Implementação dos certificados

Se você estiver implementando os certificados em dispositivos Windows, será necessário converter seus arquivos PEM e CRT para o formato PFX usando o seguinte comando, substituindo <CertificateAndKeyName> e <CertificateName> pelos respectivos nomes de arquivo:

openssl pkcs12 \
-inkey <CertificateAndKeyName>.pem \
-in <CertificateAndKeyName>.crt \
-export \
-out <CertificateName>.pfx

O certificado PFX resultante pode ser implementado no armazenamento de certificados da máquina local dos dispositivos de destino usando sua solução de gerenciamento de endpoint. Após a implementação, o certificado deverá aparecer no Gerenciador de Certificados do computador local (pesquise por Gerenciar certificados do computador) dentro da pasta Pessoal ➜ Certificados.

O PowerShell chama esse local:

cert:\LocalMachine\Meu

Para minimizar o acesso à chave privada, restrinja as permissões à conta SYSTEM e apenas às contas de administrador necessárias. Você pode verificar isso no Gerenciador de Certificados do computador local clicando com o botão direito do mouse no certificado, selecionando Todas as Tarefas, depois Gerenciar Chaves Privadas… e confirmando que apenas as contas necessárias têm acesso.

Se você estiver implementando isso em dispositivos Linux, nenhuma alteração será necessária. Coloque as chaves privadas PEM em /etc/teamviewer/ssl/private e os certificados públicos CRT em /etc/teamviewer/ssl/certs. Certifique-se de que tanto o certificado público quanto a chave privada correspondente tenham o mesmo nome de arquivo base, por exemplo,  <NomeDoCertificadoEChave>.pem <NomeDoCertificadoEChave>.crt . Certifique-se de que o root seja o proprietário do arquivo da chave privada. Recomenda-se minimizar o acesso ao próprio root.

Testando e aplicando a política

Como o processo de configuração para esse recurso é complicado, essa configuração deve ser testada antes de ser totalmente descoberta em outros dispositivos. Isso pode ser testado instalando o certificado em um dispositivo local e aplicando a política ao mesmo dispositivo, iniciando uma sessão de controle remoto, iniciando uma gravação e verificando se o arquivo foi carregado com sucesso no servidor SFTP após a gravação ter parado. Isso confirma que a criptografia, a descrição e a configuração SFTP, bem como a conexão com o servidor do dispositivo de upload, estão funcionando.

Se um upload falhar, o upload será tentado novamente após um curto período de tempo, aumentando com cada tentativa subsequente com falha até uma hora. O limite de tempo reduzirá o número de interferências errôneas no servidor SFTP. Especialmente durante o teste, quando uma configuração ainda está aprimorada, uma próxima tentativa poderá não ser imediatamente após uma gravação ter parado. Para tentar outro upload imediatamente, uma reinicialização completa do TeamViewer pode ser realizada (por exemplo, reiniciando o computador).

Assim que o teste for bem-sucedido, primeiro distribua o certificado para todos os dispositivos de destino usando sua solução de gerenciamento de endpoint e, em seguida, aplique a política a esses dispositivos. Assim que esses dispositivos gravarem quaisquer sessões de controle remoto, todas as gravações desses dispositivos serão automaticamente transmitidas para seu servidor.