Requisitos de certificado PKI para o Configuration Manager

 

Aplicável a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Os certificados PKI (infraestrutura de chave pública) que você pode requerer para o System Center 2012 Configuration Manager estão listados nas tabelas a seguir. Essas informações pressupõem que haja um conhecimento básico de certificados PKI. Para obter as diretrizes passo a passo de um exemplo de implantação desses certificados, consulte Exemplo passo a passo para implantação dos certificados PKI para o Configuration Manager: Autoridade de certificação do Windows Server 2008. Para obter mais informações sobre os Serviços de certificados do Active Directory, consulte a seguinte documentação:

System_CAPS_importantImportante

A partir de 1 de janeiro de 2017, o Windows não confiará mais em certificados assinados com SHA-1. É recomendável que você emita novos certificados de autenticação de cliente e servidor assinados com SHA-2.

Para obter mais detalhes sobre essa alteração e possíveis atualizações até os prazos, siga esta postagem de blog: Imposição do Windows quanto assinatura de código Authenticode e carimbo de data/hora

Com exceção dos certificados do cliente que o Gerenciador de Configurações registra nos dispositivos móveis e computadores Mac, os certificados que o Microsoft Intune cria automaticamente para gerenciar dispositivos móveis e os certificados que o Gerenciador de Configurações instala em computadores baseados em AMT, você pode usar qualquer PKI para criar, implantar e gerenciar os seguintes certificados. No entanto, quando você usa os Serviços de Certificados do Active Directory e os modelos de certificado, essa solução de PKI da Microsoft pode facilitar o gerenciamento dos certificados. Utilize a coluna Modelo de certificado da Microsoft para se usar nas tabelas a seguir para identificar o modelo de certificado que mais se aproxima dos requisitos de certificado. Os certificados baseados em modelo podem ser enviados somente por uma autoridade de certificação corporativa em execução no Enterprise Edition ou Datacenter Edition do sistema operacional do servidor, como o Windows Server 2008 Enterprise e o Windows Server 2008 Datacenter.

System_CAPS_importantImportante

Quando você usa uma autoridade de certificação corporativa e modelos de certificado, não use os modelos da versão 3. Esses modelos de certificado criam certificados que são incompatíveis com o Gerenciador de Configurações. Em vez disso, use os modelos da versão 2 seguindo as instruções a seguir:

  • Para uma AC no Windows Server 2012: na guia Compatibilidade das propriedades do modelo de certificado, especifique Windows Server 2003 para a opção Autoridade de Certificação e Windows XP/Server 2003 para a opção Destinatário do certificado.

  • Para uma AC no Windows Server 2008: ao duplicar um modelo de certificado, mantenha a seleção padrão do Windows Server 2003 Enterprise ao ser solicitado pela caixa de diálogo pop-up Duplicar Modelo. Não selecione Windows 2008 Server, Enterprise Edition.

Use as seções a seguir para exibir os requisitos de certificado.

Certificados PKI para servidores

Gerenciador de Configurações componente

Finalidade do certificado

Modelo de certificado da Microsoft para se usar

Informações específicas no certificado

Como o certificado é usado no Gerenciador de Configurações

Sistemas de sites que executam o ISS (Serviços de Informações da Internet) e que estão configurados para conexões de cliente HTTPS:

  • Ponto de gerenciamento

  • Ponto de distribuição

  • Ponto de atualização de software

  • Ponto de migração de estado

  • Ponto de registro

  • Ponto proxy do registro

  • Ponto de serviços Web do Catálogo de Aplicativos

  • Ponto de sites da Web do catálogo de aplicativos

Autenticação do servidor

Servidor Web

O valor Uso Avançado de Chave deve conter a Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

Se o sistema de site aceitar conexões da Internet, o nome da entidade ou nome alternativo da entidade deverá conter o FQDN (nome de domínio totalmente qualificado) da Internet.

Se o sistema de sites aceitar conexões da intranet, o nome da entidade ou nome alternativo da entidade deverá conter o FQDN da intranet (recomendado) ou o nome do computador, dependendo de como o sistema de site estiver configurado.

