Exemplo passo a passo implementação dos certificados PKI para o System Center Configuration Manager: Autoridade de certificação do Windows Server 2008Step-by-step example deployment of the PKI certificates for System Center Configuration Manager: Windows Server 2008 certification authority

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Esta implementação de exemplo passo a passo, que utiliza uma autoridade de certificação (AC) do Windows Server 2008, tem de procedimentos que mostram como criar e implementar os certificados de infraestrutura de chaves públicas (PKI) que utiliza o System Center Configuration Manager.This step-by-step example deployment, which uses a Windows Server 2008 certification authority (CA), has procedures that show you how to create and deploy the public key infrastructure (PKI) certificates that System Center Configuration Manager uses. Estes procedimentos utilizam uma autoridade de certificação (AC) empresarial e modelos de certificado.These procedures use an enterprise certification authority (CA) and certificate templates. Os passos são adequados apenas para uma rede de teste, como prova de conceito.The steps are appropriate for a test network only, as a proof of concept.

Porque não existe nenhum método de implementação único para os certificados necessários, consulte a documentação de implementação de PKI específica para os procedimentos necessários e as melhores práticas para implementar os certificados necessários para um ambiente de produção.Because there is no single method of deployment for the required certificates, consult your particular PKI deployment documentation for the required procedures and best practices to deploy the required certificates for a production environment. Para obter mais informações sobre os requisitos de certificado, consulte requisitos de certificado PKI para o System Center Configuration Manager.For more about the certificate requirements, see PKI certificate requirements for System Center Configuration Manager.

Dica

Pode adaptar as instruções neste tópico para sistemas operativos que não estão documentados na secção de requisitos de rede de teste.You can adapt the instructions in this topic for operating systems that are not documented in the Test Network Requirements section. No entanto, se estiver a executar a AC emissora no Windows Server 2012, não lhe será solicitada a indicação da versão do modelo de certificado.However, if you are running the issuing CA on Windows Server 2012, you are not prompted for the certificate template version. Em vez disso, especifique isto no compatibilidade separador de propriedades do modelo:Instead, specify this on the Compatibility tab of the template properties:

  • Autoridade de certificação: Windows Server 2003Certification Authority: Windows Server 2003
    • Destinatário do certificado: Windows XP / Server 2003Certificate recipient: Windows XP / Server 2003

Nesta secçãoIn this section

As secções seguintes incluem instruções passo a passo de exemplo para criar e implementar os seguintes certificados que podem ser utilizados com o System Center Configuration Manager:The following sections include example step-by-step instructions to create and deploy the following certificates that can be used with System Center Configuration Manager:

Requisitos de rede de testeTest network requirements

Descrição geral dos certificadosOverview of the certificates

Implementar o certificado de servidor web para sistemas de sites que executam o IISDeploy the web server certificate for site systems that run IIS

Implementar o certificado de serviço para pontos de distribuição baseado na nuvemDeploy the service certificate for cloud-based distribution points

Implementar o certificado de cliente para computadores WindowsDeploy the client certificate for Windows computers

Implementar o certificado de cliente para pontos de distribuiçãoDeploy the client certificate for distribution points

Implementar o certificado de inscrição para dispositivos móveisDeploy the enrollment certificate for mobile devices

Implementar os certificados para AMTDeploy the certificates for AMT

Implementar o certificado de cliente para computadores MacDeploy the client Certificate for Mac computers

Requisitos de rede de testeTest network requirements

As instruções passo a passo têm os seguintes requisitos:The step-by-step instructions have the following requirements:

  • A rede de teste está a executar os Serviços de Domínio do Active Directory com o Windows Server 2008 e está instalada como único domínio e única floresta.The test network is running Active Directory Domain Services with Windows Server 2008, and it is installed as a single domain, single forest.

  • Tem um servidor membro com o Windows Server 2008 Enterprise Edition, que tem a função de serviços de certificados do Active Directory instalada no mesmo e está configurado como uma autoridade de certificação de raiz empresarial (AC).You have a member server running Windows Server 2008 Enterprise Edition, which has the Active Directory Certificate Services role installed on it, and it is set up as an enterprise root certification authority (CA).

  • Tem um computador que tenha o Windows Server 2008 (Standard Edition ou Enterprise Edition, R2 ou posterior) instalado no mesmo, que o computador está designado como servidor membro e serviços de informação Internet (IIS) está instalado no mesmo.You have one computer that has Windows Server 2008 (Standard Edition or Enterprise Edition, R2 or later) installed on it, that computer is designated as a member server, and Internet Information Services (IIS) is installed on it. Este computador será o servidor de sistema de sites do System Center Configuration Manager irá ser configurado com um nome de domínio completamente qualificado (FQDN) para suportar ligações de cliente na intranet e um FQDN de Internet caso seja necessário suportar dispositivos móveis que são inscritos pelo System Center Configuration Manager e os clientes de intranet na Internet.This computer will be the System Center Configuration Manager site system server that you will configure with an intranet fully qualified domain name (FQDN) to support client connections on the intranet and an Internet FQDN if you must support mobile devices that are enrolled by System Center Configuration Manager and clients on the Internet.

  • Ter um cliente do Windows Vista com service pack mais recente instalado e este computador está configurado com um nome de computador que abrange carateres ASCII e está associado ao domínio.You have one Windows Vista client that has the latest service pack installed, and this computer is set up with a computer name that comprises ASCII characters and is joined to the domain. Este computador será um computador de cliente do System Center Configuration Manager.This computer will be a System Center Configuration Manager client computer.

  • Pode iniciar sessão com uma conta de administrador de domínio de raiz ou uma conta de administrador de domínio da empresa e utilizar esta conta para todos os procedimentos nesta implementação de exemplo.You can sign in with a root domain administrator account or an enterprise domain administrator account and use this account for all procedures in this example deployment.

Descrição geral dos certificadosOverview of the certificates

A tabela seguinte lista os tipos de certificados PKI que poderão ser necessárias para o System Center Configuration Manager e descreve a forma como são utilizados.The following table lists the types of PKI certificates that might be required for System Center Configuration Manager and describes how they are used.

Requisito de CertificadoCertificate Requirement Descrição do CertificadoCertificate Description
Certificado de servidor Web para os sistemas de sites que executam o IISWeb server certificate for site systems that run IIS Este certificado é utilizado para encriptar dados e autenticar o servidor para clientes.This certificate is used to encrypt data and authenticate the server to clients. Tem de ser instalado externamente do System Center Configuration Manager em servidores de sistemas de sites que executam os serviços de informação Internet (IIS) e que estão configurados no System Center Configuration Manager para utilizar HTTPS.It must be installed externally from System Center Configuration Manager on site systems servers that run Internet Information Services (IIS) and that are set up in System Center Configuration Manager to use HTTPS.

Para obter os passos configurar e instalação deste certificado, consulte implementar o certificado de servidor web para sistemas de sites que executam o IIS neste tópico.For the steps to set up and install this certificate, see Deploy the web server certificate for site systems that run IIS in this topic.
Certificado de serviço para clientes que ligam a pontos de distribuição baseados na nuvemService certificate for clients to connect to cloud-based distribution points Para obter os passos de configuração e instalação deste certificado, consulte implementar o certificado de serviço para pontos de distribuição baseado na nuvem neste tópico.For the steps to configure and install this certificate, see Deploy the service certificate for cloud-based distribution points in this topic.

Importante: Este certificado é utilizado em conjunto com o certificado de gestão do Windows Azure.Important: This certificate is used in conjunction with the Windows Azure management certificate. Para mais informações sobre o certificado de gestão, consulte como criar um certificado de gestão e como adicionar um certificado de gestão a uma subscrição do Windows Azure na secção plataforma Windows Azure da biblioteca MSDN.For more about the management certificate, see How to Create a Management Certificate and How to Add a Management Certificate to a Windows Azure Subscription in the Windows Azure Platform section of the MSDN Library.
Certificado de cliente para computadores com o WindowsClient certificate for Windows computers Este certificado é utilizado para autenticar computadores de cliente do System Center Configuration Manager para sistemas de sites que estão configurados para utilizar HTTPS.This certificate is used to authenticate System Center Configuration Manager client computers to site systems that are set up to use HTTPS. Também pode ser utilizado para pontos de gestão e pontos de migração de estado para monitorizar o respetivo estado operacional quando estão configurados para utilizar HTTPS.It can also be used for management points and state migration points to monitor their operational status when they are set up to use HTTPS. Tem de ser instalado externamente do System Center Configuration Manager em computadores.It must be installed externally from System Center Configuration Manager on computers.

Para obter os passos configurar e instalação deste certificado, consulte implementar o certificado de cliente para computadores Windows neste tópico.For the steps to set up and install this certificate, see Deploy the client certificate for Windows computers in this topic.
Certificado de cliente para pontos de distribuiçãoClient certificate for distribution points Este certificado tem duas finalidades:This certificate has two purposes:

O certificado é utilizado para autenticar o ponto de distribuição para um ponto de gestão ativado para HTTPS antes de o ponto de distribuição enviar mensagens de estado.The certificate is used to authenticate the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.

Quando a opção do ponto de distribuição Ativar suporte PXE para clientes está selecionada, o certificado é enviado para computadores com arranque PXE para que liguem a um ponto de gestão ativado para HTTPS durante a implementação do sistema operativo.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers that PXE boot so that they can connect to a HTTPS-enabled management point during the deployment of the operating system.

Para obter os passos configurar e instalação deste certificado, consulte implementar o certificado de cliente para pontos de distribuição neste tópico.For the steps to set up and install this certificate, see Deploy the client certificate for distribution points in this topic.
Certificado de inscrição para dispositivos móveisEnrollment certificate for mobile devices Este certificado é utilizado para autenticar clientes de dispositivo móvel do System Center Configuration Manager para sistemas de sites que estão configurados para utilizar HTTPS.This certificate is used to authenticate System Center Configuration Manager mobile device clients to site systems that are set up to use HTTPS. Tem de ser instalado como parte da inscrição de dispositivos móveis no System Center Configuration Manager e escolha o modelo de certificado configurado como uma definição de cliente de dispositivo móvel.It must be installed as part of mobile device enrollment in System Center Configuration Manager, and you choose the configured certificate template as a mobile device client setting.

