Configurar certificados para comunicações fidedignas para a Gestão de Dispositivos Móveis no Local do System Center Configuration ManagerSet up certificates for trusted communications for On-premises Mobile Device Management in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

System Center Configuration Manager no-local gestão de dispositivos móveis requer o ponto de registo, ponto proxy de registo, ponto de distribuição e gestão de dispositivos do ponto de funções de sistema de sites para ser definido para comunicações fidedignas com os dispositivos geridos.System Center Configuration Manager On-premises Mobile Device Management requires the enrollment point, enrollment proxy point, distribution point, and device management point site system roles to be set up for trusted communications with managed devices. Os servidores do sistema de sites que alojem uma ou mais dessas funções têm de ter um certificado PKI exclusivo vinculado ao servidor Web nesse sistema.Any site system server hosting one or more of those roles must have a unique PKI certificate bound to the web server on that system. Um certificado com a mesmo raiz do certificado nos servidores também tem de ser armazenado nos dispositivos geridos para estabelecer comunicação fidedigna com eles.A certificate with the same root as the certificate on the servers most also be stored on managed devices to establish trusted communication with them.

Para dispositivos associados a um domínio, os Serviços de Certificados do Active Directory instalam automaticamente o certificado necessário com a raiz fidedigna em todos os dispositivos.For domain-joined devices, Active Directory Certificate Services installs the needed certificate with the trusted root on all devices automatically. Para dispositivos não associados a um domínio, tem de obter um certificado válido com uma raiz fidedigna através de outros meios.For non-domain-joined devices, you must obtain a valid certificate with a trusted root by some other means. Se utilizar a AC do site como a raiz fidedigna (que é a utilizada pelo Active Directory para dispositivos associados a um domínio), os servidores do sistema de sites para o ponto de registo e o ponto proxy de registo têm de ter um certificado emitido por essa AC vinculado aos mesmos.If you use the site CA as your trusted root (which is the same one Active Directory uses for domain-joined devices), the site system servers for the enrollment point and enrollment proxy point must have a certificate issued by that CA bound to them.

Todos os dispositivos a gerir terão também de ter um certificado com a mesma raiz instalado no mesmos para suportarem comunicações fidedignas com as funções do sistema de sites.Each device to be managed will also need to have a certificate with the same root installed on them to support trusted communications with the site system roles. Para dispositivos inscritos em massa, pode incluir o certificado no pacote de inscrição que é adicionado ao dispositivo para inscrevê-lo quando o dispositivo for iniciado pela primeira vez por um utilizador.For bulk-enrolled devices, you can include the certificate in the enrollment package that is added to the device for enrolling it when the device is started for the first time by a user. Para dispositivos inscritos pelo utilizador, tem de adicionar o certificado através de e-mail, transferência Web ou qualquer outro método.For user-enrolled devices, you need to add the certificate through email, web download, or some other method.

Como alternativa para dispositivos não associados a um domínio, pode utilizar a raiz de uma AC pública conhecida (como a Verisign ou a GoDaddy) para emitir o certificado do servidor, evitando assim ter de instalar manualmente um certificado no dispositivo, porque a maioria dos dispositivos confia nativamente em ligações a servidores com a mesma raiz da AC pública.As an alternative for non-domain joined devices, you can use the root of a well-known public CA (like Verisign or GoDaddy) to issue the server certificate, which avoids having to manually install a certificate on the device, because most devices natively trust connections to servers using the same root of the public CA. Esta é uma alternativa útil para dispositivos inscritos pelo utilizador, nos quais não é exequível instalar os certificados fidedignos através da AC do site em cada dispositivo.This is a useful alternative for user-enrolled devices in which it is not feasible to install the certificates trusted through the site CA on each device.

Importante

Existem várias formas de configurar os certificados para comunicações fidedignas entre dispositivos e os servidores de sistema de sites para no-no local a gestão de dispositivos móveis.There are many ways to set up the certificates for trusted communications between devices and the site system servers for On-premises Mobile Device Management. As informações fornecidas neste artigo são um exemplo de uma forma de fazê-lo.The information provided in this article is given as an example of one way to do it. Este método requer a execução de um servidor no site com a instalação da função Serviços de Certificados do Active Directory e a função dos serviços Autoridade de Certificação e Inscrição de Autoridade de Certificação via Web.This method requires you to be running a server in your site with Active Directory Certificate Services role and the Certification Authority and Certification Authority Web Enrollment role services installed. Consulte Serviços de Certificados do Active Directory para mais informações e orientação sobre esta função do Windows Server.See Active Directory Certificate Services for more information and guidance on this Windows Server role.

