Gerenciar registro de certificado

Concluído

O objetivo da autoridade de certificação é permitir que usuários e dispositivos se inscrevam e usem certificados. Isso, no entanto, assim como na implementação da autoridade de certificação, requer planejamento e preparação cuidadosos que determinam o tipo de certificados que uma autoridade de certificação pode emitir.

O que é um certificado?

Um certificado é um pequeno arquivo que contém várias informações sobre seu proprietário. Esses dados podem incluir o endereço de e-mail do proprietário, o nome do proprietário, o tipo de uso do certificado, o período de validade e as URLs para locais AIA e CDP.

Um certificado também contém a chave pública e os metadados correspondentes, que consistem em uma chave privada e a chave pública correspondente. Você pode usar essas chaves em processos de validação de identidades, assinaturas digitais e criptografia. O par de chaves que cada certificado gera tem as seguintes condições:

• Quando o conteúdo é encriptado com a chave pública, só pode ser desencriptado com a chave privada.
• Quando o conteúdo é encriptado com a chave privada, só pode ser desencriptado com a chave pública.
• Nenhuma outra chave está envolvida na relação entre as chaves de um único par de chaves.
• A chave privada não pode ser derivada em um período razoável de tempo de uma chave pública e vice-versa.

Como parte do processo de registro de certificado, o cliente gera o par de chaves pública/privada. Em seguida, o cliente envia a chave pública para a autoridade de certificação, que confirma as informações do cliente, assina-as com sua própria chave privada e, em seguida, envia o certificado, que inclui a chave pública do cliente, de volta para o cliente.

Nota

Você pode pensar em um certificado como sendo como uma carteira de motorista. Muitas empresas aceitam uma carteira de motorista como uma forma de identificação porque consideram o emissor da carteira (uma instituição governamental) como confiável. Como as empresas entendem o processo pelo qual alguém pode obter uma carteira de motorista, elas confiam que o emissor verificou a identidade do indivíduo antes de emitir a carteira. Portanto, a carteira de motorista é aceitável como uma forma válida de identificação. Uma confiança de certificado é estabelecida de forma semelhante.

O que são modelos de certificado?

Os modelos de certificado definem como os usuários e dispositivos podem solicitar e usar certificados emitidos pela CA Corporativa com base nesse modelo. Por exemplo, você pode criar um modelo que fornecerá criptografia de arquivo ou funcionalidade de assinatura de email. A autoridade de certificação depende do AD DS para armazenar os modelos configurados.

Importante

Os modelos de certificado estão disponíveis somente ao usar a autoridade de certificação corporativa. Isso significa que, com uma autoridade de certificação autônoma, cada solicitação de certificado deve ser criada manualmente e incluir todas as informações necessárias para serem incluídas no certificado.

A autoridade de certificação fornece modelos para usuários e computadores. Você pode atribuir permissões a modelos de certificado para definir quem pode gerenciá-los, quem pode realizar o registro ou o registro automático e quais são seus períodos de validade e renovação. Você pode aplicar modificações adicionais duplicando modelos de certificado predefinidos. Para disponibilizar modelos para usuários e dispositivos, você deve permitir explicitamente seu uso.

Versões do modelo

A autoridade de certificação no AD CS do Windows Server oferece suporte a quatro versões de modelos de certificado, com as seguintes diferenças funcionais:

• Modelos da versão 1. Esses modelos permitem que você modifique apenas as permissões relacionadas ao certificado. Quando você instala uma autoridade de certificação, os modelos de certificado da versão 1 são criados por padrão.
• Modelos da versão 2. Com esses modelos, você pode personalizar configurações adicionais, como períodos de validade e renovação. Esta é também a versão mínima que suporta o registo automático. A instalação padrão do AD CS fornece vários modelos pré-configurados da versão 2. Você pode criar modelos da versão 2 ou duplicar um modelo de certificado da versão 1 para criar um novo modelo da versão 2.
• Modelos da versão 3. Os modelos de certificado da versão 3 suportam Cryptography Next Generation (CNG). O CNG suporta algoritmos criptográficos avançados. Você pode duplicar os modelos padrão das versões 1 e 2 para atualizá-los para a versão 3. Quando utilizar os modelos de certificado da versão 3, pode utilizar encriptação CNG e algoritmos hash para pedidos de certificados, certificados emitidos e proteção de chaves privadas para troca de chaves e cenários de arquivo de chaves.
• Modelos da versão 4. Os modelos de certificado da versão 4 oferecem suporte a provedores de serviços de criptografia (CSPs) e provedores de armazenamento de chaves. Você também pode configurá-los para exigir renovação com a mesma chave.

Demonstração

O vídeo a seguir demonstra como:

• Crie um novo modelo com base no modelo Servidor Web.
• Configure modelos para que possam ser emitidos.

As principais etapas do processo são:

1. Crie um ambiente AD DS. Crie uma floresta do AD DS de domínio único.
2. Implante uma autoridade de certificação raiz corporativa.
3. Crie um modelo de certificado personalizado. Use o console Modelos de Certificado para duplicar o modelo de Servidor Web.
4. Configure o modelo para que ele possa ser emitido. Use o console da Autoridade de Certificação para disponibilizar o modelo para uso.

---

Verifique o seu conhecimento

1.

Qual ferramenta pode ser usada para permitir o registro de certificado usando um modelo já configurado?

O console da Autoridade de Certificação

O console Modelos de Certificado

O console de Sites e Serviços do Ative Directory

Tem de responder a todas as questões antes de verificar o seu trabalho.