Se o sistema do site aceitar conexões da internet e da intranet, tanto o FQDN da Internet quanto o FQDN da intranet (ou o nome do computador) deverão ser especificados usando o E comercial (&) como delimitador entre os dois nomes.

System_CAPS_importantImportante

Quando o ponto de atualização de software aceitar somente as conexões do cliente da Internet, o certificado deverá conter o FQDN da Internet e o FQDN da intranet.

Há suporte ao algoritmo de hash SHA-2.

O Gerenciador de Configurações não especifica um comprimento de chave máximo para esse certificado. Consulte a documentação de PKI e IIS para saber mais sobre problemas relacionados a tamanho de chave para este certificado.

Este certificado deve residir no repositório pessoal do repositório de certificados do computador.

Esse certificado do servidor da Web é usado para autenticar esses servidores para o cliente e para criptografar todos os dados transferidos entre o cliente e esses servidores usando um protocolo SSL.

Ponto de distribuição baseado em nuvem

Autenticação do servidor

Servidor Web

O valor Uso Avançado de Chave deve conter a Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

O nome da entidade deve conter um nome de serviço definido pelo cliente e um nome de domínio em formato FQDN, como o nome comum para a instância específica do ponto de distribuição baseado em nuvem.

A chave privada deve ser exportável.

Há suporte ao algoritmo de hash SHA-2.

Comprimentos de chave com suporte: 2.048 bits.

Para o System Center 2012 Configuration Manager SP1 e posterior:

Esse certificado de serviço é usado para autenticar o serviço do ponto de distribuição baseado em nuvem para os clientes do Gerenciador de Configurações e para criptografar todos os dados transferidos entre eles usando um protocolo SSL.

Esse certificado deve ser exportado em formato PKCS #12 (padrão de certificado de chave pública) e é necessário saber a senha para que ele possa ser importado quando um ponto de distribuição baseado em nuvem for criado.

System_CAPS_noteObservação

Esse certificado é usado em conjunto com o certificado de gerenciamento do Windows Azure. Para obter mais informações sobre esse certificado, consulte Como criar um certificado de gerenciamento e Como adicionar um certificado de gerenciamento a uma assinatura do Windows Azure na seção Plataforma Windows Azure da Biblioteca MSDN.

Cluster NLB (balanceamento de carga de rede) para um ponto de atualização de software

Autenticação do servidor

Servidor Web

O valor Uso Avançado de Chave deve conter a Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

  1. FQDN do cluster NLB no campo Nome da entidade ou Nome alternativo da entidade:

    • Para servidores de balanceamento de carga de rede com suporte ao gerenciamento de clientes baseado na Internet, use o FQDN NLB da Internet.

    • Para servidores de balanceamento de carga de rede com suporte a clientes da intranet, use o FQDN NLB da intranet.

  2. Nome do computador do sistema de site no cluster NLB do campo Nome da entidade ou Nome alternativo da entidade. O nome desse servidor deve ser especificado após o nome do cluster NLB e o E comercial (&) delimitador:

    • Para sistemas de sites da intranet, use o FQDN da intranet, caso eles sejam especificados (recomendado) ou o nome NetBIOS do computador.

    • Para sistemas de site com suporte a gerenciamento de clientes baseados na Internet, use o FQDN da Internet.

Há suporte ao algoritmo de hash SHA-2.

Para o System Center 2012 Configuration Manager sem service pack:

Esse certificado é usado para autenticar o ponto de atualização de software do balanceamento de carga de rede para o cliente e para criptografar todos os dados transferidos entre o cliente e esses servidores usando um protocolo SSL.

System_CAPS_noteObservação

Este certificado aplica-se apenas ao Gerenciador de Configurações sem service pack, pois não há suporte para os pontos de atualização de software NLB a partir do System Center 2012 Configuration Manager SP1.

Servidores de sistema de site que executam o Microsoft SQL Server

Autenticação do servidor

Servidor Web

O valor Uso Avançado de Chave deve conter a Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

O nome da entidade deve conter o FQDN (nome de domínio totalmente qualificado) da intranet.

Há suporte ao algoritmo de hash SHA-2.

