Configurar a infraestrutura de certificado

Aplica-se a: Gerenciador de Configurações (branch atual)

Importante

A partir da versão 2203, esse recurso de acesso a recursos da empresa não tem mais suporte. Para obter mais informações, confira Perguntas frequentes sobre a preterição do acesso ao recurso.

Aprenda a configurar a infraestrutura de certificado no Configuration Manager. Antes de começar, verifique se há pré-requisitos listados em Pré-requisitos para perfis de certificado.

Use estas etapas para configurar sua infraestrutura para certificados SCEP ou PFX.

Etapa 1 – Instalar e configurar o Serviço de Registro de Dispositivo de Rede e dependências (somente para certificados SCEP)

Você deve instalar e configurar o serviço de função serviço de registro de dispositivo de rede para AD CS (Active Directory Certificate Services), alterar as permissões de segurança nos modelos de certificado, implantar um certificado de autenticação de cliente PKI (infraestrutura de chave pública) e editar o registro para aumentar o limite de tamanho padrão de URL dos Serviços de Informações da Internet (IIS). Se necessário, você também deve configurar a autoridade de certificação emissora (AC) para permitir um período de validade personalizado.

Importante

Antes de configurar Configuration Manager para trabalhar com o Serviço de Registro de Dispositivo de Rede, verifique a instalação e a configuração do Serviço de Registro de Dispositivo de Rede. Se essas dependências não estiverem funcionando corretamente, você terá dificuldade em solucionar problemas de registro de certificado usando Configuration Manager.

Para instalar e configurar o Serviço de Registro de Dispositivo de Rede e as dependências

  1. Em um servidor que está executando Windows Server 2012 R2, instale e configure o serviço de função serviço de registro de dispositivo de rede para a função de servidor do Active Directory Certificate Services. Para obter mais informações, consulte Diretrizes do Serviço de Registro de Dispositivo de Rede.

  2. Verifique e, se necessário, modifique as permissões de segurança para os modelos de certificado que o Serviço de Registro de Dispositivo de Rede está usando:

    • Para a conta que executa o console Configuration Manager: permissão de leitura.

      Essa permissão é necessária para que, ao executar o Assistente criar perfil de certificado, você possa navegar para selecionar o modelo de certificado que deseja usar ao criar um perfil de configurações scep. Selecionar um modelo de certificado significa que algumas configurações no assistente são preenchidas automaticamente, portanto, há menos para você configurar e há menos risco de selecionar configurações que não são compatíveis com os modelos de certificado que o Serviço de Registro de Dispositivo de Rede está usando.

    • Para a conta do Serviço SCEP que o pool de aplicativos do Serviço de Registro de Dispositivo de Rede usa: Permissões de leitura e registro .

      Esse requisito não é específico para Configuration Manager mas faz parte da configuração do Serviço de Registro de Dispositivo de Rede. Para obter mais informações, consulte Diretrizes do Serviço de Registro de Dispositivo de Rede.

    Dica

    Para identificar quais modelos de certificado o Serviço de Registro de Dispositivo de Rede está usando, exiba a seguinte chave de registro no servidor que está executando o Serviço de Registro de Dispositivo de Rede: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

    Observação

    Essas são as permissões de segurança padrão que serão apropriadas para a maioria dos ambientes. No entanto, você pode usar uma configuração de segurança alternativa. Para obter mais informações, consulte Planejamento de permissões de modelo de certificado para perfis de certificado.

  3. Implante neste servidor um certificado PKI que dá suporte à autenticação do cliente. Você pode já ter um certificado adequado instalado no computador que você pode usar ou talvez precise (ou preferir) implantar um certificado especificamente para essa finalidade. Para obter mais informações sobre os requisitos para este certificado, consulte os detalhes para servidores que executam o Módulo de Política Configuration Manager com o serviço de função serviço de registro de dispositivo de rede na seção Certificados PKI para Servidores nos requisitos de certificado PKI para Configuration Manager tópico.

