Condividi tramite

Ottenere un certificato da usare con i server Windows e System Center Operations Manager

  • Articolo

Questo articolo descrive come ottenere un certificato e usarlo con Operations Manager Management Server, Gateway o Agent usando un server di autorità di certificazione (AD CS) autonomo o aziendale nella piattaforma Windows.

  • Per richiedere e accettare un certificato, usare l'utilità della riga di comando certreq . Per inviare e recuperare un certificato, usare un'interfaccia Web.

Prerequisiti

Assicurarsi di avere i seguenti elementi:

  • Servizi Certificati Active Directory installati e configurati nell'ambiente con servizi Web o un'autorità di certificazione di terze parti con certificati che corrispondono alle impostazioni necessarie visualizzate.
  • Associazione HTTPS e certificato associato installato. Per informazioni sulla creazione di un'associazione HTTPS, vedere Come configurare un'associazione HTTPS per una CA di Windows Server.
  • Un'esperienza desktop tipica e non server Core.

Importante

Il provider di archiviazione chiavi dell'API di crittografia (KSP) non è supportato per i certificati di Operations Manager.

Nota

Se l'organizzazione non usa Servizi certificati Active Directory o usa un'autorità di certificazione esterna, usare le istruzioni fornite per tale applicazione per creare un certificato e assicurarsi che soddisfi i requisiti seguenti per Operations Manager e quindi seguire la procedura di importazione e installazione fornita:

- Subject="CN=server.contoso.com" ; (this should be the FQDN or how the system shows in DNS)

- [Key Usage]
    - Key Exportable=TRUE ; This setting is required for Server Authentication 
    - HashAlgorithm = SHA256
    - KeyLength=2048
    - KeySpec=1
    - KeyUsage=0xf0
    - MachineKeySet=TRUE

- [EnhancedKeyUsageExtension]
    - OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    - OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

- [Compatibility Settings]
    - Compatible with Windows Server 2003 ; (or newer based on environment)

- [Cryptography Settings]
    - Provider Category: Legacy Cryptography Service Provider
    - Algorithm name: RSA
    - Minimum Key Size: 2048 ; (2048 or 4096 as per security requirement.)
    - Providers: "Microsoft RSA Schannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"

Importante

Per questo argomento, le impostazioni predefinite per AD-CS sono le seguenti:

  • Lunghezza chiave standard: 2048
  • API di crittografia: provider di servizi di crittografia (CSP)
  • Algoritmo hash sicuro: 256 (SHA256) Valutare queste selezioni in base ai requisiti dei criteri di sicurezza dell'azienda.

Processo generale per ottenere un certificato:

  1. Scaricare il certificato radice da una CA.

  2. Importare il certificato radice in un server client.

  3. Creare un modello di certificato.

  4. Aggiungere il modello alla cartella Modelli di certificato.

  5. Creare un file di informazioni di installazione da usare con l'utilità della <certreq> riga di comando.

  6. Creare un file di richiesta (o usare il portale Web).

  7. Inviare una richiesta alla CA.

  8. Importare il certificato nell'archivio certificati.

  9. Importare il certificato in Operations Manager usando <MOMCertImport>.

Scaricare e importare il certificato radice dalla CA

Per considerare attendibili e convalidare i certificati creati da ca aziendali o autonome, il computer di destinazione deve avere una copia del certificato radice nell'archivio radice attendibile. La maggior parte dei computer aggiunti a un dominio deve considerare attendibile la CA enterprise. Tuttavia, nessun computer considererà attendibile un certificato da una CA autonoma senza il certificato radice installato.

Se si usa una CA di terze parti, il processo di download sarà diverso. Tuttavia, il processo di importazione rimane invariato.

Scaricare il certificato radice attendibile da una CA

Per scaricare il certificato radice attendibile, seguire questa procedura:

  1. Accedere al computer in cui si vuole installare un certificato. Ad esempio, un server gateway o un server di gestione.

  2. Aprire un Web browser e connettersi all'indirizzo Web del server certificati. Ad esempio: https://<servername>/certsrv.

