Considerações sobre o projeto da PKI utilizando os Serviços de Certificados do Active Directory
Existem alguns aspectos que devem ser considerados ao planejar a implantação de uma infraestrutura de chave pública utilizando os Serviços de Certificados do Active Directory. Aqui você encontra o que precisa planejar para instalar e configurar com êxito o seu ambiente de PKI.
Em um nível mais elevado, você deve:
- Planejar uma PKI (infraestrutura de chave pública) apropriada para sua organização.
- Instale e configure um módulo de segurança de hardware (HSM) de acordo com as instruções do fornecedor do HSM, se estiver planejando utilizar um.
- Crie um
CAPolicy.infapropriado, se quiser modificar as configurações da instalação padrão. - Escolha as opções criptográficas
- Determinar o Nome da AC
- Determinar o período de validade
- Selecionar o banco de dados da CA
- Acesso às Informações da Autoridade e definição do Ponto de Distribuição da Lista de Revogação de Certificados
Planejar para a PKI
Para assegurar que sua organização possa aproveitar totalmente a instalação do AD CS (Serviços de Certificados do Active Directory), você deve planejar a implantação da PKI adequadamente. Você deve determinar quantas CAs são necessárias e em qual configuração antes de instalar qualquer CA. Por exemplo, você precisa de uma AC raiz corporativa ou de uma AC raiz autônoma? Como serão tratadas as solicitações de aprovação de certificados? Como você gerenciará a revogação de certificados? Criar um projeto de PKI adequado pode consumir muito tempo, mas é importante para o sucesso da sua PKI.
Usar um HSM
O HSM é um dispositivo de hardware dedicado gerenciado separadamente do sistema operacional. Esses módulos oferecem um repositório de hardware seguro para as chaves de AC, além de um processador criptográfico dedicado para acelerar as operações de assinatura e criptografia. O sistema operacional utiliza o HSM por meio de interfaces CryptoAPI e as funções do HSM como um dispositivo CSP (provedor de serviços de criptografia).
Os HSMs normalmente são adaptadores PCI, mas também estão disponíveis como dispositivos baseados em rede, dispositivos seriais e dispositivos USB. Se uma organização planeja implementar duas ou mais ACs, você pode instalar um HSM individual baseado na rede e compartilhá-lo entre as várias ACs.
Para configurar uma AC utilizando um HSM, o HSM deve ser instalado e configurado antes de você configurar quaisquer ACs com chaves que precisem ser armazenadas no HSM.
Considerar um arquivo CAPolicy.inf
O arquivo CAPolicy.inf não é exigido para instalar o AD CS, mas pode ser utilizado para personalizar as configurações da AC. O arquivo CAPolicy.inf contém várias configurações utilizadas na instalação de uma AC ou na renovação do Certificado da AC. O arquivo CAPolicy.inf deve ser criado e armazenado no diretório %systemroot% (normalmente C:\Windows) para que possa ser utilizado.
As configurações que você inclui no arquivo CAPolicy.inf dependem muito do tipo de implantação que você deseja criar. Por exemplo, uma AC raiz pode ter um arquivo CAPolicy.inf com a seguinte aparência:
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
LoadDefaultTemplates=0
Selecionar opções criptográficas
A seleção de opções criptográficas para uma AC pode gerar implicações significativas de segurança, desempenho e compatibilidade para a AC. Embora as opções criptográficas padrão possam ser adequadas para a maioria das ACs. A capacidade de implementar opções personalizadas pode ser útil para administradores e desenvolvedores de aplicativos com um conhecimento mais avançado de criptografia e a necessidade dessa flexibilidade. As opções criptográficas podem ser implementadas usando CSPs ou KSPs (provedores de armazenamento de chaves).
CSPs são componentes de hardware e software dos sistemas operacionais Windows que oferecem funções genéricas de criptografia. Os CSPs podem ser escritos para fornecer vários algoritmos de criptografia e assinatura.
Ao selecionar o provedor, o algoritmo de hash e o comprimento da chave, considere com atenção as opções criptográficas às quais os aplicativos e dispositivos que você pretende usar dão suporte. Embora seja uma prática recomendada selecionar as opções de segurança mais fortes, nem todos os aplicativos e dispositivos dão suporte a elas.
Permitir a interação do administrador quando a chave privada for acessada pela CA é uma opção normalmente utilizada com módulos de segurança de hardware (HSMs). Essa opção permite que o provedor criptográfico solicite ao usuário uma autenticação adicional quando a chave privada da AC for acessada. Por exemplo, exigir que o administrador insira uma senha antes de cada operação criptográfica.
Os provedores criptográficos internos dão suporte a tamanhos de chave e algoritmos de hash específicos, conforme descrito na tabela a seguir.
| Provedor criptográfico | Comprimentos de chave | Algoritmo de hash |
|---|---|---|
| Microsoft Base Cryptographic Provider v1.0 | - 512 - 1024 - 2048 - 4096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft Base DSS Cryptographic Provider | - 512 - 1024 |
SHA1 |
| Microsoft Base Smart Card Crypto Provider | - 1024 - 2048 - 4096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft Enhanced Cryptographic Provider v1.0 | - 512 - 1024 - 2048 - 4096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft Strong Cryptographic Provider | - 512 - 1024 - 2048 - 4096 |
- SHA1 - MD2 - MD4 - MD5 |
| RSA#Microsoft Software Key Storage Provider | - 512 - 1024 - 2048 - 4096 |
- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5 |
| DSA#Microsoft Software Key Storage Provider | - 512 - 1024 - 2048 |
SHA1 |
| ECDSA_P256#Microsoft Software Key Storage Provider | 256 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P384#Microsoft Software Key Storage Provider | 384 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P521#Microsoft Software Key Storage Provider | 521 | - SHA1 - SHA256 - SHA384 - SHA512 |
| RSA#Microsoft Smart Card Key Storage Provider | - 1024 - 2048 - 4096 |
- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5 |
| ECDSA_P256#Microsoft Smart Card Key Storage Provider | 256 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P384#Microsoft Smart Card Key Storage Provider | 384 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P521#Microsoft Smart Card Key Storage Provider | 521 | - SHA1 - SHA256 - SHA384 - SHA512 |
Determinar o nome da AC
Antes de configurar as ACs de sua organização, você deve estabelecer uma convenção de denominação da Autoridade de Certificação.
Você pode criar um nome usando qualquer caractere Unicode, mas talvez você queira usar o conjunto de caracteres ANSI se precisar obter interoperabilidade. Por exemplo, certos tipos de roteadores não podem utilizar o Serviço de Registro de Dispositivo de Rede para registrar certificados se o nome da CA contiver caracteres especiais, como um sublinhado.
Se você usar caracteres não latinos (como cirílicos, arábicos ou chineses), o nome da Autoridade de Certificação deverá conter menos de 64 caracteres. Se você usar apenas caracteres não latinos, o nome da Autoridade de Certificação não poderá ultrapassar o comprimento de 37 caracteres.
Nos Serviços de Domínio do Active Directory (AD DS), o nome que você especifica ao configurar um servidor como uma AC torna-se o nome comum da AC. O nome comum é refletido em todos os certificados emitidos pela AC. Por esse motivo, é importante que você não utilize o nome de domínio totalmente qualificado para o nome comum da AC. Dessa forma, os usuários mal-intencionados que obtiverem uma cópia de um certificado não poderão identificar e utilizar o nome de domínio totalmente qualificado da AC para criar uma possível vulnerabilidade de segurança.
O nome da AC não deve ser idêntico ao nome do computador (NetBIOS ou nome DNS). Também não é possível alterar o nome de um servidor após a instalação dos Serviços de Certificados do Active Directory (AD CS) sem invalidar todos os certificados emitidos pela AC.
Para alterar o nome do servidor depois que o AD CS é instalado, você deve desinstalar a AC, alterar o nome do servidor, reinstalar a AC usando as mesmas chaves e modificar o registro para usar as chaves e o banco de dados da AC existentes. Não é necessário reinstalar uma AC se você renomear um domínio; no entanto, é preciso reconfigurar a AC para suportar a alteração de nome.