Para obter os passos configurar este certificado, consulte implementar o certificado de inscrição para dispositivos móveis neste tópico.For the steps to set up this certificate, see Deploy the enrollment certificate for mobile devices in this topic.
Certificados para o Intel AMTCertificates for Intel AMT Três certificados estão relacionadas com a gestão fora de banda para computadores baseados em Intel AMT:Three certificates relate to out-of-band management for Intel AMT-based computers:
  • Um certificado de aprovisionamento Active Management Technology (AMT)An Active Management Technology (AMT) provisioning certificate
  • Um certificado de servidor de web AMTAn AMT web server certificate
  • Opcionalmente, um certificado de autenticação de cliente para redes com ou sem fios 802.1 XOptionally, a client authentication certificate for 802.1X wired or wireless networks
O certificado de aprovisionamento de AMT deve ser instalado externamente do System Center Configuration Manager no computador do ponto de serviço fora de banda e, em seguida, escolha o certificado instalado nas propriedades do ponto de serviço fora de banda.The AMT provisioning certificate must be installed externally from System Center Configuration Manager on the out-of-band service point computer, and then you choose the installed certificate in the out-of-band service point properties. O certificado de servidor de web AMT e o certificado de autenticação de cliente são instaladas durante o aprovisionamento de AMT e de gestão e escolha os modelos de certificado configurado nas propriedades do componente de gestão fora de banda.The AMT web server certificate and the client authentication certificate are installed during AMT provisioning and management, and you choose the configured certificate templates in the out-of-band management component properties.

Para obter os passos configurar estes certificados, consulte implementar os certificados para AMT neste tópico.For the steps to set up these certificates, see Deploy the certificates for AMT in this topic.
Certificado de cliente para computadores MacClient certificate for Mac computers Pode pedir e instalar este certificado a partir de um computador Mac quando utiliza a inscrição do System Center Configuration Manager e escolha o modelo de certificado configurado como uma definição de cliente de dispositivo móvel.You can request and install this certificate from a Mac computer when you use System Center Configuration Manager enrollment and choose the configured certificate template as a mobile device client setting.

Para obter os passos configurar este certificado, consulte implementar o certificado de cliente para computadores Mac neste tópico.For the steps to set up this certificate, see Deploy the client certificate for Mac computers in this topic.

Implementar o certificado de servidor web para sistemas de sites que executam o IISDeploy the web server certificate for site systems that run IIS

Esta implementação de certificados possui os seguintes procedimentos:This certificate deployment has the following procedures:

  • Criar e emitir o modelo de certificado na autoridade de certificação de servidor webCreate and issue the web server certificate template on the certification authority

  • Pedir o certificado de servidor webRequest the web server certificate

  • Configurar o IIS para utilizar o certificado de servidor webConfigure IIS to use the web server certificate

Criar e emitir o modelo de certificado na autoridade de certificação de servidor webCreate and issue the web server certificate template on the certification authority

Este procedimento cria um modelo de certificado para sistemas de sites do System Center Configuration Manager e adiciona-o à autoridade de certificação.This procedure creates a certificate template for System Center Configuration Manager site systems and adds it to the certification authority.

Para criar e emitir o modelo de certificado de servidor Web na autoridade de certificaçãoTo create and issue the web server certificate template on the certification authority
  1. Crie um grupo de segurança denominado servidores IIS do ConfigMgr com os servidores membro para instalar sistemas de sites do System Center Configuration Manager que executam o IIS.Create a security group named ConfigMgr IIS Servers that has the member servers to install System Center Configuration Manager site systems that will run IIS.

  2. No servidor membro que tem os serviços de certificados instalados, a consola da autoridade de certificação, clique com botão direito modelos de certificado e, em seguida, escolha gerir ao carregar o modelos de certificado consola.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates and then choose Manage to load the Certificate Templates console.

  3. No painel de resultados, faça duplo clique na entrada que tem servidor Web no nome a apresentar do modelo coluna e, em seguida, escolha Duplicar modelo.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. No Duplicar modelo diálogo caixa, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionada e, em seguida, escolha OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. No propriedades de novo modelo caixa de diálogo a geral separador, introduza um nome de modelo, tal como certificado de servidor Web do ConfigMgrpara gerar os certificados web que serão utilizados nos sistemas de sites do Configuration Manager.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Web Server Certificate, to generate the web certificates that will be used on Configuration Manager site systems.

  6. Escolha o nome do requerente separador e certifique-se de que fornecer no pedido está selecionada.Choose the Subject Name tab, and make sure that Supply in the request is selected.

  7. Escolha o segurança separador e, em seguida, remova o inscrever permissão a partir do Admins do domínio e Admins de empresa grupos de segurança.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Escolha adicionar, introduza servidores IIS do ConfigMgr no texto da caixa e, em seguida, escolha OK.Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  9. Escolha o inscrever permissão para este grupo e não desmarque a leitura permissão.Choose the Enroll permission for this group, and do not clear the Read permission.

  10. Escolha OKe, em seguida, feche o consola de modelos de certificado.Choose OK, and then close the Certificate Templates Console.

  11. Na consola de autoridade de certificação, clique com botão direito modelos de certificado, escolha novoe, em seguida, escolha modelo de certificado a emitir.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. No ativar modelos de certificado diálogo caixa, selecione o novo modelo que acabou de criar, certificado de servidor Web do ConfigMgre, em seguida, escolha OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Web Server Certificate, and then choose OK.

  13. Se não precisar de criar e emitir mais certificados, feche autoridade de certificação.If you do not need to create and issue more certificates, close Certification Authority.

Pedir o certificado de servidor webRequest the web server certificate

Este procedimento permite-lhe especificar os valores de FQDN de Internet que irão configurar as propriedades de servidor do sistema de sites e da intranet e, em seguida, instala o certificado de servidor web no servidor membro que executa o IIS.This procedure lets you specify the intranet and Internet FQDN values that will be set up in the site system server properties and then installs the web server certificate on to the member server that runs IIS.

Para pedir o certificado de servidor WebTo request the web server certificate
  1. Reinicie o servidor membro que executa o IIS para se certificar de que o computador pode aceder o modelo de certificado que criou utilizando o leitura e inscrever permissões que configurou.Restart the member server that runs IIS to ensure that the computer can access the certificate template that you created by using the Read and Enroll permissions that you configured.

  2. Escolha iniciar, escolha executare, em seguida, escreva mmc.exe.Choose Start, choose Run, and then type mmc.exe. Na consola vazia, escolha ficheiroe, em seguida, escolha Adicionar/Remover Snap-in.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. No adicionar ou Remover Snap-ins diálogo caixa, escolha certificados da lista de snap-ins disponíveise, em seguida, escolha adicionar.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. No snap-in de certificados diálogo caixa, escolha conta de computadore, em seguida, escolha seguinte.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. No selecionar computador diálogo caixa, certifique-se de que computador Local: (o computador onde esta consola está em execução no) está selecionada e, em seguida, escolha concluir.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. No adicionar ou Remover Snap-ins diálogo caixa, escolha OK.In the Add or Remove Snap-ins dialog box, choose OK.

  7. Na consola, expanda certificados (computador Local)e, em seguida, escolha pessoais.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Clique com botão direito certificados, escolha todas as tarefase, em seguida, escolha requisitar um novo certificado.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. No antes de começar página, escolha seguinte.On the Before You Begin page, choose Next.

  10. Se vir o selecionar política de inscrição de certificado página, escolha seguinte.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. No pedir certificados página, identifique o certificado de servidor Web do ConfigMgr da lista de certificados disponíveis e, em seguida, escolha são necessárias mais informações para fazer a inscrição deste certificado. Clique aqui para configurar as definições.On the Request Certificates page, identify the ConfigMgr Web Server Certificate from the list of available certificates, and then choose More information is required to enroll for this certificate. Click here to configure settings.

  12. No propriedades do certificado caixa de diálogo a requerente separador, não faça quaisquer alterações aos nome do requerente.In the Certificate Properties dialog box, in the Subject tab, do not make any changes to Subject name. Isto significa que a caixa Valor para a secção Nome do requerente permanece em branco.This means that the Value box for the Subject name section remains blank. Em vez disso, a partir de nome alternativo secção, escolha o tipo pendente lista e, em seguida, escolha DNS.Instead, from the Alternative name section, choose the Type drop-down list, and then choose DNS.

  13. No valor caixa, especifique os valores FQDN que irá especificar nas propriedades do sistema de site do System Center Configuration Manager e, em seguida, escolha OK para fechar o propriedades do certificado caixa de diálogo.In the Value box, specify the FQDN values that you will specify in the System Center Configuration Manager site system properties, and then choose OK to close the Certificate Properties dialog box.

    Exemplos:Examples:

    • Se o sistema de sites apenas aceitar ligações de cliente a partir da intranet e o FQDN da intranet do servidor do sistema de sites é server1.internal.contoso.com, introduza server1.internal.contoso.come, em seguida, escolha adicionar.If the site system will only accept client connections from the intranet, and the intranet FQDN of the site system server is server1.internal.contoso.com, enter server1.internal.contoso.com, and then choose Add.

    • Se o sistema de sites aceitar ligações de cliente a partir da intranet e da Internet e o FQDN de intranet do servidor do sistema de sites for server1.internal.contoso.com e o FQDN de Internet do servidor do sistema de sites for server.contoso.com:If the site system will accept client connections from the intranet and the Internet, and the intranet FQDN of the site system server is server1.internal.contoso.com and the Internet FQDN of the site system server is server.contoso.com:

      1. Introduza server1.internal.contoso.come, em seguida, escolha adicionar.Enter server1.internal.contoso.com, and then choose Add.

      2. Introduza server.contoso.come, em seguida, escolha adicionar.Enter server.contoso.com, and then choose Add.

      Nota

      Pode especificar o FQDN para o System Center Configuration Manager por qualquer ordem.You can specify the FQDNs for System Center Configuration Manager in any order. No entanto, verifique se todos os dispositivos que irão utilizar o certificado, tais como dispositivos móveis e servidores web proxy, podem utilizar um nome alternativo do requerente de certificado (SAN) e múltiplos valores no SAN.However, check that all devices that will use the certificate, such as mobile devices and proxy web servers, can use a certificate subject alternative name (SAN) and multiple values in the SAN. Se os dispositivos têm suporte limitado para valores de SAN nos certificados, terá de alterar a ordem dos FQDN ou utilizar em vez disso o valor Requerente.If devices have limited support for SAN values in certificates, you might have to change the order of the FQDNs or use the Subject value instead.

