Compartilhar via

  • Artigo

Noções básicas dos requisitos de certificados autoassinados

Tópico modificado em: 2009-05-27

Esta seção fornece uma visão geral dos dispositivos móveis que requerem a instalação de certificados autoassinados. Se a sua organização usa uma autoridade de certificação pública, é possível que o certificado raiz já esteja instalado no dispositivo móvel. A instalação de um certificado é uma tarefa importante. Esta seção é necessária somente para os usuários que precisam instalar um certificado autoassinado no dispositivo móvel. Ao instalar certificados, confirme que o Communicator Mobile não esteja em execução. Se não fizer isso, talvez você tenha que reiniciar seu dispositivo para usar os certificados.

Função dos certificados

Os certificados ajudam a manter a sua rede segura, autenticando o Office Communications Server 2007 R2 ao qual o Office Communicator Mobile se conecta. Para executar a autenticação, o Office Communicator Mobile exige que o certificado raiz que faz parte do certificado do servidor seja instalado no dispositivo. Se a sua organização usa uma Autoridade de Certificação Pública, é possível que o certificado raiz já esteja instalado nos dispositivos móveis dos usuários.

Por padrão, os dispositivos com Windows Mobile são fornecidos com vários certificados. Para obter uma lista de certificados que atualmente acompanham os dispositivos móveis equipados com o Windows Mobile 6, consulte o site da Microsoft em Certificates for Windows Mobile 5.0 and Windows Mobile 6. Antes de continuar, você deve confirmar que um certificado raiz que faz parte do certificado do servidor ainda não foi instalado no dispositivo móvel.

Ferramentas de certificado

A seção a seguir é uma introdução a algumas ferramentas e políticas que podem ser usadas para instalar os certificados raiz em dispositivos com o Windows Mobile; ela descreve vários procedimentos de instalação. Antes de instalar os certificados, você deve se familiarizar com algumas ferramentas e políticas usadas para instalar certificados em dispositivos com o Windows Mobile.

SPAddCert

Com o utilitário SPAddCert, você pode adicionar certificados raiz a dispositivos baseados no Windows Mobile que têm a política Unrestricted Application Security, mas não pode instalar certificados de autoridade de certificação intermediários.

Se um dispositivo tiver sido protegido pela operadora de celular, você receberá a seguinte mensagem de erro quando tentar executar o SPAddCert: "Este dispositivo está protegido de forma que não é possível adicionar certificados ao repositório raiz. Para obter informações de suporte, contate o administrador do dispositivo".

Você pode executar o SPAddCert em dispositivos protegidos somente se a versão do SPAddCert em uso for assinada e distribuída pela operadora de celular. Para obter detalhes ou para baixar o utilitário SPAddCert, consulte o artigo 841060 da Base de Dados de Conhecimento Microsoft, " Como adicionar certificados raiz ao Windows Mobile 2003 Smartphone e ao Windows Mobile 2002 Smartphone", em https://go.microsoft.com/fwlink/?LinkId=126908.

Notas sobre o SPAddCert

  • Para que os aplicativos não assinados (como o SPAddCert) sejam executados no dispositivo, a política Unsigned Applications (4102) no dispositivo deve estar definida como 1. O valor padrão é 0. Se a política não estiver configurada corretamente, o SPAddCert falhará.
  • Você pode modificar a configuração dessa política editando manualmente o Registro. Ao fazer isso, você também permite que outros aplicativos não assinados sejam executados, o que pode resultar em riscos de segurança.
  • Para modificar a configuração dessa política no Registro, vá até a chave do Registro HKEY\LOCAL_MACHINE\Security\Policies\Policies\. Em 00001006 (4102), altere o valor para 1. Crie o novo valor DWORD se necessário.

Certinst e política Grant Manager

Certinst é um utilitário interno de dispositivos Pocket PC que instala certificados quando você os seleciona. O Certinst pode ser usado para instalar certificados raiz ou certificados intermediários da autoridade de certificação. A política Grant Manager é uma política de segurança em dispositivos baseados no Windows Mobile que especifica o nível de acesso que você tem aos recursos no dispositivo, como durante a instalação de um novo aplicativo ou de um certificado. Por exemplo, sua conta deve receber a função de Gerenciador em um Pocket PC para que o dispositivo use o utilitário interno Certinst para instalar um certificado. Sua conta recebe a função de Gerenciador quando o valor da política Grant Manager é definido como USER_AUTH (16).

Notas sobre o Certinst e a política Grant Manager

  • Para que o Certinst seja executado corretamente, a política Grant Manager (4119) no dispositivo deve estar definida como 16, o que identifica a função USER_AUTH. Por padrão, a política é definida como 128 (a função OPERATOR_TPS). Se a política não estiver configurada corretamente, o Certinst falhará.
    Você pode adicionar a função USER_AUTH editando manualmente o Registro ou um arquivo de provisionamento de dispositivo. Ao fazer isso, no entanto, você eleva os privilégios da função de segurança USER_AUTH para privilégios administrativos do sistema, o que pode ser um risco de segurança.
    Para modificar a configuração dessa política no Registro, vá até a chave do Registro HKEY\LOCAL_MACHINE\Security\Policies\Policies\. Em ‘00001017’ (4119), altere o valor para 16.
  • Se o seu dispositivo não tiver um editor do Registro interno que você possa usar para modificar a política Grant Manager, use um dos editores do Registro gratuitos disponíveis na Web.