O comprimento de chave máximo admitido é de 2048 bits.

Esse certificado deve residir no repositório pessoal do repositório de certificados do computador e o Gerenciador de Configurações copiá-lo automaticamente para o repositório de pessoas confiáveis dos servidores na hierarquia do Gerenciador de Configurações, que pode ter que estabelecer relação de confiança com o servidor.

Esses certificados são usados para autenticação de servidor para servidor.

Cluster do SQL Server: servidores do sistema do site que executa o Microsoft SQL Server

Autenticação do servidor

Servidor Web

O valor Uso Avançado de Chave deve conter a Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

O nome da entidade deve conter o FQDN (nome de domínio totalmente qualificado) do cluster da intranet.

A chave privada deve ser exportável.

O certificado deve ter um período de validade de pelo menos dois anos quando o Gerenciador de Configurações for configurado para usar o cluster do SQL Server.

Há suporte ao algoritmo de hash SHA-2.

O comprimento de chave máximo admitido é de 2048 bits.

Após a solicitação e instalação desse certificado em um nó do cluster, exporte o certificado e importe-o para cada nó adicional no cluster do SQL Server.

Esse certificado deve residir no repositório pessoal do repositório de certificados do computador e o Gerenciador de Configurações copiá-lo automaticamente para o repositório de pessoas confiáveis dos servidores na hierarquia do Gerenciador de Configurações, que pode ter que estabelecer relação de confiança com o servidor.

Esses certificados são usados para autenticação de servidor para servidor.

Monitoramento do sistema de site para as seguintes funções do sistema de site:

  • Ponto de gerenciamento

  • Ponto de migração de estado

Autenticação de cliente

Autenticação de estação de trabalho

O valor Uso Avançado de Chave deve conter a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Os computadores devem ter um valor único no campo Nome da entidade ou Nome alternativo da entidade.

System_CAPS_noteObservação

Se você estiver usando vários valores para o Nome alternativo da entidade, apenas o primeiro valor será usado.

Há suporte ao algoritmo de hash SHA-2.

O comprimento de chave máximo admitido é de 2048 bits.

Esse certificado é necessário nos servidores de sistema listados, mesmo que o cliente do System Center 2012 Configuration Manager não esteja instalado, para que a integridade dessas funções do sistema de site possa ser monitorada e reportada ao site.

O certificado para esses sistemas de site deve residir no repositório pessoal do repositório de certificados do computador.

Servidores executando o Módulo de Política do Gerenciador de Configurações com o serviço de função Serviço de registro de dispositivo de rede.

Autenticação de cliente

Autenticação de estação de trabalho

O valor Uso Avançado de Chave deve conter a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Não há requisitos específicos para a Entidade ou para o Nome alternativo da entidade (SAN) certificado e você pode usar o mesmo certificado para vários servidores que executam o Serviço de registro de dispositivo de rede.

Há suporte para algoritmos de hash SHA-2 e SHA-3.

Comprimentos de chave com suporte: 1.024 bits e 2.048 bits.

As informações neste tópico aplicam-se somente às versões do System Center 2012 R2 Configuration Manager.

Esse certificado autentica o Módulo de Política do Gerenciador de Configurações para o servidor do sistema de site do ponto de registro de certificado de forma que o Gerenciador de Configurações pode registrar certificados para usuários e dispositivos.

Sistemas de site que têm um ponto de distribuição instalado

Autenticação de cliente

Autenticação de estação de trabalho

O valor Uso Avançado de Chave deve conter a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Não há requisitos específicos para a entidade do certificado nem para o SAN (Nome Alternativo da Entidade), e você pode usar o mesmo certificado para vários pontos de distribuição. No entanto, recomendamos um certificado diferente para cada ponto de distribuição.

A chave privada deve ser exportável.

Há suporte ao algoritmo de hash SHA-2.

O comprimento de chave máximo admitido é de 2048 bits.

Este certificado tem duas finalidades:

  • Ele autentica o ponto de distribuição para um ponto de gerenciamento habilitado para HTTPS antes de o ponto de distribuição enviar mensagens de status.