    Dica

    Se você precisar de ajuda para implantar esse certificado, poderá usar as instruções para Implantar o Certificado de Cliente para Pontos de Distribuição, pois os requisitos de certificado são os mesmos com uma exceção:

    • Não selecione a caixa de seleção Permitir que a chave privada seja exportada na guia Tratamento de Solicitações das propriedades do modelo de certificado.

      Você não precisa exportar esse certificado com a chave privada porque poderá navegar até o repositório de computadores local e selecioná-lo ao configurar o Módulo de Política Configuration Manager.

  4. Localize o certificado raiz ao qual o certificado de autenticação do cliente é acorrentado. Em seguida, exporte esse certificado de AC raiz para um arquivo de certificado (.cer). Salve esse arquivo em um local protegido que você pode acessar com segurança quando instalar e configurar o servidor do sistema de site para o ponto de registro de certificado.

  5. No mesmo servidor, use o editor do registro para aumentar o limite de tamanho de URL padrão do IIS definindo os seguintes valores DWORD da chave do registro em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

  6. No mesmo servidor, no Gerenciador dos Serviços de Informações da Internet (IIS), modifique as configurações de filtragem de solicitação para o aplicativo /certsrv/mscep e reinicie o servidor. Na caixa de diálogo Editar Configurações de Filtragem de Solicitação , as configurações de Limites de Solicitação devem ser as seguintes:

    • Comprimento máximo de conteúdo permitido (Bytes): 30000000

    • Comprimento máximo da URL (Bytes): 65534

    • Cadeia de caracteres de consulta máxima (Bytes): 65534

      Para obter mais informações sobre essas configurações e como configurá-las, consulte Limites de Solicitações do IIS.

  7. Se você quiser ser capaz de solicitar um certificado que tenha um período de validade menor do que o modelo de certificado que você está usando: essa configuração é desabilitada por padrão para uma AC corporativa. Para habilitar essa opção em uma AC corporativa, use a ferramenta de linha de comando Certutil e, em seguida, pare e reinicie o serviço de certificado usando os seguintes comandos:

    1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

      Para obter mais informações, consulte Ferramentas e configurações dos serviços de certificado.

  8. Verifique se o Serviço de Registro de Dispositivo de Rede está funcionando usando o seguinte link como exemplo: https://server.contoso.com/certsrv/mscep/mscep.dll. Você deve ver a página interna do Serviço de Registro de Dispositivo de Rede. Esta página da Web explica qual é o serviço e explica que os dispositivos de rede usam a URL para enviar solicitações de certificado.

    Agora que o Serviço de Registro de Dispositivo de Rede e as dependências estão configurados, você está pronto para instalar e configurar o ponto de registro do certificado.

Etapa 2 – Instalar e configurar o ponto de registro de certificado.

Você deve instalar e configurar pelo menos um ponto de registro de certificado na hierarquia Configuration Manager e instalar essa função de sistema de site no site de administração central ou em um site primário.

Importante

Antes de instalar o ponto de registro do certificado, consulte a seção Requisitos do Sistema de Site nas configurações com suporte para Configuration Manager tópico para requisitos e dependências do sistema operacional para o ponto de registro do certificado.

Para instalar e configurar o ponto de registro de certificado
  1. No console Configuration Manager, clique em Administração.

  2. No workspace Administração , expanda Configuração do Site, clique em Servidores e Funções do Sistema de Site e selecione o servidor que você deseja usar para o ponto de registro de certificado.

  3. Na guia Página Inicial , no grupo Servidor , clique em Adicionar Funções do Sistema de Site.

  4. Na página Geral , especifique as configurações gerais para o sistema de sites e clique em Avançar.

  5. Na página Proxy , clique em Avançar. O ponto de registro de certificado não usa configurações de proxy da Internet.

  6. Na página Seleção de Função do Sistema , selecione Ponto de registro de certificado na lista de funções disponíveis e clique em Avançar.

