Requisitos de sistema

O sistema operacional a partir do Windows Server 2012 R2 é usado para todas as configurações deste documento. Os requisitos e os recursos de instalação a seguir aplicam-se ao CEP e ao CES, a menos que seja especificado de outra forma.

Crie os seguintes tipos de conta no controlador de domínio:

• Administrador do serviço: nomeado como CEPAdmin e CESAdmin

  • Esse usuário tem que fazer parte do grupo local admin e dos respectivos servidores de CEP e CES.

  • Este usuário deve ser membro do grupo Enterprise Admin .

• Conta de serviço: nomeada como CEPSvc e CESSvc

  • Esse usuário deve fazer parte do grupo IIS_IUSRS local .

  • Requer a permissão Solicitar certificados na AC para o respectivo CEPSvc e CESSvc .

Requisitos de conectividade de rede

• Os requisitos de conectividade de rede são uma parte essencial do planejamento da implantação, especialmente para situações em que o CEP e o CES estão hospedados em uma rede de perímetro.

• Toda a conectividade do cliente com ambos os serviços ocorre dentro de uma sessão de HTTPS, de modo que somente o tráfego HTTPS é permitido entre o cliente e os serviços da Web.

• O CEP comunica-se com os Serviços de domínio do Active Directory (AD DS) usando o protocolo LDAP (Lightweight Directory Access Protocol) padrão e as portas LDAP (LDAPS) seguras (TCP 389 e 636 respectivamente).

• O CES comunica-se com a AC usando o DCOM (Distributed Component Object Model).

  Notas:

  • Por padrão, o DCOM usa portas efêmeras aleatórias.
  • A AC pode ser configurada para reservar uma faixa específica de portas para simplificar a configuração do firewall.

Criando certificados SSL para servidores de CEP e CES

CES e CEP devem usar SSL (Secure Sockets Layer) para comunicação com clientes (usando HTTPS). Todos os serviços precisam ter um certificado válido que tenha uma política de uso avançado de chave (EKU) de autenticação de servidor no armazenamento de certificados do computador local.

1. Instale o serviço IIS no servidor.

2. Faça login no servidor de CEP e adicione o Certificado CA raiz no repositório da Autoridade de certificações raiz confiável.

3. Inicie o Console de Gerenciamento do IIS e, em seguida, selecione Página inicial do servidor .

4. Na seção Exibição principal, abra Certificados de servidor .

5. Clique em Ações > Criar solicitação de certificado .

6. Na janela Propriedades de nome diferenciado, forneça as informações necessárias e, em seguida, clique em Avançar .

7. Na caixa de diálogo Propriedades do provedor de serviços criptográficos, selecione o tamanho do bit e clique em Avançar .

8. Salve o arquivo.

9. Obtenha o arquivo assinado pela AC que você pretende usar para CEP e CES.

   Nota:  Verifique se o EKU de autenticação de servidor está ativado no certificado assinado.

10. Copie o arquivo assinado de volta para o servidor de CEP.

11. No Console de gerenciamento do IIS, selecione Página inicial do servidor .

12. Na seção Exibição principal, abra Certificados de Servidor .

13. Clique em Ações > Concluir solicitação de certificado .

14. Na janela Especificar resposta da autoridade de certificações, selecione o arquivo assinado.

15. Digite um nome e, em seguida, no menu Repositório de certificados, selecione Pessoal .

16. Conclua a instalação do certificado.

17. Em Console de gerenciamento do IIS, selecione o website padrão.

18. Clique em Ações > Vínculos .

19. Na caixa de diálogo Vínculos de site, clique em Adicionar .

20. Na caixa de diálogo Adicionar vínculo de site, defina o Tipo como https e, em seguida, no certificado SSL, pesquise o certificado recém-criado.

21. No Console de gerenciamento do IIS, selecione Default Web Site e abra as configurações de SSL.

22. Ative Exigir SSL e defina Certificados de cliente como Ignorar .

23. Reinicie o IIS.

Criando modelos de certificado

O usuário deve criar um modelo de certificado para o registro do certificado. Faça o seguinte para copiar de um modelo de certificado existente:

1. Faça login na AC corporativa com as credenciais de administrador da AC.

2. Expanda a AC, clique com o botão direito do mouse em Modelo de certificados e, em seguida, clique em Gerenciar .

3. Em Console de modelos de certificado, clique com o botão direito do mouse em Modelo de certificado do servidor da Web e, em seguida, clique em Duplicar modelo .

