Partilhar via


Serviço de propagação de certificado

O serviço de propagação de certificados (CertPropSvc) é um serviço windows que é ativado quando um usuário insere uma cartão inteligente em um leitor anexado ao dispositivo. A ação faz com que os certificados sejam lidos do cartão inteligente. Em seguida, os certificados são adicionados ao repositório Pessoal do usuário. As ações do serviço de propagação de certificados são controladas usando Política de Grupo. Para obter mais informações, consulte Configurações de Política de Grupo e Registro de Cartão Inteligente.

Observação

O serviço de propagação de certificado deve estar em execução para que cartão Plug and Play inteligentes funcionem.

A figura a seguir mostra o fluxo do serviço de propagação de certificado. A ação começa quando um usuário conectado insere uma cartão inteligente.

  1. A seta rotulada 1 indica que o SCM (Service Control Manager) notifica o serviço de propagação de certificado (CertPropSvc) quando um usuário entra e o CertPropSvc começa a monitorar os cartões inteligentes na sessão do usuário

  2. A seta rotulada R representa a possibilidade de uma sessão remota e o uso de redirecionamento de cartão inteligente

  3. A seta rotulada 2 indica a certificação para o leitor

  4. A seta rotulada 3 indica o acesso ao repositório de certificados durante a sessão do cliente

    Serviço de propagação de certificados.

  5. Um usuário conectado insere uma cartão inteligente

  6. CertPropSvc é notificado de que um cartão inteligente foi inserido

  7. O CertPropSvc lê todos os certificados de todos os cartões inteligentes inseridos. Os certificados são gravados no repositório de certificados pessoal do usuário

Observação

O serviço de propagação de certificados é iniciado como uma dependência dos Serviços de Área de Trabalho Remota.

As propriedades do serviço de propagação de certificados incluem:

  • CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES adiciona certificados ao repositório pessoal de um usuário
  • Se o certificado tiver a CERT_ENROLLMENT_PROP_ID propriedade (conforme definido por wincrypt.h), ele filtra solicitações vazias e as coloca no repositório de solicitações do usuário atual, mas não as propaga para o repositório Pessoal do usuário
  • O serviço não propaga nenhum certificado de computador para o repositório pessoal de um usuário ou propaga certificados de usuário para um repositório de computadores
  • O serviço propaga certificados de acordo com Política de Grupo opções definidas, o que pode incluir:
    • Ativar a propagação de certificado do cartão inteligente especifica se o certificado de um usuário deve ser propagado
    • Ativar a propagação de certificado raiz de cartão inteligente especifica se os certificados raiz devem ser propagados
    • Configurar a limpeza do certificado raiz especifica como os certificados raiz são removidos

Serviço de propagação de certificado raiz

A propagação de certificado raiz é responsável pelos seguintes cenários inteligentes de implantação de cartão quando a confiança em PKI (infraestrutura de chave pública) ainda não foi estabelecida:

  • Ingressar no domínio
  • Acessando uma rede remotamente

Em ambos os casos, o computador não é associado a um domínio e, portanto, a confiança não está sendo gerenciada pela política de grupo. No entanto, o objetivo é autenticar-se em um servidor remoto, como o controlador de domínio. A propagação de certificado raiz fornece a capacidade de usar o cartão inteligente para incluir a cadeia de confiança ausente.

Quando a cartão inteligente é inserida, o serviço de propagação de certificado propaga todos os certificados raiz no cartão para os armazenamentos de certificados de computador raiz cartão inteligentes confiáveis. Esse processo estabelece uma relação de confiança com os recursos da empresa. Você também pode usar uma ação de limpeza subsequente quando o cartão inteligente do usuário for removido do leitor ou quando o usuário sair. Isso é configurável com a política de grupo. Para obter mais informações, consulte Configurações de Política de Grupo e Registro de Cartão Inteligente.

Para obter mais informações sobre os requisitos de certificado raiz, consulte Requisitos de certificado raiz do Smart cartão para uso com entrada de domínio.

Consulte também

Como o logon com cartão inteligente funciona no Windows