Para configurar o site do Configuration Manager para as comunicações SSL necessárias para nos-local gestão de dispositivos móveis, siga estes passos de alto nível:To set up the Configuration Manager site for the SSL communications required for On-premises Mobile Device Management, follow these high-level steps:

Configurar a autoridade de certificação (AC) para publicação de CRL Configure the certification authority (CA) for CRL publishing

Por predefinição, a autoridade de certificação (AC) utiliza listas de revogação de certificados (CRL) com base no LDAP que permite ligações para dispositivos associados a um domínio.By default, the certification authority (CA) uses LDAP-based certificate revocation lists (CRLs) that allows connections for domain-joined devices. Tem de adicionar CRLs baseados em HTTP à AC para que dispositivos não associados a um domínio sejam considerados fidedignos com emissões de certificados da AC.You must add HTTP-based CRLs to the CA to make it possible for non-domain-joined devices to be trusted with certificates issues from the CA. Estes certificados são necessários para as comunicações SSL entre os servidores que alojam as funções de sistema de sites do Configuration Manager e os dispositivos inscritos no-no local a gestão de dispositivos móveis.These certificates are required for SSL communications between the servers hosting the Configuration Manager site system roles and the devices enrolled for On-premises Mobile Device Management.

Siga os passos abaixo para configurar a AC para publicar automaticamente informações de CRL para a emissão de certificados que permitem ligações fidedignas para dispositivos associados e não associados a um domínio:Follow the steps below to configure the CA to autopublish CRL information for issuing certificates that allow trusted connections for domain-joined and non-domain-joined devices:

  1. No servidor que executa a autoridade de certificação para o site, clique em Iniciar > Ferramentas Administrativas > Autoridade de Certificação.On the server running the certification authority for your site, click Start > Administrative Tools > Certification Authority.

  2. Na consola da Autoridade de Certificação, clique com o botão direito do rato em CertificateAuthority e, em seguida, clique em Propriedades.In the Certification Authority console, right-click CertificateAuthority, and then click Properties.

  3. Nas propriedades de CertificateAuthority, clique no separador Extensões, certifique-se de que Selecionar extensão está definido como Ponto de Distribuição da CRL (CDP)In CertificateAuthority properties, click the Extensions tab, make sure that Select extension is set to CRL Distribution Point (CDP)

  4. Selecione http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl.Select http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl. e as três opções abaixo:And the three options below:

    • Inclua em CRLs. Os clientes utilizam isto para encontrar localizações Delta CRL.Include in CRLs. Clients use this to find Delta CRL locations.

    • Inclua na extensão CDP dos certificados emitidos.Include in CDP extension of issued certificates.

    • Incluir na extensão IDP das CRLs emitidasInclude in the IDP extension of issued CRLs

  5. Clique em de módulo de saída separador, clique em propriedades... , em seguida, selecione permitir que os certificados sejam publicados para o sistema de ficheiros.Click the Exit Module tab, click Properties..., then select Allow certificates to be published to the file system.

  6. Clique em OK quando for notificado de que os Serviços de Certificados do Active Directory têm de ser reiniciados.Click OK when notified that Active Directory Certificate Services must restarted.

  7. Clique com o botão direito do rato em Certificados Revogados, clique em Todas as Tarefas e, em seguida, clique em Publicar.Right-click Revoked Certificates, click All Tasks, and then click Publish.

  8. Na caixa de diálogo Publicar CRL, selecione Apenas delta CRL e, em seguida, clique em OK.In Publish CRL dialog, select Delta CRL only, and then click OK.