  • Quando a opção do ponto de distribuição Habilitar suporte a PXE para clientes for selecionada, o certificado será enviado aos computadores, para que se as sequências de tarefas no processo de implantação do sistema operacional incluírem ações do cliente como recuperação de política de cliente ou envio de informações de inventário, os computadores cliente possam conectar-se a um ponto de gerenciamento habilitado para HTTPS durante a implantação do sistema operacional.

    Esse certificado é usado somente durante o processo de implantação do sistema operacional e não é instalado no cliente. Devido a esse uso temporário, o mesmo certificado pode ser utilizado para cada implantação de sistema operacional, caso você não queira usar vários certificados do cliente.

Esse certificado deve ser exportado em formato PKCS #12 (padrão de certificado de chave pública) e é necessário saber a senha para que ele possa ser importado nas propriedades do ponto de distribuição.

System_CAPS_noteObservação

Os requisitos para esse certificado são os mesmos do certificado do cliente para imagens de inicialização para implantação de sistemas operacionais. Como os requisitos são os mesmos, você pode usar o mesmo arquivo de certificado.

Ponto de serviço fora da banda

Provisionamento AMT

Servidor Web (modificado)

O valor Uso Avançado de Chave deve conter a Autenticação de Servidor (1.3.6.1.5.5.7.3.1) e o seguinte identificador de objeto: 2.16.840.1.113741.1.2.3.

O campo Nome da entidade deve conter o FQDN do servidor que está hospedando o ponto de serviço fora da banda.

System_CAPS_noteObservação

Se você solicitar um certificado de provisionamento AMT de um CA externa em vez de um CA interno e ele não oferecer suporte a identificador de objeto de provisionamento AMT de 2.16.840.1.113741.1.2.3, você poderá especificar a seguinte cadeia de texto como um atributo da OU (unidade organizacional) no nome da entidade do certificado: Intel(R) Client Setup Certificate. Essa exata cadeia de texto em inglês deve ser usada, respeitando-se maiúsculas e minúsculas, sem ponto à direita, além do FQDN do servidor que está hospedando o ponto de serviço fora da banda.

SHA-1 é o único algoritmo com suporte.

Comprimentos de chave com suporte: 1.024 e 2.048. Para o AMT 6.0 e versões posteriores, também há suporte para o tamanho de chave de 4.096 bits.

Esse certificado reside no repositório pessoal do repositório de certificados do computador do servidor do sistema de site do ponto de serviço fora da banda.

Este certificado de provisionamento AMT é usado para preparar computadores para gerenciamento fora da banda.

Solicite esse certificado de uma CA que forneça certificados de provisionamento AMT; a extensão do BIOS para computadores baseados em AMT Intel deve ser configurada para usar a impressão digital do certificado raiz (também conhecido como o hash de certificado) para esse certificado de provisionamento.

A VeriSign é um típico exemplo de CA externa que fornece certificados de provisionamento AMT, mas você também pode usar sua própria CA interna.

Instale o certificado no servidor que hospeda o ponto de serviço fora da banda, o qual deve poder ser encadeado com êxito para o certificado de CA raiz. (Por padrão, o certificado de CA raiz e o certificado de CA intermediário da VeriSign são instalados quando o Windows é instalado.)

Servidor do sistema de sites que executa o conector do Microsoft Intune

Autenticação de cliente

Não aplicável: o Intune cria automaticamente este certificado.

O valor Uso Avançado de Chave contém a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

3 extensões personalizadas identificam exclusivamente a assinatura do cliente do Intune.

O tamanho da chave é de 2048 bits e usa o algoritmo de hash SHA-1.

System_CAPS_noteObservação

Você não pode alterar essas configurações: essas informações são fornecidas apenas para fins informativos.

Esse certificado é automaticamente solicitado e instalado no banco de dados do Configuration Manager quando você assina o Microsoft Intune. Ao instalar o conector do Microsoft Intune, este certificado é instalado no servidor do sistema de sites que executa o conector do Microsoft Intune. Ele é instalado no repositório de certificados do computador.