  3. Nella pagina iniziale selezionare Scarica un certificato CA, una catena di certificati o un CRL.

    a. Se richiesto con conferma accesso Web, verificare il server e l'URL e selezionare .

    b. Verificare le più opzioni in Certificato CA e confermare la selezione.

  4. Modificare il metodo Encoding in Base 64 e quindi selezionare Scarica catena di certificati CA.

  5. Salvare il certificato e specificare un nome descrittivo.

Importare il certificato radice attendibile dalla CA nel client

Nota

Per importare un certificato radice attendibile, è necessario disporre di privilegi amministrativi nel computer di destinazione.

Per importare il certificato radice attendibile, seguire questa procedura:

  1. Copiare il file generato nel passaggio precedente nel client.
  2. Aprire Gestione certificati.
    1. Dalla riga di comando, PowerShell o Esegui digitare certlm.msc e premere INVIO.
    2. Selezionare Avvia > esecuzione e digitare mmc per trovare Microsoft Management Console (mmc.exe).
      1. Passare a Aggiungi/Rimuovi snap-in file>....
      2. Nella finestra di dialogo Aggiungi o Rimuovi snap-in selezionare Certificati e quindi aggiungi.
      3. Nella finestra di dialogo Snap-in certificato,
        1. Selezionare Account computer e selezionare Avanti. Verrà visualizzata la finestra di dialogo Seleziona computer.
        2. Selezionare Computer locale e selezionare Fine.
      4. Seleziona OK.
      5. In Radice della console espandere Certificati (computer locale)
  3. Espandere Autorità di certificazione radice attendibili e quindi selezionare Certificati.
  4. Selezionare Tutte le attività.
  5. Nell'Importazione guidata certificati lasciare la prima pagina come predefinita e selezionare Avanti.
    1. Passare al percorso in cui è stato scaricato il file del certificato CA e selezionare il file del certificato radice attendibile copiato dalla CA.
    2. Selezionare Avanti.
    3. Nel percorso dell'archivio certificati lasciare l'impostazione predefinita autorità di certificazione radice attendibili.
    4. Selezionare Avanti e Fine.
  6. In caso di esito positivo, il certificato radice attendibile dalla CA sarà visibile in Certificati autorità>di certificazione radice attendibili.

Creare un modello di certificato: Ca aziendali

Ca aziendali:

  • Si integra con Dominio di Active Directory Services (AD-DS).
  • Pubblica certificati ed elenchi di revoche di certificati (CRL) in Active Directory Domain Services.
  • Usa gli account utente e le informazioni sui gruppi di sicurezza archiviati in Active Directory Domain Services per approvare o negare le richieste di certificato.
  • Usa i modelli di certificato.

Per rilasciare un certificato, la CA aziendale usa le informazioni nel modello di certificato per generare un certificato con gli attributi appropriati per tale tipo di certificato.

Ca autonome:

  • Non richiedere Servizi di dominio Active Directory.
  • Non usare modelli di certificato.

Se si usano ca autonome, includere tutte le informazioni sul tipo di certificato richiesto nella richiesta di certificato.

Per altre informazioni, vedere Modelli di certificato.