Criar o modelo de certificado de servidor web na AC Create the web server certificate template on the CA

Após a publicação da nova CRL na AC, o passo seguinte consiste em criar um modelo de certificado do servidor Web.After publishing the new CRL on the CA, the next step is to create a web server certificate template. Este modelo é necessário para emitir certificados para os servidores que alojam as funções do sistema de sites ponto de registo, ponto proxy de registo, ponto de distribuição e ponto de gestão de dispositivos.This template is required for issuing certificates for the servers hosting the enrollment point, enrollment proxy point, distribution point, and device management point site system roles. Estes servidores serão pontos finais SSL para comunicações fidedignas entre as funções do sistema de sites e os dispositivos inscritos.These servers will be SSL endpoints for trusted communications between the site system roles and enrolled devices. Siga os passos abaixo para criar o modelo de certificado:Follow the steps below to create the certificate template:

  1. Crie um grupo de segurança denominado Servidores MDM do ConfigMgr, que contenha os servidores que executam os sistemas de sites que necessitam de comunicações fidedignas com os dispositivos inscritos.Create a security group named ConfigMgr MDM Servers that contains the servers running the site systems that require trusted communications with enrolled devices.

  2. Na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Gerir para carregar a consola de Modelos de Certificado.In the Certification Authority console, right-click Certificate Templates and click Manage to load the Certificate Templates console.

  3. No painel de resultados, clique com o botão direito do rato na entrada que apresenta Servidor Web na coluna Nome a Apresentar do Modelo e clique em Duplicar Modelo.In the results pane, right-click the entry that displays Web Server in the column Template Display Name, and then click Duplicate Template.

  4. Na caixa de diálogo Duplicar Modelo , certifique-se de que Windows 2003 Server, Enterprise Edition se encontra selecionado e clique em OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then click OK.

    Importante

    Não selecione Windows 2008 Server, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition. O Configuration Manager não suporta modelos de certificado do Windows Server 2008 para comunicações fidedignas com HTTPS.Configuration Manager does not support Windows Server 2008 certificate templates for trusted communications using HTTPS.

    Nota

    Se a AC em utilização estiver no Windows Server 2012, não lhe será pedida a versão do modelo de certificado quando clicar em Modelo Duplicado.If the CA you are using is on Windows Server 2012, you are not prompted for the certificate template version when you click Duplicate Template. Em vez disso, especifique isto no separador Compatibilidade das propriedades do modelo, da seguinte forma:Instead, specify this on the Compatibility tab of the template properties, as follows:

    Autoridade de certificação: Windows Server 2003Certification Authority: Windows Server 2003

    Destinatário do certificado: Windows XP / Server 2003Certificate recipient: Windows XP / Server 2003

  5. Na caixa de diálogo Propriedades de Novo Modelo, no separador Geral, introduza um nome de modelo para gerar os certificados Web que serão utilizados nos sistemas de sites do Configuration Manager, como Servidor Web MDM do ConfigMgr.In the Properties of New Template dialog box, on the General tab, enter a template name to generate the web certificates that will be used on Configuration Manager site systems, such as ConfigMgr MDM Web Server.

  6. Clique no separador Nome do Requerente, selecione Incorporar a partir das informações do Active Directory e, no formato do nome do requerente, especifique Nome DNS.Click the Subject Name tab, select Build from Active Directory information, and for subject name format, specify DNS name. Desmarque a caixa de verificação do nome do requerente alternativo, se Nome Principal de Utilizador (UPN) estiver selecionado.Clear the check box from alternate subject name, if User Principal Name (UPN) is selected.

  7. Clique no separador Segurança e remova a permissão Inscrever dos grupos de segurança Admins do Domínio e Admins de Empresa.Click the Security tab, and remove the Enroll permission from the security groups Domain Admins and Enterprise Admins.

  8. Clique em Adicionar, introduza Servidores MDM do ConfigMgr na caixa de texto e clique em OK.Click Add, enter ConfigMgr MDM Servers in the text box, and then click OK.

  9. Selecione a permissão Inscrever para este grupo e não desmarque a permissão Leitura.Select the Enroll permission for this group, and do not clear the Read permission.

  10. Clique em OK e feche a consola Modelos de Certificado.Click OK, and close the Certificate Templates console.

  11. Na consola da Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de Certificado a Emitir.In the Certification Authority console, right-click Certificate Templates, click New, and then click Certificate Template to Issue.

