Gerar uma chave e obter e registar um certificado a partir de um servidor SCEP
Ao gerar uma chave na máquina, pode solicitar a emissão de um certificado a um servidor SCEP (Simple Certificate Enrollment Protocol) que faça a gestão de certificados. O certificado emitido por um servidor SCEP é registado automaticamente na máquina.
Para obter informações sobre os algoritmos das chaves que podem ser geradas com esta máquina e os certificados cuja emissão pode ser solicitada, consulte as especificações da chave autogerada e do pedido de assinatura de certificado (CSR).
Chaves e certificadosEsta máquina apenas suporta o NDES (Network Device Enrollment Service) do Windows Server 2008 R2, 2012 R2 e 2016 para o servidor SCEP. A comunicação HTTPS não é suportada.
Para obter e registar um certificado a partir de um servidor SCEP, configure as definições de comunicação com o servidor SCEP e, em seguida, gere uma chave e solicite a emissão de certificado. Também pode configurar as definições para solicitar a emissão de certificado numa data e hora específicas.
Configurar as definições de comunicação do servidor SCEP
Configure esta definição com a Remote UI (Interface Remota) a partir de um computador. Não pode utilizar o painel de controlo para configurar a definição.
São necessários privilégios de administrador.
Preparativos necessários
Prepare o URL e o número de porta do servidor SCEP.
1
Inicie sessão como administrador na Remote UI (Interface Remota).
Iniciar a Remote UI (Interface Remota)
2
Na página do portal da Remote UI (Interface Remota), clique em [Settings/Registration].
Página do portal da Remote UI (Interface Remota)
3
Clique em [Device Management]
[Settings for Certificate Issuance Request (SCEP)]
[Communication Settings].
Aparece o ecrã [Communication Settings].
4
Defina as informações do servidor SCEP.
[SCEP Server URL]
Introduza o URL do servidor SCEP ao qual pretende estabelecer ligação.
[Port Number]
Introduza o número de porta utilizado para comunicar com o servidor SCEP.
[Communication Timeout]
Introduza a hora desde o início da procura até ao tempo limite em segundos.
5
Clique em [Update].
As definições são aplicadas.
6
Termine sessão na Remote UI (Interface Remota).
Solicitar geração de chave e emissão de certificado
Solicitar geração de chave e emissão de certificado usando a Remote UI (Interface Remota) a partir de um computador. Não pode utilizar o painel de controlo para fazer isto.
São necessários privilégios de administrador. A máquina deve ser reiniciada depois da obtenção do certificado.
1
Inicie sessão como administrador na Remote UI (Interface Remota).
Iniciar a Remote UI (Interface Remota)
2
Na página do portal da Remote UI (Interface Remota), clique em [Settings/Registration].
Página do portal da Remote UI (Interface Remota)
3
Clique em [Device Management]
[Settings for Certificate Issuance Request (SCEP)]
[Certificate Issuance Request].
Aparece o ecrã [Certificate Issuance Request].
4
Defina as informações da chave e certificado.
[Key Name]
Introduza o nome da chave utilizando carateres alfanuméricos.
[Signature Algorithm]
Selecione o algoritmo de assinatura no menu pendente.
[Key Length (bit)]
Selecione o comprimento da chave no menu pendente. Quanto maior for o valor, maior será a segurança, mas isto torna o processamento da comunicação mais lento.
[Organization]
Insira o nome da organização, conforme necessário, usando caracteres alfanuméricos.
[Common Name]
Introduza o nome da entidade do certificado usando caracteres alfanuméricos, conforme necessário. Isto corresponde ao Nome Comum (NC).
[Issued To (Alternate Name)]
Insira o endereço IP ou domínio a ser definido para o Nome Alternativo do Assunto (SAN), conforme necessário.
Se não estiver a configurar a programação [Issued To (Alternate Name)], selecione a caixa de verificação [Do Not Set].
Somente endereços IPv4 podem ser definidos em [IP Address].
[Challenge Password]
Se for definida uma password para o servidor SCEP, digite a password usada para solicitar a emissão usando caracteres alfanuméricos.
[Key Use Location]
Selecione a utilização da chave gerada. Se a utilização não estiver decidida, selecione [None]. Se selecionar [IPSec], selecione o IPSec a ser usado no local no menu suspenso.
5
Clique em [Send Request]
[OK].
O pedido para emitir um certificado é enviado para o servidor SCEP.
6
Quando é exibido o ecrã [A certificate has been acquired. Click [Restart] to restart the device.], clique em [Restart].
A máquina é reiniciada e a chave e certificado são registados.
NOTA
Verificar informações de erro e estado do pedido de emissão
Clique em [Settings/Registration]
[Device Management]
[Settings for Certificate Issuance Request (SCEP)]
[Certificate Issuance Request Status] para ver informação detalhada.
Se um certificado não é emitido, é exibido um erro no estado de pedido de emissão. Para obter detalhes sobre a mensagem e a resolução do erro, consulte o seguinte:
Visualizar e verificar informações detalhadas de um certificado registado
Clique em [Settings/Registration]
[Device Management]
[Key and Certificate Settings] e, em seguida, clique no nome da chave (ou ícone do certificado) na lista de chaves e certificados para apresentar os detalhes do certificado.
