Assegurar a comunicação entre a função Unit Assistant e a função Certificate Signing - Security Center 5.12

Guia do administrador do Security Center 5.12

Product
Security Center
Content type
Guias > Guias do administrador
Version
5.12
Language
Português
Last updated
2024-08-13

Para assegurar a comunicação entre a função Unit Assistant e a função Certificate Signing, é necessário criar um certificado de confiança para o localhost.

O que você deve saber

A função Unit Assistant se conecta à função Certificate Signing usando uma URL do formulário https://hostname:port/management onde hostname é o endereço de IP ou o nome do host do servidor que hospeda a função Certificate Signing. Para ter uma configuração simples e robusta de failover, as duas funções devem ser hospedadas no mesmo servidor. Desta forma, quando ocorre uma falha, ambas as funções falham para o mesmo servidor. Isto também nos permite usar o localhost em vez do nome do host no URL de conexão. Por este motivo, o certificado utilizado para assegurar a comunicação entre os dois deve ser identificado como localhost.
NOTA: Uma consequência desta abordagem é que somente o Config Tool em execução no servidor que hospeda a função Certificate Signing pode ser usado para configurar completamente a função Unit Assistant.

Procedimento

  1. Gira o certificado usado para assegurar a comunicação entre estas duas funções.
    1. Na barra de tarefas do Windows, clique em e digite PowerShell.
    2. No resultado da busca, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como administrador.
      A janela Windows PowerShell abre.
    3. Digite o comando $PSVersionTable para descobrir a versão que você está executando.
      IMPORTANTE: Você deve ter a versão PowerShell 5.1.17763.2931 ou posterior. Se sua versão for muito antiga, você deve executar o PowerShell em um servidor que tenha uma versão compatível instalada, gerar e exportar o certificado e depois importá-lo no servidor que hospeda as suas duas funções.
    4. Digite o seguinte comando para gerar um certificado autoassinado.
      Code
      New-SelfSignedCertificate -Type Custom -Subject "CN=SigningPluginSSL, O=Genetec Inc., OU=SigningPluginSSL, C = CA" -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.1", "2.5.29.17={text}DNS=localhost") -KeyUsage DigitalSignature -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My"
      NOTA: Para executar este comando, primeiro copie a string anterior para o Notepad, remova as quebras de linha, depois cole a string sem quebras de linha na janela Windows PowerShell.

      Em nosso comando de amostra, usamos SigningPluginSSL como o nome do certificado. Se você preferir um nome diferente, basta substituir SigningPluginSSL, encontrado em dois lugares, pelo nome de sua escolha.

    5. Feche a janela Windows PowerShell.
  2. Abra o Console de Gerenciamento Microsoft.
    • No Windows Server, faça o seguinte:
      1. Na barra de tarefas do Windows, clique em e digite mmc.
      2. Na janela que é aberta, clique emArquivo > Adicionar/Remover Snap-in.
      3. Na janela Adicionar ou remover Snap-ins que é aberta, clique em Certificados > Adicionar.
        Console de Gerenciamento Microsoft — Adicionar os snap-in de certificados.
      4. Na caixa de diálogo Snap-in de certificados, clique em Conta do computador > Próximo.
        Caixa de diálogo mostrando a seleção de "Conta de computador" para o snap-in.
      5. Clique em Concluir > OK.

        O snap-in de gerenciamento de certificados é adicionado.

    • No Windows 10, faça o seguinte:
      1. Na barra de tarefas do Windows, clique em e digite Certificados.
      2. Nos resultados da busca, clique no Gerenciar certificados de computador.
  3. No painel esquerdo da janela Microsoft Management Console, expanda Pessoal e clicar em Certificados.
  4. No painel direito da janela, clique com o botão direito do mouse no certificado que você criou (SigningPluginSSL) e clique em Copiar.
    Console de Gerenciamento Microsoft mostrando os certificados pessoais SigningPluginSSL sendo copiados.
  5. No painel à esquerda da janela, expanda Autoridades de certificação de raiz confiável e clique em Certificados.
  6. Clique com o botão direito do mouse em Certificados e depois clique em Colar.
    Console de Gerenciamento Microsoft mostrando um certificado pessoal sendo colado às Autoridades de Certificação de Raiz Confiável.
  7. Abra o Server Admin, e no painel esquerdo, clique no nome de seu servidor.
  8. Na seção Comunicação segura, clique em Selecionar certificado.
  9. Na caixa de diálogo que se abre, clique no certificado que você criou anteriormente (SigningPluginSSL) e clique em Selecionar.
    Janela de administração do servidor mostrando a sequência de etapas para selecionar o certificado.
  10. Clique em Salvar > Sim e feche o Server Admin
  11. Se você tiver mais de um servidor designado para a função de Assistente de Unidade, repita o mesmo processo nos outros servidores.