Gerenciar confianças de certificado
Os certificados desempenham um papel crucial na proteção e validação da autenticação e de outras tarefas relacionadas à segurança. Um dos princípios fundamentais que permitem esses recursos é uma confiança de certificado. Para que um certificado seja eficaz, todos os usuários, dispositivos ou aplicativos que o usam devem confiar na autoridade de certificação que o emitiu.
O que é confiança de certificado?
Ao usar certificados, é importante que você considere quem ou o que pode precisar avaliar sua autenticidade e validade. Há três tipos de certificados que você pode usar:
- Certificados internos de uma autoridade de certificação organizacional, como um servidor que hospeda a função AD CS.
- Certificados externos de uma autoridade de certificação pública, como uma organização que fornece software de segurança cibernética comercial ou serviços de identidade.
- Um certificado autoassinado.
Se você implantar uma autoridade de certificação raiz corporativa e usá-la para registrar certificados nos dispositivos associados ao domínio de seus usuários, esses dispositivos aceitarão os certificados registrados como confiáveis. No entanto, qualquer dispositivo de grupo de trabalho considerará os mesmos certificados como não confiáveis. Para resolver este problema, pode:
- Obtenha certificados públicos de uma autoridade de certificação externa para os dispositivos do grupo de trabalho. Isto implica um custo adicional de certificados públicos.
- Configure os dispositivos do grupo de trabalho para confiar na autoridade de certificação raiz da empresa. Isso requer configuração adicional.
Gerenciar certificados e confianças de certificado no Windows
Você pode gerenciar certificados armazenados no sistema operacional Windows usando uma variedade de ferramentas, incluindo o Windows Admin Center, o snap-in Certificados do Console de Gerenciamento Microsoft, o Windows PowerShell e a ferramenta de linha de comando certutil. Cada um deles lhe dá acesso a repositórios de certificados do usuário atual, do computador local e de seus serviços. Cada loja consiste em várias pastas, incluindo:
Store
Descrição
Pessoal
Contém certificados emitidos para o usuário local, o computador local ou seu serviço, dependendo do armazenamento selecionado.
Autoridades de Certificação de Raiz Fidedigna
Contém certificados de autoridades de certificação raiz confiáveis.
Enterprise Trust
Contém listas de certificados confiáveis para implementar relações de confiança de certificados autoassinados de outras organizações.
Autoridades de Certificação Intermediárias
Contém certificados emitidos para autoridades de certificação subordinadas na hierarquia de certificação.
Para garantir que os dispositivos de grupo de trabalho confiem em sua CA raiz corporativa, exporte seu certificado da pasta Autoridades de certificação raiz confiáveis em um computador associado a um domínio e importe-o para a mesma pasta nesses dispositivos.
Nota
Como alternativa, você pode obter o certificado da autoridade de certificação raiz corporativa do compartilhamento CertEnroll no servidor que hospeda essa função.
Criar um certificado autoassinado para fins de teste
Embora os certificados autoassinados não sejam adequados para cenários de produção, eles podem ser úteis para fins de teste. Você pode usar o cmdlet do Windows PowerShell New-SelfSignedCertificate para criar um certificado autoassinado. Se você incluir o CloneCert parâmetro e fornecer um certificado existente, o novo terá as configurações correspondentes, com exceção da chave pública. Em vez disso, o cmdlet criará uma nova chave do mesmo algoritmo e comprimento.
O exemplo a seguir cria um certificado de servidor SSL autoassinado no armazenamento pessoal da máquina local com o nome alternativo da entidade definido como www.fabrikam.com, www.contoso.com e Nome da entidade e do emissor definido como www.fabrikam.com.
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"