  7. Na página Modo de Registro de Certificado , selecione se você deseja que esse ponto de registro de certificado processe solicitações de certificado SCEP ou processe solicitações de certificado PFX. Um ponto de registro de certificado não pode processar ambos os tipos de solicitações, mas você pode criar vários pontos de registro de certificado se estiver trabalhando com ambos os tipos de certificado.

    Se estiver processando certificados PFX, você precisará escolher uma autoridade de certificado, Microsoft ou Confie.

  8. A página Configurações do Ponto de Registro de Certificado varia de acordo com o tipo de certificado:

    • Se você selecionou Processar solicitações de certificado SCEP, configure o seguinte:

      • Nome do site, número da porta HTTPS e nome do aplicativo virtual para o ponto de registro do certificado. Esses campos são preenchidos automaticamente com valores padrão.
      • URL para o Serviço de Registro de Dispositivo de Rede e o certificado de AC raiz – Clique em Adicionar e, em seguida, na caixa de diálogo Adicionar URL e Certificado de AC Raiz , especifique o seguinte:
        • URL do Serviço de Registro de Dispositivo de Rede: especifique a URL no seguinte formato: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Por exemplo, se o FQDN do servidor que está executando o Serviço de Registro de Dispositivo de Rede for server1.contoso.com, digite https://server1.contoso.com/certsrv/mscep/mscep.dll.
        • Certificado de AC raiz: navegue até e selecione o arquivo de certificado (.cer) que você criou e salvou na Etapa 1: instalar e configurar o Serviço de Registro de Dispositivo de Rede e as dependências. Esse certificado de AC raiz permite que o ponto de registro de certificado valide o certificado de autenticação do cliente que o Módulo de Política Configuration Manager usará.
    • Se você selecionou Processar solicitações de certificado PFX, configure os detalhes da conexão e as credenciais para a autoridade de certificado selecionada.

      • Para usar Microsoft como autoridade de certificado, clique em Adicionar na caixa de diálogo Adicionar uma Autoridade de Certificado e Conta, especifique o seguinte:

        • Nome do Servidor da Autoridade de Certificado – insira o nome do servidor de autoridade de certificado.

        • Conta da Autoridade de Certificado – clique em Definir para selecionar ou criar a conta que tem permissões para se registrar em modelos na autoridade de certificação.

        • Conta de Conexão de Ponto de Registro de Certificado – Selecione ou crie a conta que conecta o ponto de registro de certificado ao banco de dados Configuration Manager. Alterativamente, você pode usar a conta de computador local do computador que hospeda o ponto de registro de certificado.

        • Conta de Publicação de Certificados do Active Directory – Selecione uma conta ou crie uma nova conta que será usada para publicar certificados em objetos de usuário no Active Directory.

        • Na URL da caixa de diálogo Registro de Dispositivo de Rede e certificado raiz da AC , especifique o seguinte e clique em OK:

      • Para usar o Entrust como autoridade de certificado, especifique:

        • A URL do serviço Web MDM

        • O nome de usuário e as credenciais de senha para a URL.

          Ao usar a API MDM para definir a URL do serviço Web Entrust, use pelo menos a versão 9 da API, conforme mostrado no exemplo a seguir:

          https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

          Versões anteriores da API não dão suporte a Entrust.

  9. Clique em Avançar e conclua o assistente.

  10. Aguarde alguns minutos para que a instalação seja concluída e verifique se o ponto de registro do certificado foi instalado com êxito usando qualquer um dos seguintes métodos:

    • No workspace Monitoramento , expanda Status do Sistema, clique em Status do Componente e procure mensagens de status do componente SMS_CERTIFICATE_REGISTRATION_POINT .

    • No servidor do sistema de site, use o <arquivo ConfigMgr Installation Path>\Logs\crpsetup.log e <o arquivo ConfigMgr Installation Path>\Logs\crpmsi.log. Uma instalação bem-sucedida retornará um código de saída de 0.