  14. No pedir certificados página, escolha certificado de servidor Web do ConfigMgr da lista de certificados disponíveis e, em seguida, escolha inscrever.On the Request Certificates page, choose ConfigMgr Web Server Certificate from the list of available certificates, and then choose Enroll.

  15. No resultados da instalação de certificados página, aguarde até que o certificado está instalado e, em seguida, escolha concluir.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  16. Feche Certificados (Computador Local).Close Certificates (Local Computer).

Configurar o IIS para utilizar o certificado de servidor webConfigure IIS to use the web server certificate

Este procedimento vincula o certificado instalado ao Web Site Predefinidodo IIS.This procedure binds the installed certificate to the IIS Default Web Site.

Para configurar o IIS para utilizar o certificado de servidor webTo set up IIS to use the web server certificate
  1. No servidor membro que tem o IIS instalado, escolha iniciar, escolha programas, escolha ferramentas administrativase, em seguida, escolha Gestor dos serviços de informação Internet (IIS).On the member server that has IIS installed, choose Start, choose Programs, choose Administrative Tools, and then choose Internet Information Services (IIS) Manager.

  2. Expanda Sites, faça duplo clique Web Site predefinidoe, em seguida, escolha editar enlaces.Expand Sites, right-click Default Web Site, and then choose Edit Bindings.

  3. Escolha o https entrada e, em seguida, escolha editar.Choose the https entry, and then choose Edit.

  4. No Editar enlace de Site caixa de diálogo, selecione o certificado que pediu, através do modelo de certificados de servidor Web do ConfigMgr e, em seguida, escolha OK.In the Edit Site Binding dialog box, select the certificate that you requested by using the ConfigMgr Web Server Certificates template, and then choose OK.

    Nota

    Se não tem a certeza de que é o certificado correto, escolha um e, em seguida, escolha vista.If you are not sure which is the correct certificate, choose one, and then choose View. Isto permite-lhe comparar os detalhes do certificado selecionado para os certificados no snap-in certificados.This lets you compare the selected certificate details to the certificates in the Certificates snap-in. Por exemplo, o snap-in de certificados mostra o modelo de certificado que foi utilizado para pedir o certificado.For example, the Certificates snap-in shows the certificate template that was used to request the certificate. Poderá então comparar a thumbprint do certificado que foi pedido utilizando o modelo de certificados de servidor Web do ConfigMgr para o thumbprint do certificado atualmente selecionado no Editar enlace de Site caixa de diálogo.You can then compare the certificate thumbprint of the certificate that was requested by using the ConfigMgr Web Server Certificates template to the certificate thumbprint of the certificate currently selected in the Edit Site Binding dialog box.

  5. Escolha OK no Editar enlace de Site diálogo caixa e, em seguida, escolha fechar.Choose OK in the Edit Site Binding dialog box, and then choose Close.

  6. Feche o Gestor de Serviços de Informação Internet (IIS).Close Internet Information Services (IIS) Manager.

    O servidor membro está agora definido com um certificado de servidor web do System Center Configuration Manager.The member server is now set up with a System Center Configuration Manager web server certificate.

Importante

Quando instala o servidor de sistema de sites do System Center Configuration Manager neste computador, certifique-se de que especifica os mesmos FQDN nas propriedades do sistema de sites que especificou quando pediu o certificado.When you install the System Center Configuration Manager site system server on this computer, make sure that you specify the same FQDNs in the site system properties as you specified when you requested the certificate.

Implementar o certificado de serviço para pontos de distribuição baseado na nuvemDeploy the service certificate for cloud-based distribution points

Esta implementação de certificados possui os seguintes procedimentos:This certificate deployment has the following procedures:

Criar e emitir o modelo de certificado na autoridade de certificação de um servidor web personalizadoCreate and issue a custom web server certificate template on the certification authority

Este procedimento cria um modelo de certificado personalizado baseado no modelo de certificado de servidor web.This procedure creates a custom certificate template that is based on the web server certificate template. O certificado é para os pontos de distribuição baseados na nuvem do System Center Configuration Manager e a chave privada tem de ser exportável.The certificate is for System Center Configuration Manager cloud-based distribution points and the private key must be exportable. Após a criação do modelo de certificado, este é adicionado à autoridade de certificação.After the certificate template is created, it is added to the certification authority.

Nota

Este procedimento utiliza um modelo de certificado diferente do modelo de certificado de servidor web que criou para sistemas de sites que executam o IIS.This procedure uses a different certificate template from the web server certificate template that you created for site systems that run IIS. Embora ambos os certificados necessitem de capacidade de autenticação de servidor, o certificado para pontos de distribuição baseados na nuvem requer que introduza um valor personalizado para o nome do requerente e a chave privada tem de ser exportada.Although both certificates require server authentication capability, the certificate for cloud-based distribution points requires you to enter a custom-defined value for the Subject Name and the private key must be exported. Como melhor prática de segurança, efetue não configurar modelos de certificado para que a chave privada pode ser exportada, a menos que esta configuração é necessária.As a security best practice, do not set up certificate templates so that the private key can be exported unless this configuration is required. O ponto de distribuição baseado na nuvem necessita desta configuração porque é necessário importar o certificado como um ficheiro, vez escolhê-lo a partir do arquivo de certificados.The cloud-based distribution point requires this configuration because you must import the certificate as a file, rather than choose it from the certificate store.

Quando cria um novo modelo de certificado para este certificado, pode restringir os computadores que podem solicitar um certificado cujo chave privada pode ser exportada.When you create a new certificate template for this certificate, you can restrict the computers that can request a certificate whose private key can be exported. Numa rede de produção, também poderá considerar adicionar as seguintes alterações para este certificado:On a production network, you might also consider adding the following changes for this certificate:

  • Exigir a aprovação para instalar o certificado para segurança adicional.Require approval to install the certificate for additional security.
    • Aumente o período de validade do certificado.Increase the certificate validity period. Porque tem de exportar e importar o certificado de cada vez antes de expirar, um aumento do período de validade reduz a frequência tem de repetir este procedimento.Because you must export and import the certificate each time before it expires, an increase of the validity period reduces how often you must repeat this procedure. No entanto, um aumento do período de validade também reduz a segurança do certificado porque fornece mais algum tempo para um atacante desencriptar a chave privada e roubar o certificado.However, an increase of the validity period also decreases the security of the certificate because it provides more time for an attacker to decrypt the private key and steal the certificate.
    • Utilize um valor personalizado no Nome Alternativo do Requerente (SAN) do certificado para ajudar a identificar este certificado entre certificados de servidor Web padrão que utiliza com o IIS.Use a custom value in the certificate Subject Alternative Name (SAN) to help identify this certificate from standard web server certificates that you use with IIS.
Para criar e emitir o modelo de certificado na autoridade de certificação de servidor web personalizadoTo create and issue the custom web server certificate template on the certification authority
  1. Crie um grupo de segurança denominado servidores do Site ConfigMgr com os servidores membro para instalar servidores de site primário do System Center Configuration Manager que irão gerir pontos de distribuição baseados na nuvem.Create a security group named ConfigMgr Site Servers that has the member servers to install System Center Configuration Manager primary site servers that will manage cloud-based distribution points.

  2. No servidor membro que está a executar a consola da autoridade de certificação, clique com botão direito modelos de certificadoe, em seguida, escolha gerir para carregar a consola de gestão de modelos de certificado.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. No painel de resultados, faça duplo clique na entrada que tem servidor Web no nome a apresentar do modelo coluna e, em seguida, escolha Duplicar modelo.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. No Duplicar modelo diálogo caixa, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionada e, em seguida, escolha OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. No propriedades de novo modelo caixa de diálogo a geral separador, introduza um nome de modelo, tal como certificado de ponto de distribuição baseado na nuvem do ConfigMgrpara gerar o certificado de servidor web para pontos de distribuição baseado na nuvem.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Cloud-Based Distribution Point Certificate, to generate the web server certificate for cloud-based distribution points.

  6. Escolha o processamento de pedidos separador e, em seguida, escolha permitir que a chave privada seja exportada.Choose the Request Handling tab, and then choose Allow private key to be exported.

  7. Escolha o segurança separador e, em seguida, remova o inscrever permissão a partir do Admins de empresa grupo de segurança.Choose the Security tab, and then remove the Enroll permission from the Enterprise Admins security group.

  8. Escolha adicionar, introduza servidores do Site ConfigMgr no texto da caixa e, em seguida, escolha OK.Choose Add, enter ConfigMgr Site Servers in the text box, and then choose OK.

  9. Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura .Select the Enroll permission for this group, and do not clear the Read permission.

  10. Escolha OKe, em seguida, feche consola de modelos de certificado.Choose OK, and then close Certificate Templates Console.

  11. Na consola de autoridade de certificação, clique com botão direito modelos de certificado, escolha novoe, em seguida, escolha modelo de certificado a emitir.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. No ativar modelos de certificado diálogo caixa, selecione o novo modelo que acabou de criar, certificado de ponto de distribuição baseado na nuvem do ConfigMgre, em seguida, escolha OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Cloud-Based Distribution Point Certificate, and then choose OK.

  13. Se não necessitar de criar e emitir mais certificados, feche autoridade de certificação.If you do not have to create and issue more certificates, close Certification Authority.

Pedir o certificado de servidor web personalizadoRequest the custom web server certificate

Este procedimento pede e, em seguida, instala o certificado de servidor web personalizado no servidor membro que irá executar o servidor do site.This procedure requests and then installs the custom web server certificate on the member server that will run the site server.

Para pedir o certificado de servidor Web personalizadoTo request the custom web server certificate
  1. Reinicie o servidor membro depois de criar e configurar o servidores do Site ConfigMgr grupo de segurança para se certificar de que o computador pode aceder o modelo de certificado que criou utilizando o leitura e inscrever permissões que configurou.Restart the member server after you create and configure the ConfigMgr Site Servers security group to ensure that the computer can access the certificate template that you created by using the Read and Enroll permissions that you configured.