Creare un modello di certificato per System Center Operations Manager

  1. Accedere a un server aggiunto a un dominio con Servizi certificati Active Directory nell'ambiente (ca).

  2. Sul desktop di Windows selezionare Avvia>Autorità di certificazione Strumenti>di amministrazione Windows.

  3. Nel riquadro di spostamento destro espandere la CA, fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci.

  4. Fare clic con il pulsante destro del mouse su IPSec (richiesta offline) e scegliere Duplica modello.

  5. Verrà visualizzata la finestra di dialogo Proprietà nuovo modello . Effettuare le selezioni come indicato di seguito:

    Scheda Descrizione
    Compatibilità 1. Autorità di certificazione: Windows Server 2008 (o il livello funzionale di ACTIVE Directory più basso nell'ambiente).
    2. Destinatario certificato: Windows Server 2012 (o la versione più bassa del sistema operativo nell'ambiente).
    Generali 1. Nome visualizzato modello: immettere un nome descrittivo, ad esempio Operations Manager.
    2. Nome modello: immettere lo stesso nome del nome visualizzato.
    3. Periodo di validità: immettere il periodo di validità in base ai requisiti dell'organizzazione.
    4. Selezionare Pubblica certificato in Active Directory e Non ripetere automaticamente la registrazione se esiste un certificato duplicato nelle caselle di controllo di Active Directory .
    Gestione delle richieste 1. Scopo: selezionare Firma e crittografia dall'elenco a discesa.
    2. Selezionare Consenti esportazione chiave privata.
    Crittografia 1. Categoria provider: selezionare Provider di servizi di
    crittografia legacy 2. Nome algoritmo: selezionare Determinato da CSP nell'elenco a discesa.
    3. Dimensioni minime della chiave: 2048 o 4096 in base ai requisiti di sicurezza dell'organizzazione.
    4. Provider: selezionare Provider di crittografia del canale MICROSOFT RSA e Provider di crittografia avanzato Microsoft v1.0 dall'elenco a discesa.
    Estensioni 1. In Estensioni incluse in questo modello selezionare Criteri applicazione e quindi selezionare Modifica
    2. Verrà visualizzata la finestra di dialogo Modifica estensione criteri applicazione.
    3. In Criteri applicazione: selezionare Ip security IKE intermediate (Ip security IKE intermediate ) e quindi selezionare Remove 4 (Rimuovi
    4). Selezionare Aggiungi e quindi selezionare l'autenticazione client e l'autenticazione server in Criteri applicazione.
    5. Selezionare OK.
    6. Selezionare Utilizzo chiavi e Modifica.
    7. Assicurarsi che sia selezionata l'opzione Firma digitale e Consenti scambio di chiavi solo con crittografia della chiave (crittografia della chiave).
    8. Selezionare la casella di controllo Rendi critica questa estensione e selezionare OK.
    Sicurezza 1. Verificare che il gruppo Utenti autenticati (o oggetto Computer) disponga delle autorizzazioni Lettura e Registrazione e selezionare Applica per creare il modello.

Aggiungere il modello alla cartella Modelli di certificato

  1. Accedere a un server aggiunto a un dominio con Servizi certificati Active Directory nell'ambiente (ca).
  2. Sul desktop di Windows selezionare Avvia>Autorità di certificazione Strumenti>di amministrazione Windows.
  3. Nel riquadro di spostamento destro espandere la CA, fare clic con il pulsante destro del mouse su Modelli di certificato e selezionare Nuovo>modello di certificato da rilasciare.
  4. Selezionare il nuovo modello creato nei passaggi precedenti e selezionare OK.

Richiedere un certificato usando un file di richiesta

Creare un file di informazioni di installazione (con estensione inf)

  1. Nel computer che ospita la funzionalità di Operations Manager per cui si richiede un certificato aprire un nuovo file di testo in un editor di testo.

  2. Creare un file di testo contenente il contenuto seguente:

    
[NewRequest]
Subject=”CN=server.contoso.com”
Key Exportable = TRUE  ; Private key is exportable
HashAlgorithm = SHA256
KeyLength = 2048  ; (2048 or 4096 as per Organization security requirement.)
KeySpec = 1  ; Key Exchange – Required for encryption
KeyUsage = 0xf0  ; Digital Signature, Key Encipherment
MachineKeySet = TRUE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider and Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 12
KeyAlgorithm = RSA

; Optionally include the Certificate Template for Enterprise CAs, remove the ; to uncomment
; [RequestAttributes]
; CertificateTemplate="SystemCenterOperationsManager"

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1  ; Server Authentication
OID = 1.3.6.1.5.5.7.3.2  ; Client Authentication

  3. Salvare il file con estensione inf . Ad esempio: CertRequestConfig.inf.

  4. Chiudere l'editor di testo.

Creare un file di richiesta di certificato

Questo processo codifica le informazioni specificate nel file di configurazione in Base64 e restituisce un nuovo file.

