• Artigo

Requisitos de Certificado PKI para o Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Os certificados da infraestrutura de chaves públicas (PKI) de que poderá necessitar para o System Center 2012 Configuration Manager encontram-se listados nas tabelas seguintes. Estas informações pressupõem um conhecimento básico dos certificados PKI. Para uma orientação passo-a-passo ao longo de um exemplo de implementação destes certificados, consulte Exemplo Passo a Passo de Implementação dos Certificados PKI para o Configuration Manager: Autoridade de Certificação do Windows Server 2008. Para mais informações sobre os Serviços de Certificados do Active Directory, consulte a seguinte documentação:

Com exceção dos certificados de cliente inscritos pelo Gestor de configuração em dispositivos móveis e computadores Mac, dos certificados que o Microsoft Intune cria automaticamente para gerir dispositivos móveis e dos certificados que o Gestor de configuração instala em computadores baseados em AMT, poderá utilizar qualquer PKI para criar, implementar e gerir os seguintes certificados. No entanto, ao utilizar os Serviços de Certificados do Active Directory e modelos de certificado, esta solução PKI da Microsoft poderá facilitar a gestão dos certificados. Utilize a coluna Modelo de certificado Microsoft a utilizar nas tabelas seguintes para identificar o modelo de certificado que melhor corresponde aos requisitos de certificado. Os certificados baseados em modelos só podem ser emitidos por uma autoridade de certificação empresarial executada nas edições Enterprise Edition ou Datacenter Edition do sistema operativo de servidor, tais como o Windows Server 2008 Enterprise ou o Windows Server 2008 Datacenter.

System_CAPS_importantImportante

Ao utilizar uma autoridade de certificação empresarial e modelos de certificado, não utilize os modelos da versão 3. Estes modelos de certificado criam certificados que são incompatíveis com o Gestor de configuração. Em vez disso, utilize os modelos da versão 2, seguindo estas instruções:

  • Para uma AC no Windows Server 2012: No separador Compatibilidade das propriedades do modelo de certificado, especifique Windows Server 2003 para a opção Autoridade de Certificação e Windows XP / Server 2003 para a opção Destinatário do certificado.

  • Para uma AC no Windows Server 2008: Ao duplicar um modelo de certificado, mantenha a opção predefinida Windows Server 2003 Enterprise quando solicitado pela caixa de diálogo sobreposta Modelo Duplicado. Não selecione Windows Server 2008, Enterprise Edition.

Utilize as secções seguintes para ver os requisitos de certificado.

Certificados PKI para servidores

Componente do Gestor de configuração

Objetivo do certificado

Modelo de certificado da Microsoft a utilizar

Informações específicas no certificado

Como o certificado é utilizado no Gestor de configuração

Sistemas de sites que executem os Serviços de Informação Internet (IIS) e que estejam configurados para ligações de cliente HTTPS:

  • Ponto de gestão

  • Ponto de distribuição

  • Ponto de atualização de Software

  • Ponto de migração de estado

  • Ponto de inscrição

  • Ponto proxy de registo

  • Ponto de serviço Web do Catálogo de Aplicações

  • Ponto de Web site do Catálogo de Aplicações

Autenticação de servidor

Servidor Web

O valor Utilização de Chave Avançada tem de conter Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

Se o sistema de sites aceitar ligações a partir da Internet, o Nome do Requerente ou o Nome Alternativo do Requerente terão de conter o nome de domínio completamente qualificado (FQDN) da Internet.

Se o sistema de sites aceitar ligações a partir da intranet, o Nome do Requerente ou o Nome Alternativo do Requerente terão de conter o FQDN da intranet (recomendado) ou o nome do computador, dependendo de como o sistema de sites se encontrar configurado.

Se o sistema de sites aceitar ligações a partir da Internet e da intranet, terão de ser especificados o FQDN da Internet e o FQDN da intranet (ou o nome do computador), utilizando como delimitador entre os dois nomes o símbolo do 'E' comercial (&).

System_CAPS_importantImportante

Se o ponto de atualização de software apenas aceitar ligações de cliente a partir da Internet, o certificado terá de conter o FQDN da Internet e o FQDN da intranet.

