.

Os perfis de certificado do System Center 2012 Configuration Manager integram-se nos Serviços de Certificados do Active Directory e na função Serviço de Inscrição de Dispositivos de Rede para aprovisionar dispositivos geridos com certificados de autenticação, de modo a que os utilizadores possam aceder a recursos da empresa utilizando certificados. As informações neste tópico podem ajudar a criar perfis de certificado no Gestor de configuração.

Importante
Terá de efetuar a configuração para poder criar perfis de certificado. Para mais informações, consulte Configurar perfis de certificado no Configuration Manager.

Passos para Criar um Perfil de Certificado

Utilize os seguintes passos necessários para criar um perfil de certificado utilizando o Assistente para Criar Perfil de Certificado.

Passo	Detalhes	Mais informações
Passo 1: Iniciar o Assistente para Criar Perfil de Certificado	Inicie o assistente na área de trabalho Ativos e Compatibilidade, no nó Definições de Compatibilidade.	Consulte a secção Passo 1: Iniciar o Assistente para Criar Perfil de Certificado deste tópico.
Passo 2: Fornecer informações gerais sobre o perfil de certificado	Forneça informações gerais, como o nome e descrição do perfil do certificado e o tipo de perfil de certificado que pretende criar.	Consulte a secção Passo 2: Fornecer Informações Gerais sobre o Perfil de Certificado deste tópico.
Passo 3: Fornecer informações sobre o perfil de certificado	Forneça informações de configuração para o perfil do certificado.	Consulte a secção Passo 3: Fornecer Informações sobre o Perfil de Certificado deste tópico.
Passo 4: Configurar plataformas suportadas para o perfil de certificado	Especifique os sistemas operativos onde irá instalar o perfil de certificado.	Consulte a secção Passo 4: Configurar Plataformas Suportadas para o Perfil de Certificado deste tópico.
Passo 5: Concluir o assistente	Conclua o assistente para criar o novo perfil de certificado.	Consulte a secção Passo 5: Concluir o Assistente deste tópico.

Cuidado
Se já tiver implementado um certificado utilizando um perfil de certificado do protocolo SCEP (Simple Certificate Enrollment Protocol), a alteração de algumas opções de configuração resultará no pedido de um novo certificado com novos valores. Se o número de pedidos de renovação de certificado for elevado devido a estas alterações, essas renovações poderão provocar um processamento elevado da CPU no servidor com o Serviço de Inscrição de Dispositivos de Rede. Quando o pedido de certificado for para um cliente da intranet (por exemplo, o Windows 8.1), o certificado original será eliminado quando for pedido um certificado novo que tenha novos valores. No entanto, quando o pedido de certificado é para um cliente gerido com o conector do Microsoft Intune, o certificado original não é eliminado do dispositivo e permanece instalado. As secções seguintes indicam as definições que originarão um pedido de renovação de certificado.

Se já tiver implementado um certificado utilizando um perfil de certificado do protocolo SCEP (Simple Certificate Enrollment Protocol), a alteração de algumas opções de configuração resultará no pedido de um novo certificado com novos valores. Se o número de pedidos de renovação de certificado for elevado devido a estas alterações, essas renovações poderão provocar um processamento elevado da CPU no servidor com o Serviço de Inscrição de Dispositivos de Rede.

Quando o pedido de certificado for para um cliente da intranet (por exemplo, o Windows 8.1), o certificado original será eliminado quando for pedido um certificado novo que tenha novos valores. No entanto, quando o pedido de certificado é para um cliente gerido com o conector do Microsoft Intune, o certificado original não é eliminado do dispositivo e permanece instalado.

As secções seguintes indicam as definições que originarão um pedido de renovação de certificado.

Procedimentos Suplementares para Criar um Novo Perfil de Certificado

Utilize as informações seguintes quando os passos da tabela anterior exigirem procedimentos adicionais.

Passo 1: Iniciar o Assistente para Criar Perfil de Certificado

Utilize este procedimento para iniciar o Assistente para Criar Perfil de Certificado.

Para iniciar o Assistente para Criar Perfil de Certificado

Na consola do Gestor de configuração, clique em Ativos e Compatibilidade.
Na área de trabalho Ativos e Compatibilidade, expanda Definições de Compatibilidade, expanda Acesso a Recursos da Empresa e clique em Perfis de Certificado.
No separador Home Page, no grupo Criar, clique em Criar Perfil de Certificado.

Passo 2: Fornecer Informações Gerais sobre o Perfil de Certificado

Utilize este procedimento para fornecer informações gerais sobre o perfil de certificado.

Para fornecer informações gerais sobre o perfil de certificado

Na página Geral do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

- **Nome**: introduza um nome exclusivo para o perfil do certificado. Pode utilizar até 256 carateres.

