Artikel
10/26/2015

Så här konfigurerar du principmodulen för användning av ett nytt klientcertifikat i Configuration Manager

Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Servrar som kör Configuration Manager-principmodulen med rolltjänsten för registreringstjänsten för nätverksenheter använder ett klientcertifikat för att autentisera principmodulen för certifikatregistreringsplatsens platssystemserver i System Center 2012 Configuration Manager. Normalt är ett klientautentiseringscertifikat giltigt i ett år. Innan certifikatet går ut måste du förnya det, uppdatera registret för det nya certifikatet och därefter starta om webbservern som kör registreringstjänsten för nätverksenheter.

Om certifikatet redan har gått ut visas ”ERROR("Failed to send http request

Förnya certifikatet:

Om du begärde certifikatet manuellt, begär du ett nytt certifikat manuellt. Om du behöver distribuera det här certifikatet kan du använda anvisningarna för Distribuera klientcertifikatet för distributionsplatser i artikeln Detaljerat distributionsexempel av PKI-certifikaten för Configuration Manager: Windows Server 2008 certifikatutfärdare med ett undantag: Markera inte kryssrutan Tillåt att den privata nyckeln exporteras på fliken Hantering av begäranden i certifikatmallens egenskaper.

Om du automatiskt distribuerar det här klientcertifikatet genom att använda grupprincipregistrering ska standardkonfiguration automatiskt begära ett nytt certifikat innan det ursprungliga certifikatet går ut.

När det nya certifikatet distribueras på servern som kör registreringstjänsten för nätverksenheter och Configuration Manager-principmodulen, använd följande metod för att konfigurera servern att använda det nya certifikatet.

Konfigurera principmodulen så att den använder det nya klientcertifikatet

På servern som kör registreringstjänsten för nätverksenheter och Configuration Manager-principmodulen öppna registereditorn och byt det gamla certifikattumavtrycket mot det nya certifikattumavtrycket genom att använda följande registernyckel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.

Tips

Identifiera tumavtrycket för det nya certifikatet genom att leta upp certifikatet i datorarkivet genom att använda snapin-modulen Certifikat. Högerklicka sedan på certifikatet, klicka på Egenskaper, klicka på Visa certifikat, klicka på fliken Information och bläddra sedan och välj Tumavtryck. Du kan då se och kopiera strängen med hexadecimala tecken som är certifikattumavtrycket för det här certifikatet.

Starta om tjänsterna för webbservern med någon av följande metoder:

Från IIS-hanteraren (Internet Information Services): Bläddra till webbservernoden i trädet. Klicka på Starta om i rutan Åtgärder.

Från kommandoraden: Skriv in iisreset /restart och tryck på Retur.

Mer information finns i Starta eller stoppa webbservern (IIS 8) i Windows Server-biblioteket på TechNet.

Du kan bekräfta att principmodulen använder det nya certifikatet genom att söka efter följande post i NDESPlugin.log-filen på servern som kör registreringstjänsten för nätverksenheter: INFO("NDES thumbprint is <thumbprint>.", wszBuffer);

Se även

Teknisk referens för certifikatprofiler i Configuration Manager

Dela via

Så här konfigurerar du principmodulen för användning av ett nytt klientcertifikat i Configuration Manager

Konfigurera principmodulen så att den använder det nya klientcertifikatet

Se även

Ytterligare resurser