Gerenciar relações de confiança de certificado
Os certificados desempenham um papel crucial na proteção e validação da autenticação e em outras tarefas relacionadas à segurança. Um dos princípios centrais que habilita esses recursos é uma relação de confiança de certificado. Para que um certificado seja efetivo, todos os usuários, dispositivos ou aplicativos que fazem uso dele devem confiar na AC que o emitiu.
O que é uma relação de confiança de certificado?
Ao usar certificados, é importante levar em consideração quem ou o que talvez precise avaliar sua autenticidade e validade. Há três tipos de certificados que você pode usar:
- Certificados internos de uma AC organizacional, como um servidor que hospeda a função AD CS.
- Certificados externos de uma AC pública, como uma organização que fornece serviços de software ou identidade de segurança cibernética comercial.
- Um certificado autoassinado.
Se você implantar uma AC raiz corporativa e usá-la para registrar certificados nos dispositivos conectados ao domínio de seus usuários, esses dispositivos aceitarão os certificados registrados como confiáveis. No entanto, qualquer dispositivo de grupo de trabalho considerará esses mesmos certificados como não confiáveis. Para resolver esse problema, você pode:
- Obter certificados públicos de uma AC externa para os dispositivos do grupo de trabalho. Eles são fornecidos com um custo extra de certificados públicos.
- Configurar os dispositivos do grupo de trabalho para confiar na AC raiz corporativa. Isso requer configuração adicional.
Gerenciar certificados e relações de confiança de certificado no Windows
Você pode gerenciar certificados que estejam armazenados no sistema operacional Windows usando uma variedade de ferramentas, incluindo o Windows Admin Center, o snap-in de Certificados do Console de Gerenciamento Microsoft, o Windows PowerShell e a ferramenta de linha de comando certutil. Cada uma dessas ferramentas fornece acesso aos repositórios de certificados do usuário atual, do computador local e de seus serviços. Cada repositório é composto por várias pastas, incluindo:
Store
Descrição
Pessoal
Contém certificados emitidos para o usuário local, o computador local ou seu serviço, dependendo do repositório selecionado.
Autoridades de Certificação Confiáveis
Contém certificados de ACs raiz confiáveis.
Confiabilidade Empresarial
Contém listas de certificados confiáveis para implementar relações de confiança de certificados autoassinados de outras organizações.
Autoridades de Certificação Intermediárias
Contém certificados emitidos para ACs subordinadas na hierarquia de certificação.
Para garantir que os dispositivos do grupo de trabalho confiem em sua AC raiz corporativa, exporte o certificado da pasta Autoridades de Certificação Raiz Confiáveis em um computador conectado ao domínio e importe-o para a mesma pasta nesses dispositivos.
Observação
Como alternativa, você pode obter o certificado da AC raiz corporativa do compartilhamento CertEnroll no servidor que hospeda essa função.
Criar um certificado autoassinado para fins de teste
Embora certificados autoassinados não sejam adequados para cenários de produção, eles podem ser úteis para fins de teste. Você pode usar o cmdlet New-SelfSignedCertificate do Windows PowerShell para criar um certificado autoassinado. Se você incluir o parâmetro CloneCert e fornecer um certificado existente, o novo terá as configurações correspondentes, com exceção da chave pública. Em vez disso, o cmdlet criará uma nova chave do mesmo algoritmo e com o mesmo comprimento.
O exemplo a seguir cria um certificado do servidor SSL autoassinado no repositório pessoal do computador local com o nome alternativo da entidade definido como www.fabrikam.com, www.contoso.com e com o nome da Entidade e do Emissor definido como www.fabrikam.com.
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"