• Artigo

Pré-requisitos para perfis de certificado no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObservação

As informações neste tópico aplicam-se somente às versões do System Center 2012 R2 Configuration Manager.

Os perfis de conexão remota no System Center 2012 Configuration Manager possuem dependências externas e dependências dentro do produto.

Dependências externas ao Configuration Manager

Dependência

Mais informações

Uma AC (autoridade de certificação) emissora corporativa executando AD CS (Serviços de Certificados do Active Directory).

Para revogar certificados, a AC emissora deve ser configurada com a permissão para Emitir e Gerenciar Certificados para o servidor do site no topo da hierarquia.

System_CAPS_noteObservação

Suporte para aprovação do gerente às solicitações de certificado. No entanto, os modelos de certificado usados para emitir certificados devem ser configurados para Fornecer na solicitação para a entidade do certificado, de forma que o Gerenciador de Configurações possa fornecer esse valor automaticamente.

Para obter mais informações sobre os Serviços de Certificados do Active Directory, consulte a documentação do Windows Server:

O serviço de função do Serviço de Registro de Dispositivo de Rede para Serviços de Certificados do Active Directory, em execução no Windows Server 2012 R2.

Além disso:

  • Números de porta diferentes de TCP 443 (para HTTPS) ou TCP 80 (para HTTP) não têm suporte para a comunicação entre o cliente e o Serviço de Registro de Dispositivo de Rede.

  • O servidor que executa o Serviço de Registro de Dispositivo de Rede deve estar em um servidor diferente da AC emissora.

O Gerenciador de Configurações se comunica com o Serviço de Registro de Dispositivo de Rede no Windows Server 2012 R2 para gerar e verificar solicitações do protocolo SCEP.

Se você emitir certificados aos usuários ou dispositivos que se conectam pela Internet, tais como dispositivos gerenciados pelo Microsoft Intune, então estes dispositivos devem poder acessar o servidor executando o Serviço de Registro de Dispositivo de Rede pela Internet. Por exemplo, instale o servidor em uma rede de perímetro (também conhecida como Rede de perímetro, e sub-rede filtrada).

Se você tiver um firewall entre o servidor que executa o Serviço de Registro de Dispositivo de Rede e a AC emissora, deverá configurar o firewall para permitir o tráfego de comunicação (DCOM) entre os dois servidores. Este requerimento de firewall também se aplica ao servidor executando o servidor do site do Gerenciador de Configurações e a AC emissora, para que o Gerenciador de Configurações possa revogar certificados.

Se o Serviço de Registro de Dispositivo de Rede estiver configurado para solicitar SSL (uma prática recomendada de segurança), verifique se os dispositivos de conexão podem acessar a CRL (lista de certificados revogados) para validar o certificado do servidor.

Para mais informações sobre o Serviço de Registro de Dispositivo de Rede no Windows Server 2012 R2, consulte Using a Policy Module with the Network Device Enrollment Service (Usando um Módulo de Política com o Serviço de Registro de Dispositivo de Rede).

Se a AC emissora executa o Windows Server 2008 R2, este servidor requer um hotfix para solicitações de renovação do SCEP.

Se o hotfix não estiver instalado no computador da AC emissora, instale-o. Para obter mais informações, leia o artigo 2483564: A solicitação de renovação para um certificado SCEP falhará no Windows Server 2008 R2 se o certificado for gerenciado com o NDES na Base de Dados de Conhecimento Microsoft.

Um certificado de autenticação cliente PKI e um certificado da AC raiz exportado.

Esse certificado autentica o servidor executado o Serviço de Registro de Dispositivo de Rede para o Gerenciador de Configurações.

Para obter mais informações, consulte Requisitos de certificado PKI para o Configuration Manager.

Sistemas operacionais de dispositivos com suporte.

Você pode implantar perfis de certificado em dispositivos que executam os sistemas operacionais iOS, Windows 8.1, Windows RT 8.1 e Android.

Dependências do Configuration Manager

Dependência

Mais informações

Função de sistema de site do ponto de registro de certificado

Para poder usar perfis de certificado, você deve instalar a função de sistema de site do ponto de registro de certificado. Essa função comunica-se com o banco de dados do Gerenciador de Configurações, o servidor de site do Gerenciador de Configurações e o Módulo de Política do Gerenciador de Configurações.

Para obter mais informações sobre requisitos do sistema para essa função do sistema de site e onde instalar a função na hierarquia, consulte o seguinte:

System_CAPS_importantImportante

O ponto de registro de certificado não deve ser instalado no mesmo servidor que executa o Serviço de Registro de Dispositivo de Rede.

O Módulo de Política do Gerenciador de Configurações instalado no servidor que executa o serviço de função do Serviço de Registro de Dispositivo de Rede para os Serviços de Certificados do Active Directory

Para implantar perfis de certificado, você deve instalar o Módulo de Política do Gerenciador de Configurações. Você pode encontrar esse módulo de política na mídia de instalação do Gerenciador de Configurações.

Dados de descoberta

Valores para a entidade do certificado e nome alternativo da entidade são fornecidos pelo Gerenciador de Configurações e recuperados das informações coletadas na descoberta.

  • Para certificados de usuário: Descoberta de Usuário do Active Directory

  • Para certificados de computador: Descoberta de sistemas do Active Directory e descoberta de rede

Para obter mais informações sobre descoberta, consulte Planejando a descoberta no Configuration Manager.

Permissões de segurança específicas para gerenciar os perfis de certificado

Você deve ter as seguintes permissões de segurança para gerenciar configurações de acesso aos recurso da empresa, como perfis de certificado, perfis de Wi-Fi e perfis VPN:

  • Para exibir e gerenciar alertas e relatórios de perfis de certificado: Criar, Excluir, Modificar, Modificar Relatório, Ler e Executar Relatório para o objeto Alertas.

  • Para criar e gerenciar perfis de certificado: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil de Certificado.

  • Para gerenciar implantações de perfis de Wi-Fi, VPN e certificado: Implantar Políticas de Configuração, Modificar Alerta de Status do Cliente, Ler e Ler Recurso para o objeto Coleção.

  • Para gerenciar todas as políticas de configuração: Criar, Excluir, Modificar, Ler e Definir Escopo de Segurança para o objeto Política de Configuração.

  • Para executar consultas relacionadas a perfis de certificado: permissão Ler para o objeto Consulta.

  • Para exibir informações de perfis de certificado no console do Gerenciador de Configurações: permissão Ler para o objeto Site.

  • Para exibir mensagens de status para perfis de certificado: permissão Ler para o objeto Mensagens de Status.

  • Para criar e modificar o perfil de certificado de autoridade de certificação confiável: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Autoridade de Certificação Confiável.

  • Para criar e gerenciar perfis VPN: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil VPN.

  • Para criar e gerenciar perfis Wi-Fi: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil de Wi-Fi.

A função de segurança do Gerente de Acesso de Registro da Empresa inclui essas permissões que são necessárias para gerenciar os perfis de certificado no Gerenciador de Configurações. Para obter mais informações, veja a seção Configurar administração baseada em funções no tópico Configurando a segurança do Configuration Manager.