Come configurare il modulo dei criteri per utilizzare un nuovo certificato client in Configuration Manager
Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
I server che eseguono il modulo criteri di Configuration Manager con il servizio ruolo Registrazione dispositivi di rete utilizzano un certificato client per l'autenticazione del modulo criteri per il server di sistema del sito del punto di registrazione certificati in System Center 2012 Configuration Manager. In genere, un certificato di autenticazione client è valido per un anno. Prima della scadenza del certificato, rinnovarlo, aggiornare il Registro di sistema per il nuovo certificato, quindi riavviare il server Web su cui è in esecuzione il servizio Registrazione dispositivi di rete.
Nota
Se il certificato è già scaduto, viene visualizzato "ERRORE("Impossibile inviare la richiesta HTTP <thumbprint>. Errore 12037", nel file NDESPlugin.log nel server che esegue il servizio Registrazione dispositivi di rete. Nel messaggio di errore <thumbprint> verrà sostituito con l'identificazione personale del certificato scaduto.
Per rinnovare il certificato:
Se il certificato client è stato richiesto manualmente, richiedere manualmente un nuovo certificato. Per distribuire più facilmente questo certificato, è possibile usare le istruzioni per Distribuzione del certificato client per punti di distribuzione nell'argomento Esempio dettagliato di distribuzione dei certificati PKI per Configuration Manager: Autorità di certificazione di Windows Server 2008 con un'eccezione: Non selezionare la casella di controllo Rendi la chiave privata esportabile nella scheda Gestione richiesta delle proprietà dei modelli di certificato.
Se questo certificato client è stato distribuito automaticamente utilizzando la registrazione di Criteri di gruppo, la configurazione predefinita richiede automaticamente un nuovo certificato prima della scadenza dell'originale.
Dopo la distribuzione del nuovo certificato sul server su cui è in esecuzione il servizio Registrazione dispositivi di rete e il modulo criteri di Configuration Manager, utilizzare la procedura seguente per configurare il server per l'utilizzo del nuovo certificato.
Per configurare il modulo dei criteri per l'utilizzo del nuovo certificato client
-
Sul server su cui è in esecuzione il servizio Registrazione dispositivi di rete e il modulo criteri di Configuration Manager, aprire l'editor del Registro di sistema e sostituire l'identificazione personale del vecchio certificato con l'identificazione personale del nuovo certificato usando la seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.
.jpeg "System_CAPS_tip")
SuggerimentoPer identificare l'identificazione personale per il nuovo certificato, individuare il certificato nell'archivio Computer usando lo snap-in Certificati. Fare quindi clic con il pulsante destro sul certificato, fare clic su Proprietà, fare clic su Visualizza certificato, fare clic sulla scheda Dettagli e quindi scorrere e selezionare Identificazione personale. Verrà quindi visualizzata e potrà essere copiata la stringa di caratteri esadecimali che rappresenta l'identificazione personale del certificato per questo certificato.
-
Riavviare i servizi del server Web utilizzando uno dei seguenti metodi:
Da Gestione Internet Information Services: Selezionare il nodo server Web nella struttura. Nel riquadro Azioni, fare clic su Riavvia.
Dalla riga di comando: Digitare iisreset /restart e premere Invio.
Per ulteriori informazioni, vedere Avvia o arresta il server Web (IIS 8) nella libreria Windows Server in TechNet.
È possibile confermare che Modulo criteri sta usando il nuovo certificato cercando la seguente voce nel file sul server che esegue il servizio Registrazione dispositivi di rete: INFO("NDES thumbprint is <thumbprint>.", wszBuffer);