São suportados os algoritmos hash SHA-1 e SHA-2.

O Gestor de configuração não especifica o comprimento máximo da chave suportado para este certificado. Consulte eventuais problemas relacionados com o tamanho da chave para este certificado na documentação do PKI e do IIS.

Este certificado tem de residir no arquivo Pessoal, no Arquivo de certificados do computador.

Este certificado de servidor Web é utilizado para autenticar estes servidores junto do cliente e para encriptar todos os dados transferidos entre o cliente e estes servidores, utilizando Secure Sockets Layer (SSL).

Ponto de distribuição baseado na nuvem

Autenticação de servidor

Servidor Web

O valor Utilização de Chave Avançada tem de conter Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

O Nome do Requerente tem de conter um nome de serviço e nome de domínio definidos pelo cliente num formato FQDN como Nome Comum da instância específica do ponto de distribuição baseado em nuvem.

A chave privada tem de ser exportável.

São suportados os algoritmos hash SHA-1 e SHA-2.

Comprimentos de chave suportados: 2048 bits.

Para o System Center 2012 Configuration Manager SP1 e posterior:

Este certificado de serviço é utilizado para autenticar o serviço do ponto de distribuição baseado em nuvem junto de clientes do Gestor de configuração e para encriptar todos os dados transferidos entre eles, utilizando Secure Sockets Layer (SSL).

Este certificado tem de ser exportado no formato Padrão de Certificado de Chave Pública (PKCS #12) e a palavra-passe tem de ser conhecida para que possa ser importada ao criar um ponto de distribuição baseado em nuvem.

Nota

Este certificado é utilizado em conjunto com o certificado de gestão do Windows Azure. Para mais informações sobre este certificado, consulte Como Criar um Certificado de Gestão e Como Adicionar um Certificado de Gestão a uma Subscrição do Windows Azure na secção Plataforma Windows Azure da Biblioteca MSDN.

Cluster de balanceamento de carga na rede (NLB) para um ponto de atualização de software

Autenticação de servidor

Servidor Web

O valor Utilização de Chave Avançada tem de conter Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

  1. O FQDN do cluster NLB no campo Nome do Requerente ou no campo Nome Alternativo do Requerente:

    • Em servidores de balanceamento de carga na rede que suportem gestão de clientes baseada na Internet, utilize o FQDN NLB da Internet.

    • Em servidores de balanceamento de carga na rede que suportem clientes intranet, utilize o FQDN NLB da intranet.

  2. O nome de computador do sistema de sites do cluster NLB no campo Nome do Requerente ou no campo Nome Alternativo do Requerente. Este nome de servidor tem de ser especificado após o nome do cluster NLB e o símbolo delimitador de 'E' comercial (&):

    • Para os sistemas de sites na intranet, utilize o FQDN da intranet se os especificar (conforme recomendado) ou o nome NetBIOS do computador.

    • Para os sistemas de sites que suportem gestão de clientes baseada na Internet, utilize o FQDN da Internet.

São suportados os algoritmos hash SHA-1 e SHA-2.

Para o System Center 2012 Configuration Manager sem nenhum Service Pack:

Este certificado é utilizado para autenticar o ponto de atualização de software de balanceamento de carga na rede junto do cliente e para encriptar todos os dados transferidos entre o cliente e estes servidores, utilizando SSL.

Nota

Este certificado só é aplicável ao Gestor de configuração sem service pack porque a partir do System Center 2012 Configuration Manager SP1, os pontos de atualização de software NLB não são suportados.

Servidores do sistema de sites que executem o Microsoft SQL Server

Autenticação de servidor

Servidor Web

O valor Utilização de Chave Avançada tem de conter Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

O Nome do Requerente tem de conter o nome de domínio completamente qualificado (FQDN) da intranet.

São suportados os algoritmos hash SHA-1 e SHA-2.

O comprimento máximo de chave suportado é de 2048 bits.

Este certificado terá de residir no arquivo Pessoal do Arquivo de certificados do computador. O Gestor de configuração copia-o automaticamente para o Arquivo de Pessoas Fidedignas nos servidores da hierarquia do Gestor de configuração que possam ter de estabelecer fidedignidade com o servidor.

