Partilhar via

  • Artigo

Pré-requisitos para perfis de certificado no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

As informações deste tópico aplicam-se apenas às versões do System Center 2012 R2 Configuration Manager.

Os perfis de certificado do System Center 2012 Configuration Manager têm dependências externas e dependências no produto.

Dependências Externas ao Configuration Manager

Dependência

Mais informações

Uma empresa autoridade de certificação (AC) emissora que esteja a executar os Serviços de Certificados do Active Directory (AD CS).

Para revogar certificados, a AC emissora tem de ser configurada com a permissão Emitir e Gerir Certificados para o servidor do site no topo da hierarquia.

Nota

A aprovação do gestor para pedidos de certificado é suportada. No entanto, os modelos de certificado utilizados para emitir certificados devem ser configurados para Fornecer no pedido do requerente do certificado para que o Gestor de configuração possa fornecer este valor automaticamente.

Para mais informações sobre os Serviços de Certificados do Active Directory, consulte a documentação do Windows Server:

O serviço de função Serviço de Inscrição de Dispositivos de Rede para Serviços de Certificados do Active Directory, em execução no Windows Server 2012 R2.

Além disso:

  • Os números de porta diferentes de TCP 443 (para HTTPS) ou TCP 80 (para HTTP) não são suportados para a comunicação entre o cliente e o Serviço de Inscrição de Dispositivos de Rede.

  • O servidor que estiver a executar o Serviço de Inscrição de Dispositivos de Rede tem de estar num servidor diferente da AC emissora.

O Gestor de configuração comunica com o Serviço de Inscrição de Dispositivos de Rede do Windows Server 2012 R2 para gerar e verificar pedidos SCEP (Simple Certificate Enrollment Protocol).

Se emitir certificados para utilizadores ou dispositivos que ligam a partir da Internet, como dispositivos móveis que são geridos pelo Microsoft Intune, esses dispositivos têm de ser capazes de aceder ao servidor que executa o Serviço de Inscrição de Dispositivos de Rede a partir da Internet. Por exemplo, instale o servidor numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada, e sub-rede filtrada).

Se tiver uma firewall entre o servidor que executa o Serviço de Inscrição de Dispositivos de Rede e a AC emissora, tem de configurar a firewall para permitir o tráfego de comunicação (DCOM) entre os dois servidores. Este requisito da firewall também é aplicável ao servidor que executa o servidor do site do Gestor de configuração e a AC emissora, para que o Gestor de configuração possa revogar certificados.

Se o Serviço de Inscrição de Dispositivos de Rede estiver configurado para solicitar SSL (uma melhor prática de segurança), certifique-se de que os dispositivos de ligação podem aceder à lista de revogação de certificados (CRL) para validar o certificado do servidor.

Para mais informações sobre o Serviço de Inscrição de Dispositivos de Rede no Windows Server 2012 R2, consulte Utilizar um Módulo de Política com o Serviço de Inscrição de Dispositivos de Rede.

Se a AC emissora executar o Windows Server 2008 R2, este servidor requer uma correção para pedidos de renovação SCEP.

Se a correção ainda não estiver instalada no computador da AC emissora, instale a correção. Para obter mais informações, consulte o artigo 2483564: Pedido de renovação para um pedido de certificado SCEP falha no Windows Server 2008 R2 se o certificado for gerido através de NDES na Base de Dados de Conhecimento Microsoft.

Um certificado de autenticação de cliente PKI e o certificado da AC de raiz exportado.

Este certificado autentica o servidor que estiver a executar o Serviço de Inscrição de Dispositivos de Rede para o Gestor de configuração.

Para mais informações, consulte Requisitos de Certificado PKI para o Configuration Manager.

Sistemas operativos de dispositivos suportados.

É possível implementar perfis de certificado em dispositivos que utilizam os sistemas operativos iOS, Windows 8.1, Windows RT 8.1 e Android.

Dependências do Configuration Manager

Dependência

Mais informações

Função do sistema de sites do ponto de registo de certificados

Para poder utilizar perfis de certificado, é necessário instalar a função do sistema de sites do ponto de registo de certificados. Esta função comunica com a base de dados do Gestor de configuração, o servidor do site do Gestor de configuração e o Módulo de Política do Gestor de configuração.

Para mais informações sobre os requisitos de sistema para esta função do sistema de sites e onde instalar a função na hierarquia, consulte:

System_CAPS_importantImportante

O ponto de registo de certificados não deve ser instalado no mesmo servidor que executa o Serviço de Inscrição de Dispositivos de Rede.

O Módulo de Política do Gestor de configuração que está instalado no servidor que executa o serviço de função Serviço de Inscrição de Dispositivos de Rede para os Serviços de Certificados do Active Directory

Para implementar perfis de certificado, é necessário instalar o Módulo de Política do Gestor de configuração. Este módulo de política está disponível no suporte de dados da instalação do Gestor de configuração.

Dados de deteção

Os valores do requerente do certificado e do nome alternativo do requerente são fornecidos pelo Gestor de configuração e obtidos nas informações recolhidas pela deteção.

  • Para certificados de utilizador: Deteção de Utilizadores do Active Directory

  • Para certificados de computador: Deteção de Sistema do Active Directory e Deteção de Rede

Para mais informações sobre a deteção, consulte Planear Deteção no Configuration Manager.

Permissões de segurança específicas para gerir perfis de certificado

Tem de ter as seguintes permissões de segurança para gerir definições de acesso a recursos da empresa, tais como perfis de certificado, perfis Wi-Fi e perfis VPN:

  • Para visualizar e gerir alertas e relatórios para perfis de certificado: Criar, Eliminar, Modificar, Modificar Relatório, Ler e Executar Relatório para o objeto Alertas.

  • Para criar e gerir perfis de certificado: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil de Certificado.

  • Para gerir implementações de perfis Wi-Fi, de certificado e VPN: Implementar Políticas de Configuração, Modificar Alerta de Estado de Clientes, Ler e Ler Recurso para o objeto Coleção.

  • Para gerir todas as políticas de configuração: Criar, Eliminar, Modificar, Ler e Definir Âmbito de Segurança para o objeto Política de Configuração.

  • Para executar consultas relacionadas com perfis de certificado: Permissão de Leitura para o objeto Consulta.

  • Para ver informações sobre perfis de certificado na consola do Gestor de configuração: Permissão de Leitura para o objeto Site.

  • Para ver mensagens de estado para perfis de certificado: Permissão de Leitura para o objeto Mensagens de Estado.

  • Para criar e modificar o perfil de certificado da AC Fidedigna: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil de Certificado de AC Fidedigna.

  • Para criar e gerir perfis VPN: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil VPN.

  • Para criar e gerir perfis Wi-Fi: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil Wi-Fi.

A função de segurança Gestor de Acesso a Recursos da Empresa inclui as permissões que são necessárias para gerir perfis de certificado no Gestor de configuração. Para obter mais informações, consulte a secção Configurar a Administração Baseada em Funções do tópico Configurar a Segurança para o Configuration Manager.