Instalar e configurar o Serviço de Registro de Dispositivo de Rede e dependências (apenas para certificados SCEP)

IMPORTANTE IMPORTANTE

Para instalar e configurar o Serviço de Registro de Dispositivo de Rede e as dependências Para instalar e configurar o Serviço de Registro de Dispositivo de Rede e as dependências Aplica-se a: System Center Configuration Manager (Branch Atual)

Saiba como Configurar a infraestrutura de certificado no System Center Configuration Manager. Antes de começar, verifique quais são os pré-requisitos relacionados em Pré-requisitos dos perfis de certificado no System Center Configuration Manager.

Use estas etapas para configurar sua infraestrutura para certificados SCEP ou PFX.

Você deve instalar e configurar o serviço da função do Serviço de Registro de Dispositivo de Rede para os Serviços de Certificados do Active Directory (AD CS), alterar as permissões de segurança nos modelos de certificado, implantar um certificado de autenticação de cliente da infraestrutura de chave pública (PKI) e editar o registro para aumentar o tamanho limite da URL padrão dos Serviços de Informações da Internet (IIS). Se

necessário, você também deve configurar a AC (autoridade de certificação) emissora para permitir um período de validade personalizado.

Antes de configurar o System Center Configuration Manager para trabalhar com o Serviço de Registro de Dispositivo de Rede, verifique a instalação e a configuração do Serviço de Registro de Dispositivo de Rede. Se essas dependências não estiverem funcionando corretamente, você terá problemas ao solucionar problemas de registro de certificado usando o System Center Configuration Manager.

1. Em um servidor que está executando o Windows Server 2012 R2, instale e configure o serviço de função Serviço de Registro de Dispositivo de Rede para a função de servidor Serviços de Certificados do Active Directory. Para mais informações, consulte Diretrizes do Serviço de Registro de Dispositivo de Rede na biblioteca de Serviços de Certificados do Active Directory no TechNet.

2. Verifique e, se necessário, modifique as permissões de segurança dos modelos de certificado que o Serviço de Registro de Dispositivo de Rede está usando:

Para a conta que executa o console do System Center Configuration Manager: permissão de leitura. Essa permissão é necessária para que, quando executar o Assistente para Criar Perfil de Certificado, você possa procurar pelo modelo de certificado que deseja utilizar e selecioná-lo ao criar um perfil de configurações do SCEP. Selecionar um modelo de certificado significa que algumas

configurações do assistente são preenchidas automaticamente, de forma que você tenha menos configurações para definir e de que haja menos risco de selecionar configurações não compatíveis com os modelos de certificado que o Serviço de Registro de Dispositivo de Rede está usando. Para a conta de serviço do SCEP que o pool de aplicativos do Serviço de Registro de Dispositivo de Rede usa: permissões Ler e Registrar .

Este requisito não é específico para o System Center Configuration Manager, mas faz parte da configuração do Serviço de Registro de Dispositivo de Rede. Para mais informações, consulte

DICA DICA OBSERVAÇÃO OBSERVAÇÃO DICA DICA

Diretrizes do Serviço de Registro de Dispositivo de Rede na biblioteca de Serviços de Certificados do Active Directory no TechNet.

Para identificar quais modelos de certificado o Serviço de Registro de Dispositivo de Rede está usando, exiba a seguinte chave do Registro no servidor que está executando o Serviço de Registro de Dispositivo de Rede: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

Essas são as permissões de segurança padrão adequadas para a maioria dos ambientes. No entanto, você pode usar uma configuração de segurança alternativa. Para obter mais informações, consulte Planejando permissões de modelo de certificado para os perfis de certificado no System Center Configuration Manager.

3. Implante um certificado PKI neste servidor que ofereça suporte à autenticação de clientes. Talvez você já tenha um certificado apropriado instalado no computador que possa usar, ou talvez tenha que (ou ainda prefira) implantar um certificado especificamente para este propósito. Para obter mais informações sobre os requisitos desse certificado, confira os detalhes para Servidores que executam o Módulo de Política do Configuration Manager com o serviço de função Serviço de Registro de Dispositivo de Rede na seção

Certificados PKI para servidores no tópico Requisitos de certificado PKI para o System Center Configuration Manager.

Se precisar de ajuda para implantar esse certificado, será possível usar as instruções para Implantando o certificado do cliente para pontos de distribuição, porque os requisitos de certificado são os mesmos, porém com uma exceção:

Não selecione a caixa de seleção Permitir que a chave particular seja exportada na guia Tratamento de solicitação das propriedades do modelo de certificado.

Não é necessário exportar este certificado com a chave privada, porque você poderá navegar até o repositório do Computador local e selecioná-lo ao configurar o Módulo de Política do System Center Configuration Manager.

4. Localize o certificado raiz ao qual o certificado de autenticação de cliente se encadeia. Em seguida, exporte esse certificado da AC raiz para um arquivo de certificado (.cer). Salve esse arquivo em local seguro de onde possa acessá-lo mais tarde quando for instalar e configurar o servidor de sistema para o ponto de registro de certificado.

5. No mesmo servidor, use o editor do Registro para aumentar o limite de tamanho da URL padrão para o IIS, definindo os seguintes valores de DWORD da chave do Registro em

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters: Defina a chave MaxFieldLength como 65534.

Defina a chave MaxRequestBytes como 16777216.

Para obter mais informações, leia o artigo 820129: Configurações de Registro Http.sys para Windows na Base de Dados de Conhecimento Microsoft.

6. No mesmo servidor, no Gerenciador do IIS (Serviços de Informações da Internet), modifique as configurações de filtragem de solicitação do aplicativo /certsrv/mscep e reinicie o servidor. Na caixa de diálogo Editar Configurações de Filtragem de Solicitações , as configurações de Limites de