Estes certificados são utilizados para a autenticação servidor a servidor.

Cluster do SQL Server: Servidores do sistema de sites que executem o Microsoft SQL Server

Autenticação de servidor

Servidor Web

O valor Utilização de Chave Avançada tem de conter Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

O Nome do Requerente tem de conter o nome de domínio completamente qualificado (FQDN) da intranet do cluster.

A chave privada tem de ser exportável.

O certificado terá de ter um período de validade de pelo menos dois anos quando configurar o Gestor de configuração para utilizar o cluster do SQL Server.

São suportados os algoritmos hash SHA-1 e SHA-2.

O comprimento máximo de chave suportado é de 2048 bits.

Após solicitar e instalar este certificado num dos nós do cluster, exporte-o e importe-o para cada nó adicional do cluster do SQL Server.

Este certificado terá de residir no arquivo Pessoal do Arquivo de certificados do computador. O Gestor de configuração copia-o automaticamente para o Arquivo de Pessoas Fidedignas nos servidores da hierarquia do Gestor de configuração que possam ter de estabelecer fidedignidade com o servidor.

Estes certificados são utilizados para a autenticação servidor a servidor.

Monitorização pelo sistema de sites das seguintes funções do sistema de sites:

  • Ponto de gestão

  • Ponto de migração de estado

Autenticação de cliente

Autenticação de Estação de Trabalho

O valor Utilização de Chave Avançada tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Os computadores têm de ter um valor exclusivo no campo Nome do Requerente ou no campo Nome Alternativo do Requerente.

Nota

Se utilizar diversos valores para o Nome Alternativo do Requerente, será utilizado apenas o primeiro valor.

São suportados os algoritmos hash SHA-1 e SHA-2.

O comprimento máximo de chave suportado é de 2048 bits.

Este certificado é exigido na lista de servidores do sistema de sites, mesmo se o cliente do System Center 2012 Configuration Manager não estiver instalado, de modo a que o estado de funcionamento destas funções do sistema de sites possa ser monitorizado e relatado ao site.

O certificado para estes sistemas de sites terá de residir no arquivo Pessoal do Arquivo de certificados do computador.

Servidores a executar o Módulo de Política do Gestor de configuração com o serviço de função Serviço de Inscrição de Dispositivos de Rede.

Autenticação de cliente

Autenticação de Estação de Trabalho

O valor Utilização de Chave Avançada tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Não existem requisitos específicos para o Requerente do certificado ou Nome Alternativo do Requerente (SAN), podendo utilizar o mesmo certificado para diversos servidores com o Serviço de Inscrição de Dispositivos de Rede em execução.

São suportados os algoritmos hash SHA-1, SHA-2 e SHA-3.

Comprimentos de chave suportados: 1024 bits e 2048 bits.

As informações deste tópico aplicam-se apenas às versões do System Center 2012 R2 Configuration Manager.

Este certificado autentica o Módulo de Política do Gestor de configuração junto do servidor do sistema de sites do ponto de registo de certificados, de modo a que o Gestor de configuração possa inscrever certificados para utilizadores e dispositivos.

Sistemas de sites que tenham um ponto de distribuição instalado

Autenticação de cliente

Autenticação de Estação de Trabalho

O valor Utilização de Chave Avançada tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Não existem requisitos específicos para o Requerente do certificado ou Nome Alternativo do Requerente (SAN), podendo utilizar o mesmo certificado para diversos pontos de distribuição. No entanto, recomendamos um certificado diferente para cada ponto de distribuição.

A chave privada tem de ser exportável.

São suportados os algoritmos hash SHA-1 e SHA-2.

O comprimento máximo de chave suportado é de 2048 bits.

Este certificado tem duas finalidades:

  • Autentica o ponto de distribuição junto de um ponto de gestão que suporte HTTPS antes do envio de mensagens de estado pelo ponto de distribuição.

