Criar perfis de certificado
Aplica-se a: Configuration Manager (ramo atual)
Importante
A partir da versão 2103 do Gestor de Configuração, esta funcionalidade de acesso a recursos da empresa é depreciada. Utilize Microsoft Intune para implementar perfis de acessoa recursos .
Utilize perfis de certificados no Gestor de Configuração para obter dispositivos geridos com os certificados de que necessitam para aceder aos recursos da empresa. Antes de criar perfis de certificados, crie a infraestrutura de certificados descrita na infraestrutura de certificados configurada.
Este artigo descreve como criar perfis de certificados de raiz fidedigna e simples certificado (SCEP). Se pretender criar perfis de certificado PFX, consulte os perfis de certificados Create PFX.
Para criar um perfil de certificado:
- Inicie o Assistente de Perfil de Certificado criar.
- Fornecer informações gerais sobre o certificado.
- Configure um certificado de autoridade de certificados de confiança (CA).
- Configure informações sobre o certificado SCEP.
- Especifique plataformas suportadas para o perfil do certificado.
Inicie o assistente
Para iniciar o Perfil de Certificado criar:
Na consola 'Gestor de Configuração', vá ao espaço de trabalho Ativos e Compliance, expanda o Compliance Definições, expanda o Acesso de Recursos da Empresa e, em seguida, selecione o nó perfis de certificado.
No separador Casa da fita, no grupo Criar, selecione Criar Perfil de Certificado.
Geral
Na página Geral do Assistente Criar Perfil de Certificado , especifique as seguintes informações:
Nome: introduza um nome exclusivo para o perfil do certificado. Pode utilizar até 256 carateres.
Descrição: Forneça uma descrição que dê uma visão geral do perfil do certificado. Inclua também outras informações relevantes que ajudam a identificá-la na consola Do Gestor de Configuração. Pode utilizar até 256 carateres.
Especifique o tipo de perfil de certificado que pretende criar:
Certificado de CA fidedigno: Selecione este tipo para implantar uma autoridade de certificação de raiz fidedigna (CA) ou certificado de CA intermédio para formar uma cadeia de certificados de confiança quando o utilizador ou dispositivo deve autenticar outro dispositivo. Por exemplo, o dispositivo poderá ser um servidor RADIUS (Remote Authentication Dial-In User Service) ou um servidor de rede privada virtual (VPN).
Configurar também um perfil de certificado ca fidedigno antes de poder criar um perfil de certificado SCEP. Neste caso, o certificado de CA fidedigno deve ser para a AC que emite o certificado ao utilizador ou dispositivo.
Definições do Protocolo de Inscrição de Certificados Simples (SCEP): Selecione este tipo para solicitar um certificado para um utilizador ou dispositivo com o Protocolo de Inscrição de Certificado Simples e o serviço de inscrição de dispositivos de rede (NDES).
Informações Pessoais Exchange definições de PKCS #12 (PFX) - Importação: Selecione esta opção para importar um certificado PFX. Para obter mais informações, consulte os perfis de certificados Import PFX.
Informações Pessoais Exchange definições de #12 PKCS (PFX) - Criar: Selecione esta opção para processar certificados PFX utilizando uma autoridade de certificado. Para obter mais informações, consulte os perfis de certificados Create PFX.
Certificado ca fidedigno
Importante
Antes de criar um perfil de certificado SCEP, configuure pelo menos um perfil de certificado ca fidedigno.
Após a utilização do certificado, se alterar algum destes valores, é solicitado um novo certificado:
- Fornecedor de Armazenamento chave
- Nome do modelo de certificado
- Tipo de certificado
- Formato do nome do requerente
- Nome alternativo sujeito
- Período de validade do certificado
- Utilização de chaves
- Tamanho da chave
- Utilização alargada da chave
- Certificado root CA
Na página Certificado de AC fidedigna do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:
Arquivo do certificado: Selecione Import, e, em seguida, navegue no ficheiro do certificado.
Armazenamento de destino: para dispositivos que tenham mais do que um armazenamento de certificados, selecione onde pretende armazenar o certificado. Para dispositivos que têm apenas um armazenamento, esta definição é ignorada.
Utilize o valor da impressão digital do Certificado para verificar se importou o certificado correto.
Certificados SCEP
1. Servidores SCEP
Na página Servidores do SCEP do Assistente para Criar Perfil de Certificado, especifique os URLs para os Servidores NDES que irão emitir certificados através do SCEP. Pode atribuir automaticamente um URL NDES com base na configuração do ponto de registo do certificado ou adicionar URLs manualmente.
2. Inscrição no SCEP
Preencha a página de inscrição SCEP do Assistente de Perfil de Certificado.
