Pré-requisitos para perfis de certificado no System Center Configuration ManagerPrerequisites for certificate profiles in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Perfis de certificado no System Center Configuration Manager tem dependências externas e dependências no produto.Certificate profiles in System Center Configuration Manager have external dependencies and dependencies in the product.

Dependências Externas ao Configuration ManagerDependencies External to Configuration Manager

DependênciaDependency Mais informaçõesMore information
Uma empresa autoridade de certificação (AC) emissora que esteja a executar os Serviços de Certificados do Active Directory (AD CS).An enterprise issuing certification authority (CA) that is running Active Directory Certificate Services (AD CS).

Para revogar certificados, a conta de computador do servidor do site no topo da hierarquia requer direitos de Emitir e Gerir Certificados para cada modelo de certificado utilizado por um perfil de certificado no Configuration Manager.To revoke certificates the computer account of the site server at the top of the hierarchy requires Issue and Manage Certificates rights for each certificate template used by a certificate profile in Configuration Manager. Em alternativa, conceda permissões ao Gestor de Certificados para conceder permissões em todos os modelos de certificado utilizados por essa ACAlternatively, grant Certificate Manager permissions to grant permissions on all certificate templates used by that CA

A aprovação do gestor para pedidos de certificado é suportada.Manager approval for certificate requests is supported. No entanto, os modelos de certificado que são utilizados para emitir certificados devem ser configurados para fornecer no pedido do requerente do certificado, para que o System Center Configuration Manager possa fornecer este valor automaticamente.However, the certificate templates that are used to issue certificates must be configured for Supply in the request for the certificate subject so that System Center Configuration Manager can automatically supply this value.
Para mais informações sobre os Serviços de Certificados do Active Directory, consulte a documentação do Windows Server.For more information about Active Directory Certificate Services, see your Windows Server documentation.

Para o Windows Server 2012: Descrição geral de serviços de certificados do Active DirectoryFor Windows Server 2012: Active Directory Certificate Services Overview

Para o Windows Server 2008: Serviços de certificados do Active Directory no Windows Server 2008For Windows Server 2008: Active Directory Certificate Services in Windows Server 2008
O serviço de função Serviço de Inscrição de Dispositivos de Rede para Serviços de Certificados do Active Directory, em execução no Windows Server 2012 R2.The Network Device Enrollment Service role service for Active Directory Certificate Services, running on Windows Server 2012 R2.

Além disso:In addition:

Os números de porta diferentes de TCP 443 (para HTTPS) ou TCP 80 (para HTTP) não são suportados para a comunicação entre o cliente e o Serviço de Inscrição de Dispositivos de Rede.Port numbers other than TCP 443 (for HTTPS) or TCP 80 (for HTTP) are not supported for the communication between the client and the Network Device Enrollment Service.

O servidor que estiver a executar o Serviço de Inscrição de Dispositivos de Rede tem de estar num servidor diferente da AC emissora.The server that is running the Network Device Enrollment Service must be on a different server from the issuing CA.
System Center Configuration Manager comunica com o serviço de inscrição de dispositivos de rede no Windows Server 2012 R2 para gerar e verificar pedidos Simple Certificate Enrollment Protocol (SCEP).System Center Configuration Manager communicates with the Network Device Enrollment Service in Windows Server 2012 R2 to generate and verify Simple Certificate Enrollment Protocol (SCEP) requests.

Se emitir certificados para utilizadores ou dispositivos que ligam a partir da Internet, tais como dispositivos móveis que são geridos pelo Microsoft Intune, esses dispositivos tem de ser capazes de aceder ao servidor que executa o serviço de inscrição de dispositivos de rede a partir da Internet.If you will issue certificates to users or devices that connect from the Internet, such as mobile devices that are managed by Microsoft Intune, those devices must be able to access the server that runs the Network Device Enrollment Service from the Internet. Por exemplo, instale o servidor numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada, e sub-rede filtrada).For example, install the server in a perimeter network (also known as a DMZ, demilitarized zone, and screened subnet).

Se tiver uma firewall entre o servidor que executa o Serviço de Inscrição de Dispositivos de Rede e a AC emissora, tem de configurar a firewall para permitir o tráfego de comunicação (DCOM) entre os dois servidores.If you have a firewall between the server that is running the Network Device Enrollment Service and the issuing CA, you must configure the firewall to allow the communication traffic (DCOM) between the two servers. Este requisito da firewall também se aplica para o servidor que executa o servidor de site do System Center Configuration Manager e a AC emissora, para que o System Center Configuration Manager possa revogar certificados.This firewall requirement also applies to the server running the System Center Configuration Manager site server and the issuing CA, so that System Center Configuration Manager can revoke certificates.

Se o serviço de inscrição de dispositivos de rede estiver configurado para exigir SSL, é melhor prática de segurança para se certificar de que a ligação dos dispositivos pode aceder a lista de revogação de certificados (CRL) para validar o certificado de servidor.If the Network Device Enrollment Service is configured to require SSL, a security best practice is to make sure that connecting devices can access the certificate revocation list (CRL) to validate the server certificate.

Para mais informações sobre o Serviço de Inscrição de Dispositivos de Rede no Windows Server 2012 R2, veja Utilizar um Módulo de Política com o Serviço de Inscrição de Dispositivos de Rede.For more information about the Network Device Enrollment Service in Windows Server 2012 R2, see Using a Policy Module with the Network Device Enrollment Service.
Se a AC emissora executar o Windows Server 2008 R2, este servidor requer uma correção para pedidos de renovação SCEP.If the issuing CA runs Windows Server 2008 R2, this server requires a hotfix for SCEP renewal requests. Se a correção ainda não estiver instalada no computador da AC emissora, instale a correção.If the hotfix is not already installed on the issuing CA computer, install the hotfix. Para obter mais informações, consulte o artigo 2483564: Pedido de renovação de um certificado SCEP falha no Windows Server 2008 R2 se o certificado for gerido através de NDES na Base de dados de Conhecimento Microsoft.For more information, see article 2483564: Renewal request for an SCEP certificate fails in Windows Server 2008 R2 if the certificate is managed by using NDES in the Microsoft Knowledge Base.
Um certificado de autenticação de cliente PKI e o certificado da AC de raiz exportado.A PKI client authentication certificate and exported root CA certificate. Este certificado autentica o servidor que está a executar o serviço de inscrição de dispositivos de rede para o System Center Configuration Manager.This certificate authenticates the server that is running the Network Device Enrollment Service to System Center Configuration Manager.

Para obter informações, veja Requisitos de certificado PKI para o System Center Configuration Manager.For more information, see PKI certificate requirements for System Center Configuration Manager.
Sistemas operativos de dispositivos suportados.Supported device operating systems. É possível implementar perfis de certificado em dispositivos que utilizam os sistemas operativos iOS, Windows 8.1, Windows RT 8.1, Windows 10 e Android.You can deploy certificate profiles to devices that run iOS, Windows 8.1, Windows RT 8.1, Windows 10, and Android operating systems.

Dependências do Configuration ManagerConfiguration Manager Dependencies

DependênciaDependency Mais informaçõesMore information
Função do sistema de sites do ponto de registo de certificadosCertificate registration point site system role Para poder utilizar perfis de certificado, é necessário instalar a função do sistema de sites do ponto de registo de certificados.Before you can use certificate profiles, you must install the certificate registration point site system role. Esta função comunica com a base de dados do System Center Configuration Manager, o servidor de site do System Center Configuration Manager e o módulo de política do System Center Configuration Manager.This role communicates with the System Center Configuration Manager database, the System Center Configuration Manager site server, and the System Center Configuration Manager Policy Module.

Para obter mais informações sobre os requisitos de sistema para esta função de sistema de sites e onde instalar a função na hierarquia, consulte o requisitos de sistema de sites secção o configurações suportadas para o System Center Configuration Manager tópico.For more information about system requirements for this site system role and where to install the role in the hierarchy, see the Site System Requirements section in the Supported configurations for System Center Configuration Manager topic.