  • Se a opção do ponto de distribuição Ativar suporte PXE para clientes estiver selecionada, o certificado será enviado para os computadores de modo a que, se as sequências de tarefas do processo de implementação do sistema operativo incluírem ações de cliente tais como obtenção de política do cliente ou envio de informações do inventário, os computadores cliente poderão estabelecer ligação com um ponto de gestão que suporte HTTPS durante a implementação do sistema operativo.

    Este certificado é utilizado apenas durante o processo de implementação do sistema operativo, não sendo instalado no cliente. Devido a esta utilização temporária, o mesmo certificado poderá ser utilizado para todas as implementações do sistema operativo se não pretender utilizar diversos certificados de cliente.

Este certificado tem de ser exportado no formato Padrão de Certificado de Chave Pública (PKCS #12) e a palavra-passe tem de ser conhecida para que possa ser importada para as propriedades do ponto de distribuição.

Nota

Os requisitos deste certificado são os mesmos que os do certificado de cliente para imagens de arranque de implementação de sistemas operativos. Como os requisitos são os mesmos, poderá utilizar o mesmo ficheiro de certificado.

Ponto de serviço fora de banda

Aprovisionamento de AMT

Servidor Web (modificado)

O valor Utilização de Chave Avançada tem de conter Autenticação de Servidor (1.3.6.1.5.5.7.3.1) e o seguinte identificador de objetos: 2.16.840.1.113741.1.2.3.

O campo do nome do requerente tem de conter o FQDN do servidor que aloja o ponto de serviço fora de banda.

Nota

Se solicitar um certificado de aprovisionamento de AMT de uma AC externa em vez de da sua AC interna e a AC não suportar o identificador de objeto de aprovisionamento de AMT 2.16.840.1.113741.1.2.3, poderá, em alternativa, especificar a seguinte cadeia de texto como atributo de unidade organizacional (UO) no nome do requerente do certificado: Intel(R) Client Setup Certificate. Terá de ser utilizada exatamente esta cadeia de texto, em inglês, respeitando as maiúsculas e sem ponto final, além do FQDN do servidor que aloja o ponto de serviço fora de banda.

O SHA-1 é o único algoritmo hash suportado.

Comprimentos de chave suportados: 1024 e 2048. Para AMT 6.0 e versões posteriores, também é suportado o comprimento de chave de 4096 bits.

Este certificado reside no arquivo Pessoal, no Arquivo de certificados do computador do servidor do sistema de sites do ponto de serviço fora de banda.

Este certificado de aprovisionamento AMT é utilizado para preparar computadores para gestão fora de banda.

Terá de solicitar este certificado a uma AC que forneça certificados de aprovisionamento de AMT. Além disso, a extensão BIOS para computadores baseados em Intel AMT terá de estar configurada para utilizar o thumbprint do certificado de raiz (também referido como hash do certificado) para este certificado de aprovisionamento.

A VeriSign constitui um exemplo típico de uma AC externa que fornece certificados de aprovisionamento AMT, mas poderá também utilizar a sua AC interna.

Instale o certificado no servidor que aloja o ponto de serviço fora de banda, que terá de conseguir encadear-se com êxito na AC de raiz do certificado. (Por predefinição, o certificado da AC raiz e o certificado da AC intermediária da VeriSign são instalados quando o Windows é instalado.)

Servidor do sistema de sites que executa o conector do Microsoft Intune

Autenticação de cliente

Não aplicável: o Intune cria automaticamente este certificado.

O valor Utilização de Chave Avançada contém a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

3 extensões personalizadas identificam de forma exclusiva a subscrição do Intune dos clientes.

O tamanho da chave é de 2048 bits e utiliza o algoritmo hash SHA-1.

Nota

Não pode alterar estas definições: Estas informações são fornecidas apenas para fins informativos.

Este certificado é automaticamente solicitado e instalado na base de dados do Configuration Manager quando subscreve o Microsoft Intune. Quando instala o conector do Microsoft Intune, este certificado é instalado no servidor do sistema de sites que executa o conector do Microsoft Intune. O certificado é instalado no Arquivo de certificados do computador.

Este certificado é utilizado para autenticar a hierarquia do Configuration Manager junto do Microsoft Intune, ao utilizar o conector do Microsoft Intune. Todos os dados transferidos entre eles utilizam Secure Sockets Layer (SSL).