  1. Nel computer che ospita la funzionalità di Operations Manager per cui si richiede un certificato aprire un prompt dei comandi amministratore.

  2. Passare alla stessa directory in cui si trova il file inf .

  3. Eseguire il comando seguente per modificare il nome del file inf per assicurarsi che corrisponda al nome file creato in precedenza. Lasciare invariato il nome del file con estensione req :

    CertReq –New –f CertRequestConfig.inf CertRequest.req

  4. Aprire il file appena creato e copiare il contenuto.

Inviare una nuova richiesta di certificato nel portale Web di Servizi certificati Active Directory usando il file di richiesta

  1. Nel computer che ospita la funzionalità di Operations Manager per cui si richiede un certificato aprire un Web browser e connettersi al computer che ospita l'indirizzo Web del server certificati. Ad esempio: https://<servername>/certsrv.

  2. Nella pagina iniziale di Servizi certificati Microsoft Active Directory selezionare Richiedi un certificato.

  3. Nella pagina Richiedi un certificato selezionare richiesta di certificato avanzata.

  4. Nella pagina Richiesta di certificato avanzata selezionare Invia una richiesta di certificato usando un file CMC o PKCS #10 con codifica base 64 oppure inviare una richiesta di rinnovo usando un file PKCS #7 con codifica base 64.

  5. Nella pagina Invia richiesta di certificato o richiesta di rinnovo, nella casella di testo Richiesta salvata incollare il contenuto del file CertRequest.req copiato nel passaggio 4 della procedura precedente.

  6. Nel modello di certificato selezionare il modello di certificato creato. Ad esempio, OperationsManagerCert e quindi selezionare Invia.

  7. In caso di esito positivo, nella pagina Certificato rilasciato selezionare Certificato con codifica Base 64 Download certificate (Scarica certificato con>codifica Base 64).

  8. Salvare il certificato e specificare un nome descrittivo. Ad esempio, salvare come SCOM-MS01.cer.

  9. Chiudere il Web browser.

Usare il portale Web AD-CS per richiedere un certificato

Oltre al file di richiesta, è possibile creare una richiesta di certificato tramite il portale Web servizi certificati. Questo passaggio viene completato nel computer di destinazione per semplificare l'installazione del certificato. Se la richiesta di certificato che usa il portale Web AD-CS non è possibile, assicurarsi di esportare il certificato come indicato di seguito:

  1. Nel computer che ospita la funzionalità di Operations Manager per cui si richiede un certificato, aprire un Web browser e connettersi al computer che ospita l'indirizzo Web del server certificati. Ad esempio: https://<servername>/certsrv.
  2. Nella pagina iniziale di Servizi certificati Microsoft Active Directory selezionare Richiedi un certificato.
  3. Nella pagina Richiedi un certificato selezionare richiesta di certificato avanzata.
  4. Selezionare Crea e inviare una richiesta a questa CA.
  5. Verrà visualizzata una richiesta di certificato avanzata. Eseguire le operazioni seguenti:
    1. Modello di certificato: usare il modello creato in precedenza o uno designato per Operations Manager.
    2. Identificazione delle informazioni per il modello offline:
      1. Nome: FQDN del server o come appare in DNS
      2. Fornire altre informazioni in base alle esigenze dell'organizzazione
    3. Opzioni chiave:
      1. Selezionare la casella di controllo Contrassegna le chiavi come esportabili
    4. Opzioni aggiuntive:
      1. Nome descrittivo: FQDN del server o come appare in DNS
  6. Selezionare Invia.
  7. Al termine dell'attività, viene visualizzata la pagina Certificato rilasciato con un collegamento Per installare il certificato.
  8. Selezionare Installa questo certificato.
  9. Nel server l'archivio certificati personale archivia il certificato.
  10. Caricare le console MMC o CertMgr e passare a Certificati personali>e individuare il certificato appena creato.
  11. Se questa attività non viene completata nel server di destinazione, esportare il certificato:
    1. Fare clic con il pulsante destro del mouse sul nuovo certificato > Tutte le attività > esportate.
    2. Nella Esportazione guidata certificati fare clic su Avanti.
    3. Selezionare Sì, esportare la chiave privata, selezionare Avanti.
    4. Selezionare Scambio di informazioni personali - PKCS #12 (. PFX).
    5. Selezionare Includi tutti i certificati nel percorso di certificazione, se possibile , e selezionare Esporta tutte le proprietà estese e selezionare Avanti.
    6. Specificare una password per crittografare il file di certificato inattivi e selezionare Avanti.
    7. Salvare il file esportato e specificare un nome descrittivo.
    8. Selezionare Avanti e Fine.
    9. Individuare il file del certificato esportato ed esaminare l'icona per il file.
      1. Se l'icona contiene una chiave, è necessario che la chiave privata sia collegata.
      2. Se l'icona non contiene una chiave, esportare nuovamente il certificato con la chiave privata in quanto necessario per usarlo in un secondo momento.
    10. Copiare il file esportato nel computer di destinazione.
  12. Chiudere il Web browser.

Richiedere un certificato con Gestione certificati

Per le ca aziendali con un modello di certificato definito, è possibile richiedere un nuovo certificato da un computer client aggiunto a un dominio usando Gestione certificati. Poiché usa i modelli, questo metodo non si applica alle ca autonome.

  1. Accedere al computer di destinazione con diritti di amministratore (Management Server, Gateway, Agent e così via).
  2. Usare il prompt dei comandi dell'amministratore o la finestra di PowerShell per aprire Gestione certificati.
    1. certlm.msc : apre l'archivio certificati computer locale.
    2. mmc.msc : apre Microsoft Management Console.
      1. Caricare lo snap-in Gestione certificati.
      2. Passare a Aggiungi>/Rimuovi snap-in file.
      3. Seleziona Certificati.
      4. Selezionare Aggiungi.
      5. Quando richiesto, selezionare Account computer e selezionare Avanti
      6. Assicurarsi di selezionare Computer locale e selezionare Fine.
      7. Selezionare OK per chiudere la procedura guidata.
  3. Avviare la richiesta di certificato:
    1. In Certificati espandere la cartella Personale.
    2. Fare clic con il pulsante destro del mouse su Certificati>Tutte le attività>Richiedi nuovo certificato.
  4. Registrazione guidata certificati

    1. Nella pagina Prima di iniziare, selezionare Avanti.

    2. Selezionare i criteri di registrazione certificati applicabili (il valore predefinito potrebbe essere il criterio di registrazione di Active Directory), selezionare Avanti

    3. Selezionare il modello di criteri di registrazione desiderato per creare il certificato

      1. Se il modello non è immediatamente disponibile, selezionare Mostra tutti i modelli sotto l'elenco
      2. Se il modello necessario è disponibile con una X rossa accanto, consultare il team di Active Directory o certificato

    4. Nella maggior parte degli ambienti è possibile trovare un messaggio di avviso con un collegamento ipertestuale nel modello di certificato, selezionare il collegamento e continuare a compilare le informazioni per il certificato.

    5. Creazione guidata proprietà certificato:

      Scheda Descrizione
      Oggetto 1. In Nome soggetto, selezionare il nome comune o DN completo, specificare il valore - nome host o nome BIOS del server di destinazione, selezionare Aggiungi.
      Generali 1. Specificare un nome descrittivo per il certificato generato.
      2. Specificare una descrizione dello scopo del ticket, se necessario.
      Estensioni 1. In Utilizzo chiavi assicurarsi di selezionare l'opzione Firma digitale e crittografia della chiave e selezionare la casella di controllo Rendi critico l'utilizzo di queste chiavi.
      2. In Utilizzo chiavi esteso, assicurarsi di selezionare Autenticazione server e opzioni di autenticazione client.
      Chiave privata 1. In Opzioni chiave verificare che la dimensione della chiave sia almeno 1024 o 2048 e selezionare la casella di controllo Rendi esportabile chiave privata.
      2. In Tipo di chiave assicurarsi di selezionare l'opzione Exchange .
      Scheda Autorità di certificazione Assicurarsi di selezionare la casella di controllo CA.
      Firma Se l'organizzazione richiede un'autorità di registrazione, fornire un certificato di firma per questa richiesta.