  2. Escolha iniciar, escolha executare, em seguida, introduza mmc.exe.Choose Start, choose Run, and then enter mmc.exe. Na consola vazia, escolha ficheiroe, em seguida, escolha Adicionar/Remover Snap-in.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. No adicionar ou Remover Snap-ins diálogo caixa, escolha certificados da lista de snap-ins disponíveise, em seguida, escolha adicionar.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. No snap-in de certificados diálogo caixa, escolha conta de computadore, em seguida, escolha seguinte.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. No selecionar computador diálogo caixa, certifique-se de que computador Local: (o computador onde esta consola está em execução no) está selecionada e, em seguida, escolha concluir.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. No adicionar ou Remover Snap-ins diálogo caixa, escolha OK.In the Add or Remove Snap-ins dialog box, choose OK.

  7. Na consola, expanda certificados (computador Local)e, em seguida, escolha pessoais.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Clique com botão direito certificados, escolha todas as tarefase, em seguida, escolha requisitar um novo certificado.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. No antes de começar página, escolha seguinte.On the Before You Begin page, choose Next.

  10. Se vir o selecionar política de inscrição de certificado página, escolha seguinte.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. No pedir certificados página, identifique o certificado de ponto de distribuição baseado na nuvem do ConfigMgr da lista de certificados disponíveis e, em seguida, escolha mais informação é necessária a inscrição para este certificado. Escolha aqui configurar as definições.On the Request Certificates page, identify the ConfigMgr Cloud-Based Distribution Point Certificate from the list of available certificates, and then choose More information is required to enroll for this certificate. choose here to configure settings.

  12. No propriedades do certificado caixa de diálogo a requerente separador, para o nome do requerente, escolha nome comum como o tipo.In the Certificate Properties dialog box, in the Subject tab, for the Subject name, choose Common name as the Type.

  13. Na caixa Valor , especifique a sua escolha de nome de serviço e o nome do domínio utilizando um formato FQDN.In the Value box, specify your choice of service name and your domain name by using an FQDN format. Por exemplo: pdnuvem1.contoso.com.For example: clouddp1.contoso.com.

    Nota

    Certifique-o nome do serviço exclusivo no seu espaço de nomes.Make the service name unique in your namespace. Irá utilizar DNS para criar um alias (registo CNAME) para mapear este nome de serviço para um identificador (GUID) gerado automaticamente e um endereço IP do Windows Azure.You will use DNS to create an alias (CNAME record) to map this service name to an automatically generated identifier (GUID) and an IP address from Windows Azure.

  14. Escolha adicionare, em seguida, escolha OK para fechar o propriedades do certificado caixa de diálogo.Choose Add, and then choose OK to close the Certificate Properties dialog box.

  15. No pedir certificados página, escolha certificado de ponto de distribuição baseado na nuvem do ConfigMgr da lista de certificados disponíveis e, em seguida, escolha inscrever.On the Request Certificates page, choose ConfigMgr Cloud-Based Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  16. No resultados da instalação de certificados página, aguarde até que o certificado está instalado e, em seguida, escolha concluir.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  17. Feche Certificados (Computador Local).Close Certificates (Local Computer).

Exportar o certificado de servidor web personalizado para pontos de distribuição baseado na nuvemExport the custom web server certificate for cloud-based distribution points

Este procedimento exporta o certificado de servidor Web personalizado para um ficheiro para que possa ser importado quando criar o ponto de distribuição baseado na nuvem.This procedure exports the custom web server certificate to a file, so that it can be imported when you create the cloud-based distribution point.

Para exportar o certificado de servidor Web personalizado para pontos de distribuição baseados na nuvemTo export the custom web server certificate for cloud-based distribution points
  1. No certificados (computador Local) consola, faça duplo clique no certificado que acabou de instalar, escolha todas as tarefase, em seguida, escolha exportar.In the Certificates (Local Computer) console, right-click the certificate that you just installed, choose All Tasks, and then choose Export.

  2. No Assistente para exportar certificados, escolha seguinte.In the Certificates Export Wizard, choose Next.

  3. No exportar chave privada página, escolha Sim, exportar a chave privadae, em seguida, escolha seguinte.On the Export Private Key page, choose Yes, export the private key, and then choose Next.

    Nota

    Se esta opção não estiver disponível, o certificado foi criado sem a opção para exportar a chave privada.If this option is not available, the certificate has been created without the option to export the private key. Neste cenário, não é possível exportar o certificado no formato necessário.In this scenario, you cannot export the certificate in the required format. Tem de configurar o modelo de certificado para que a chave privada pode ser exportado e, em seguida, pedir o certificado novamente.You must set up the certificate template so that the private key can be exported, and then request the certificate again.

  4. No exportar formato de ficheiro página, certifique-se de que o Personal Information Exchange - PKCS #12 (. PFX) opção está selecionada.On the Export File Format page, ensure that the Personal Information Exchange - PKCS #12 (.PFX) option is selected.

  5. No palavra-passe página, especifique uma palavra-passe segura para proteger o certificado exportado com a respetiva chave privada e, em seguida, escolha seguinte.On the Password page, specify a strong password to protect the exported certificate with its private key, and then choose Next.

  6. No ficheiro a exportar página, especifique o nome do ficheiro que pretende exportar e, em seguida, escolha seguinte.On the File to Export page, specify the name of the file that you want to export, and then choose Next.

  7. Para fechar o assistente, escolha concluir no Assistente para exportar certificados página e, em seguida, escolha OK na caixa de diálogo de confirmação.To close the wizard, choose Finish in the Certificate Export Wizard page, and then choose OK in the confirmation dialog box.

  8. Feche Certificados (Computador Local).Close Certificates (Local Computer).

  9. Guarde o ficheiro de forma segura e certifique-se de que consegue aceder-lhe a partir da consola do System Center Configuration Manager.Store the file securely and ensure that you can access it from the System Center Configuration Manager console.

    O certificado está agora pronto para ser importado quando criar um ponto de distribuição baseado na nuvem.The certificate is now ready to be imported when you create a cloud-based distribution point.

Implementar o certificado de cliente para computadores WindowsDeploy the client certificate for Windows computers

Esta implementação de certificados possui os seguintes procedimentos:This certificate deployment has the following procedures:

  • Criar e emitir o modelo de certificado de autenticação de estação de trabalho na autoridade de certificaçãoCreate and issue the Workstation Authentication certificate template on the certification authority

  • Configurar a inscrição automática do modelo de autenticação de estação de trabalho utilizando a política de grupoConfigure autoenrollment of the Workstation Authentication template by using Group Policy

  • Inscrever o certificado de autenticação de estação de trabalho e certifique-se a instalação nos computadores automaticamenteAutomatically enroll the Workstation Authentication certificate and verify its installation on computers

Criar e emitir o modelo de certificado de autenticação de estação de trabalho na autoridade de certificaçãoCreate and issue the Workstation Authentication certificate template on the certification authority

Este procedimento cria um modelo de certificado para o cliente do System Center Configuration Manager, computadores e adiciona-o à autoridade de certificação.This procedure creates a certificate template for System Center Configuration Manager client computers and adds it to the certification authority.

Para criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho na autoridade de certificaçãoTo create and issue the Workstation Authentication certificate template on the certification authority
  1. No servidor membro que está a executar a consola da autoridade de certificação, clique com botão direito modelos de certificadoe, em seguida, escolha gerir para carregar a consola de gestão de modelos de certificado.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  2. No painel de resultados, faça duplo clique na entrada que tem autenticação de estação de trabalho no nome a apresentar do modelo coluna e, em seguida, escolha Duplicar modelo.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

  3. No Duplicar modelo diálogo caixa, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionada e, em seguida, escolha OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  4. No propriedades de novo modelo caixa de diálogo a geral separador, introduza um nome de modelo, tal como certificado de cliente do ConfigMgr, para gerar os certificados de cliente que serão utilizados nos computadores de cliente do Configuration Manager.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Client Certificate, to generate the client certificates that will be used on Configuration Manager client computers.

  5. Escolha o segurança separador, selecione o computadores de domínio grupo e, em seguida, selecione as permissões adicionais leitura e inscrever automaticamente.Choose the Security tab, select the Domain Computers group, and then select the additional permissions of Read and Autoenroll. Não desmarque Inscrever.Do not clear Enroll.

  6. Escolha OKe, em seguida, feche consola de modelos de certificado.Choose OK, and then close Certificate Templates Console.

  7. Na consola de autoridade de certificação, clique com botão direito modelos de certificado, escolha novoe, em seguida, escolha modelo de certificado a emitir.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  8. No ativar modelos de certificado diálogo caixa, selecione o novo modelo que acabou de criar, certificado de cliente do ConfigMgre, em seguida, escolha OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Client Certificate, and then choose OK.

  9. Se não precisar de criar e emitir mais certificados, feche autoridade de certificação.If you do not need to create and issue more certificates, close Certification Authority.

Configurar a inscrição automática do modelo de autenticação de estação de trabalho utilizando a política de grupoConfigure autoenrollment of the Workstation Authentication template by using Group Policy

Este procedimento configura a política de grupo para inscrever automaticamente o certificado de cliente em computadores.This procedure sets up Group Policy to autoenroll the client certificate on computers.

Para configurar a inscrição automática do modelo de autenticação de estação de trabalho utilizando a política de grupoTo set up autoenrollment of the Workstation Authentication template by using Group Policy
  1. No controlador de domínio, escolha iniciar, escolha ferramentas administrativase, em seguida, escolha gestão de políticas de grupo.On the domain controller, choose Start, choose Administrative Tools, and then choose Group Policy Management.

  2. Aceda ao seu domínio, clique com botão direito do domínio e, em seguida, escolha criar um GPO neste domínio e ligá-lo aqui.Go to your domain, right-click the domain, and then choose Create a GPO in this domain, and Link it here.

