Configuração do MVE para o gerenciamento automático de certificados

Noções básicas sobre o recurso de gerenciamento automatizado de certificados

Você pode configurar o MVE para gerenciar certificados de impressora automaticamente e, em seguida, instalá-los nas impressoras por meio da aplicação de configuração. O diagrama a seguir descreve o processo, ponto a ponto, do recurso de gerenciamento automatizado de certificados.

Um fluxograma que mostra o processo de gerenciamento automatizado de certificados

Os endpoints de autoridade de certificado, como o servidor CA e o endereço do servidor, devem ser definidos no MVE.

Os seguintes servidores CA são suportados:

OpenXPKI CA — Para obter mais informações, consulte Gerenciamento de certificados usando a autoridade de certificação da OpenXPKI.
CA corporativa da Microsoft — Os usuários podem usar um dos seguintes protocolos
- Simple Certificate Encryption Protocol (SCEP)
- Serviço da Web de registro de certificado da Microsoft (MSCEWS)
  Nota: O MSCEWS é a maneira recomendada de se conectar ao servidor de AC corporativa da Microsoft.

Para obter mais informações, consulte os tópicos a seguir:

A conexão entre o MVE e os servidores CA deve ser validada. Durante a validação, o MVE comunica-se com o servidor CA para baixar a cadeia de certificados e a CRL (Certificate Revocation List, lista de revogação de certificados). O certificado do agente de registro ou o certificado de teste também é gerado. Esse certificado permite que o servidor CA confie no MVE.

Para obter mais informações sobre como definir os endpoints e a validação, consulte Configuração do MVE para gerenciamento automatizado de certificados.

Uma configuração definida como Usar o Markvision para gerenciar certificados de dispositivos deve ser atribuída e aplicada à impressora.

Para obter mais informações, consulte os tópicos a seguir:

Durante a aplicação, o MVE verifica a conformidade da impressora.

Para Certificado padrão do dispositivo

O certificado é validado em relação à cadeia de certificados baixada do servidor de AC.
Se a impressora estiver fora de conformidade, uma solicitação de assinatura de certificado (CSR) será solicitada para a impressora.

Para Certificado nomeado do dispositivo

O certificado é validado em relação à cadeia de certificados baixada do servidor de AC.
O MVE cria um certificado de dispositivo nomeado autoassinado no dispositivo.
Se a impressora estiver fora de conformidade, uma solicitação de assinatura de certificado (CSR) será gerada para a impressora.

Notas:

O MVE comunica-se com o servidor de AC usando o protocolo suportado.
O servidor CA gera o novo certificado e, em seguida, o MVE envia o certificado para a impressora.
Se existir um certificado nomeado na impressora, um novo certificado nomeado não será criado, mas uma solicitação de assinatura de certificado será gerada para a impressora.

Configuração do MVE para gerenciamento automatizado de certificados

Clique em no canto superior direito da página.
Clique em Autoridade de certificações > Usar o servidor de autoridade de certificações.
Nota: O botão Usar o servidor da autoridade de certificações aparece apenas ao configurar a autoridade de certificações pela primeira vez ou quando o certificado é excluído.
Configure os parâmetros do servidor.
- Servidor CA: o servidor CA (autoridade de certificações) que gera os certificados da impressora. Você pode selecionar OpenXPKI CA ou Microsoft CA Enterprise.
- Endereço do servidor CA: o endereço IP ou o nome do host do seu servidor CA. Inclua o URL completo.
- Senha de desafio — A senha necessária para validar a identidade do MVE no servidor de AC. Essa senha é necessária somente para a AC do OpenXPKI. Ela não é suportada na AC corporativa da Microsoft.
No menu Protocolo do servidor de AC, se você selecionar o protocolo MSCEWS, precisará configurar o modo de autenticação do servidor. No menu Modo de autenticação do servidor de AC, selecione uma das seguintes:
- Autenticação de nome de usuário e senha
- Autenticação do certificado do cliente
- Autenticação integrada do Windows
Nota: Dependendo do servidor de AC, consulte Gerenciamento de certificados usando a autoridade de certificação da OpenXPKI, Gerenciando certificados usando a autoridade de certificações da Microsoft pelo SCEP ou Gerenciando certificados usando a autoridade de certificações da Microsoft pelo MSCEWS.
Clique em Salvar alterações e validar > OK.
Nota: A conexão entre o MVE e os servidores CA deve ser validada. Durante a validação, o MVE comunica-se com o servidor CA para baixar a cadeia de certificados e a CRL (Certificate Revocation List, lista de revogação de certificados). O certificado do agente de registro ou o certificado de teste também é gerado. Esse certificado permite que o servidor CA confie no MVE.
Navegue de volta para a página Configuração do sistema e depois analise o certificado CA.
Nota: É possível também fazer download ou excluir um certificado CA.

Configuração do Microsoft Enterprise CA com NDES

Visão geral

No cenário de implantação a seguir, todas as permissões são baseadas em permissões definidas nos modelos de certificado publicados no controlador de domínio. As solicitações de certificado enviadas à CA são baseadas em modelos de certificados.

Para essa configuração, verifique se você tem o seguinte:

Uma máquina que hospeda a AC subordinada
Uma máquina que hospeda o serviço NDES
Um controlador de domínio

Usuários necessários

Crie os seguintes usuários no controlador de domínio:

Administrador do serviço
- Nomeado como SCEPAdmin
- Deve ser membro dos grupos local admin e Enterprise Admin
- Deve ser registrado localmente quando a instalação da função NDES for acionada
- Tem Permissão de registro para os modelos de certificado
- Tem Permissão para adicionar modelo na CA
Conta de serviço
- Nomeado como SCEPSvc
- Deve ser membro do grupo local IIS_IUSRS
- Deve ser um usuário do domínio e ter permissões de leitura e registro nos modelos configurados
- Tem permissão de solicitação na CA
Administrador da AC corporativa
- Nomeado como CAAdmin
- Membro do grupo Enterprise Admin
- Deve fazer parte do grupo local admin