    6. Dopo che le informazioni sono state fornite nella procedura guidata Proprietà certificato, il collegamento ipertestuale di avviso precedente scompare.

    7. Selezionare Registra per creare il certificato. Se si verifica un errore, consultare il team di Active Directory o del certificato.

    8. In caso di esito positivo, lo stato verrà letto Succeeded e un nuovo certificato verrà inserito nell'archivio Personal/Certificates.

  5. Se queste azioni sono state eseguite sul destinatario previsto del certificato, procedere con i passaggi successivi.
  6. In caso contrario, esportare il nuovo certificato dal computer e copiarlo al successivo.
    1. Aprire la finestra Gestione certificati e passare a Certificati personali>.
    2. Selezionare il certificato da esportare.
    3. Fare clic con il pulsante destro del mouse su Tutte le attività>esportate.
    4. Nell'Esportazione guidata certificati.
      1. Selezionare Avanti nella pagina iniziale.
      2. Assicurarsi di selezionare Sì, esportare la chiave privata.
      3. Selezionare Scambio di informazioni personali - PKCS #12 (. PFX) dalle opzioni di formato.
        1. Selezionare Includi tutti i certificati nel percorso di certificazione, se possibile, e selezionare Esporta tutte le proprietà estese.
      4. Selezionare Avanti.
      5. Specificare una password nota per crittografare il file del certificato.
      6. Selezionare Avanti.
      7. Specificare un percorso accessibile e un nome file riconoscibile per il certificato.
    5. Copiare il file del certificato appena creato nel computer di destinazione.

Installare il certificato nel computer di destinazione

Per usare il certificato appena creato, importarlo nell'archivio certificati nel computer client.

Aggiungere il certificato all'archivio certificati

  1. Accedere al computer in cui vengono creati i certificati per Management Server, Gateway o Agent.

  2. Copiare il certificato creato in precedenza in un percorso accessibile nel computer.

  3. Aprire un prompt dei comandi amministratore o una finestra di PowerShell e passare alla cartella in cui si trova il file del certificato.

  4. Eseguire il comando seguente, assicurarsi di sostituire NewCertificate.cer con il nome/percorso corretto del file:

    CertReq -Accept -Machine NewCertificate.cer

  5. Questo certificato dovrebbe ora essere presente nell'archivio personale del computer locale in questo computer.

In alternativa, fare clic con il pulsante destro del mouse sul file > del certificato Installa > computer locale e scegliere la destinazione dell'archivio personale per installare il certificato.

Nota

Se si aggiunge un certificato all'archivio certificati con la chiave privata e lo si elimina dall'archivio in un secondo momento, il certificato non conterrà più la chiave privata quando viene reimportato. Le comunicazioni di Operations Manager richiedono una chiave privata perché i dati in uscita devono essere crittografati. È possibile ripristinare il certificato usando certutil. È necessario specificare il numero di serie del certificato. Ad esempio, per ripristinare la chiave privata, usare il comando seguente in un prompt dei comandi dell'amministratore o in una finestra di PowerShell:

certutil -repairstore my <certificateSerialNumber>

Importare il certificato in Operations Manager

Oltre all'installazione del certificato nel sistema, è necessario aggiornare Operations Manager per tenere presente il certificato che si vuole usare. Le azioni seguenti riavvieranno il servizio Microsoft Monitoring Agent.

Usare l'utilità MOMCertImport.exe inclusa nella cartella SupportTools nel supporto di installazione di Operations Manager. Copiare il file nel server.

Per importare il certificato in Operations Manager usando MOMCertImport, seguire questa procedura:

  1. Accedere al computer di destinazione.

  2. Aprire un prompt dei comandi amministratore o una finestra di PowerShell e passare alla cartella dell'utilità MOMCertImport.exe .

