Comment configurer le module de stratégie pour utiliser un nouveau certificat client dans System Center Configuration Manager

 

S'applique à: System Center Configuration Manager (current branch)

Les serveurs exécutant le module de stratégie System Center Configuration Manager avec le service de rôle du service d'inscription de périphériques réseau utilisent un certificat client pour authentifier le module de stratégie sur le serveur du système de site du point d'enregistrement de certificat dans System Center Configuration Manager. En général, un certificat d'authentification de client est valable un an. Avant l'expiration du certificat, renouvelez-le, mettez à jour le Registre pour le nouveau certificat, puis redémarrez le serveur Web qui exécute le service d'inscription de périphériques réseau.

System_CAPS_noteRemarque

Si le certificat a déjà expiré, “ERROR("Failed to send http request <thumbprint>. Error 12037", apparaît dans le fichier NDESPlugin.log sur le serveur qui exécute le service d'inscription de périphérique réseau. Dans le message d'erreur, <thumbprint> est remplacé par l'empreinte numérique du certificat expiré.

Pour renouveler le certificat :

Après avoir déployé le nouveau certificat sur le serveur qui exécute le service d'inscription de périphériques réseau et le module de stratégie System Center Configuration Manager, procédez comme suit pour configurer le serveur afin d'utiliser le nouveau certificat.

Pour configurer le module de stratégie afin d'utiliser le nouveau certificat client

  1. Sur le serveur qui exécute le service d’inscription de périphérique réseau et le module de stratégie System Center Configuration Manager, ouvrez l’éditeur du Registre et remplacez l’ancienne empreinte numérique de certificat par la nouvelle à l’aide de la clé de Registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.

    System_CAPS_tipConseil

    Pour identifier l'empreinte numérique du nouveau certificat, localisez le certificat dans le magasin de l'ordinateur à l'aide du composant logiciel enfichable Certificats. Ensuite, cliquez avec le bouton droit sur le certificat, cliquez sur Propriétés, cliquez sur Afficher le certificat, cliquez sur l'onglet Détails, puis faites défiler et sélectionnez Empreinte numérique. La chaîne de caractères hexadécimaux correspondant à l'empreinte numérique de ce certificat apparaît alors et vous pouvez la copier.

  2. Redémarrez les services du serveur Web selon l'une des méthodes suivantes :

    1. À partir du Gestionnaire des services Internet : accédez au nœud du serveur web dans l’arborescence. Dans le volet Actions, cliquez sur Redémarrer.

    2. À partir de la ligne de commande : tapez iisreset /restart et appuyez sur Entrée.

    Pour plus d'informations, voir Arrêter ou démarrer le serveur Web (IIS 8) dans la bibliothèque Windows Server sur TechNet.

Vous pouvez vérifier que le module de stratégie utilise le nouveau certificat en cherchant l’entrée suivante dans le fichier NDESPlugin.log sur le serveur qui exécute le service d’inscription de périphérique réseau : INFO("NDES thumbprint is <thumbprint>.", wszBuffer);

Afficher: