Especificar as plataformas com suporte para o perfil de certificadoIMPORTANTE
Etapa 2: instalar e configurar o ponto de registro de certificado.
IMPORTANTE IMPORTANTE
P a r a i n s t a l a r e c o n f i g u r a r o p o n t o d e r e g i s t r o d e c e r t i f i c a d o P a r a i n s t a l a r e c o n f i g u r a r o p o n t o d e r e g i s t r o d e c e r t i f i c a d o
Tamanho máximo de conteúdo permitido (Bytes): 30000000 Tamanho máximo da URL (Bytes): 65534
Cadeia de caracteres de consulta máxima (Bytes): 65534
Para obter mais informações sobre estas configurações e sobre como defini-las, consulte Limites de solicitações na Biblioteca de Referência do IIS.
7. Se deseja poder solicitar um certificado com um período de validade inferior ao do modelo do certificado que está utilizando: Por padrão, essa configuração é desabilitada para uma AC corporativa. Para habilitar essa opção em uma AC corporativa, use a ferramenta de linha de comando Certutil, pare e reinicie o serviço de certificado usando os comandos a seguir:
a. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE b. net stop certsvc
c. net start certsvc
Para mais informações, consulte Configurações e Ferramentas dos Serviços de Certificados na biblioteca de Tecnologias PKI no TechNet.
8. Verifique se o Serviço de Registro de Dispositivo de Rede está funcionando usando o seguinte link como exemplo: https://server.contoso.com/certsrv/mscep/mscep.dll. Você deverá ver a página da Web interna do Serviço de Registro de Dispositivo de Rede. Esta página da Web explica sobre o que é o serviço e explica que os dispositivos de rede usam a URL para submeterem os pedidos de certificado.
Agora que o Serviço de Registro de Dispositivo de Rede e as dependências estão configuradas, você está pronto para instalar e configurar o ponto de registro de certificado.
É necessário instalar e configurar pelo menos um ponto de registro de certificado na hierarquia do System Center Configuration Manager e é possível instalar esta função do sistema de sites no site da administração central ou em um site primário.
Antes de instalar o ponto de registro de certificado, consulte a seção Requisitos de Sistema do Site no tópico Supported configurations for System Center Configuration Manager para os requisitos de sistema operacional e as dependências para ponto de registro de certificado.
1. No console do System Center Configuration Manager, clique em Administração.
2. No espaço de trabalho Administração , expanda Configuração de Site, clique em Funções de
Servidores e Sistema de Sitee selecione o servidor a ser usado para o ponto de registro do certificado.
3. Na guia Início , no grupo Servidor , clique em Adicionar Funções do Sistema de Site.
4. Na página Geral , especifique as configurações gerais para o sistema de site e clique em Próximo. 5. Na página Proxy , clique em Avançar. O ponto de registro de certificado não usa as configurações de
proxy da internet.
6. Na página Seleção de Função do Sistema , selecione Ponto de Registro de Certificado na lista de funções disponíveis e clique em Avançar.
para Processar solicitações de certificado SCEP ou Processar solicitações de certificado PFX. Um ponto de registro de certificado não pode processar os dois tipos de solicitações, mas você pode criar vários pontos de registro de certificado se estiver trabalhando com os dois tipos de certificado.
Se estiver processando certificados PFX, você precisará escolher uma autoridade de certificação, Microsoft ou Entrust.
8. O página Configurações do Ponto de Registro de Certificado varia de acordo com o tipo de certificado:
Se você selecionou Processar solicitações de certificado SCEP, configure o seguinte:
Nome do site, Número da Porta HTTPS e Nome do aplicativo Virtual para o ponto de
registro de certificado. Esses campos são preenchidos automaticamente com valores padrão.
URL para o serviço de registro do dispositivo de rede e certificado de Autoridade de Certificação raiz -clique em Adicionar, em seguida, na caixa de diálogo Adicionar URL e certificado de AC raiz, especifique o seguinte:
URL do Serviço de Registro de Dispositivo de Rede: especifique a URL no seguinte
formato: https://<server_FQDN>/certsrv/mscep/mscep.dll. Por exemplo, se o FQDN do servidor que está executando o Serviço de Registro de Dispositivo de Rede for
server1.contoso.com, digite https://server1.contoso.com/certsrv/mscep/mscep.dll.
Certificado de AC Raiz: Navegue até e selecione o arquivo de certificado (.cer) criado e
salvo na Etapa 1: Instale e configure o Serviço de Registro de Dispositivo de Rede e
dependências. Este certificado de AC raiz permite que o ponto de registro de certificado
valide o certificado de autenticação de cliente que o Módulo de Política do System Center Configuration Manager usará.
Se você selecionou Processar solicitações de certificado PFX, configure os detalhes de conexão e as credenciais da autoridade de certificação selecionada.
Para usar Microsoft como a autoridade de certificação, clique em Adicionar, em seguida, na caixa de diálogo Adicionar uma Autoridade de Certificação e uma Conta, especifique o seguinte:
Nome do servidor da autoridade de certificado - insira o nome do seu servidor de
autoridade de certificado.
Conta da Autoridade de Certificado - clique em Definir para selecionar ou crie a conta
que tem permissões para se inscrever em modelos na autoridade de certificação.
Conta de Conexão do Ponto de Registro de Certificado - seleciona ou conecta a
conta que conecta o ponto de registro do certificado ao banco de dados do Configuration Manager. Como alternativa, você pode usar a conta de computador local do computador que hospeda o ponto de registro de certificado.
Conta de Publicação de Certificado do Active Directory - selecione uma conta ou
crie uma nova conta que será usada para publicar certificados para objetos de usuário no Active Directory.
Na caixa de diálogo URL para Registro de Dispositivo de Rede e certificado da
AC raiz, especifique o seguinte e clique em OK:
Para usar Entrust como a autoridade de certificação, especifique: A URL do serviço Web MDM
As credenciais de nome de usuário e senha para a URL.
Ao usar a API do MDM para definir a URL do serviço Web Entrust, use pelo menos a versão 9 da API, conforme mostra o exemplo a seguir: