Configurar a função de Assistente de Unidade para gerenciamento de certificados - Security Center 5.12

Guia do administrador do Security Center 5.12

Product
Security Center
Content type
Guias > Guias do administrador
Version
5.12
Language
Português
Last updated
2024-08-13

Antes que a função de Assistente de Unidade possa efetivamente gerenciar os certificados de unidade, é necessário ajustar as configurações do gerenciamento de certificados e do perfil do certificado.

Procedimento

  1. Faça o login no Security Center com o Config Tool instalado no servidor que hospeda a função Unit Assistant.
  2. Na página inicial do Config Tool, abra a tarefa Sistema e clique na visualização Funções.
  3. Selecione a função Unit Assistant e clique na aba Propriedades.
  4. Na seção Security, ajuste as configurações do Certificate management.
    Políticas de segurança
    Permitir renovação de certificados expirados
    Ative essa configuração (ligado por padrão) para permitir que o sistema renove os certificados de unidade automaticamente, mesmo após eles estarem expirados. Se não quiser que os certificados expirados sejam renovados automaticamente, desative essa configuração. Você sempre pode renovar manualmente os certificados expirados a partir da tarefa Inventário de hardware.
    Habilitar HTTPS em unidades após a instalação bem sucedida do certificado
    Ative esta configuração (ligado por padrão) para forçar a unidade a mudar para HTTPS depois que o certificado for instalado com sucesso. As portas HTTPS configuradas no Security Center para as unidades podem mudar durante o processo se o Unit Assistant puder detectar a porta correta.
    Notificações
    Especifica a antecedência, em dias, com a qual você deseja que o sistema dispare um alerta antes que um certificado expire (padrão = 7 dias).

    Se você tiver configurado o seu sistema para automaticamente renovar certificados X dias antes de sua expiração, defina esse valor em X menos N, onde N é o número de dias que você dá ao sistema para tentar renovar um certificado automaticamente antes de emitir um alerta. Certifique-se também de dar-se um tempo suficiente para investigar por que um certificado não foi renovado após você ter recebido o aviso.

    Informação de certificado
    Período de validade
    Esse é o período de validade de um certificado após uma renovação. Esse valor é herdado da autoridade de certificação. Ele só pode ser modificado na página Perfil de certificado.
    Exibição avançada
    Clique neste botão para mostrar as propriedades opcionais que você pode atribuir aos certificados criados pelo seu sistema. O País, Estado, Localidade, Organização e Unidade organizacional ajudam a identificar certificados emitidos para a sua organização. Esses valores podem ser substituídos em renovações de certificado específicas.
  5. Na seção Infraestrutura de chave pública, clique em Definir endpoint personalizado.
  6. No campo Endpoint, digite o URL de autoridade de certificação (CA — certificate authority).
    NOTA: Para o Security Center 5.12, a autoridade de certificação é a função de Certificate Signing.
    A sintaxe do URL é a seguinte:
    Code
    https://hostname:port/management
    onde nome do host é o nome do host ou endereço IP do servidor que hospeda a função de Certificate Signing, e porta é o número de porta configurado na página Propiedades da função de Certificate Signing. Certifique-se de que o servidor que hospeda a função Unit Assistant pode acessar esse URL.
    IMPORTANTE: Para simplificar a configuração de failover, o URL é definido por padrão como https://localhost:port/management. Isso presume que tanto a função Unit Assistant quanto a função Certificate Signing estejam sempre hospedadas no mesmo servidor. Se você escolher hospedar as duas funções em servidores separados, quando ocorrer um failover, você deve alterar manualmente o valor do URL aqui e reiniciar a função Unit Assistant.
  7. Clique em Aplicar.
  8. Reinicie a função do Unit Assistant para que a alteração na URL Endpoint tenha efeito.
    1. No painel esquerdo, clique com o botão direito do mouse em Unit Assistant e em seguida clique em Manutenção > Desativar função.
    2. Após a função ficar vermelha, clique com o botão direito do mouse em Unit Assistant e em seguida clique em Manutenção > Ativar função.
  9. Clique em Perfil do certificado para configurar as políticas e os limites impostos aos pedidos de certificado aplicados pela AC.
    Nome de domínio permitido
    Deve corresponder ao nome de domínio de sua rede. Deixe-o em branco se você não quiser incluir o nome de domínio nos certificados.
    Faixa IPv4 permitida
    Entre na faixa IPv4 das unidades com as quais você espera se conectar em sua rede. Deixe-o em branco se você não quiser que as unidades usem IPv4.

    A faixa de IP deve seguir a convenção CIDR. Todas as unidades devem encontrar-se dentro dessa faixa de endereços IP. Não suportamos faixas discretas de endereços IP.

    Faixa IPv6 permitida
    Entre na faixa IPv6 das unidades com as quais você espera se conectar em sua rede. Deixe-o em branco se você não quiser que as unidades usem IPv6.

    A faixa de IP deve seguir a convenção CIDR. Todas as unidades devem encontrar-se dentro dessa faixa de endereços IP. Não suportamos faixas discretas de endereços IP.

    Período de validade
    Especifique, em dias ou meses, o período de validade dos certificados renovados, de acordo com as suas políticas de segurança. Recomendamos um período entre seis meses e um ano.
  10. Clique em Aplicar.
  11. Reinicie a função Unit Assistant para que as alterações na página Perfil do certificado tenham efeito.
  12. Selecione os eventos de saúde relacionados ao certificado que você deseja monitorar.
    Os eventos de saúde relacionados ao certificado que você pode monitorar são:
    Aviso de certificado
    O certificado está prestes a expirar.
    Erro de certificado
    Há um erro que torna a comunicação com a unidade insegura.
    Certificado válido
    O status do certificado voltou a ser válido depois de estar em erro ou em aviso.
    Estes eventos são encontrados no grupo Unidade de controle de acesso e no grupo Unidade de vídeo.
    MELHOR PRÁTICA: Sugerimos enfaticamente que você crie ações de eventos para informar seu administrador de sistema quando ocorrerem problemas relacionados a certificados.

Após terminar

Caso você tenha que alterar uma destas configurações posteriormente, faça a alteração quando a função do Unit Assistant não estiver atualizando nenhum certificado.
IMPORTANTE: Se você mudar a porta de comunicação da autoridade de certificação (função Certificate Signing), você deve reiniciar a função Unit Assistant para que a mudança tenha efeito. Se você mudar para uma nova autoridade de certificação, qualquer unidade que tenha seu certificado assinado pela antiga autoridade de certificação deve ser renovada o mais rápido possível. Caso contrário, quando você mudar sua unidade para uma nova função, a unidade pode parar de funcionar porque o certificado raiz da antiga autoridade de certificação não está implantado no servidor que hospeda a nova função.

Observe também que o certificado raiz da antiga autoridade de certificação não é removido automaticamente quando ela não está mais em uso. Se necessário, depois de todos os certificados de unidade terem sido renovados, você pode removê-los manualmente da Loja de Certificados do Windows.