Retração: Especifique o número de vezes que o dispositivo recauchutado automaticamente o pedido de certificado para o servidor NDES. Esta definição apoia o cenário em que um gestor da AC deve aprovar um pedido de certificado antes de ser aceite. Esta definição é normalmente utilizada para ambientes de alta segurança ou se tiver uma AC emissora autónoma, em vez de uma AC empresarial. Também poderá utilizar esta definição para fins de teste, para poder inspecionar as opções de pedido de certificado antes de a AC emissora processar o pedido de certificado. Utilize esta definição com a definição Intervalo entre repetições (minutos) .
Atraso da tentativa (minutos): especifique o intervalo, em minutos, entre cada tentativa de inscrição quando utilizar a aprovação do gestor de AC antes de a AC emissora processar o pedido de certificado. Se utilizar a aprovação do gestor para efeitos de teste, especifique um valor baixo. Então não está à espera muito tempo para que o dispositivo relemisse o pedido de certificado depois de aprovar o pedido.
Se utilizar a aprovação do gestor numa rede de produção, especifique um valor mais elevado. Este comportamento permite tempo suficiente para o administrador da AC aprovar ou negar aprovações pendentes.
Limiar da renovação (%): especifique a percentagem da duração do certificado que permanece antes de o dispositivo pedir renovação do certificado.
Principal Armazenamento Fornecedor (KSP): Especifique onde a chave do certificado está armazenada. Escolha um dos seguintes valores:
Instalar no Trusted Platform Module (TPM) caso esteja presente: instala a chave no TPM. Se o TPM não estiver presente, a chave é instalada no fornecedor de armazenamento para a chave de software.
Instalar no Trusted Platform Module (TPM) ou não instalar: instala a chave no TMP. Se o módulo TPM não estiver presente, a instalação falha.
Instalação para Windows Hello para Negócios: Esta opção está disponível para dispositivos Windows 10. Permite armazenar o certificado na loja Windows Hello para Negócios, que está protegida por autenticação multi-fator. Para mais informações, consulte Windows Hello para Negócios.
Nota
Esta opção não suporta o início de sísmis do cartão Inteligente para a utilização da chave melhorada na página Certificate Properties.
Instalar no Fornecedor de Armazenamento de Chaves: instala a chave no fornecedor de armazenamento da chave de software.
Dispositivos para a inscrição do certificado : Se implementar o perfil do certificado numa coleção de utilizadores, permita a inscrição de certificado apenas no dispositivo primário do utilizador ou em qualquer dispositivo em que o utilizador se insinue.
Se implementar o perfil do certificado numa recolha do dispositivo, permita a inscrição de certificado apenas para o utilizador principal do dispositivo, ou para todos os utilizadores que iniciarem sessão no dispositivo.
3. Propriedades de Certificado
Na página Propriedades do Certificado do Assistente para Criar Perfil de Certificado, especifique as seguintes informações:
Nome do modelo de certificado: Selecione o nome de um modelo de certificado que configurar em NDES e adicionado a um CA emissor. Para navegar com sucesso para modelos de certificados, a sua conta de utilizador precisa de ler a permissão de leitura para o modelo de certificado. Se não puder procurar o certificado, escreva o seu nome.
Importante
Se o nome do modelo de certificado contiver caracteres não ASCII, o certificado não é implantado. (Um exemplo destes caracteres é do alfabeto chinês.) Para se certificar de que o certificado é implantado, primeiro crie uma cópia do modelo de certificado na AC. Em seguida, mude o nome da cópia utilizando caracteres ASCII.
Se procurar para selecionar o nome do modelo de certificado, alguns campos da página povoam automaticamente do modelo de certificado. Em alguns casos, não pode alterar estes valores a menos que escolha um modelo de certificado diferente.
Se escrever o nome do modelo de certificado, certifique-se de que o nome corresponde exatamente a um dos modelos de certificado. Deve corresponder aos nomes listados no registo do servidor NDES. Certifique-se de que especifica o nome do modelo de certificado e não o nome de exibição do modelo de certificado.
Para encontrar os nomes dos modelos de certificados, consulte a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Ele lista os modelos de certificado como os valores para EncryptionTemplate, GeneralPurposeTemplate, e SignatureTemplate. Por predefinição, o valor dos três modelos de certificado é IPSECIntermediateOffline, que é mapeado para o nome a apresentar de modelo IPSec (Pedido offline).Aviso
Quando digita o nome do modelo de certificado, o Gestor de Configuração não pode verificar o conteúdo do modelo de certificado. Poderá selecionar opções que o modelo de certificado não suporta, o que pode resultar num pedido de certificado falhado. Quando este comportamento acontecer, verá uma mensagem de erro para w3wp.exe no RCP.log ficheiro que o nome do modelo no pedido de assinatura de certificado (CSR) e o desafio não correspondem.
