Gerenciar o registro de certificado

Concluído

A finalidade da AC é permitir que usuários e dispositivos se registrem e usem certificados. No entanto, assim como acontece com a implementação da AC, isso requer um planejamento e preparação cuidadosos que determinem o tipo de certificados que uma AC pode emitir.

O que é um certificado?

Um certificado é um pequeno arquivo que contém várias informações sobre seu proprietário. Esses dados podem incluir o endereço de email do proprietário, o nome do proprietário, o tipo de uso do certificado, o período de validade e as URLs para os locais do AIA e do CDP.

Um certificado também contém a chave pública e os metadados correspondentes, que consistem em uma chave privada e a chave pública correspondente. Você pode usar essas chaves em processos de validação de identidades, assinaturas digitais e criptografias. O par de chaves que gerado por cada certificado tem as seguintes condições:

• Quando o conteúdo for criptografado com a chave pública, ele só poderá ser descriptografado com a chave privada.
• Quando o conteúdo for criptografado com a chave privada, ele só poderá ser descriptografado com a chave pública.
• Nenhuma outra chave está envolvida na relação entre as chaves de um único par de chaves.
• A chave privada não pode ser obtida de uma chave pública em um tempo razoável e vice-versa.

Como parte do processo do registro de certificado, o cliente gera o par de chaves pública/privada. Em seguida, o cliente envia a chave pública à AC, que confirma as informações do cliente, a assina com sua própria chave privada e envia o certificado, incluindo a chave pública do cliente, de volta a ele.

Observação

Você pode imaginar um certificado como uma carteira de motorista. Muitas empresas aceitam a carteira de motorista como uma forma de identificação por considerarem que o emissor da licença (uma instituição governamental) é confiável. Como as empresas entendem o processo pelo qual alguém pode obter a carteira de motorista, ela confia que o emissor verificou a identidade do indivíduo antes de emitir o documento. Portanto, a carteira de motorista é aceitável como uma forma válida de identificação. Uma relação de confiança de certificado é estabelecida de forma semelhante.

O que são modelos de certificado?

Os modelos de certificado definem como usuários e dispositivos podem solicitar e usar certificados de AC corporativa emitidos com base nesse modelo. Por exemplo, você pode criar um modelo que fornecerá uma criptografia de arquivo ou uma funcionalidade de assinatura de email. A AC conta com o AD DS para armazenar os modelos configurados por você.

Importante

Os modelos de certificado só estão disponíveis ao usar a AC corporativa. Isso significa que, com uma AC autônoma, cada solicitação de certificado deve ser criada manualmente e deve incluir todas as informações necessárias a serem incluídas no certificado.

A AC fornece modelos para usuários e computadores. Você pode atribuir permissões a modelos de certificado para definir quem pode gerenciá-los, quem pode executar registros ou registros automáticos e quais são seus períodos de validade e renovação. Você pode aplicar modificações adicionais ao duplicar modelos de certificado predefinidos. Para disponibilizar modelos para usuários e dispositivos, você deve permitir seu uso explicitamente.

Versões de modelo

A AC no Windows Server AD CS dá suporte a quatro versões de modelos de certificado, com as seguintes diferenças funcionais:

• Modelos da versão 1. Esses modelos permitem que você modifique apenas as permissões relacionadas ao certificado. Ao instalar uma AC, os modelos de certificado da versão 1 são criados por padrão.
• Modelos da versão 2. Com esses modelos, você pode personalizar configurações adicionais, como períodos de validade e renovação. Essa também é a versão mínima que dá suporte ao registro automático. A instalação padrão do AD CS fornece vários modelos da versão 2 pré-configurados. Você pode criar modelos da versão 2 ou duplicar um modelo de certificado da versão 1 para criar um novo modelo da versão 2.
• Modelos da versão 3. Os modelos de certificado da versão 3 dão suporte à CNG (Cryptography Next Generation). A CNG dá suporte a algoritmos de criptografia avançados. Você pode duplicar os modelos padrão da versão 1 e 2 para atualizá-los para a versão 3. Ao usar os modelos de certificado da versão 3, você pode usar a criptografia CNG e algoritmos de hash para solicitações de certificado, certificados emitidos e proteção de chaves privadas para cenários de troca de chaves e arquivamento de chave.
• Modelos da versão 4. Os modelos de certificado da versão 4 dão suporte a CSPs (provedores de serviços de criptografia) e provedores de armazenamento de chaves. Você também pode configurá-los para exigir uma renovação com a mesma chave.

Demonstração

O vídeo a seguir demonstra como:

• Criar um novo modelo com base no modelo do servidor Web.
• Configurar modelos para que eles possam ser emitidos.

As principais etapas do processo são:

1. Criar um ambiente AD DS. Criar uma floresta de AD DS de domínio único.
2. Implantar uma AC raiz corporativa.
3. Criar um modelo de certificado personalizado. Use o console de Modelos de certificado para duplicar o modelo do servidor Web.
4. Configurar o modelo para que ele possa ser emitido. Use o console da Autoridade de certificação para disponibilizar o modelo para uso.

---

Verifique seu conhecimento

1.

Qual ferramenta pode ser usada para permitir o registro de certificado usando um modelo já configurado?

O console de Autoridade de certificação

O console de Modelos de certificado

O console dos Sites e serviços do Active Directory

É necessário responder a todas as perguntas antes de verificar o trabalho.