Servidores Web Proxy para Gestão de Clientes Baseada na Internet

Se o site suportar gestão de clientes baseada na Internet e estiver a utilizar um servidor Web proxy através de terminação de SSL (bridge) para ligações recebidas da Internet, o servidor Web proxy tem os requisitos de certificado listados na tabela seguinte.

Nota

Se estiver a utilizar um servidor Web proxy sem terminação de SSL (túnel), não serão necessários certificados adicionais no servidor Web proxy.

Componente da infraestrutura de rede

Objetivo do certificado

Modelo de certificado da Microsoft a utilizar

Informações específicas no certificado

Como o certificado é utilizado no Gestor de configuração 

Servidor Web proxy aceita ligações de cliente através da Internet

Autenticação de servidor e autenticação de cliente

  1. Servidor Web

  2. Autenticação de Estação de Trabalho

FQDN de Internet no campo Nome do Requerente ou no campo Nome Alternativo do Requerente (se estiver a utilizar modelos de certificados da Microsoft, o Nome Alternativo do Requerente só fica disponível com o modelo da estação de trabalho).

São suportados os algoritmos hash SHA-1 e SHA-2.

Este certificado é utilizado para autenticar os seguintes servidores nos clientes da Internet e para encriptar todos os dados transferidos entre o cliente e este servidor utilizando o SSL:

  • Ponto de gestão baseado na Internet

  • Ponto de distribuição baseado na Internet

  • Ponto de atualização de software baseado na Internet

A autenticação do cliente é utilizada para ligar em ponte ligações do cliente entre os clientes do System Center 2012 Configuration Manager e os sistemas de sites baseados na Internet.

Certificados PKI para clientes

Componente do Gestor de configuração

Objetivo do certificado

Modelo de certificado da Microsoft a utilizar

Informações específicas no certificado

Como o certificado é utilizado no Gestor de configuração 

Computadores cliente com Windows

Autenticação de cliente

Autenticação de Estação de Trabalho

O valor Utilização de Chave Avançada tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Os computadores cliente têm de ter um valor exclusivo no campo Nome do Requerente ou no campo Nome Alternativo do Requerente.

Nota

Se utilizar diversos valores para o Nome Alternativo do Requerente, será utilizado apenas o primeiro valor.

São suportados os algoritmos hash SHA-1 e SHA-2.

O comprimento máximo de chave suportado é de 2048 bits.

Por predefinição, o Gestor de configuração procura os certificados do computador no arquivo pessoal do arquivo de certificados do computador.

Com exceção do ponto de atualização de software e do ponto do Web site do Catálogo de Aplicações, este certificado autentica o cliente nos servidores do sistema de sites que executam o IIS e que estão configurados para utilizar o HTTPS.

Clientes de dispositivos móveis

Autenticação de cliente

Sessão autenticada

O valor Utilização de Chave Avançada tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

O SHA-1 é o único algoritmo hash suportado.

O comprimento máximo de chave suportado é de 2048 bits.

System_CAPS_importantImportante

Estes certificados devem estar no formato X.509 binário codificado por DER (Distinguished Encoding Rules).

O formato X.509 codificado por Base64 não é suportado.

Este certificado autentica o cliente do dispositivo móvel nos servidores do sistema de sites com que comunica, como pontos de gestão e pontos de distribuição.

Imagens de arranque para implementação de sistemas operativos

Autenticação de cliente

Autenticação de Estação de Trabalho

O valor Utilização de Chave Avançada tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Não existem requisitos específicos para o campo Nome do Requerente ou Nome Alternativo do Requerente (SAN) do certificado e pode utilizar o mesmo certificado para todas as imagens de arranque.

A chave privada tem de ser exportável.

São suportados os algoritmos hash SHA-1 e SHA-2.

O comprimento máximo de chave suportado é de 2048 bits.

O certificado é utilizado se sequências de tarefas do processo de implementação do sistema operativo incluírem ações de cliente como a obtenção da política de cliente ou o envio de informações de inventário.

