Explore os fundamentos da PKI e do AD CS
Para obter certificados para sua infraestrutura do AD DS, você pode solicitá-los de uma autoridade de certificação pública ou emiti-los usando sua própria infraestrutura. Para implementar sua própria autoridade de certificação, você pode usar o AD CS, que é o caminho que a Contoso escolheu seguir. O AD CS é uma tecnologia de identidade no Windows Server que permite implementar PKI para sua organização.
O que é PKI?
PKI é a combinação de software, tecnologias de criptografia, processos e serviços que permitem que uma organização proteja seus dados, comunicações e transações comerciais. A PKI depende da troca de certificados digitais entre usuários autenticados e recursos confiáveis. Você usa certificados para proteger dados e gerenciar credenciais de identificação de usuários e computadores dentro e fora da sua organização.
O que é AD CS?
Você pode implementar uma solução PKI usando a função AD CS Windows Server. O AD CS fornece todos os componentes relacionados à PKI como serviços de função. Cada serviço de função é responsável por uma parte específica da infraestrutura de certificados enquanto trabalha em conjunto para formar uma solução completa.
A função AD CS inclui os seguintes serviços de função:
Autoridade de certificação. Os principais objetivos das autoridades competentes são emitir certificados, revogar certificados e publicar informações sobre o acesso à informação da autoridade (AIA) e informações de revogação. A primeira autoridade de certificação implantada torna-se a raiz da PKI interna. Posteriormente, você pode implantar autoridades de certificação subordinadas, posicionadas dentro da hierarquia PKI, com a autoridade de certificação raiz em sua parte superior. As autoridades de certificação subordinadas confiam implicitamente na autoridade de certificação raiz e, por implicação, nos certificados que ela emite.
Nota
Você tem a opção de implantar várias hierarquias internas de autoridade de certificação, cada uma com sua própria raiz.
Inscrição na Web da Autoridade de Certificação. Este componente fornece um método para emitir e renovar certificados em cenários em que os usuários usam dispositivos que não ingressaram no domínio ou estão executando sistemas operacionais diferentes do Windows.
Respondente Online. Você pode usar esse componente para configurar e gerenciar a validação e a verificação de revogação do Protocolo de Status de Certificado Online (OCSP). Um Respondente Online decodifica solicitações de status de revogação para certificados específicos, avalia o status desses certificados e retorna uma resposta assinada com as informações de status do certificado solicitadas.
Serviço de Registro de Dispositivo de Rede (NDES). Com esse componente, roteadores, switches e outros dispositivos de rede podem obter certificados do AD CS.
Serviço Web de Registro de Certificado (CES). Este componente funciona como um cliente proxy entre um computador que executa o Windows e a autoridade de certificação. O CES permite que usuários, computadores ou aplicativos se conectem a uma autoridade de certificação usando serviços Web para:
- Solicite, renove e instale certificados emitidos.
- Recupere listas de revogação de certificados (CRLs).
- Faça o download de um certificado raiz.
- Inscreva-se pela internet ou em florestas.
- Renove certificados automaticamente para computadores que fazem parte de domínios AD DS não confiáveis ou que não ingressaram em um domínio.
Serviço Web de Política de Registro de Certificado. Esse componente permite que os usuários obtenham informações sobre a política de registro de certificado. Combinado com o CES, ele permite o registro de certificado baseado em políticas em cenários em que os dispositivos do usuário não ingressam no domínio ou não podem se conectar a um controlador de domínio.
