Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Windows Device Portal (WDP) fornece uma maneira para os administradores de dispositivos instalarem um certificado personalizado para uso na comunicação HTTPS.
Embora você possa fazer isso em seu próprio PC, esse recurso destina-se principalmente a empresas que têm uma infraestrutura de certificado existente.
Por exemplo, uma empresa pode ter uma autoridade de certificação (CA) que usa para assinar certificados para sites de intranet servidos por HTTPS. Esse recurso está no topo dessa infraestrutura.
Visão geral
Por padrão, o WDP gera uma CA raiz autoassinada e a usa para assinar certificados SSL para cada ponto de extremidade em que está escutando. Isso inclui localhost, 127.0.0.1e ::1 (IPv6 localhost).
Também estão incluídos o nome do host do dispositivo (por exemplo, https://LivingRoomPC) e cada endereço IP local de link atribuído ao dispositivo (até dois [IPv4, IPv6] por adaptador de rede).
Você pode ver os endereços IP de link local para um dispositivo observando a ferramenta Rede no WDP. Eles começarão com 10. ou 192. para IPv4 ou fe80: para IPv6.
Na configuração padrão, um aviso de certificado pode aparecer no seu navegador devido à autoridade de certificação raiz não confiável. Especificamente, o certificado SSL fornecido pelo WDP é assinado por uma autoridade de certificação raiz na qual o navegador ou o PC não confia. Isso pode ser corrigido criando uma nova autoridade de certificação raiz confiável.
Criar uma autoridade de certificação raiz
Isso só deve ser feito se sua empresa (ou casa) não tiver uma infraestrutura de certificado configurada, e deve ser feito apenas uma vez. O script PowerShell a seguir cria uma autoridade de certificação raiz chamada WdpTestCA.cer. A instalação desse arquivo nas Autoridades de Certificação Raiz Confiáveis da máquina local fará com que seu dispositivo confie nos certificados SSL assinados por essa autoridade de certificação raiz. Você pode (e deve) instalar esse arquivo .cer em cada PC que deseja conectar ao WDP.
$CN = "PickAName"
$OutputPath = "c:\temp\"
# Create root certificate authority
$FilePath = $OutputPath + "WdpTestCA.cer"
$Subject = "CN="+$CN
$rootCA = New-SelfSignedCertificate -certstorelocation cert:\currentuser\my -Subject $Subject -HashAlgorithm "SHA512" -KeyUsage CertSign,CRLSign
$rootCAFile = Export-Certificate -Cert $rootCA -FilePath $FilePath
Depois que isso for criado, você poderá usar o arquivo WdpTestCA.cer para assinar certificados SSL.
Criar um certificado SSL com a autoridade de certificação raiz
Os certificados SSL têm duas funções críticas: proteger sua conexão por meio de criptografia e verificar se você está realmente se comunicando com o endereço exibido na barra do navegador (Bing.com, 192.168.1.37, etc.) e não com um terceiro mal-intencionado.
O script PowerShell a seguir cria um certificado SSL para o endpoint localhost. Cada ponto de extremidade que o WDP escuta precisa de seu próprio certificado; você pode substituir o argumento $IssuedTo no script por cada um dos diferentes pontos de extremidade para o seu dispositivo: o nome do host, localhost e os endereços IP.
$IssuedTo = "localhost"
$Password = "PickAPassword"
$OutputPath = "c:\temp\"
$rootCA = Import-Certificate -FilePath C:\temp\WdpTestCA.cer -CertStoreLocation Cert:\CurrentUser\My\
# Create SSL cert signed by certificate authority
$IssuedToClean = $IssuedTo.Replace(":", "-").Replace(" ", "_")
$FilePath = $OutputPath + $IssuedToClean + ".pfx"
$Subject = "CN="+$IssuedTo
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -Subject $Subject -DnsName $IssuedTo -Signer $rootCA -HashAlgorithm "SHA512"
$certFile = Export-PfxCertificate -cert $cert -FilePath $FilePath -Password (ConvertTo-SecureString -String $Password -Force -AsPlainText)
Se você tiver vários dispositivos, poderá reutilizar os arquivos .pfx localhost, mas ainda precisará criar certificados de endereço IP e nome de host para cada dispositivo separadamente.
Quando o pacote de arquivos .pfx é gerado, você precisará carregá-los no WDP.
Provisionar o Windows Device Portal com a(s) certificação(ões)
Para cada ficheiro .pfx que criou para um dispositivo, terá de executar o seguinte comando a partir de uma linha de comandos elevada.
WebManagement.exe -SetCert <Path to .pfx file> <password for pfx>
Veja abaixo o exemplo de uso:
WebManagement.exe -SetCert localhost.pfx PickAPassword
WebManagement.exe -SetCert --1.pfx PickAPassword
WebManagement.exe -SetCert MyLivingRoomPC.pfx PickAPassword
Depois de instalar os certificados, basta reiniciar o serviço para que as alterações entrem em vigor:
sc stop webmanagement
sc start webmanagement
Sugestão
Os endereços IP podem mudar ao longo do tempo. Muitas redes usam DHCP para fornecer endereços IP, de modo que os dispositivos nem sempre obtêm o mesmo endereço IP que tinham anteriormente. Se você criou um certificado para um endereço IP em um dispositivo e o endereço desse dispositivo foi alterado, o WDP gerará um novo certificado usando o certificado autoassinado existente e deixará de usar o que você criou. Isso fará com que a página de aviso de certificado apareça no seu navegador novamente. Por esse motivo, recomendamos conectar-se aos seus dispositivos por meio de seus nomes de host, que você pode definir no Portal de Dispositivos do Windows. Estes permanecerão os mesmos, independentemente dos endereços IP.