- **Descrição**: Forneça uma descrição que proporcione uma descrição geral do perfil de certificado e outras informações relevantes que ajudem a identificá-lo na consola do Gestor de configuração. Pode utilizar até 256 carateres.

- **Especificar o tipo de perfil de certificado que pretende criar**: escolha um dos seguintes tipos de perfil de certificado:

    - **Certificado de AC fidedigna**: selecione este tipo de perfil de certificado se pretender implementar um certificado de autoridade de certificação (AC) de raiz ou de AC intermediária fidedigna para formar uma cadeia de certificação quando o utilizador ou o dispositivo tiver de autenticar outro dispositivo. Por exemplo, o dispositivo poderá ser um servidor RADIUS (Remote Authentication Dial-In User Service) ou um servidor de rede privada virtual (VPN). Tem também de configurar um perfil de certificado de AC fidedigna para poder criar um perfil de certificado SCEP. Neste caso, o certificado de AC fidedigna tem de ser o certificado de raiz fidedigna para a AC que emitirá o certificado para o utilizador ou o dispositivo.

    - **Definições do protocolo SCEP (Simple Certificate Enrollment Protocol)**: selecione este tipo de perfil de certificado se pretender pedir um certificado para um utilizador ou dispositivo utilizando o protocolo SCEP (Simple Certificate Enrollment Protocol) e o serviço de função Serviço de Inscrição de Dispositivos de Rede.

Passo 3: Fornecer Informações sobre o Perfil de Certificado

Utilize um dos seguintes procedimentos para configurar informações de perfil de certificado para certificados de AC fidedigna e certificados SCEP no perfil de certificado.

Importante
Tem de configurar pelo menos um perfil de certificado de AC fidedigna para poder criar um perfil de certificado SCEP.

Para configurar um certificado de AC fidedigna

Na página Certificado de AC fidedigna do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

- **Ficheiro do certificado**: clique em **Importar** e procure o ficheiro de certificado que pretende utilizar.

- **Arquivo de destino**: Para dispositivos que tenham mais do que um armazenamento de certificados, selecione onde pretende armazenar o certificado. Para dispositivos que têm apenas um armazenamento, esta definição é ignorada.

Utilize o valor Thumbprint do certificado para verificar se importou o certificado correto.

Continue para o Passo 4: Configurar Plataformas Suportadas para o Perfil de Certificado.

Para configurar informações de certificado SCEP

Na página Inscrição SCEP do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

- **Repetições**: especifique o número de vezes que o dispositivo repete automaticamente o pedido de certificado ao servidor com o Serviço de Inscrição de Dispositivos de Rede em execução. Esta definição suporta o cenário onde um gestor de AC tem de aprovar um pedido de certificado antes de ser aceite. Esta definição é normalmente utilizada para ambientes de alta segurança ou se tiver uma AC emissora autónoma, em vez de uma AC empresarial. Também poderá utilizar esta definição para fins de teste, para poder inspecionar as opções de pedido de certificado antes de a AC emissora processar o pedido de certificado. Utilize esta definição com a definição **Intervalo entre repetições (minutos)**.

- **Intervalo entre repetições (minutos)**: especifique o intervalo, em minutos, entre cada tentativa de inscrição quando utilizar a aprovação do gestor de AC antes de a AC emissora processar o pedido de certificado. Se utilizar a aprovação do gestor para fins de teste, provavelmente pretenderá especificar um valor baixo, de modo a não esperar muito tempo para que o dispositivo repita o pedido de certificado após a aprovação do pedido. No entanto, se utilizar a aprovação do gestor numa rede de produção, é provável que pretenda especificar um valor maior para dar tempo suficiente ao administrador da AC para verificar e aprovar ou negar aprovações pendentes.

- **Limiar de renovação (%)**: Especifique a percentagem da duração do certificado que permanece antes de o dispositivo pedir renovação do certificado.

- **Fornecedor de Armazenamento de Chaves (KSP)**: Especifique onde será armazenada a chave do certificado. Escolha um dos seguintes valores:

    - **Instalar no Trusted Platform Module (TPM), se estiver presente**: instala a chave no TPM. Se o TPM não estiver presente, a chave será instalada no fornecedor de armazenamento da chave de software.

    - **Instalar no Trusted Platform Module (TPM), caso contrário falhar**: instala a chave no TPM. Se o módulo TPM não estiver presente, a instalação falhará.

    - **Instalar no Fornecedor de Armazenamento de Chaves de Software**: instala a chave no fornecedor de armazenamento para a chave de software.

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

- **Dispositivos para inscrição de certificado**: Se o perfil de certificado for implementado numa coleção de utilizadores, selecione se pretende permitir a inscrição de certificados apenas no dispositivo primário dos utilizadores ou em todos os dispositivos em que os utilizadores iniciem sessão. Se o perfil de certificado for implementado numa coleção de dispositivos, selecione se pretende permitir a inscrição de certificados apenas ao utilizador principal do dispositivo ou a todos os utilizadores que iniciem sessão no dispositivo.

Na página Propriedades do Certificado do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:

- **Nome do modelo de certificado**: Clique em **Procurar** para selecionar o nome de um modelo de certificado que o Serviço de Inscrição de Dispositivos de Rede esteja configurado para utilizar e que tenha sido adicionado a uma AC emissora. Para encontrar modelos de certificado, a conta de utilizador que está a utilizar para executar a consola do Gestor de configuração tem de ter a permissão de Leitura para o modelo de certificado. Em alternativa, se não conseguir utilizar **Procurar**, escreva o nome do modelo de certificado.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Gg712282.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Se o nome do modelo de certificado contiver carateres não ASCII (por exemplo, carateres do alfabeto chinês), o certificado não será implementado. Para garantir que o certificado é implementado, tem de criar primeiro uma cópia do modelo de certificado na AC e mudar o nome da cópia utilizando carateres ASCII.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  Tenha em atenção o seguinte, consoante procurar o modelo de certificado ou escrever o nome do certificado:

    - Se procurar para selecionar o nome do modelo de certificado, alguns campos da página serão preenchidos automaticamente a partir do modelo de certificado. Em alguns casos, não é possível alterar estes valores, a menos que escolha um modelo de certificado diferente.

    - Se escrever o nome do modelo de certificado, certifique-se de que o nome corresponde exatamente a um dos modelos de certificado listados no registo do servidor com o Serviço de Inscrição de Dispositivos de Rede em execução. Certifique-se de que especifica o nome do modelo de certificado e não o nome a apresentar do modelo de certificado.

      Para localizar os nomes dos modelos de certificado, navegue para a seguinte chave: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MSCEP. Verá os modelos de certificado listados como valores para **EncryptionTemplate**, **GeneralPurposeTemplate** e **SignatureTemplate**. Por predefinição, o valor dos três modelos de certificado é **IPSECIntermediateOffline**, que é mapeado para o nome a apresentar de modelo **IPSec (Pedido offline)**.

      <div class="alert">

      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/JJ906422.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-warning(SC.12).jpeg" title="System_CAPS_warning" alt="System_CAPS_warning" />Aviso</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Uma vez que o Gestor de configuração não consegue verificar o conteúdo do modelo de certificado quando escreve o respetivo nome em vez de o procurar, poderá conseguir selecionar opções que o modelo de certificado não suporta, o que resultará num pedido de certificado falhado. Quando isto acontecer, verá uma mensagem de erro de w3wp.exe no ficheiro CPR.log que indica que o nome do modelo na solicitação de assinatura de certificado (CSR) do certificado e no desafio não coincidem.</p>
      <p>Quando escrever o nome do modelo de certificado especificado para o valor <strong>GeneralPurposeTemplate</strong>, terá de selecionar as opções <strong>Cifragem de chaves</strong> e <strong>Assinatura digital</strong> para este perfil de certificado. No entanto, se pretender ativar apenas a opção <strong>Cifragem de chaves</strong> neste perfil de certificado, especifique o nome do modelo de certificado da chave <strong>EncryptionTemplate</strong>. Da mesma forma, se pretender ativar apenas a opção <strong>Assinatura digital</strong> neste perfil de certificado, especifique o nome do modelo de certificado da chave <strong>SignatureTemplate</strong>.</p></td>
      </tr>
      </tbody>
      </table>

      </div>

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

- **Tipo de certificado**: selecione se o certificado será implementado num dispositivo ou num utilizador.

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

- **Formato de nome do requerente**: A partir da lista, selecione como o Gestor de configuração cria automaticamente o nome do requerente do pedido de certificado. Se o certificado se destinar a um utilizador, pode também incluir o endereço de e-mail do utilizador no nome do requerente.

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

- **Nome alternativo do requerente**: especifique o modo como o Gestor de configuração cria automaticamente os valores para o nome alternativo do requerente (SAN) no pedido de certificado. Por exemplo, se tiver selecionado um tipo de certificado de utilizador, pode incluir o nome principal de utilizador (UPN) no nome alternativo do requerente.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh221341.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-tip(SC.12).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Sugestão</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Se o certificado de cliente for utilizado para autenticar um Servidor de Políticas de Rede, tem de definir o nome alternativo do requerente com o UPN.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Gg712282.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Os dispositivos iOS suportam formatos de nome do requerente e de nome alternativo do requerente limitados em certificados SCEP. Se especificar um formato que não seja suportado, os certificados não serão inscritos em dispositivos iOS. Quando configurar um perfil de certificado SCEP para implementação em dispositivos iOS, utilize o <strong>Nome comum</strong> para o <strong>Formato de nome do requerente</strong> e <strong>Nome DNS</strong>, <strong>Endereço de correio eletrónico</strong> ou <strong>UPN</strong> para o <strong>Nome alternativo do requerente</strong>.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

- **Período de validade do certificado**: Se tiver executado o comando certutil - setreg Policy\\EditFlags +EDITF\_ATTRIBUTEENDDATE na AC emissora, que permite um período de validade personalizado, pode especificar o tempo restante até o certificado expirar. Para mais informações sobre este comando, consulte [Passo 1: Instalar e Configurar o Serviço de Inscrição de Dispositivos de Rede e Dependências](dn270539\(v=technet.10\).md) no tópico [Configurar perfis de certificado no Configuration Manager](dn270539\(v=technet.10\).md).

  Pode especificar um valor inferior ao período de validade do modelo de certificado especificado, mas não superior. Por exemplo, se o período de validade do certificado no modelo de certificado for dois anos, pode especificar um valor de um ano, mas não um valor de cinco anos. O valor deve também ser inferior ao período de validade restante do certificado da AC emissora.

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

- **Utilização da chave**: Especifique as opções de utilização de chave para este certificado. Pode selecionar de entre as seguintes opções:

    - **Cifragem de chaves**: permitir a troca de chaves apenas quando a chave for encriptada.

    - **Assinatura digital**: permitir a troca de chaves apenas quando uma assinatura digital ajudar a proteger a chave.

      Se tiver selecionado um modelo de certificado utilizando **Procurar**, poderá não conseguir alterar estas definições, a menos que selecione outro modelo de certificado.

  O modelo de certificado selecionado deve ser configurado com uma ou ambas as duas opções de utilização da chave acima. Caso contrário, verá a mensagem **Utilização da chave no CSR e no desafio não correspondem** no ficheiro de registo do ponto de registo de certificados, **Crp.log**.

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

- **Tamanho da chave (bits)**: Selecione o tamanho da chave em bits.

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

- **Utilização alargada da chave**: Clique em **Selecionar** para adicionar valores ao objetivo do certificado. Na maioria dos casos, o certificado irá exigir a **Autenticação de Cliente** para o utilizador ou dispositivo poder ser autenticado num servidor. Contudo, pode adicionar mais utilizações de chave conforme necessário.

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

- **Algoritmo hash**: Selecione um dos tipos de algoritmo hash disponíveis para utilizar com este certificado. Selecione o maior nível de segurança que os dispositivos de ligação suportam.

  <div class="alert">


  > [!NOTE]
  > <P>O <STRONG>SHA-1</STRONG> suporta apenas SHA-1. O <STRONG>SHA-2</STRONG> suporta SHA-256, SHA-384 e SHA-512. O <STRONG>SHA-3</STRONG> suporta apenas SHA-3.</P>


  </div>

- **Certificado da AC de Raiz**: Clique em **Selecionar** para selecionar um perfil de certificado da AC de raiz que tenha configurado anteriormente e implementado no utilizador ou dispositivo. Este certificado da AC tem de ser o certificado de raiz da AC que irá emitir o certificado que está a configurar neste perfil de certificado.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Gg712282.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Se especificar um certificado da AC de raiz que não seja implementado no utilizador ou dispositivo, o Gestor de configuração não iniciará o pedido de certificado que está a configurar neste perfil de certificado.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  <div class="alert">


  > [!NOTE]
  > <P>Se alterar este valor após a implementação do certificado, o certificado antigo é eliminado e é pedido um novo.</P>


  </div>

Passo 4: Configurar Plataformas Suportadas para o Perfil de Certificado

Utilize o seguinte procedimento para especificar os sistemas operativos onde vai instalar o perfil de certificado.

Para especificar as plataformas suportadas para o perfil de certificado

Na página Plataformas Suportadas do Assistente para Criar Perfil de Certificado, selecione os sistemas operativos onde pretende instalar o perfil de certificado. Ou, clique em Selecionar tudo para instalar o perfil de certificado para todos os sistemas operativos disponíveis.

Passo 5: Concluir o Assistente

Na página Resumo do assistente, reveja as ações que serão executadas e conclua o assistente. O novo perfil de certificado aparece no nó Perfis de Certificado na área de trabalho Ativos e Compatibilidade e está pronto para ser implementado a utilizadores ou dispositivos. Para mais informações, consulte Como Implementar Perfis de Certificado no Configuration Manager.

Consultar Também

Operações e manutenção de perfis de certificado no Configuration Manager