Este certificado é usado para autenticar a hierarquia do Configuration Manager no Microsoft Intune usando o conector do Microsoft Intune. Todos os dados que são transferidos entre eles usam o protocolo SSL.

Servidores proxy da Web para o gerenciamento de clientes baseados na Internet

Se o site oferece suporte ao gerenciamento de clientes baseado na Internet e você está usando o servidor proxy da Web usando a terminação SSL (ponte) para as conexões de entrada de Internet, o servidor proxy da Web tem os requisitos do certificado listados na tabela a seguir.

System_CAPS_noteObservação

Se você está usando um servidor proxy da Web sem a terminação SSL (túnel), não são necessários certificados adicionais no servidor proxy da Web.

Componente de infraestrutura de rede

Finalidade do certificado

Modelo de certificado da Microsoft para se usar

Informações específicas no certificado

Como o certificado é usado no Gerenciador de Configurações 

Servidor proxy da Web aceitando conexões de cliente através da Internet

Autenticação de servidor e a autenticação de cliente

  1. Servidor Web

  2. Autenticação de estação de trabalho

FQDN de Internet no campo Nome da entidade ou Nome alternativo da entidade (se você está usando modelos de certificado da Microsoft, o Nome alternativo da entidade fica disponível somente com o modelo de estação de trabalho).

Há suporte ao algoritmo de hash SHA-2.

Esse certificado é usado para autenticar os seguintes servidores nos clientes de Internet e para criptografar todos os dados transferidos entre o cliente e esse servidor usando o SSL:

  • Ponto de gerenciamento baseado na Internet

  • Ponto de distribuição baseado na Internet

  • Ponto de atualização de software baseado na Internet

A autenticação do cliente é usada para ligar as conexões de cliente entre os clientes do System Center 2012 Configuration Manager e os sistemas de site baseados na Internet.

Certificados PKI para clientes

Gerenciador de Configurações componente

Finalidade do certificado

Modelo de certificado da Microsoft para se usar

Informações específicas no certificado

Como o certificado é usado no Gerenciador de Configurações 

Computadores cliente com Windows

Autenticação de cliente

Autenticação de estação de trabalho

O valor Uso Avançado de Chave deve conter a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Os computadores cliente devem ter um valor único no campo Nome da entidade ou Nome alternativo da entidade.

System_CAPS_noteObservação

Se você estiver usando vários valores para o Nome alternativo da entidade, apenas o primeiro valor será usado.

Há suporte ao algoritmo de hash SHA-2.

O comprimento de chave máximo admitido é de 2048 bits.

Por padrão, o Gerenciador de Configurações procura os certificados do computador no repositório pessoal dentro do repositório de certificados do computador.

Com exceção do ponto de atualização de software e do ponto de sites da Web do catálogo de aplicativos, esse certificado autentica o cliente nos servidores do sistema de site que executam IIS e que estão configurados para usar HTTPS.

Clientes de dispositivo móvel

Autenticação de cliente

Sessão autenticada

O valor Uso Avançado de Chave deve conter a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

SHA-1 é o único algoritmo com suporte.

O comprimento de chave máximo admitido é de 2048 bits.

System_CAPS_importantImportante

Esses certificados devem estar no formato X.509 binário codificado por DER.

Não há suporte para o formato X.509 codificado na Base64.

Esse certificado autentica o cliente de dispositivo móvel nos servidores do sistema de site com quem ele se comunica, como os pontos de gerenciamento e os pontos de distribuição.

Imagens de inicialização para a implantação de sistemas operacionais

Autenticação de cliente

Autenticação de estação de trabalho

O valor Uso Avançado de Chave deve conter a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Não há requisitos específicos para o Nome da entidade ou o SAN (Nome alternativo da entidade) do certificado e você pode usar o mesmo certificado para todas as imagens de inicialização.

A chave privada deve ser exportável.

Há suporte ao algoritmo de hash SHA-2.

O comprimento de chave máximo admitido é de 2048 bits.

Esse certificado é usado se as sequências de tarefas no processo de implantação do sistema operacional incluem ações como recuperação de política de cliente ou envio de informações de inventário.