  3. Eseguire l'utilità MomCertImport.exe

    1. In CMD: MOMCertImport.exe
    2. In PowerShell: .\MOMCertImport.exe

  4. Viene visualizzata una finestra GUI per selezionare un certificato

    1. È possibile visualizzare un elenco di certificati, se non viene visualizzato immediatamente un elenco, selezionare Altre opzioni.

  5. Nell'elenco selezionare il nuovo certificato per il computer

    1. È possibile verificare il certificato selezionandolo. Dopo aver selezionato, è possibile visualizzare le proprietà del certificato.

  6. Selezionare OK

  7. In caso di esito positivo, verrà visualizzato un messaggio popup:

    Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.

  8. Per convalidare, passare a Visualizzatore eventi> Applicazioni e log>dei servizi di Operations Manager per un ID evento 20053. Ciò indica che il certificato di autenticazione è stato caricato correttamente

  9. Se l'ID evento 20053 non è presente nel sistema, cercare uno di questi ID evento per individuare gli errori e correggere di conseguenza:

    • 20049
    • 20050
    • 20052
    • 20066
    • 20069
    • 20077

  10. MOMCertImport aggiorna questo percorso del Registro di sistema in modo che contenga il valore che corrisponde al contrario del numero di serie visualizzato nel certificato:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Rinnovare un certificato

Operations Manager genera un avviso quando un certificato importato per server di gestione e gateway sta per scadere. Se viene visualizzato un avviso, rinnovare o creare un nuovo certificato per i server prima della data di scadenza. Questo funzionerà solo se il certificato contiene informazioni sul modello (da una CA aziendale).

  1. Accedere al server con il certificato in scadenza e avviare gestione configurazione certificati (certlm.msc).
  2. Individuare il certificato di Operations Manager in scadenza.
  3. Se il certificato non viene trovato, potrebbe essere stato rimosso o importato tramite file e non tramite l'archivio certificati. Potrebbe essere necessario rilasciare un nuovo certificato per questo computer dalla CA. Per eseguire questa operazione, vedere le istruzioni riportate sopra.
  4. Se si trova il certificato, di seguito sono riportate le opzioni per rinnovare il certificato:
    1. Richiedi certificato con nuova chiave
    2. Rinnovare il certificato con nuova chiave
    3. Rinnovare il certificato con la stessa chiave
  5. Selezionare l'opzione più adatta alle operazioni da eseguire e seguire la procedura guidata.
  6. Al termine, eseguire lo MOMCertImport.exe strumento per assicurarsi che Operations Manager abbia il nuovo numero di serie (invertito) del certificato se è stato modificato. Per altri dettagli, vedere la sezione precedente.

Se il rinnovo del certificato tramite questo metodo non è disponibile, usare i passaggi precedenti per richiedere un nuovo certificato o con l'autorità di certificazione dell'organizzazione. Installare e importare (MOMCertImport) il nuovo certificato da usare da Operations Manager.

Facoltativo: configurare la registrazione automatica e il rinnovo del certificato

Usare la CA aziendale per configurare la registrazione automatica dei certificati e i rinnovi alla scadenza. In questo modo il certificato radice attendibile verrà distribuito a tutti i sistemi aggiunti a un dominio.

La configurazione della registrazione automatica e del rinnovo dei certificati non funziona con ca autonome o di terze parti. Per i sistemi in un gruppo di lavoro o in un dominio separato, i rinnovi e le registrazioni dei certificati saranno comunque un processo manuale.

Per altre informazioni, vedere Guida a Windows Server.

Nota

La registrazione automatica e il rinnovo non configurano automaticamente Operations Manager per l'uso del nuovo certificato. Se il certificato viene rinnovato automaticamente con la stessa chiave, l'identificazione personale può rimanere invariata e non è richiesta alcuna azione da parte di un amministratore. Se viene generato un nuovo certificato o l'identificazione personale cambia, il certificato aggiornato dovrà essere importato in Operations Manager usando lo strumento MOMCertImport come descritto in precedenza.