Determinar o período de validade
A criptografia baseada em certificados usa a criptografia de chaves públicas para proteger e assinar os dados. Ao longo do tempo, os invasores poderiam obter dados que estavam protegidos pela chave pública e tentar obter a chave privada com base neles. Com tempo e recursos suficientes, essa chave privada poderia ser comprometida, transformando efetivamente todos os dados protegidos em não protegidos. Além disso, os nomes garantidos por um certificado podem precisar ser alterados com o tempo. Como um certificado é uma associação entre um nome e uma chave pública, quando um deles for alterado, o certificado deverá ser renovado.
Todos os certificados têm um período de validade. Após o término do período de validade, o certificado não é mais considerado uma credencial aceitável ou utilizável.
As ACs não podem emitir certificados que sejam válidos além do seu próprio período de validade. Uma melhor prática é renovar o Certificado de Autoridade de Certificação quando metade do período de validade tiver expirado. Ao instalar uma AC, você deve planejar essa data e certificar-se de que ela seja registrada como uma tarefa futura.
Selecionar o banco de dados da CA
O banco de dados da autoridade de certificação é um arquivo no disco rígido. Além desse arquivo, outros arquivos servem como logs de transações e recebem todas as modificações no banco de dados antes que as alterações sejam feitas. Como esses arquivos podem ser acessados com frequência e simultaneamente, convém manter o banco de dados e os logs de transação em volumes separados.
O local do banco de dados de certificados e os arquivos de log são mantidos no seguinte local de Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
O Registro contém os seguintes valores:
DBDirectoryDBLogDirectoryDBSystemDirectoryDBTempDirectory
Acesso às Informações da Autoridade e definição do Ponto de Distribuição da Lista de Revogação de Certificados
Após a instalação de uma AC subordinada ou raiz, você deve configurar as extensões Acesso às Informações da Autoridade (AIA) e ponto de distribuição de lista de revogação de certificados (CDP) antes que a AC emita qualquer certificado. A extensão AIA especifica onde encontrar certificados atualizados para a AC. A extensão CPD especifica onde encontrar CRLs atualizadas que foram assinadas pela AC. Essas extensões se aplicam a todos os certificados emitidos pela AC.
A configuração dessas extensões garante que essas informações sejam incluídas em cada certificado emitido pela AC, de modo que estejam disponíveis para todos os clientes. A utilização das extensões resulta em menos falhas devido a cadeias de certificados não verificadas ou revogações de certificados, o que pode resultar em conexões de VPN mal sucedidas, entradas de cartão inteligente falhadas ou assinaturas de email não verificadas.
Como administrador da AC, você pode adicionar, remover ou modificar os pontos de distribuição de CRL e os locais de emissão de certificados CPD e AIA. A modificação da URL de um ponto de distribuição de CRL afeta apenas os certificados emitidos mais recentemente. Os certificados emitidos anteriormente continuam a fazer referência ao local original, e é por isso que você deve estabelecer esses locais antes que sua AC distribua quaisquer certificados.
Considere estas diretrizes ao configurar URLs de extensão CPD:
- Evite publicar CRLs delta em ACs raiz offline. Como não se revogam muitos certificados em uma CA raiz offline, provavelmente não é necessária uma CRL delta.
- Ajuste os locais de URL padrão
LDAP://ehttps://na guia Extensões da guia Extensão de Propriedades da autoridade de certificação, de acordo com suas necessidades. - Publique uma CRL em um local HTTP da extranet ou Internet para que os usuários e aplicativos externos possam executar a validação de certificados. Você pode publicar as URLs LDAP e HTTP dos locais de CPD para permitir que os clientes recuperem dados da CRL com HTTP e LDAP.
- Lembre-se de que os clientes Windows sempre recuperam a lista de URLs em ordem sequencial até que uma CRL válida seja recuperada.
- Use locais HTTP de CPD para fornecer locais de CRL acessíveis aos clientes que executam sistemas operacionais que não sejam o Windows.
Próximas etapas
Para obter mais informações sobre a implantação do AD CS, confira Implementar e gerenciar o Serviço de Certificados do Active Directory.