O que são os Serviços de Certificados do Active Directory?
O AD CS (Serviços de Certificados do Active Directory) é uma função do Windows Server para emitir e gerenciar certificados PKI (infraestrutura de chave pública) usados em protocolos de autenticação e comunicação segura.
Emitir e gerenciar certificados
Certificados digitais podem ser usados para criptografar e assinar digitalmente documentos e mensagens eletrônicas, bem como para autenticação de contas de computador, usuário ou dispositivo em uma rede. Por exemplo, os certificados digitais são usados para fornecer:
- Confidencialidade por meio de criptografia.
- Integridade por meio de assinaturas digitais.
- Autenticação pela associação de chaves de certificado a contas de computador, usuário ou dispositivo em uma rede de computadores.
Principais recursos
O AD CS fornece os seguintes recursos importantes:
Autoridades de certificação: ACs (autoridades de certificação) raiz e subordinada são usadas para emitir certificados para usuários, computadores e serviços, bem como para gerenciar a validade do certificado.
Registro via Web: o registro via Web permite que os usuários se conectem a uma AC com um navegador da Web para solicitar certificados e recuperar CRLs (listas de certificados revogados).
Respondente Online: o serviço Respondente Online decodifica solicitações de status de revogação de certificados específicos, avalia o status desses certificados e envia uma resposta assinada contendo as informações solicitadas sobre o status do certificado.
Serviço de Registro de Dispositivo de Rede: o Serviço de Registro do Dispositivo de Rede permite que roteadores e outros dispositivos de rede que não tenham contas de domínio obtenham certificados.
Atestado de chave do TPM: permite que a autoridade de certificação verifique se a chave privada é protegida por um TPM baseado em hardware e se a AC confia no TPM. O atestado de chave do TPM impede que o certificado seja exportado para um dispositivo não autorizado e possa associar a identidade do usuário ao dispositivo.
Serviço Web de Política de Registro de Certificado: o Serviço Web de Política de Registro de Certificado permite a usuários e computadores obter informações da política de registro de certificado.
Serviço Web de Registro de Certificado: o Serviço Web de Registro de Certificado permite que usuários e computadores executem o registro de certificado por meio de um serviço Web. Em conjunto com o Serviço Web de Política de Registro de Certificado, permite o registro de certificados com base em políticas quando o computador cliente não é membro de um domínio ou quando o membro do domínio não está conectado ao domínio.
Benefícios
Você pode usar o AD CS para aumentar a segurança associando a identidade de uma pessoa, computador ou serviço a uma chave privada correspondente. O AD CS é uma maneira segura, eficiente e econômica de gerenciar a distribuição e o uso de certificados. Além da associação de identidades e chaves privadas, o AD CS também inclui recursos que permitem gerenciar o registro e a revogação de certificados.
Você pode usar informações de identidade do ponto de extremidade existentes no Active Directory para registrar certificados, ou seja, você pode inserir informações automaticamente em certificados. O AD CS também pode ser usado para configurar políticas de grupo do Active Directory para designar quais usuários e computadores têm permissão para quais tipos de certificados. A configuração de políticas de grupo permite o controle de acesso baseado em função ou atributo.
Os aplicativos com suporte do AD CS incluem S/MIME (Secure/Multipurpose Internet Mail Extensions), redes sem fio protegidas, VPNs (redes virtuais privadas), IPsec (Internet Protocol security), EFS (Encrypting File System), entrada com cartão inteligente, SSL/TLS (Secure Socket Layer/Transport Layer Security) e assinaturas digitais.
Próximas etapas
- O que é o Serviço de Função de Autoridade de Certificação?
- Implementar e gerenciar Serviços de Certificados do Active Directory
- Todos os serviços de função do AD CS são executados em qualquer versão
- Todos os serviços de função do AD RMS podem ser executados no Server Core
- Referência do Windows PowerShell para Serviços de Certificados