    Nota

    Este passo utiliza a melhor prática de criar uma nova Política de Grupo para definições personalizadas, em vez de editar a Política de Domínios Predefinida que é instalada com os Serviços de Domínio do Active Directory.This step uses the best practice of creating a new Group Policy for custom settings rather than editing the Default Domain Policy that is installed with Active Directory Domain Services. Ao atribuir esta política de grupo ao nível do domínio, irá aplicá-la a todos os computadores no domínio.When you assign this Group Policy at the domain level, you will apply it to all computers in the domain. Num ambiente de produção, pode restringir a inscrição automática, de modo a que inscreva apenas computadores selecionados.In a production environment, you can restrict the autoenrollment so that it enrolls on only selected computers. Pode atribuir a política de grupo ao nível de uma unidade organizacional ou pode filtrar o política de grupo com um grupo de segurança do domínio para que aplica-se apenas aos computadores no grupo.You can assign the Group Policy at an organizational unit level, or you can filter the domain Group Policy with a security group so that it applies only to the computers in the group. Se restringir a inscrição automática, não se esqueça de incluir o servidor que está configurado como ponto de gestão.If you restrict autoenrollment, remember to include the server that is set up as the management point.

  3. No novo GPO caixa de diálogo, introduza um nome, como certificados de inscrição automática, para a nova política de grupo e, em seguida, escolha OK.In the New GPO dialog box, enter a name, like Autoenroll Certificates, for the new Group Policy, and then choose OK.

  4. No painel de resultados, no objetos de política de grupo ligados separador, clique com o botão direito a nova política de grupo e, em seguida, escolha editar.In the results pane, on the Linked Group Policy Objects tab, right-click the new Group Policy, and then choose Edit.

  5. No Editor de gestão de políticas de grupo, expanda políticas em configuração do computadore, em seguida, aceda a definições do Windows / definições de segurança / políticas de chaves públicas.In the Group Policy Management Editor, expand Policies under Computer Configuration, and then go to Windows Settings / Security Settings / Public Key Policies.

  6. Clique com o botão direito do tipo de objeto com o nome cliente de serviços de certificados - inscrição automáticae, em seguida, escolha propriedades.Right-click the object type named Certificate Services Client - Auto-enrollment, and then choose Properties.

  7. Do modelo de configuração pendente lista, escolha ativado, escolha renovar certificados expirados, atualizar certificados pendentes, remover certificados revogados, escolha atualizar certificados que utilizam modelos de certificadoe, em seguida, escolha OK.From the Configuration Model drop-down list, choose Enabled, choose Renew expired certificates, update pending certificates, remove revoked certificates, choose Update certificates that use certificate templates, and then choose OK.

  8. Feche a Gestão de Políticas de Grupo.Close Group Policy Management.

Inscrever o certificado de autenticação de estação de trabalho e certifique-se a instalação nos computadores automaticamenteAutomatically enroll the Workstation Authentication certificate and verify its installation on computers

Este procedimento instala o certificado de cliente nos computadores e verifica a instalação.This procedure installs the client certificate on computers and verifies the installation.

Para inscrever o certificado de autenticação de estação de trabalho e verificar a instalação no computador cliente automaticamenteTo automatically enroll the Workstation Authentication certificate and verify its installation on the client computer
  1. Reinicie o computador de estação de trabalho e aguarde alguns minutos antes de iniciar sessão.Restart the workstation computer, and wait a few minutes before you sign in.

    Nota

    Reiniciar um computador é o método mais fiável de garantir o sucesso da inscrição automática de certificados.Restarting a computer is the most reliable method of ensuring success with certificate autoenrollment.

  2. Inicie sessão com uma conta que tenha privilégios administrativos.Sign in with an account that has administrative privileges.

  3. Na caixa de pesquisa, introduza mmc.exe.e, em seguida, prima Enter.In the search box, enter mmc.exe., and then press Enter.

  4. Na consola de gestão vazia, escolha ficheiroe, em seguida, escolha Adicionar/Remover Snap-in.In the empty management console, choose File, and then choose Add/Remove Snap-in.

  5. No adicionar ou Remover Snap-ins diálogo caixa, escolha certificados da lista de snap-ins disponíveise, em seguida, escolha adicionar.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  6. No snap-in de certificados diálogo caixa, escolha conta de computadore, em seguida, escolha seguinte.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  7. No selecionar computador diálogo caixa, certifique-se de que computador Local: (o computador onde esta consola está em execução no) está selecionada e, em seguida, escolha concluir.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  8. No adicionar ou Remover Snap-ins diálogo caixa, escolha OK.In the Add or Remove Snap-ins dialog box, choose OK.

  9. Na consola, expanda certificados (computador Local), expanda pessoaise, em seguida, escolha certificados.In the console, expand Certificates (Local Computer), expand Personal, and then choose Certificates.

  10. No painel de resultados, confirme que tem um certificado autenticação de cliente no objetivo pretendido coluna e que certificado de cliente do ConfigMgr está a ser o modelo de certificado coluna.In the results pane, confirm that a certificate has Client Authentication in the Intended Purpose column, and that ConfigMgr Client Certificate is in the Certificate Template column.

  11. Feche Certificados (Computador Local).Close Certificates (Local Computer).

  12. Repita os passos 1 a 11 para o servidor de membro verificar se o servidor que irá ser configurado como ponto de gestão também tem um certificado de cliente.Repeat steps 1 through 11 for the member server to verify that the server that will be set up as the management point also has a client certificate.

    O computador está agora definido com um certificado de cliente do System Center Configuration Manager.The computer is now set up with a System Center Configuration Manager client certificate.

Implementar o certificado de cliente para pontos de distribuiçãoDeploy the client certificate for distribution points

Nota

Este certificado também pode ser utilizado para imagens de suportes de dados que não utilizem o arranque PXE, uma vez que os requisitos de certificados são os mesmos.This certificate can also be used for media images that do not use PXE boot, because the certificate requirements are the same.

Esta implementação de certificados possui os seguintes procedimentos:This certificate deployment has the following procedures:

  • Criar e emitir um modelo de certificado de autenticação de estação de trabalho personalizado na autoridade de certificaçãoCreate and issue a custom Workstation Authentication certificate template on the certification authority

  • Pedir o certificado de autenticação de estação de trabalho personalizadoRequest the custom Workstation Authentication certificate

  • Exportar o certificado de cliente para pontos de distribuiçãoExport the client certificate for distribution points

Criar e emitir um modelo de certificado de autenticação de estação de trabalho personalizado na autoridade de certificaçãoCreate and issue a custom Workstation Authentication certificate template on the certification authority

Este procedimento cria um modelo de certificado personalizado para pontos de distribuição do System Center Configuration Manager para que a chave privada pode ser exportada e adiciona o modelo de certificado à autoridade de certificação.This procedure creates a custom certificate template for System Center Configuration Manager distribution points so that the private key can be exported and adds the certificate template to the certification authority.

Nota

Este procedimento utiliza um modelo de certificado diferente do modelo de certificado que criou para computadores cliente.This procedure uses a different certificate template from the certificate template that you created for client computers. Embora ambos os certificados necessitem de capacidade de autenticação de cliente, o certificado para pontos de distribuição requer que a chave privada é exportada.Although both certificates require client authentication capability, the certificate for distribution points requires that the private key is exported. Como melhor prática de segurança, efetue não configurar modelos de certificado para a chave privada pode ser exportada, a menos que esta configuração é necessária.As a security best practice, do not set up certificate templates so the private key can be exported unless this configuration is required. O ponto de distribuição necessita desta configuração porque é necessário importar o certificado como um ficheiro vez escolhê-lo a partir do arquivo de certificados.The distribution point requires this configuration because you must import the certificate as a file rather than choose it from the certificate store.

Quando cria um novo modelo de certificado para este certificado, pode restringir os computadores que podem solicitar um certificado cujo chave privada pode ser exportada.When you create a new certificate template for this certificate, you can restrict the computers that can request a certificate whose private key can be exported. No nosso exemplo de implementação, este será o grupo de segurança que criou anteriormente para servidores de sistema de sites do System Center Configuration Manager que executam o IIS.In our example deployment, this will be the security group that you previously created for System Center Configuration Manager site system servers that run IIS. Numa rede de produção que distribua as funções de sistema de sites do IIS, considere criar um novo grupo de segurança para os servidores que executam pontos de distribuição para poder restringir o certificado apenas a estes servidores do sistema de sites.On a production network that distributes the IIS site system roles, consider creating a new security group for the servers that run distribution points so that you can restrict the certificate to just these site system servers. Também poderá considerar adicionar as seguintes alterações a este certificado:You might also consider adding the following modifications for this certificate:

  • Exigir a aprovação para instalar o certificado para segurança adicional.Require approval to install the certificate for additional security.
    • Aumente o período de validade do certificado.Increase the certificate validity period. Porque tem de exportar e importar o certificado de cada vez antes de expirar, um aumento do período de validade reduz a frequência tem de repetir este procedimento.Because you must export and import the certificate each time before it expires, an increase of the validity period reduces how often you must repeat this procedure. No entanto, um aumento do período de validade também reduz a segurança do certificado porque fornece mais algum tempo para um atacante desencriptar a chave privada e roubar o certificado.However, an increase of the validity period also decreases the security of the certificate because it provides more time for an attacker to decrypt the private key and steal the certificate.
    • Utilize um valor personalizado no campo Requerente ou Nome Alternativo do Requerente (SAN) do certificado para ajudar a identificar este certificado entre os certificados de cliente padrão.Use a custom value in the certificate Subject field or Subject Alternative Name (SAN) to help identify this certificate from standard client certificates. Isto pode ser particularmente útil se pretender utilizar o mesmo certificado para vários pontos de distribuição.This can be particularly helpful if you will use the same certificate for multiple distribution points.
Para criar e emitir o modelo de certificado de Autenticação de Estação de Trabalho personalizado na autoridade de certificaçãoTo create and issue the custom Workstation Authentication certificate template on the certification authority
  1. No servidor membro que está a executar a consola da autoridade de certificação, clique com botão direito modelos de certificadoe, em seguida, escolha gerir para carregar a consola de gestão de modelos de certificado.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  2. No painel de resultados, faça duplo clique na entrada que tem autenticação de estação de trabalho no nome a apresentar do modelo coluna e, em seguida, escolha Duplicar modelo.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

  3. No Duplicar modelo diálogo caixa, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionada e, em seguida, escolha OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  4. No propriedades de novo modelo caixa de diálogo a geral separador, introduza um nome de modelo, tal como certificado de ponto de distribuição de cliente do ConfigMgrpara gerar o certificado de autenticação de cliente para pontos de distribuição.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Client Distribution Point Certificate, to generate the client authentication certificate for distribution points.