    • Usando um navegador, verifique se você pode se conectar à URL do ponto de registro de certificado. Por exemplo, https://server1.contoso.com/CMCertificateRegistration. Você deve ver uma página Erro do Servidor para o nome do aplicativo, com uma descrição HTTP 404.

  11. Localize o arquivo de certificado exportado para a AC raiz que o ponto de registro de certificado criou automaticamente na seguinte pasta no computador do servidor de site primário: <ConfigMgr Installation Path>\inboxes\certmgr.box. Salve esse arquivo em um local protegido que você pode acessar com segurança quando instalar o Módulo de Política Configuration Manager no servidor que está executando o Serviço de Registro de Dispositivo de Rede.

    Dica

    Esse certificado não está disponível imediatamente nesta pasta. Talvez seja necessário esperar um pouco (por exemplo, meia hora) antes que Configuration Manager copie o arquivo para esse local.

Etapa 3 – Instalar o Módulo de Política de Configuration Manager (somente para certificados SCEP).

Você deve instalar e configurar o Módulo de Política Configuration Manager em cada servidor especificado na Etapa 2: instalar e configurar o ponto de registro de certificado como URL para o Serviço de Registro de Dispositivo de Rede nas propriedades do ponto de registro do certificado.

Para instalar o Módulo de Política
  1. No servidor que executa o Serviço de Registro de Dispositivo de Rede, faça logon como administrador de domínio e copie os seguintes arquivos da <pasta ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 na mídia de instalação Configuration Manager para uma pasta temporária:

    • PolicyModule.msi

    • PolicyModuleSetup.exe

    Além disso, se você tiver uma pasta LanguagePack na mídia de instalação, copie esta pasta e seu conteúdo.

  2. Na pasta temporária, execute PolicyModuleSetup.exe para iniciar o assistente de instalação do módulo de política de Configuration Manager.

  3. Na página inicial do assistente, clique em Avançar, aceite os termos da licença e clique em Avançar.

  4. Na página Pasta de Instalação , aceite a pasta de instalação padrão para o módulo de política ou especifique uma pasta alternativa e clique em Avançar.

  5. Na página Ponto de Registro de Certificado , especifique a URL do ponto de registro do certificado usando o FQDN do servidor do sistema de site e o nome do aplicativo virtual especificado nas propriedades para o ponto de registro do certificado. O nome do aplicativo virtual padrão é CMCertificateRegistration. Por exemplo, se o servidor do sistema de site tiver um FQDN de server1.contoso.com e você usar o nome do aplicativo virtual padrão, especifique https://server1.contoso.com/CMCertificateRegistration.

  6. Aceite a porta padrão de 443 ou especifique o número de porta alternativa que o ponto de registro de certificado está usando e clique em Avançar.

  7. Na página Certificado do Cliente para o Módulo de Política, navegue até e especifique o certificado de autenticação do cliente implantado na Etapa 1: Instale e configure o Serviço de Registro de Dispositivo de Rede e dependências e clique em Avançar.

  8. Na página Certificado de Ponto de Registro de Certificado , clique em Procurar para selecionar o arquivo de certificado exportado para a AC raiz que você localizou e salvou no final da Etapa 2: Instalar e configurar o ponto de registro de certificado.

    Observação

    Se você não salvou anteriormente esse arquivo de certificado, ele estará localizado no <ConfigMgr Installation Path>\inboxes\certmgr.box no computador do servidor do site.

  9. Clique em Avançar e conclua o assistente.

    Se você quiser desinstalar o Módulo de Política Configuration Manager, use Programas e Recursos em Painel de Controle.

Agora que você concluiu as etapas de configuração, você está pronto para implantar certificados em usuários e dispositivos criando e implantando perfis de certificado. Para obter mais informações sobre como criar perfis de certificado, consulte Como criar perfis de certificado.