  12. Na caixa de diálogo Ativar Modelos de Certificado, selecione o novo modelo que acabou de criar, Servidor Web MDM do ConfigMgr e, em seguida, clique em OK.In the Enable Certificate Templates dialog box, select the new template that you have just created, ConfigMgr MDM Web Server, and then click OK.

Pedir o certificado de servidor web para cada função do sistema de sites Request the web server certificate for each site system role

Os dispositivos inscritos no-local gestão de dispositivos móveis têm de confiar pontos finais SSL que aloja o ponto de registo, ponto proxy de registo, ponto de distribuição e ponto de gestão de dispositivos.Devices enrolled for On-premises Mobile Device Management must trust SSL endpoints hosting the enrollment point, enrollment proxy point, distribution point, and device management point. Os passos abaixo descrevem como pedir o certificado de servidor Web do IIS.The steps below describe how to request the web server certificate for IIS. Tem de efetuar esta ação para cada servidor (ponto final SSL) que aloja uma das funções do sistema de sites necessárias no-no local a gestão de dispositivos móveis.You must do this for each server (SSL endpoint) hosting one of the required site system roles for On-premises Mobile Device Management.

  1. No servidor do site primário, abra a linha de comandos com a permissão de administrador, escreva MMC e prima Enter.On the primary site server, open command prompt with administrator permission, type MMC and press Enter.

  2. Na MMC, clique em Ficheiro > Adicionar/Remover Snap-in.In the MMC, click File > Add/Remove Snap-in.

  3. No snap-in Certificados, selecione Certificados, clique em Adicionar, selecione Conta de computador, clique em Seguinte, clique em Concluir e, em seguida, clique em OK para sair da janela Adicionar ou Remover Snap-in.In the Certificates snap-in, select Certificates, click Add, select Computer account, click Next, click Finish, and then click OK to exit the Add or Remove Snap-in window.

  4. Clique com o botão direito do rato em Pessoal e, em seguida, clique em Todas as Tarefas > Requisitar um Novo Certificado.Right-click Personal, and then click All Tasks > Request New Certificate.

  5. No assistente de Inscrição de Certificado, clique em Seguinte, selecione Política de Inscrição do Active Directory e clique em Seguinte.In the Certificate Enrollment wizard, click Next, select Active Directory Enrollment Policy and click Next.

  6. Selecione a caixa de verificação junto ao certificado do servidor Web (Servidor Web MDM do ConfigMgr) e, em seguida, clique em Inscrever.Select the checkbox next to the web server certificate (ConfigMgr MDM Web Server), and then click Enroll.

  7. Uma vez inscrito o certificado, clique em Concluir.Once certificate is enrolled, click Finish.

    Porque cada servidor precisará de um certificado de servidor web exclusivo, terá de repetir este processo para cada servidor que aloja uma das funções do sistema de sites necessárias no-no local a gestão de dispositivos móveis.Because each server will need a unique web server certificate, you need to repeat this process for every server hosting one of the required site system roles for On-premises Mobile Device Management. Se um servidor alojar todas as funções do sistema de sites, apenas terá de pedir um certificado de servidor Web.If one server hosts all the site system roles, you just need to request one web server certificate.

Vincular o certificado para o servidor web Bind the certificate to the web server

O novo certificado agora tem de ser vinculado ao servidor web de cada servidor do sistema de sites que alojam as funções do sistema de sites necessárias no-no local a gestão de dispositivos móveis.The new certificate now needs to be bound to the web server of each site system server hosting the required site system roles for On-premises Mobile Device Management. Siga os passos abaixo para cada servidor que aloja as funções do sistema de sites ponto de registo e ponto proxy de registo.Follow the steps below for each server hosting the enrollment point and enrollment proxy point site system roles. Se um servidor alojar todas as funções do sistema de sites, basta seguir estes passos uma vez.If one server hosts all the site system roles, you only need to follow these steps once. Não é necessário executar esta tarefa para as funções do sistema de sites ponto de distribuição e ponto de gestão de dispositivos, uma vez que estas recebem automaticamente o certificado necessário durante a inscrição.You do not have to do this task for the distribution point and device management point site system roles since they automatically receive the required certificate during enrollment.