No ecrã de detalhes do certificado, clique em [Verify Certificate] para confirmar que o certificado é válido.
Quando a chave e o certificado não podem ser eliminados
Não pode eliminar uma chave e um certificado em utilização. Desative a função que está a ser utilizada ou elimine a chave e o certificado depois de mudar para outra chave e certificado.
Solicitar a emissão do certificado numa data e hora especificadas
É possível solicitar que a emissão do certificado ocorra numa data e hora especificadas. Também pode definir que o pedido de emissão de certificado seja realizado regularmente.
Configure esta definição com a Remote UI (Interface Remota) a partir de um computador. Não pode utilizar o painel de controlo para configurar a definição.
São necessários privilégios de administrador.
1
Inicie sessão como administrador na Remote UI (Interface Remota).
Iniciar a Remote UI (Interface Remota)
2
Na página do portal da Remote UI (Interface Remota), clique em [Settings/Registration].
Página do portal da Remote UI (Interface Remota)
3
Clique em [Device Management]
[Settings for Certificate Issuance Request (SCEP)]
[Settings for Certificate Issuance Auto Request].
Aparece o ecrã [Settings for Certificate Issuance Auto Request].
4
Selecione a caixa de verificação [Enable Timer for Certificate Issuance Auto Request] e introduza a data e hora de início do pedido de emissão de um certificado.
5
Configure as programações para o pedido de emissão automática, conforme necessário.
[Auto Adjust Issuance Request Time]
Para ajustar a hora do pedido de emissão do certificado, selecione esta caixa de verificação.
A hora de início do pedido de um certificado pode ser ajustada aleatoriamente em até 10 minutos para reduzir a carga no servidor SCEP.
[Perform Polling When Communication Error Occurs or When Issuance Request Is Deferred]
Verifique o estado do servidor SCEP, por exemplo, no momento em que a emissão de certificado foi diferida. Selecione a caixa de verificação e introduza o número de tentativas de polling e o intervalo.
*O polling não é executado e ocorre um erro nos seguintes casos:
Quando a máquina excedeu o limite de chaves e certificados que é possível registar
Quando ocorre um erro nos dados de resposta obtidos
Quando ocorre um erro no servidor SCEP
[Send Periodic Issuance Requests]
O pedido de emissão de certificado é realizado de forma automática e regular. Selecione a caixa de verificação e o intervalo do pedido de emissão no menu pendente.
A ativação desta definição repõe a data e hora de início do pedido de emissão de um certificado.
[Automatically Restart Device After Acquiring Certificate]
Selecione esta caixa de verificação para reiniciar a máquina após obter um certificado.
[Delete Old Key and Certificate]
Selecione esta caixa de verificação para substituir a chave e o certificado na mesma localização em que a chave será utilizada.
6
Programe as informações da chave e do certificado em [Settings for Key and Certificate To Be Issued].
[Key Name]
Introduza o nome da chave utilizando carateres alfanuméricos.
[Signature Algorithm]
Selecione o algoritmo de assinatura no menu pendente.
[Key Length (bit)]
Selecione o comprimento da chave no menu pendente. Quanto maior for o valor, maior será a segurança, mas isto torna o processamento da comunicação mais lento.
[Organization]
Insira o nome da organização, conforme necessário, usando caracteres alfanuméricos.
[Common Name]
Introduza o nome da entidade do certificado usando caracteres alfanuméricos, conforme necessário. Isto corresponde ao Nome Comum (NC).
[Issued To (Alternate Name)]
Insira o endereço IP ou domínio a ser definido para o Nome Alternativo do Assunto (SAN), conforme necessário.
Se não estiver a configurar a programação [Issued To (Alternate Name)], selecione a caixa de verificação [Do Not Set].
Somente endereços IPv4 podem ser definidos em [IP Address].
[Challenge Password]
Se for definida uma password para o servidor SCEP, digite a password usada para solicitar a emissão usando caracteres alfanuméricos.
[Key Use Location]
Selecione a utilização da chave gerada. Se a utilização não estiver decidida, selecione [None]. Se selecionar [IPSec], selecione o IPSec a ser usado no local no menu suspenso.
7
Clique em [Update].
As definições são aplicadas.
8
Termine sessão na Remote UI (Interface Remota).
NOTA
Verificar informações de erro e estado do pedido de emissão
Clique em [Settings/Registration]
[Device Management]
[Settings for Certificate Issuance Request (SCEP)]
[Certificate Issuance Request Status] para ver informação detalhada.
Se um certificado não é emitido, é exibido um erro no estado de pedido de emissão. Para obter detalhes sobre a mensagem e a resolução do erro, consulte o seguinte:
Visualizar e verificar informações detalhadas de um certificado registado
Clique em [Settings/Registration]
[Device Management]
[Key and Certificate Settings], e clique no nome da chave (ou ícone do certificado) na lista de chaves e certificados para exibir os detalhes do certificado.
No ecrã de detalhes do certificado, clique em [Verify Certificate] para confirmar que o certificado é válido.
Quando a chave e o certificado não podem ser eliminados
Não pode eliminar uma chave e um certificado em utilização. Desative a função que está a ser utilizada ou elimine a chave e o certificado depois de mudar para outra chave e certificado.