4. Na guia Geral do modelo, atribua o nome MVEWebServer ao modelo.

5. Na guia Segurança, atribua as permissões de Leitura , Gravação e Registro ao administrador de AC.

6. Conceda as permissões de Leitura e Registro para os usuários autenticados.

7. Na guia Nome da entidade, selecione Suprimento na solicitação.

8. Na guia Geral, defina o período de validade do certificado.

9. Se você pretende usar esse modelo de certificado para emitir um Certificado 802.1X para impressoras, execute as seguintes ações:

   1. Na guia Extensões , selecione Políticas de aplicativo na lista de extensões incluídas nesse modelo.

   2. Clique em Editar > Adicionar .

   3. Na caixa de diálogo Adicionar política de aplicativo, selecione Autenticação do cliente .

   4. Clique em OK .

10. Na caixa de diálogo Propriedades do modelo de certificado, clique em OK .

11. Na janela da AC, clique com o botão direito do mouse em Modelos de certificado e clique em Novo > Modelo de certificado .

12. Selecione MVEWebServer e, em seguida, clique em OK .

O CEP e o CES são compatíveis com os seguintes métodos de autenticação:

• A autenticação integrada do Windows, também conhecida como Autenticação Kerberos

• A autenticação do certificado do cliente, também conhecida como Autenticação do certificado X.509

• Autenticação de nome de usuário e senha

autenticação integrada do Windows

A autenticação integrada do Windows usa Kerberos para fornecer um fluxo de autenticação ininterrupto para dispositivos conectados à rede interna. Esse método é preferido para implantações internas porque usa a infraestrutura Kerberos existente no AD DS. Também requer alterações mínimas nos computadores de clientes com certificado.

autenticação do Certificado do cliente

Esse método é o preferido em relação à autenticação de nome de usuário e senha, pois é o mais seguro. Ele não requer uma conexão direta com a rede corporativa.

Notas:

• Use esse método de autenticação se você planeja fornecer aos clientes os certificados X.509 digitais para autenticação.
• Esse método ativa os serviços da Web disponíveis na Internet.

Autenticação de nome de usuário e senha

O método de nome de usuário e senha é a forma mais simples de autenticação. Esse método é normalmente usado para atender a clientes que não estão diretamente conectados à rede interna. É uma opção de autenticação menos segura do que a autenticação de certificado do cliente, mas não requer a concessão de um certificado.

A delegação permite que um serviço represente uma conta de usuário ou de computador para acessar recursos em toda a rede.

A delegação é necessária para o servidor de CES em todas situações a seguir:

• A AC e o CES não residem no mesmo computador.

• O CES pode processar solicitações de registro iniciais, em vez de processar apenas solicitações de renovação de certificado.

• O tipo de autenticação é definido como Autenticação Integrada do Windows ou Autenticação de certificado do cliente .

A delegação é necessária para o servidor de CES nas situações a seguir:

• A AC e o CES residem no mesmo computador.

• O nome de usuário e a senha são o método de autenticação.

Notas:

• A Microsoft recomenda executar o CEP e o CES como contas de usuários do domínio.
• Os usuários precisam criar um nome principal do serviço (SPN) apropriado antes de configurar a delegação na conta de usuário do domínio.

Ativando a delegação

1. Para criar um SPN para uma conta de usuário de domínio, use o comando setspn conforme a seguir:

   setspn -s http/ces.msca.com msca\CESSvc

   Notas:

   • O nome da conta é CESSvc.
   • O CES está sendo executado em um computador com um nome de domínio totalmente qualificado (FQDN) do ces.msca.com no domínio msca.com.

2. Abra a conta de usuário do domínio CESSvc no controlador de domínio.

3. Na guia Delegação, selecione Confiar neste usuário para delegação apenas aos serviços especificados .

4. Selecione a delegação apropriada com base no método de autenticação.

   Notas:

   • Se você selecionar a autenticação integrada do Windows, configure a delegação para usar apenas Kerberos .
   • Se o serviço está usando autenticação do certificado do cliente, configure a delegação para usar qualquer protocolo de autenticação.
   • Se você pretende configurar vários métodos de autenticação, configure a delegação para usar qualquer protocolo de autenticação.

5. Clique em Adicionar .

6. Na caixa de diálogo Adicionar serviços, selecione Usuários ou Computadores .

7. Digite o nome do host do servidor de AC e, em seguida, clique em Verificar nomes .

8. Na caixa de diálogo Adicionar serviços, selecione um dos seguintes serviços para delegar:

   • Serviço de host (HOST) para esse servidor de AC

   • Serviço do sistema da chamada de procedimento remoto (RPC) para esse servidor de AC

9. Feche a caixa de diálogo de propriedades do usuário do domínio.

Para usuários do domínio CEP que usam autenticação integrada do Windows, faça o seguinte:

1. Para criar um SPN para uma conta de usuário de domínio, use o comando setspn conforme a seguir:

   setspn -s http/cep.msca.com msca\CEPSvc

   Nota:  O nome da conta é CEPSvc.

