Per la nostra particolare topologia delle foreste Active Directory la configurazione di SCOM richiede l’installazione di alcuni gateway.

Per i gateway è indispensabile utilizzare i certificati per la mutua autenticazione e dunque prerequisito fondamentale e quello di avere una CA.

In un mondo ideale (secondo Microsoft) ogni azienda che utilizza un’infrastruttura di rete con Active Directory mediamente complessa dovrebbe avere una CA centralizzata che emetta i certificati.

Anzi, a dirla tutta, se la foresta è  una, è possibile fare l’autoenrollement in modo da gestire automaticamente le fasi di emissione, revoca e rinnovo dei certificati.

Purtroppo il mondo reale è molto diverso dal mondo ideale e la stragrande maggioranza delle infrastrutture che ho visto hanno delle StandAlone CA.

Questo significa che la gestione dei certificati è completamente manuale, non solo per la parte di configurazione per SCOM (per il quale è indispensabile utilizzare MomCertImport), ma che per l’emissione del certificato.

In particolare questa fase, in se abbastanza semplice, è complicata dagli strumenti che tra patch, modifiche ed aggiornamenti spesso non rispecchiano le procedure che si trovano su Technet.

Infatti nel punto 6C della procedura di Technet noterete che non è più disponibile il check “Store certificate in the local computer certificate store” per problematiche di sicurezza legate a Internet Explorer questa possibilità viene preclusa.

Dunque necessario aggiungere alcuni passi prima e, soprattutto, dopo.

• E’ necessario prima mettere la URL del proprio CertSrv nei Trusted Site di ogni server che deve ricevere il certificato.
• Nei trusted sites è necessario autorizzare gli ActiveX altrimenti la pagine di richiesta e ritiro del certificato non funzionerà propriamente.
• Una volta scaricato il certificato è necessario andare nel tab contenuti di Internet Explorer, sezione Certificati, per esportare in formato PKS il certificato che IE inserisce, in mancanza dell’opzione citata precedentemente, direttamente nel keyring dell’utente e non del computer.
• Esportare il certificato e la chiave privata  in un file.
• Costruire una console di management (MMC) con la console per i certificati macchina
• In questa console importare il file PKS all’interno del Personal folder del computer

A questo punto si può procedere con MomCertImport e, infine, riavviare OpsMgr service vedendo finalmente sparire il grigiore dalla propria console.

E’ sconsigliabile spostare di gateway i server (nella nostra configurazione abbiamo la ridondanza per i gateway delle macchine di produzione monitorate) se i certificati sono stati emessi tutti nello stesso momento come accade di solito durante l’installazione.

Nello spostamento gli agenti perdono il join al management Group e, dopo aver faticosamente ripristinato i gateway vi toccherà fare l’uninstall e il successivo reinstall degli agenti per riavviare la comunicazione tra quest’ultimi ed il nuovo gateway.

Mettetevi un reminder di quando stanno per scadere i certificati!!