Criar certificados para comunicações fidedignas com MDM no local

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

A gestão de dispositivos móveis (MDM) no local requer que configuure as funções do sistema de site para comunicações fidedignas com dispositivos geridos. Precisa de dois tipos de certificados:

  • Um certificado de servidor web no IIS nos servidores que hospedam as funções necessárias do sistema de site. Se um servidor hospedar várias funções do sistema de site, só precisa de um certificado para esse servidor. Se cada função estiver num servidor separado, cada servidor necessita de um certificado separado.

  • O certificado de raiz fidedigno da autoridade de certificados (CA) que emite os certificados do servidor web. Instale este certificado de raiz em todos os dispositivos que necessitem de se ligar às funções do sistema do site.

Para dispositivos ligados a domínios, se utilizar serviços de certificados de diretório ativo, pode instalar automaticamente estes certificados em todos os dispositivos. Para dispositivos não associados a domínios, instale o certificado de raiz fidedigno por outros meios.

Para dispositivos matriculados a granel, pode incluir o certificado no pacote de inscrição. Para dispositivos inscritos pelo utilizador, tem de adicionar o certificado através de e-mail, transferência Web ou qualquer outro método.

Se utilizar um fornecedor de certificados de confiança pública e global para emitir os certificados do servidor, pode evitar ter de instalar manualmente o certificado de raiz fidedigno em cada dispositivo. A maioria dos dispositivos confia naturalmente nestas autoridades públicas. Este método é uma alternativa útil para dispositivos matriculados pelo utilizador, em vez de instalar o certificado através de outros meios.

Importante

Existem muitas formas de configurar os certificados para comunicações fidedignas entre dispositivos e servidores do sistema de site para MDM no local. A informação neste artigo é um exemplo de uma forma de o fazer. Este método requer Serviços de Certificado de Diretório Ativo, com uma autoridade de certificação e a função de inscrição web da autoridade de certificação. Para mais informações, consulte os Serviços de Certificados de Diretório Ativo.

Publicar o CRL

Por predefinição, a Autoridade de Certificação do Diretório Ativo (CA) utiliza listas de revogação de certificados com base em LDAP (CRLs). Permite ligações ao CRL para dispositivos ligados ao domínio. Para permitir que dispositivos não associados a domínios confiem em certificados emitidos pela AC, adicione um CRL baseado em HTTP.

  1. No servidor que executa a autoridade de certificação do seu site, aceda ao menu Iniciar, selecione Ferramentas Administrativas e escolha a Autoridade de Certificação.

  2. Na consola da Autoridade de Certificação, clique à direita NaAuthority, e depois selecione Propriedades.

  3. Nas propriedades de CertificadoAuthority, mude para o separador Extensões. Certifique-se de que a extensão Select está definida para o Ponto de Distribuição CRL (CDP).

  4. Selecione http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl. Em seguida, selecione as seguintes opções:

    • Inclua em CRLs. Os clientes usam isto para encontrar localizações delta CRL.

    • Incluir na extensão CDP dos certificados emitidos.

    • Incluir na extensão IDP das CRLs emitidas

  5. Mude para o separador Módulo de Saída. Selecione Propriedades e, em seguida, selecione Deixe os certificados a serem publicados no sistema de ficheiros. Verá um aviso para reiniciar os Serviços de Certificados de Diretório Ativo.

  6. Clique à direita em Certificados Revogados, selecione Todas as Tarefas e, em seguida, escolha Publicar.

  7. Na janela Publish CRL, selecione apenas Delta CRL e, em seguida, selecione OK para fechar a janela.

Crie o modelo de certificado

O CA utiliza o modelo de certificado do servidor web para emitir certificados para os servidores que hospedam as funções do sistema do site. Estes servidores serão pontos finais SSL para comunicações fidedignas entre as funções do sistema de site e dispositivos matriculados.

  1. Criar um grupo de segurança de domínio chamado ConfigMgr SERVIDORES MDM. Adicione ao grupo as contas de computador dos servidores do sistema de sites.

  2. Na consola da Autoridade de Certificação, clique com o botão direito Modelos de Certificado, e escolha Gerir. Esta ação carrega a consola De Modelos de Certificado.

  3. No painel de resultados, clique com o botão direito na entrada que exibe o Servidor Web na coluna Nome do Modelo de Exibição e, em seguida, selecione o Modelo duplicado.

  4. Na janela do modelo duplicado, selecione Windows servidor de 2003, Enterprise Edition ou Windows servidor de 2008, Enterprise Edition, e, em seguida, selecione OK.

    Dica

    O Gestor de Configuração suporta Windows modelos de certificados do Servidor de 2008, também conhecidos como certificados V3 ou Cryptography: Next Generation (CNG). Para mais informações, consulte a visão geral dos certificados CNG v3.

    Se o seu CA funcionar em Windows Server 2012 ou posteriormente, esta janela não mostra a opção para a versão do modelo de certificado. Depois de duplicar o modelo, selecione a versão no separador Compatibilidade das propriedades do modelo.

  5. Nas propriedades da janela do novo modelo, no separador Geral, introduza um nome de modelo. A AC utiliza este nome para gerar os certificados web que serão utilizados nos sistemas de site do Gestor de Configuração. Por exemplo, digite o servidor web ConfigMgr MDM.

  6. Mude para o separador Nome de Assunto e selecione Construir a partir de informações do Ative Directory. Para o formato do nome do assunto, especifique o nome DNS. Se o nome principal do utilizador (UPN) for selecionado, desative a opção para nome de assunto alternativo.