Este certificado é utilizado apenas durante o processo de implementação do sistema operativo, não sendo instalado no cliente. Devido a esta utilização temporária, o mesmo certificado poderá ser utilizado para todas as implementações do sistema operativo se não pretender utilizar diversos certificados de cliente.

Este certificado deve ser exportado em formato PKCS#12 (Public Key Certificate Standard) e a palavra-passe deve ser conhecida para poder ser importado para as imagens de arranque do Gestor de configuração.

Nota

Os requisitos deste certificado são os mesmos que os do certificado do servidor para sistemas de sites com um ponto de distribuição instalado. Como os requisitos são os mesmos, poderá utilizar o mesmo ficheiro de certificado.

Computadores cliente Mac

Autenticação de cliente

Para inscrição do Gestor de configuração: Sessão Autenticada

Para instalação do certificado independente do Gestor de configuração: Autenticação de Estação de Trabalho

O valor Utilização de Chave Avançada tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

Para o Gestor de configuração que cria um certificado de Utilizador, o valor Requerente do certificado é preenchido automaticamente com o nome de utilizador da pessoa responsável pela inscrição do computador Mac.

Para a instalação do certificado que não utiliza a inscrição do Gestor de configuração, mas implementa o certificado do computador independentemente do Gestor de configuração, o valor Requerente do certificado tem de ser exclusivo. Por exemplo, especifique o FQDN do computador.

O campo Nome Alternativo do Requerente não é suportado.

São suportados os algoritmos hash SHA-1 e SHA-2.

O comprimento máximo de chave suportado é de 2048 bits.

Para o System Center 2012 Configuration Manager SP1 e posterior:

Este certificado autentica o computador cliente Mac nos servidores do sistema de sites com que comunica, como pontos de gestão e pontos de distribuição.

Computadores cliente com Linux e UNIX

Autenticação de cliente

Autenticação de Estação de Trabalho

O valor Utilização de Chave Avançada tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

O campo Nome Alternativo do Requerente não é suportado.

A chave privada tem de ser exportável.

O algoritmo hash SHA-1 é suportado.

O algoritmo hash SHA-2 é suportado se o sistema operativo do cliente suportar SHA-2. Para mais informações, consulte a secção do tópico Planear a implementação de clientes para Linux e servidores UNIX.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_NoSHA-256

Comprimentos de chave suportados: 2048 bits.

System_CAPS_importantImportante

Estes certificados devem estar no formato X.509 binário codificado por DER (Distinguished Encoding Rules). O formato X.509 codificado por Base64 não é suportado.

Para o System Center 2012 Configuration Manager SP1 e posterior:

Este certificado autentica o cliente para Linux e UNIX nos servidores do sistema de sites com que comunica, como pontos de gestão e pontos de distribuição.

Este certificado deve ser exportado em formato PKCS#12 (Public Key Certificate Standard) e a palavra-passe deve ser conhecida para poder especificá-la no cliente quando especificar o certificado PKI.

Para obter informações adicionais, consulte a secção do tópico Planear a implementação de clientes para Linux e servidores UNIX.da15f702-ba6a-40fb-b130-c624f17e2846#BKMK_SecurityforLnU

Certificados de autoridade de certificação (AC) de raiz para os seguintes cenários:

  • Implementação do sistema operativo

  • Inscrição de dispositivos móveis

  • Autenticação do servidor RADIUS para computadores baseados em Intel AMT

  • Autenticação do certificado do cliente

Cadeia de certificados para uma fonte fidedigna

Não aplicável.

Certificado da AC de raiz padrão.

O certificado da AC de raiz deve ser fornecido quando os clientes têm de encadear os certificados do servidor em comunicação com uma origem fidedigna. Isto aplica-se nos seguintes cenários:

  • Quando implementa um sistema operativo e executa sequências de tarefas que ligam o computador cliente a um ponto de gestão configurado para utilizar o HTTPS.

  • Quando inscreve um dispositivo móvel para ser gerido pelo System Center 2012 Configuration Manager.

  • Quando utiliza a autenticação 802.1X para computadores baseados em AMT e pretende especificar um ficheiro para o certificado de raiz do servidor RADIUS.