  5. Escolha o processamento de pedidos separador e, em seguida, escolha permitir que a chave privada seja exportada.Choose the Request Handling tab, and then choose Allow private key to be exported.

  6. Escolha o segurança separador e, em seguida, remova o inscrever permissão a partir do Admins de empresa grupo de segurança.Choose the Security tab, and then remove the Enroll permission from the Enterprise Admins security group.

  7. Escolha adicionar, introduza servidores IIS do ConfigMgr no texto da caixa e, em seguida, escolha OK.Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  8. Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura .Select the Enroll permission for this group, and do not clear the Read permission.

  9. Escolha OKe, em seguida, feche consola de modelos de certificado.Choose OK, and then close Certificate Templates Console.

  10. Na consola de autoridade de certificação, clique com botão direito modelos de certificado, escolha novoe, em seguida, escolha modelo de certificado a emitir.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  11. No ativar modelos de certificado diálogo caixa, selecione o novo modelo que acabou de criar, certificado de ponto de distribuição de cliente do ConfigMgre, em seguida, escolha OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Client Distribution Point Certificate, and then choose OK.

  12. Se não necessitar de criar e emitir mais certificados, feche autoridade de certificação.If you do not have to create and issue more certificates, close Certification Authority.

Pedir o certificado de autenticação de estação de trabalho personalizadoRequest the custom Workstation Authentication certificate

Este procedimento pede e, em seguida, instala o certificado de cliente personalizadas no servidor membro que executa o IIS e que irá ser configurado como um ponto de distribuição.This procedure requests and then installs the custom client certificate on to the member server that runs IIS and that will be set up as a distribution point.

Para pedir o certificado de Autenticação de Estação de Trabalho personalizadoTo request the custom Workstation Authentication certificate
  1. Escolha iniciar, escolha executare, em seguida, introduza mmc.exe.Choose Start, choose Run, and then enter mmc.exe. Na consola vazia, escolha ficheiroe, em seguida, escolha Adicionar/Remover Snap-in.In the empty console, choose File, and then choose Add/Remove Snap-in.

  2. No adicionar ou Remover Snap-ins diálogo caixa, escolha certificados da lista de snap-ins disponíveise, em seguida, escolha adicionar.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  3. No snap-in de certificados diálogo caixa, escolha conta de computadore, em seguida, escolha seguinte.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  4. No selecionar computador diálogo caixa, certifique-se de que computador Local: (o computador onde esta consola está em execução no) está selecionada e, em seguida, escolha concluir.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  5. No adicionar ou Remover Snap-ins diálogo caixa, escolha OK.In the Add or Remove Snap-ins dialog box, choose OK.

  6. Na consola, expanda certificados (computador Local)e, em seguida, escolha pessoais.In the console, expand Certificates (Local Computer), and then choose Personal.

  7. Clique com botão direito certificados, escolha todas as tarefase, em seguida, escolha requisitar um novo certificado.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  8. No antes de começar página, escolha seguinte.On the Before You Begin page, choose Next.

  9. Se vir o selecionar política de inscrição de certificado página, escolha seguinte.If you see the Select Certificate Enrollment Policy page, choose Next.

  10. No pedir certificados página, escolha certificado de ponto de distribuição de cliente do ConfigMgr da lista de certificados disponíveis e, em seguida, escolha inscrever.On the Request Certificates page, choose ConfigMgr Client Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  11. No resultados da instalação de certificados página, aguarde até que o certificado está instalado e, em seguida, escolha concluir.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  12. No painel de resultados, confirme que tem um certificado autenticação de cliente no objetivo pretendido e que a coluna certificado de ponto de distribuição de cliente do ConfigMgr está a ser o modelo de certificado coluna.In the results pane, confirm that a certificate has Client Authentication in the Intended Purpose column and that ConfigMgr Client Distribution Point Certificate is in the Certificate Template column.

  13. Não feche Certificados (Computador Local).Do not close Certificates (Local Computer).

Exportar o certificado de cliente para pontos de distribuiçãoExport the client certificate for distribution points

Este procedimento exporta o certificado de autenticação de estação de trabalho personalizado para um ficheiro para que possa ser importado nas propriedades do ponto de distribuição.This procedure exports the custom Workstation Authentication certificate to a file so that it can be imported in the distribution point properties.

Para exportar o certificado de cliente para pontos de distribuiçãoTo export the client certificate for distribution points
  1. No certificados (computador Local) consola, faça duplo clique no certificado que acabou de instalar, escolha todas as tarefase, em seguida, escolha exportar.In the Certificates (Local Computer) console, right-click the certificate that you just installed, choose All Tasks, and then choose Export.

  2. No Assistente para exportar certificados, escolha seguinte.In the Certificates Export Wizard, choose Next.

  3. No exportar chave privada página, escolha Sim, exportar a chave privadae, em seguida, escolha seguinte.On the Export Private Key page, choose Yes, export the private key, and then choose Next.

    Nota

    Se esta opção não estiver disponível, o certificado foi criado sem a opção para exportar a chave privada.If this option is not available, the certificate has been created without the option to export the private key. Neste cenário, não é possível exportar o certificado no formato necessário.In this scenario, you cannot export the certificate in the required format. Tem de configurar o modelo de certificado para que a chave privada pode ser exportado e, em seguida, pedir o certificado novamente.You must set up the certificate template so that the private key can be exported and then request the certificate again.

  4. No exportar formato de ficheiro página, certifique-se de que o Personal Information Exchange - PKCS #12 (. PFX) opção está selecionada.On the Export File Format page, ensure that the Personal Information Exchange - PKCS #12 (.PFX) option is selected.

  5. No palavra-passe página, especifique uma palavra-passe segura para proteger o certificado exportado com a respetiva chave privada e, em seguida, escolha seguinte.On the Password page, specify a strong password to protect the exported certificate with its private key, and then choose Next.

  6. No ficheiro a exportar página, especifique o nome do ficheiro que pretende exportar e, em seguida, escolha seguinte.On the File to Export page, specify the name of the file that you want to export, and then choose Next.

  7. Para fechar o assistente, escolha concluir no Assistente para exportar certificados página e escolha OK na caixa de diálogo de confirmação.To close the wizard, choose Finish on the Certificate Export Wizard page, and choose OK in the confirmation dialog box.

  8. Feche Certificados (Computador Local).Close Certificates (Local Computer).

  9. Guarde o ficheiro de forma segura e certifique-se de que consegue aceder-lhe a partir da consola do System Center Configuration Manager.Store the file securely and ensure that you can access it from the System Center Configuration Manager console.

    O certificado está agora pronto para ser importado quando configurar o ponto de distribuição.The certificate is now ready to be imported when you set up the distribution point.

Dica

Pode utilizar o mesmo ficheiro de certificado quando configurar imagens de suportes de dados para uma implementação de sistema operativo que não utilize arranque PXE e a sequência de tarefas para instalar a imagem tem de contactar um ponto de gestão requer ligações de cliente HTTPS.You can use the same certificate file when you set up media images for an operating system deployment that does not use PXE boot, and the task sequence to install the image must contact a management point that requires HTTPS client connections.

Implementar o certificado de inscrição para dispositivos móveisDeploy the enrollment certificate for mobile devices

Esta implementação de certificado tem um procedimento único para criar e emitir o modelo de certificado de inscrição na autoridade de certificação.This certificate deployment has a single procedure to create and issue the enrollment certificate template on the certification authority.

Criar e emitir o modelo de certificado de inscrição na autoridade de certificaçãoCreate and issue the enrollment certificate template on the certification authority

Este procedimento cria um modelo de certificado de inscrição para dispositivos móveis do System Center Configuration Manager e adiciona-o à autoridade de certificação.This procedure creates an enrollment certificate template for System Center Configuration Manager mobile devices and adds it to the certification authority.

Para criar e emitir o modelo de certificado de inscrição na autoridade de certificaçãoTo create and issue the enrollment certificate template on the certification authority
  1. Crie um grupo de segurança que tenha os utilizadores que irão inscrever dispositivos móveis no System Center Configuration Manager.Create a security group that has users who will enroll mobile devices in System Center Configuration Manager.

  2. No servidor membro que tem os serviços de certificados instalados, a consola da autoridade de certificação, clique com botão direito modelos de certificadoe, em seguida, escolha gerir para carregar a consola de gestão de modelos de certificado.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. No painel de resultados, faça duplo clique na entrada que tem sessão autenticada no nome a apresentar do modelo coluna e, em seguida, escolha Duplicar modelo.In the results pane, right-click the entry that has Authenticated Session in the Template Display Name column, and then choose Duplicate Template.

  4. No Duplicar modelo diálogo caixa, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionada e, em seguida, escolha OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. No propriedades de novo modelo caixa de diálogo a geral separador, introduza um nome de modelo, tal como certificado de inscrição de dispositivos do ConfigMgr móvelpara gerar os certificados de inscrição para os dispositivos móveis para serem geridos pelo System Center Configuration Manager.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Mobile Device Enrollment Certificate, to generate the enrollment certificates for the mobile devices to be managed by System Center Configuration Manager.

  6. Escolha o nome do requerente separador, certifique-se de que incorporar a partir destas informações do Active Directory está selecionado, selecione nome comum para o formato de nome do requerente:e, em seguida, desmarque nome principal de utilizador (UPN) de incluir estas informações no nome do requerente alternativo.Choose the Subject Name tab, make sure that Build from this Active Directory information is selected, select Common name for the Subject name format:, and then clear User principal name (UPN) from Include this information in alternate subject name.

  7. Escolha o segurança separador, escolha o grupo de segurança que tenha os utilizadores que tenham dispositivos móveis para inscrever e, em seguida, escolha a permissão adicional de inscrever.Choose the Security tab, choose the security group that has users who have mobile devices to enroll, and then choose the additional permission of Enroll. Não desmarque Leitura.Do not clear Read.

  8. Escolha OKe, em seguida, feche consola de modelos de certificado.Choose OK, and then close Certificate Templates Console.

  9. Na consola de autoridade de certificação, clique com botão direito modelos de certificado, escolha novoe, em seguida, escolha modelo de certificado a emitir.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  10. No ativar modelos de certificado diálogo caixa, selecione o novo modelo que acabou de criar, certificado de inscrição de dispositivos do ConfigMgr móvele, em seguida, escolha OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Mobile Device Enrollment Certificate, and then choose OK.