Esse certificado é usado somente durante o processo de implantação do sistema operacional e não é instalado no cliente. Devido a esse uso temporário, o mesmo certificado pode ser utilizado para cada implantação de sistema operacional, caso você não queira usar vários certificados do cliente.

Esse certificado deve ser exportado em formato PKCS nº 12 (Padrão de certificado de chave pública) e é necessário saber a senha para que ele possa ser importado nas imagens de inicialização do Gerenciador de Configurações.

System_CAPS_noteObservação

Os requisitos para esse certificado são os mesmos do certificado do servidor para os sistemas de site que têm um ponto de distribuição instalado. Como os requisitos são os mesmos, você pode usar o mesmo arquivo de certificado.

Computadores cliente Mac

Autenticação de cliente

Para o registro do Gerenciador de Configurações:Sessão Autenticada

Para instalação do certificado independente do Gerenciador de Configurações: Autenticação de Estação de Trabalho

O valor Uso Avançado de Chave deve conter a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Para o Gerenciador de Configurações que cria um certificado de Usuário, o valor do certificado da Entidade é automaticamente preenchido com o nome de usuário da pessoa que registra o computador Mac.

Para a instalação do certificado que não usa o registro do Gerenciador de Configurações mas implanta o certificado do computador independentemente do Gerenciador de Configurações, o valor da Entidade do certificado deve ser exclusivo. Por exemplo, especifique o FQDN do computador.

Não há suporte para o campo Nome alternativo da entidade.

Há suporte ao algoritmo de hash SHA-2.

O comprimento de chave máximo admitido é de 2048 bits.

Para o System Center 2012 Configuration Manager SP1 e posterior:

Esse certificado autentica o computador cliente MAC nos servidores do sistema de site com quem ele se comunica, como os pontos de gerenciamento e os pontos de distribuição.

Computadores cliente Linux e UNIX

Autenticação de cliente

Autenticação de estação de trabalho

O valor Uso Avançado de Chave deve conter a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Não há suporte para o campo Nome alternativo da entidade.

A chave privada deve ser exportável.

Há suporte ao algoritmo de hash SHA-1.

Há suporte para o algoritmo de hash SHA-2 se o sistema operacional do cliente der suporte ao SHA-2. Para obter mais informações, veja a seção Sobre o Linux e UNIX sistemas operacionais que fazer não suporte SHA-256 no tópico Planejamento de implantação de cliente para servidores Linux e UNIX.

Comprimentos de chave com suporte: 2.048 bits.

System_CAPS_importantImportante

Esses certificados devem estar no formato X.509 binário codificado por DER. Não há suporte para o formato X.509 codificado na Base64.

Para o System Center 2012 Configuration Manager SP1 e posterior:

Esse certificado autentica o cliente para Linux e UNIX nos servidores do sistema de site com quem ele se comunica, como os pontos de gerenciamento e os pontos de distribuição.

Esse certificado deve ser exportado em formato PKCS nº 12 (Padrão de certificado de chave pública) e é necessário saber a senha para que você possa especificá-la no cliente ao especificar o certificado PKI.

Para obter mais informações, consulte a seção Planejamento de segurança e certificados para servidores Linux e UNIX no tópico Planejamento de implantação de cliente para servidores Linux e UNIX.

Certificados de autoridade de certificação raiz para os seguintes cenários:

  • Implantação de sistema operacional

  • Registro do dispositivo móvel

  • Autenticação do servidor RADIUS para computadores Intel AMT

  • Autenticação de certificado do cliente

Cadeia de certificados para uma fonte confiável

Não aplicável.

Certificado de autoridade de certificação raiz padrão.

O certificado de autoridade de certificação raiz deve ser fornecido quando os clientes precisam construir uma cadeia de certificados do servidor que se comunica com uma fonte confiável. Isso se aplica nos seguintes cenários:

  • Quando você implanta um sistema operacional e executa sequências de tarefas que conectam o computador cliente a um ponto de gerenciamento que está configurado para usar HTTPS.

  • Quando você registra um dispositivo móvel a ser gerenciado pelo System Center 2012 Configuration Manager.