Tenha em consideração que o ponto de registo de certificados não deve ser instalado no mesmo servidor que executa o Serviço de Inscrição de Dispositivos de Rede.Note that the certificate registration point must not be installed on the same server that runs the Network Device Enrollment Service.
System Center Configuration Manager módulo de política que está instalado no servidor que está a executar o serviço de função Serviço de inscrição de dispositivos de rede para serviços de certificados do Active DirectorySystem Center Configuration Manager Policy Module that is installed on the server that is running the Network Device Enrollment Service role service for Active Directory Certificate Services Para implementar perfis de certificado, tem de instalar o módulo de política do System Center Configuration Manager.To deploy certificate profiles, you must install the System Center Configuration Manager Policy Module. Pode encontrar este módulo de política no suporte de instalação do System Center Configuration Manager.You can find this policy module on the System Center Configuration Manager installation media.
Dados de deteçãoDiscovery data Os valores para o requerente do certificado e o nome alternativo do requerente são fornecidos pelo System Center Configuration Manager e obtidos nas informações recolhidas pela Deteção:Values for the certificate subject and the subject alternative name are supplied by System Center Configuration Manager and retrieved from information that is collected from discovery:

Para certificados de utilizador: Deteção de Utilizadores do Active DirectoryFor user certificates: Active Directory User Discovery

Para certificados de computador: Deteção de sistemas do Active Directory e deteção de redeFor computer certificates: Active Directory System Discovery and Network Discovery
Permissões de segurança específicas para gerir perfis de certificadoSpecific security permissions to manage certificate profiles Tem de ter as seguintes permissões de segurança para gerir definições de acesso a recursos da empresa, tais como perfis de certificado, perfis Wi-Fi e perfis VPN:You must have the following security permissions to manage company resource access settings, such as certificate profiles, Wi-Fi profiles and VPN profiles:

Para ver e gerir alertas e relatórios para perfis de certificado: Criar, eliminar, modificar, modificar relatório, leitura, e executar relatório para o alertas objeto.To view and manage alerts and reports for certificate profiles: Create, Delete, Modify, Modify Report, Read, and Run Report for the Alerts object.

Para criar e gerir perfis de certificado: Política de autor, modificar relatório, leitura e executar relatório para o perfil de certificado objeto.To create and manage certificate profiles: Author Policy, Modify Report, Read and Run Report for the Certificate Profile object.

Para gerir Wi-Fi, certificado e VPN implementações de perfis: Implementar políticas de configuração, modificar cliente alerta de estado, leitura, e ler recurso para o coleção objeto.To manage Wi-Fi, certificate and VPN profile deployments: Deploy Configuration Policies, Modify Client Status Alert, Read, and Read Resource for the Collection object.

Para gerir todas as políticas de configuração: Criar, eliminar, modificar, leitura e definir âmbito de segurança para o política de configuração objeto.To manage all configuration policies: Create, Delete, Modify, Read and Set Security Scope for the Configuration Policy object.

Para executar consultas relacionadas com perfis de certificado: Leitura permissão para o consulta objeto.To run queries related to certificate profiles: Read permission for the Query object.

Para ver informações sobre perfis de certificado na consola do System Center Configuration Manager: Leitura permissão para o Site objeto.To view certificate profiles information in the System Center Configuration Manager console: Read permission for the Site object.

Para ver mensagens de estado para perfis de certificado: Leitura permissão para o mensagens de estado objeto.To view status messages for certificate profiles: Read permission for the Status Messages object.

Para criar e modificar o perfil de certificado de AC fidedigna: Política de autor, modificar relatório, leitura e executar relatório para o perfil de certificado de AC fidedigna objeto.To create and modify the Trusted CA certificate profile: Author Policy, Modify Report, Read and Run Report for the Trusted CA Certificate Profile object.

Para criar e gerir perfis VPN: Política de autor, modificar relatório, leitura e executar relatório para o perfil da VPN objeto.To create and manage VPN profiles: Author Policy, Modify Report, Read and Run Report for the VPN Profile object.

Para criar e gerir perfis Wi-Fi: Política de autor, modificar relatório, leitura e executar relatório para o perfil Wi-Fi objeto.To create and manage Wi-Fi profiles: Author Policy, Modify Report, Read and Run Report for the Wi-Fi Profile object.

O Gestor de acesso a recursos da empresa função de segurança inclui estas permissões que são necessárias para gerir perfis de certificado no System Center Configuration Manager.The Company Resource Access Manager security role includes these permissions that are required to manage certificate profiles in System Center Configuration Manager. Para mais informações, veja a secção Configurar a administração baseada em funções do tópico Configurar a segurança no System Center Configuration Manager.For more information, see the Configure role-based administration section in the Configure security in System Center Configuration Manager topic.