  11. Se não for necessário criar e emitir mais certificados, feche a consola de autoridade de certificação.If you do not need to create and issue more certificates, close the Certification Authority console.

    O modelo de certificado de inscrição de dispositivos móveis está agora pronto para ser selecionado quando configurar um perfil de inscrição de dispositivos móveis nas definições do cliente.The mobile device enrollment certificate template is now ready to be selected when you set up a mobile device enrollment profile in the client settings.

Implementar os certificados para AMTDeploy the certificates for AMT

Esta implementação de certificados possui os seguintes procedimentos:This certificate deployment has the following procedures:

  • Criar, emitir e instalar o certificado de aprovisionamento de AMTCreate, issue, and install the AMT provisioning certificate

  • Criar e emitir o certificado de servidor web para computadores baseados em AMTCreate and issue the web server certificate for AMT-based computers

  • Criar e emitir certificados de autenticação 802.1 X AMT em computadores de clienteCreate and issue the client authentication certificates for 802.1X AMT-based computers

Criar, emitir e instalar o certificado de aprovisionamento de AMTCreate, issue, and install the AMT provisioning certificate

Crie o certificado de aprovisionamento com a AC interna quando os computadores baseados em AMT estão configurados com o thumbprint do certificado da sua AC de raiz interna.Create the provisioning certificate with your internal CA when the AMT-based computers are set up with the certificate thumbprint of your internal root CA. Quando não for este o caso e tem de utilizar uma autoridade de certificação externa, utilize as instruções da empresa que emitiu o certificado de aprovisionamento de AMT, que geralmente envolverá pedir o certificado de web site público da empresa.When this is not the case and you must use an external certification authority, use the instructions from the company that issued the AMT provisioning certificate, which will often involve requesting the certificate from the company's public web site. Também poderá encontrar instruções detalhadas para sua escolhida AC externa no Intel vPro Expert Center: Capacidade de gestão web site do Microsoft vPro.You might also find detailed instructions for your chosen external CA on the Intel vPro Expert Center: Microsoft vPro Manageability web site.

Importante

As ACs externas poderão não suportar o identificador do objeto de aprovisionamento de AMT da Intel.External CAs might not support the Intel AMT provisioning object identifier. Quando for este o caso, forneça o Intel (r) Client Setup Certificate atributo UO.When this is the case, supply the Intel(R) Client Setup Certificate OU attribute.

Quando solicitar um certificado de uma AC externa de aprovisionamento de AMT, instale o certificado no arquivo de certificados pessoais do computador no servidor membro que irá alojar o ponto de serviço fora de banda.When you request an AMT provisioning certificate from an external CA, install the certificate into the Computer Personal certificate store on the member server that will host the out-of-band service point.

Para pedir e emitir o certificado de aprovisionamento de AMTTo request and issue the AMT provisioning certificate
  1. Crie um grupo de segurança que tenha as contas de computador dos servidores do sistema de sites que executarão o ponto de serviço fora de banda.Create a security group that has the computer accounts of site system servers that will run the out-of-band service point.

  2. No servidor membro que tem os serviços de certificados instalados, a consola da autoridade de certificação, clique com botão direito modelos de certificadoe, em seguida, escolha gerir ao carregar o modelos de certificado consola.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates console.

  3. No painel de resultados, faça duplo clique na entrada que tem servidor Web no nome a apresentar do modelo coluna e, em seguida, escolha Duplicar modelo.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. No Duplicar modelo diálogo caixa, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionada e, em seguida, escolha OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. No propriedades de novo modelo caixa de diálogo a geral separador, introduza um nome de modelo, tal como aprovisionamento de AMT do ConfigMgr, para o modelo de certificado de aprovisionamento de AMT.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr AMT Provisioning, for the AMT provisioning certificate template.

  6. Escolha o nome do requerente separador, escolha incorporar a partir destas informações do Active Directorye, em seguida, escolha nome comum.Choose the Subject Name tab, choose Build from this Active Directory information, and then choose Common name.

  7. Escolha o extensões separador, certifique-se de que políticas de aplicações está selecionada e, em seguida, escolha editar.Choose the Extensions tab, make sure that Application Policies is selected, and then choose Edit.

  8. No Editar extensão de políticas de aplicação diálogo caixa, escolha adicionar.In the Edit Application Policies Extension dialog box, choose Add.

  9. No Adicionar política de aplicação diálogo caixa, escolha novo.In the Add Application Policy dialog box, choose New.

  10. No nova política de aplicação caixa de diálogo, introduza aprovisionamento de AMT no nome campo e, em seguida, introduza o número seguinte para o identificador de objeto: 2.16.840.1.113741.1.2.3.In the New Application Policy dialog box, enter AMT Provisioning in the Name field, and then enter the following number for the Object identifier: 2.16.840.1.113741.1.2.3.

  11. Escolha OKe, em seguida, escolha OK no Adicionar política de aplicação caixa de diálogo.Choose OK, and then choose OK in the Add Application Policy dialog box.

  12. Escolha OK no Editar extensão de políticas de aplicação caixa de diálogo.Choose OK in the Edit Application Policies Extension dialog box.

  13. No propriedades de novo modelo caixa de diálogo, o seguinte está listado como o políticas de aplicações Descrição: Autenticação de servidor e aprovisionamento de AMT.In the Properties of New Template dialog box, the following is listed as the Application Policies description: Server Authentication and AMT Provisioning.

  14. Escolha o segurança separador e, em seguida, remova o inscrever permissão a partir do Admins do domínio e Admins de empresa grupos de segurança.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  15. Escolha adicionar, introduza o nome de um grupo de segurança que tenha a conta de computador para a função de sistema de sites de ponto de serviço fora de banda e, em seguida, escolha OK.Choose Add, enter the name of a security group that has the computer account for the out-of-band service point site system role, and then choose OK.

  16. Escolha o inscrever permissão para este grupo e não desmarque a leitura permissão...Choose the Enroll permission for this group, and do not clear the Read permission..

  17. Escolha OKe, em seguida, feche o modelos de certificado consola.Choose OK, and then close the Certificate Templates console.

  18. No autoridade de certificação, faça duplo clique modelos de certificado, escolha novoe, em seguida, escolha modelo de certificado a emitir.In Certification Authority, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  19. No ativar modelos de certificado diálogo caixa, selecione o novo modelo que acabou de criar, aprovisionamento de AMT do ConfigMgre, em seguida, escolha OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr AMT Provisioning, and then choose OK.

    Nota

    Se não conseguir concluir o passo 18 ou 19, certifique-se de que está a utilizar a Enterprise Edition do Windows Server 2008.If you cannot complete steps 18 or 19, check that you are using the Enterprise Edition of Windows Server 2008. Apesar de poder configurar modelos com o Windows Server Standard Edition e os serviços de certificados, não é possível implementar certificados utilizando os modelos de certificado modificados, exceto se estiver a utilizar a Enterprise Edition do Windows Server 2008.Although you can set up templates with Windows Server Standard Edition and Certificate Services, you cannot deploy certificates by using modified certificate templates unless you are using the Enterprise Edition of Windows Server 2008.

  20. Não feche a Autoridade de Certificação.Do not close Certification Authority.

    O certificado de aprovisionamento de AMT da AC interna está agora pronto para ser instalada no computador do ponto de serviço fora de banda.The AMT provisioning certificate from your internal CA is now ready to be installed on the out-of-band service point computer.

Para instalar o certificado de aprovisionamento de AMTTo install the AMT provisioning certificate
  1. Reinicie o servidor membro que executa o IIS para garantir que este consegue aceder ao modelo de certificado com a permissão configurada.Restart the member server that runs IIS to ensure that it can access the certificate template with the configured permission.

  2. Escolha iniciar, escolha executare, em seguida, introduza mmc.exe.Choose Start, choose Run, and then enter mmc.exe. Na consola vazia, escolha ficheiroe, em seguida, escolha Adicionar/Remover Snap-in.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. No adicionar ou Remover Snap-ins diálogo caixa, escolha certificados da lista de snap-ins disponíveise, em seguida, escolha adicionar.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. No snap-in de certificados diálogo caixa, escolha conta de computadore, em seguida, escolha seguinte.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. No selecionar computador diálogo caixa, certifique-se de que computador Local: (o computador onde esta consola está em execução no) está selecionada e, em seguida, escolha concluir.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. No adicionar ou Remover Snap-ins diálogo caixa, escolha OK.In the Add or Remove Snap-ins dialog box, choose OK.

  7. Na consola, expanda certificados (computador Local)e, em seguida, escolha pessoais.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Clique com botão direito certificados, escolha todas as tarefase, em seguida, escolha requisitar um novo certificado.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. No antes de começar página, escolha seguinte.On the Before You Begin page, choose Next.

  10. Se vir o selecionar política de inscrição de certificado página, escolha seguinte.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. No pedir certificados página, selecione aprovisionamento de AMT da lista de certificados disponíveis e, em seguida, escolha inscrever.On the Request Certificates page, select AMT Provisioning from the list of available certificates, and then choose Enroll.

  12. No resultados da instalação de certificados página, aguarde até que o certificado está instalado e, em seguida, escolha concluir.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  13. Feche Certificados (Computador Local).Close Certificates (Local Computer).

    O certificado de aprovisionamento de AMT da AC interna está agora instalado e está pronto para ser selecionado nas propriedades do ponto de serviço fora de banda.The AMT provisioning certificate from your internal CA is now installed and is ready to be selected in the out-of-band service point properties.

Criar e emitir o certificado de servidor web para computadores baseados em AMTCreate and issue the web server certificate for AMT-based computers

Utilize o procedimento seguinte para preparar os certificados de servidor Web para computadores baseados em AMT.Use the following procedure to prepare the web server certificates for AMT-based computers.

Para criar e emitir o modelo de certificado de servidor webTo create and issue the web server certificate template
  1. Crie um grupo de segurança vazio com as contas de computador AMT System Center Configuration Manager cria durante o aprovisionamento de AMT.Create an empty security group that has the AMT computer accounts that System Center Configuration Manager creates during AMT provisioning.