Além disso, o certificado da AC de raiz dos clientes tem de ser fornecido se os certificados de cliente forem emitidos por uma hierarquia de AC diferente da que emitiu o certificado do ponto de gestão.

Computadores baseados em Intel AMT

Autenticação do servidor

Servidor Web (modificado)

Tem de configurar o Nome do Requerente em Incorporar a partir destas informações do Active Directory e selecionar Nome comum para o Formato de nome do requerente.

Tem de conceder permissões de Leitura e Inscrever ao grupo de segurança universal que especificou nas propriedades do componente de gestão fora de banda.

O valor Utilização de Chave Avançada tem de conter Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

O Nome do Requerente deve conter o FQDN do computador baseado em AMT, que é fornecido automaticamente a partir dos Serviços de Domínio do Active Directory.

O SHA-1 é o único algoritmo hash suportado.

Comprimento máximo suportado da chave: 2048 bits.

Este certificado reside na memória de acesso aleatório não volátil do controlador de gestão do computador e não é visualizável na interface de utilizador do Windows.

Cada computador baseado em Intel AMT solicita este certificado durante o aprovisionamento de AMT e nas atualizações subsequentes. Se remover as informações de aprovisionamento de AMT destes computadores, revogam este certificado.

Quando este certificado é instalado em computadores baseados em Intel AMT, a cadeia de certificados para a AC de raiz também é instalada. Os computadores baseados em AMT não suportam certificados de AC com um comprimento de chave superior a 2048 bits.

Após a instalação do certificado nos computadores baseados em Intel AMT, este certificado autentica os computadores baseados em AMT no servidor do sistema de sites do ponto de serviço fora da banda e nos computadores que são executados pela consola de gestão fora de banda e encripta todos os dados transferidos entre os mesmos utilizando o protocolo TLS (Transport Layer Security).

Certificado do cliente Intel AMT 802.1X

Autenticação de cliente

Autenticação de Estação de Trabalho

Tem de configurar o Nome do Requerente em Incorporar a partir destas informações do Active Directory e selecionar Nome comum para o Formato de nome do requerente, apagar o nome DNS e selecionar o Nome principal de utilizador (UPN) para o nome alternativo do requerente.

Tem de conceder permissões de Leitura e Inscrever para este modelo de certificado ao grupo de segurança universal que especificou nas propriedades do componente de gestão fora de banda.

O valor Utilização de Chave Avançada tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

O campo do nome do requerente tem de conter o FQDN do computador baseado em AMT e o nome alternativo do requerente tem de conter o UPN.

Comprimento máximo suportado da chave: 2048 bits.

Este certificado reside na memória de acesso aleatório não volátil do controlador de gestão do computador e não é visualizável na interface de utilizador do Windows.

Os computadores baseados em Intel AMT podem solicitar este certificado durante o aprovisionamento de AMT, mas não o revogam quando as respetivas informações de aprovisionamento de AMT são removidas.

Após a instalação do certificado nos computadores baseados em AMT, este certificado autentica os computadores baseados em AMT no servidor RADIUS para obter autorização de acesso à rede.

Dispositivos móveis que são registados pelo Microsoft Intune

Autenticação de cliente

Não aplicável: o Intune cria automaticamente este certificado.

O valor Utilização de Chave Avançada contém a Autenticação de Cliente (1.3.6.1.5.5.7.3.2).

3 extensões personalizadas identificam de forma exclusiva a subscrição do Intune do cliente.

Os utilizadores podem fornecer o valor do Requerente do certificado durante a inscrição. No entanto, este valor não é utilizado pelo Intune para identificar o dispositivo.

O tamanho da chave é de 2048 bits e utiliza o algoritmo hash SHA-1.

Nota

Não pode alterar estas definições: Estas informações são fornecidas apenas para fins informativos.

Este certificado é solicitado e instalado automaticamente quando os utilizadores autenticados inscrevem os respetivos dispositivos móveis através do Microsoft Intune. O certificado resultante no dispositivo está localizado no arquivo do computador e autentica o dispositivo móvel inscrito no Intune para poder ser gerido.

Devido às extensões personalizadas do certificado, a autenticação restringe-se à subscrição do Intune estabelecida para a organização.