  • Quando você usa a autenticação 802.1X para computadores Intel AMT e deseja especificar um arquivo para o certificado raiz do servidor RADIUS.

Além disso, o certificado de autoridade de certificação raiz deve ser fornecido se os certificados do cliente são emitidos por uma hierarquia de autoridade de certificação diferente da que emitiu o certificado de ponto de gerenciamento.

Computadores Intel AMT

Autenticação do servidor.

Servidor Web (modificado)

Você deve configurar o Nome da entidade para Criar com base nas informações do Active Directory e selecionar Nome comum para o Formato de nome de entidade.

Você deve conceder as permissões de Leitura e Registro ao grupo de segurança universal que você especificar nas propriedades de componente de gerenciamento fora de banda.

O valor Uso Avançado de Chave deve conter a Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

O Nome da entidade deve conter o FQDN do computador AMT, que é fornecido automaticamente por meio dos Serviços de Domínio Active Directory.

SHA-1 é o único algoritmo com suporte.

Comprimento de chave máximo com suporte: 2.048 bits.

Esse certificado reside na memória RAM não volátil do controlador de gerenciamento no computador e não é visível na interface de usuário do Windows.

Cada computador Intel AMT solicita este certificado durante o provisionamento AMT e as atualizações subsequentes. Se você remove as informações de provisionamento AMT desses computadores, eles revogam esse certificado.

Quando esse certificado está instalado em computadores Intel AMT, a cadeia de certificado ao certificado de autoridade de certificação raiz é também instalada. Computadores AMT não oferecem suporte a certificados de autoridade de certificação com comprimento de chave maior do que 2048 bits.

Feita a instalação do certificado nos computadores Intel AMT, esse certificado autentica os computadores AMT no servidor do sistema de site do ponto de serviço fora da banda e nos computadores que são executados pelo console de gerenciamento fora de banda e criptografa todos os dados transferidos entre eles usando o protocolo TLS.

Certificado do cliente Intel AMT 802.1X

Autenticação de cliente

Autenticação de estação de trabalho

Você deve configurar o Nome da entidade para Criar com base nas informações do Active Directory, selecionar Nome comum para o Formato de nome de entidade, limpar o nome DNS e selecionar o UPN (nome principal do usuário) para o nome alternativo da entidade.

Você deve conceder ao grupo de segurança universal que você especificar nas propriedades de componente de gerenciamento fora de banda as permissões de Leitura e Registro nesse modelo de certificado.

O valor Uso Avançado de Chave deve conter a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

O campo nome da entidade deve conter o FQDN do computador AMT e o nome alternativo da entidade deve conter o UPN.

Comprimento de chave máximo com suporte: 2.048 bits.

Esse certificado reside na memória RAM não volátil do controlador de gerenciamento no computador e não é visível na interface de usuário do Windows.

Cada computador AMT pode solicitar esse certificado durante o provisionamento AMT, mas ele não revoga esse certificado quando suas informações de provisionamento AMT são removidas.

Feita a instalação do certificado nos computadores AMT, esse certificado autentica os computadores AMT no servidor RADIUS para que esteja autorizado para acesso à rede.

Dispositivos móveis registrados pelo Microsoft Intune

Autenticação de cliente

Não aplicável: o Intune cria automaticamente este certificado.

O valor Uso Avançado de Chave contém a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

3 extensões personalizadas identificam exclusivamente a assinatura de clientes do Intune.

Os usuários podem fornecer o valor da Entidade do certificado durante o registro. No entanto, esse valor não é usado pelo Intune para identificar o dispositivo.

O tamanho da chave é de 2048 bits e usa o algoritmo de hash SHA-1.

System_CAPS_noteObservação

Você não pode alterar essas configurações: essas informações são fornecidas apenas para fins informativos.

Esse certificado é automaticamente solicitado e instalado quando os usuários autenticados registram seus dispositivos móveis usando o Microsoft Intune. O certificado resultante no dispositivo reside no repositório do computador e autentica o dispositivo móvel registrado no Intune para ele possa ser gerenciado.

Devido às extensões personalizadas no certificado, a autenticação é restrita à assinatura do Intune que foi estabelecida para a organização.