Quando escrever o nome do modelo de certificado especificado para o valor GeneralPurposeTemplate, selecione o ciframento da Chave e as opções de assinatura Digital para este perfil de certificado. Se pretender ativar apenas a opção de cifração chave neste perfil de certificado, especifique o nome do modelo de certificado para a tecla EncryptionTemplate. Da mesma forma, se pretender ativar apenas a opção Assinatura digital neste perfil de certificado, especifique o nome do modelo de certificado da chave SignatureTemplate .
Tipo de certificado: Selecione se irá implantar o certificado num dispositivo ou num utilizador.
Formato nome do assunto: Selecione como o Gestor de Configuração cria automaticamente o nome do sujeito no pedido de certificado. Se o certificado se destinar a um utilizador, pode também incluir o endereço de e-mail do utilizador no nome do requerente.
Nota
Se selecionar o número IMEI ou o número de série, pode diferenciar os diferentes dispositivos que são propriedade do mesmo utilizador. Por exemplo, estes dispositivos podem partilhar um nome comum, mas não um número IMEI ou número de série. Se o dispositivo não reportar um IMEI ou número de série, o certificado é emitido com o nome comum.
Nome alternativo do assunto: Especifique como o Gestor de Configuração cria automaticamente os valores para o nome alternativo do sujeito (SAN) no pedido de certificado. Por exemplo, se tiver selecionado um tipo de certificado de utilizador, pode incluir o nome principal de utilizador (UPN) no nome alternativo do requerente. Se o certificado de cliente autenticar num Servidor de Política de Rede, desajei o nome alternativo do assunto à UPN.
Período de validade do certificado : Se definir um período de validade personalizado na AE emissora, especifique o tempo restante antes do termo do certificado.
Dica
Desalinde um período de validade personalizado com a seguinte linha de comando:
certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEPara obter mais informações sobre este comando, consulte a infraestrutura certificate.Pode especificar um valor inferior ao período de validade no modelo de certificado especificado, mas não superior. Por exemplo, se o período de validade do certificado no modelo de certificado for de dois anos, pode especificar um valor de um ano, mas não um valor de cinco anos. O valor deve também ser inferior ao período de validade restante do certificado da AC emissora.
Utilização de chave: especifique as opções de utilização de chave para este certificado. Pode escolher uma das seguintes opções:
Cifragem de chaves: permitir a troca de chaves apenas quando a chave for encriptada.
Assinatura digital: permitir a troca de chaves apenas quando uma assinatura digital ajudar a proteger a chave.
Se navegue por um modelo de certificado, não poderá alterar estas definições, a menos que selecione um modelo de certificado diferente.
Configure o modelo de certificado selecionado com uma ou ambas as opções de utilização principais acima. Caso contrário, verá a seguinte mensagem no ficheiro de registo de ponto de registo de certificado, Crp.log: Utilização da chave na RSE e desafio não correspondem
Tamanho da chave (bits): selecione o tamanho da chave em bits.
Utilização da chave estendida: Adicione valores para o fim a que se destina o certificado. Na maioria dos casos, o certificado exige a Autenticação de Cliente para o utilizador ou dispositivo poder ser autenticado num servidor. Pode adicionar quaisquer outras utilizações de chave conforme necessário.
Algoritmo hash: selecione um dos tipos de algoritmo hash disponíveis para utilizar com este certificado. Selecione o maior nível de segurança que os dispositivos de ligação suportam.
Nota
O SHA-2 suporta SHA-256, SHA-384 e SHA-512. O SHA-3 suporta apenas SHA-3.
Certificado Root CA: Escolha um perfil de certificado de CA raiz que tenha configurado e implantado previamente para o utilizador ou dispositivo. Este certificado de CA deve ser o certificado de raiz para a AC que emitirá o certificado que está configurando neste perfil de certificado.
Importante
Se especificar um certificado de CA de raiz que não seja implantado no utilizador ou dispositivo, o Gestor de Configuração não iniciará o pedido de certificado que está a configurar neste perfil de certificado.
Plataformas suportadas
Na página de Plataformas Suportadas do Assistente de Perfil de Certificado, selecione as versões OS onde pretende instalar o perfil de certificado. Escolha Selecione tudo para instalar o perfil do certificado em todos os sistemas operativos disponíveis.
Passos seguintes
O novo perfil de certificado aparece no nó perfis de certificado no espaço de trabalho Ativos e Compliance. Está pronto para implementar para utilizadores ou dispositivos. Para obter mais informações, consulte Como implementar perfis.