  7. Mude para o separador Segurança.

    1. Remova a permissão de inscrição dos grupos de segurança Dedmins e Administrações Empresariais.

    2. Selecione Adicionar e insira o nome do seu grupo de segurança. Por exemplo, servidores ConfigMgr MDM. Selecione OK para fechar a janela.

    3. Selecione a permissão de inscrição para este grupo. Não remova a permissão de Leitura.

  8. Selecione OK para guardar as suas alterações e feche a consola De Modelos de Certificado.

  9. Na consola da Autoridade de Certificação, clique à direita nos modelos de certificados, selecione Novo e, em seguida, escolha o Modelo de Certificado para Emitir.

  10. Na janela 'Modelos de Certificado', selecione o novo modelo. Por exemplo, servidor web ConfigMgr MDM. Em seguida, selecione OK para guardar e fechar a janela.

Solicitar o certificado

Este processo descreve como solicitar o certificado de servidor web para IIS. Faça este processo para cada servidor do sistema de site que hospeda uma das funções para MDM no local.

  1. No servidor do sistema de site que acolhe uma das funções, abra um pedido de comando como administrador. Introduza mmc para abrir uma Consola de Gestão microsoft vazia.

  2. Na janela da consola, vá ao menu Ficheiro e selecione Add/Remove Snap-in.

    1. Escolha Certificados na lista de snap-ins disponíveis e selecione Adicionar.

    2. Na janela de encaixe de Certificados, escolha conta computador. Selecione Next e, em seguida, selecione Finish para gerir o computador local.

    3. Selecione OK para sair da janela Add ou Remove Snap-in.

  3. Expandir Certificados (Computador Local) e selecionar a loja Personal. Vá ao menu Ação, selecione Todas as Tarefas e escolha Novo Certificado de Pedido. Esta ação comunica com os Serviços de Certificados de Diretório Ativo para criar um novo certificado utilizando o modelo que criou anteriormente.

    1. No assistente de inscrição de certificado, na página Antes de Começar, selecione Seguinte.

    2. Na página 'Escolha a Política de Inscrição de Certificados', selecione Política de Inscrição de Diretórios Ativos e, em seguida, selecione Seguinte.

    3. Selecione o seu modelo de certificado de servidor web (ConfigMgr MDM Web Server) e, em seguida, selecione Matricular-se.

    4. Depois de solicitar o certificado, selecione Acabamento.

Cada servidor precisa de um certificado exclusivo de servidor web. Repita este processo para cada servidor que hospedar uma das funções necessárias do sistema de site. Se um servidor alojar todas as funções do sistema de sites, apenas terá de pedir um certificado de servidor Web.

Vincular o certificado

O próximo passo é ligar o novo certificado ao servidor web. Siga este processo para cada servidor que acolhe as funções do sistema de ponto de inscrição e de procuração. Se um servidor hospedar todas as funções do sistema de site, só precisa de fazer este processo uma vez.

Nota

Não é preciso fazer este processo para as funções do sistema de ponto de distribuição e gestão de dispositivos. Recebem automaticamente o certificado exigido durante a inscrição.

  1. No servidor que acolhe o ponto de inscrição ou ponto de procuração de inscrição, vá ao menu Iniciar, selecione Ferramentas Administrativas e escolha O Gestor do IIS.

  2. Na lista de Ligações, selecione o Web Site predefinido e, em seguida, selecione 'Encadernações de Edição'.

    1. Na janela 'Encadernações do Site', selecione https e, em seguida, selecione Editar.

    2. Na janela de ligação do site de edição, selecione o certificado recém-inscrito para o certificado SSL. Selecione OK para guardar e, em seguida, selecione Fechar.

  3. Na consola IIS Manager, na lista de Conexões, selecione o servidor web. No painel de ação do lado direito, selecione Restart. Esta ação reinicia o serviço de servidor web.

Exportar o certificado de raiz fidedigno

Os Serviços de Certificado de Diretório Ativo instalam automaticamente o certificado exigido da AC em todos os dispositivos ligados ao domínio. Para obter o certificado necessário para que dispositivos não ligados ao domínio comuniquem com as funções do sistema do site, exporte-o do certificado vinculado ao servidor web.

  1. No IIS Manager, selecione o Web Site Predefinido. No painel de ação do lado direito, selecione Encadernações.

  2. Na janela 'Encadernações do Site', selecione https e, em seguida, selecione Editar.

  3. Selecione o certificado do servidor web e selecione Ver.

  4. Nas propriedades do certificado do servidor web, mude para o separador Caminho de Certificação. Selecione a raiz do caminho de certificação e selecione Ver Certificado.

  5. Nas propriedades do certificado raiz, mude para o separador Detalhes e, em seguida, selecione Copy to File.

  6. No Assistente de Exportação de Certificados, na página Welcome, selecione Seguinte.

  7. Selecione DER codificado binário X.509 (. CER) como formato, e selecione Next.

  8. Introduza um caminho e nome de arquivo para identificar este certificado de raiz fidedigno. Para o nome do ficheiro, clique em procurar..., escolha um local para guardar o ficheiro de certificado, nomear o ficheiro e selecionar Seguinte.

  9. Reveja as definições e selecione Acabamento para exportar o certificado para arquivar.

Dependendo do design da autoridade do certificado, poderá necessitar de exportar certificados de raiz de CA subordinados adicionais. Repita este processo para exportar os outros certificados na trajetória de certificação do certificado do servidor web.

Passo seguinte

Configurar a inscrição de dispositivos