  1. No servidor que aloja o ponto de registo, o ponto proxy de registo, o ponto de distribuição ou o ponto de gestão de dispositivos, clique em Iniciar > Ferramentas Administrativas > Gestor de IIS.On the server hosting the enrollment point, enrollment proxy point, distribution point, or device management point, click Start > Administrative Tools > IIS Manager.

  2. Em ligações, navegue para e faça duplo clique Web Site predefinidoe, em seguida, clique em editar enlaces...Under Connections, navigate to and right-click Default Web Site, and then click Edit Bindings...

  3. Na caixa de diálogo enlaces de Site, clique em httpse, em seguida, clique em editar...In Site Bindings dialog, click https, and then click Edit...

  4. Na caixa de diálogo Editar Enlace de Site, selecione o certificado que acabou de inscrever para o Certificado SSL, clique em OK e, em seguida, clique em Fechar.In the Edit Site Binding dialog, select the certificate you just enrolled for the SSL certificate, click OK, and then click Close.

  5. Na consola do Gestor de IIS, em Ligações, selecione o servidor Web e, em seguida, no painel Ações à direita, clique em Reiniciar.In IIS Manager console, under Connections, select the web server, and then in the right Actions panel, click Restart.

Exportar o certificado com a mesma raiz como o certificado de servidor web Export the certificate with the same root as the web server certificate

Normalmente, os Serviços de Certificados do Active Directory instalam o certificado necessário a partir da AC em todos os dispositivos associados a um domínio.Active Directory Certificate Services typically installs the required certificate from the CA on all domain-joined devices. No entanto, os dispositivos não associados a um domínio não conseguirão comunicar com as funções do sistema de sites sem o certificado da AC de raiz.But non-domain-joined devices will not be able to communicate with the site system roles without certificate from the root CA. Para obter o certificado necessário para que os dispositivos comuniquem com as funções do sistema de sites, pode exportá-lo a partir do certificado vinculado ao servidor Web.To get the certificate required for devices to communicate with the site system roles, you can export it from the certificate bound to the web server.

Siga estes passos para exportar o certificado de raiz do certificado do servidor Web.Follow these steps to export the root certificate of the web server's certificate.

  1. No Gestor de IIS, clique em Web Site predefinidoe, em seguida, no painel ação à direita, clique em enlaces...In IIS Manager, click Default Web Site, and then in the right Action panel, click Bindings...

  2. Na caixa de diálogo enlaces de Site, clique em httpse, em seguida, clique em editar...In the Site Bindings dialog, click https, and then click Edit...

  3. Certifique-se o certificado de servidor web está selecionado e clique em vista...Make sure the web server certificate is selected, and click View...

  4. Nas propriedades do certificado do servidor Web, clique em Caminho da Certificação, clique na raiz na parte superior do caminho da certificação e clique em Ver Certificado.In properties of the web server certificate, click Certification Path, click the root at the top of the certification path, and click View Certificate.

  5. Nas propriedades do certificado de raiz, clique em detalhese, em seguida, clique em copiar para ficheiro...In the properties of the root certificate, click Details, and then click Copy to File...

  6. No Assistente Para Exportar Certificados, clique em Seguinte.In the Certificate Export Wizard, click Next.

  7. Certifique-se de que Binário codificado DER X.509 (.CER) está selecionado como formato e clique em Seguinte.Make sure DER encoded binary X.509 (.CER) is selected for format, and click Next.

  8. Para o nome de ficheiro, clique em procurar... , escolha uma localização para guardar o ficheiro de certificado, nome de ficheiro e, em guardar.For the file name, click Browse..., choose a location to save the certificate file, name the file, and click Save.

    Os dispositivos a inscrever precisarão de acesso a este ficheiro para importar o certificado de raiz. Por isso, escolha uma localização comum, acessível pela maioria dos computadores e dispositivos, ou pode guardá-lo agora numa localização prática (como a unidade C) e movê-lo mais tarde para a localização comum.Devices to be enrolled will need access to this file to import the root certificate, so you choose a common location that most computers and devices can access, or you can save it to a convenient location now (like the C drive) and move it to common location later.

    Clique em Seguinte.Click Next.

  9. Reveja as definições e clique em Concluir.Review the settings, and click Finish .