  2. No servidor membro que tem os serviços de certificados instalados, a consola da autoridade de certificação, clique com botão direito modelos de certificadoe, em seguida, escolha gerir ao carregar o modelos de certificado consola.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates console.

  3. No painel de resultados, faça duplo clique na entrada que tem servidor Web no nome a apresentar do modelo coluna e, em seguida, escolha Duplicar modelo.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. No Duplicar modelo diálogo caixa, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionada e, em seguida, escolha OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. No propriedades de novo modelo caixa de diálogo a geral separador, introduza um nome de modelo, tal como certificado de servidor Web de AMT do ConfigMgrpara gerar os certificados web que serão utilizados para gestão fora de banda em computadores AMT.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr AMT Web Server Certificate, to generate the web certificates that will be used for out-of-band management on AMT computers.

  6. Escolha o nome do requerente separador, escolha incorporar a partir destas informações do Active Directory, escolha nome comum para o formato de nome de requerentee, em seguida, desmarque nome principal de utilizador (UPN) para o nome alternativo do requerente.Choose the Subject Name tab, choose Build from this Active Directory information, choose Common name for the Subject name format, and then clear User principal name (UPN) for the alternative subject name.

  7. Escolha o segurança separador e, em seguida, remova o inscrever permissão a partir do Admins do domínio e Admins de empresa grupos de segurança.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Escolha adicionar, introduza o nome do grupo de segurança que criou para o aprovisionamento de AMT e, em seguida, escolha OK.Choose Add, and enter the name of the security group that you created for AMT provisioning, and then choose OK.

  9. Escolha o seguinte permitir permissões para este grupo de segurança: Leitura e inscrever.Choose the following Allow permissions for this security group: Read and Enroll.

  10. Escolha OKe, em seguida, feche o modelos de certificado consola.Choose OK, and then close the Certificate Templates console.

  11. No autoridade de certificação consola, faça duplo clique modelos de certificado, escolha novoe, em seguida, escolha modelo de certificado a emitir.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. No ativar modelos de certificado diálogo caixa, selecione o novo modelo que acabou de criar, certificado de servidor Web de AMT do ConfigMgre, em seguida, escolha OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr AMT Web Server Certificate, and then choose OK.

  13. Se não necessitar de criar e emitir mais certificados, feche autoridade de certificação.If you do not have to create and issue more certificates, close Certification Authority.

    O modelo de servidor AMT Web está agora preparado para configurar computadores baseados em AMT com certificados de servidor web.The AMT Web server template is now ready to set up AMT-based computers with web server certificates. Escolha este modelo de certificado no propriedades do componente de gestão fora de banda.Choose this certificate template in the out-of-band management component properties.

Criar e emitir certificados de autenticação 802.1 X AMT em computadores de clienteCreate and issue the client authentication certificates for 802.1X AMT-based computers

Utilize o procedimento seguinte se os computadores baseados em AMT forem utilizar certificados de cliente para redes com ou sem fios com autenticação 802.1X.Use the following procedure if AMT-based computers will use client certificates for 802.1X authenticated wired or wireless networks.

Para criar e emitir o modelo de certificado de autenticação de cliente da ACTo create and issue the client authentication certificate template on the CA
  1. No servidor membro que tem os serviços de certificados instalados, a consola da autoridade de certificação, clique com botão direito modelos de certificadoe, em seguida, escolha gerir ao carregar o modelos de certificado consola.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates console.

  2. No painel de resultados, faça duplo clique na entrada que tem autenticação de estação de trabalho no nome a apresentar do modelo coluna e, em seguida, escolha Duplicar modelo.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  3. No propriedades de novo modelo caixa de diálogo a geral separador, introduza um nome de modelo, tal como certificado de autenticação de cliente do ConfigMgr AMT 802.1 X, para gerar os certificados de cliente que serão utilizados para gestão fora de banda em computadores AMT.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr AMT 802.1X Client Authentication Certificate, to generate the client certificates that will be used for out-of-band management on AMT computers.

  4. Escolha o nome do requerente separador, escolha incorporar a partir destas informações do Active Directorye, em seguida, escolha nome comum para o formato de nome de requerente.Choose the Subject Name tab, choose Build from this Active Directory information, and then choose Common name for the Subject name format. Limpar nome DNS para o requerente alternativo nome e, em seguida, escolha nome principal de utilizador (UPN).Clear DNS name for the alternative subject name, and then choose User principal name (UPN).

  5. Escolha o segurança separador e, em seguida, remova o inscrever permissão a partir do Admins do domínio e Admins de empresa grupos de segurança.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  6. Escolha adicionar, introduza o nome do grupo de segurança que irá especificar nas propriedades do componente de gestão fora de banda para conter as contas de computador dos computadores baseados em AMT e, em seguida, escolha OK.Choose Add, enter the name of the security group that you will specify in the out-of-band management component properties to contain the computer accounts of the AMT-based computers, and then choose OK.

  7. Selecione o seguinte permitir permissões para este grupo de segurança: Leitura e inscrever.Select the following Allow permissions for this security group: Read and Enroll.

  8. Escolha OKe, em seguida, feche o modelos de certificado consola de gestão, certtmpl - [modelos de certificado].Choose OK, and then close the Certificate Templates management console, certtmpl - [Certificate Templates].

  9. No autoridade de certificação consola de gestão, faça duplo clique modelos de certificado, escolha novoe, em seguida, escolha modelo de certificado a emitir.In the Certification Authority management console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  10. No ativar modelos de certificado diálogo caixa, selecione o novo modelo que acabou de criar, certificado de autenticação de cliente do ConfigMgr AMT 802.1 Xe, em seguida, escolha OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr AMT 802.1X Client Authentication Certificate, and then choose OK.

  11. Se não precisar de criar e emitir mais certificados, feche autoridade de certificação.If you do not need to create and issue more certificates, close Certification Authority.

    O modelo de certificado de autenticação de cliente está agora pronto para emitir certificados para computadores baseados em AMT que podem ser utilizados para autenticação 802.1 X de clientes.The client authentication certificate template is now ready to issue certificates to AMT-based computers that can be used for 802.1X client authentication. Escolha este modelo de certificado no propriedades do componente de gestão fora de banda.Choose this certificate template in the out-of-band management component properties.

Implementar o certificado de cliente para computadores MacDeploy the client certificate for Mac computers

Esta implementação de certificado tem um procedimento único para criar e emitir o modelo de certificado de inscrição na autoridade de certificação.This certificate deployment has a single procedure to create and issue the enrollment certificate template on the certification authority.

Criar e emitir o modelo de certificado na autoridade de certificação de um cliente de MacCreate and issue a Mac client certificate template on the certification authority

Este procedimento cria um modelo de certificado personalizado para computadores Mac do System Center Configuration Manager e adiciona o modelo de certificado à autoridade de certificação.This procedure creates a custom certificate template for System Center Configuration Manager Mac computers and adds the certificate template to the certification authority.

Nota

Este procedimento utiliza um modelo de certificado diferente do modelo de certificado que pode ter criado para computadores cliente com Windows ou para pontos de distribuição.This procedure uses a different certificate template from the certificate template that you might have created for Windows client computers or for distribution points.

Quando cria um novo modelo de certificado para este certificado, pode restringir o pedido de certificado para os utilizadores autorizados.When you create a new certificate template for this certificate, you can restrict the certificate request to authorized users.

Para criar e emitir o modelo de certificado de cliente Mac na autoridade de certificaçãoTo create and issue the Mac client certificate template on the certification authority
  1. Crie um grupo de segurança que tenha as contas de utilizador para os utilizadores administrativos que irão inscrever o certificado no computador Mac utilizando o System Center Configuration Manager.Create a security group that has user accounts for administrative users who will enroll the certificate on the Mac computer by using System Center Configuration Manager.

  2. No servidor membro que está a executar a consola da autoridade de certificação, clique com botão direito modelos de certificadoe, em seguida, escolha gerir para carregar a consola de gestão de modelos de certificado.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. No painel de resultados, faça duplo clique na entrada que apresenta sessão autenticada no nome a apresentar do modelo coluna e, em seguida, escolha Duplicar modelo.In the results pane, right-click the entry that displays Authenticated Session in the Template Display Name column, and then choose Duplicate Template.

  4. No Duplicar modelo diálogo caixa, certifique-se de que Windows 2003 Server, Enterprise Edition está selecionada e, em seguida, escolha OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. No propriedades de novo modelo caixa de diálogo a geral separador, introduza um nome de modelo, tal como certificado de cliente Mac do ConfigMgrpara gerar o certificado de cliente Mac.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Mac Client Certificate, to generate the Mac client certificate.

  6. Escolha o nome do requerente separador, certifique-se de que incorporar a partir destas informações do Active Directory é selecionado, escolher nome comum para o formato de nome do requerente:e, em seguida, desmarque nome principal de utilizador (UPN) de incluir estas informações no nome alternativo do requerente.Choose the Subject Name tab, make sure that Build from this Active Directory information is selected, choose Common name for the Subject name format:, and then clear User principal name (UPN) from Include this information in alternate subject name.

  7. Escolha o segurança separador e, em seguida, remova o inscrever permissão a partir do Admins do domínio e Admins de empresa grupos de segurança.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Escolha adicionar, especifique o grupo de segurança que criou no passo um e, em seguida, escolha OK.Choose Add, specify the security group that you created in step one, and then choose OK.

  9. Escolha o inscrever permissão para este grupo e não desmarque a leitura permissão.Choose the Enroll permission for this group, and do not clear the Read permission.

  10. Escolha OKe, em seguida, feche consola de modelos de certificado.Choose OK, and then close Certificate Templates Console.

  11. Na consola de autoridade de certificação, clique com botão direito modelos de certificado, escolha novoe, em seguida, escolha modelo de certificado a emitir.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. No ativar modelos de certificado diálogo caixa, selecione o novo modelo que acabou de criar, certificado de cliente Mac do ConfigMgre, em seguida, escolha OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Mac Client Certificate, and then choose OK.

  13. Se não necessitar de criar e emitir mais certificados, feche autoridade de certificação.If you do not have to create and issue more certificates, close Certification Authority.

    O modelo de certificado de cliente Mac está agora pronto para ser selecionado quando configurar as definições de cliente para inscrição.The Mac client certificate template is now ready to be selected when you set up client settings for enrollment.