2. Abra a conta de usuário do domínio CEPSvc no controlador de domínio.

3. Na guia Delegação, selecione Não confiar neste usuário para delegação .

Para instalar o CEP e o CES, use o Windows PowerShell.

Configurando o CEP

O cmdlet Install-AdcsEnrollmentPolicyWebService configura o Serviço da Web de política de registro de certificado (CEP). Ele também é usado para criar outras instâncias do serviço em uma instalação existente.

1. Faça login no servidor de CEP com o nome de usuário CEPAdmin e, em seguida, inicie o PowerShell no modo administrativo.

2. Execute o comando Import-Module ServerManager .

3. Execute o comando Add-WindowsFeature Adcs-Enroll-Web-Pol .

4. Execute o comando Install-AdcsEnrollmentPolicyWebService -AuthenticationType Kerberos -SSLCertThumbprint "sslCertThumbPrint" .

   Nota:  Substitua < sslCertThumbPrint > pela impressão digital do certificado SSL criado para o servidor de CEP, após excluir os espaços entre os valores de impressão digital.

5. Para concluir a instalação, selecione Y ou A .

6. Inicie o Console de gerenciamento do IIS.

7. No painel Conexões, expanda o servidor da Web que está hospedando o CEP.

8. Expanda Sites e Default Web Site ; em seguida, clique no nome do aplicativo virtual adequado da instalação ADPolicyProvider_CEP_Kerberos .

9. No aplicativo virtual chamado Home , faça clique duplo nas configurações do aplicativo e em FriendlyName .

10. Digite o nome em Valor e feche a caixa de diálogo.

11. Faça clique duplo em URI e, em seguida, copie o Valor .

    Notas:

    • Se desejar configurar outro método de autenticação no mesmo servidor de CEP, você deverá alterar o ID.
    • Essa URL é usada no MVE ou em qualquer aplicativo cliente.

12. No painel esquerdo, clique em Pools de aplicativos .

13. Selecione WSEnrollmentPolicyServer e, em seguida, no painel direito, clique em Ações > Definições avançadas .

14. Em Modelo de processo, selecione o campo Identidade.

15. Na caixa de diálogo Identidade do pool de aplicativos, selecione a conta personalizada e, em seguida, digite CEPSvc como nome de usuário do domínio.

16. Feche todas as caixas de diálogo e, em seguida, recicle o IIS do painel direito do Console de gerenciamento do IIS.

17. No PowerShell, digite iisreset para reiniciar o IIS.

Configuração do CES

O cmdlet Install-AdcsEnrollmentWebService configura o Serviço da Web de registro de certificado (CES). Ele também é usado para criar outras instâncias do serviço em uma instalação existente.

1. Faça login no servidor de CES com o nome de usuário CESAdmin e, em seguida, inicie o PowerShell no modo administrativo.

2. Execute o comando Import-Module ServerManager .

3. Execute o comando Add-WindowsFeature Adcs-Enroll-Web-Svc .

4. Execute o comando Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig "CA1.contoso.com\contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Kerberos .

   Notas:

   • Substitua < sslCertThumbPrint > pela impressão digital do certificado SSL criado para o servidor de CES, após excluir os espaços entre os valores de impressão digital.
   • Substitua CA1.contoso.com pelo nome do computador da AC.
   • Substitua contoso-CA1-CA pelo nome comum da AC.

5. Para concluir a instalação, selecione Y ou A .

6. Inicie o Console de gerenciamento do IIS.

7. No painel Conexões, expanda o servidor da Web que está hospedando o CES.

8. Expanda Sites e Default Web Site ; em seguida, clique no nome do aplicativo virtual adequado da instalação: contoso-CA1-CA _CES_Kerberos .

9. No painel esquerdo, clique em Pools de aplicativos .

10. Selecione WSEnrollmentServer e, em seguida, no painel direito, clique em Ações > Definições avançadas .

11. Em Modelo de processo, selecione o campo Identidade.

12. Na caixa de diálogo Identidade do pool de aplicativos , selecione a conta personalizada e, em seguida, digite CESSvc como nome de usuário do domínio.

13. Feche todas as caixas de diálogo e, em seguida, recicle o IIS do painel direito do Console de gerenciamento do IIS.

14. No PowerShell, digite iisreset para reiniciar o IIS.

15. Para os usuários do domínio CESSvc, ative a delegação. Para obter mais informações, consulte Ativando a delegação .

Configurando o CEP

O cmdlet Install-AdcsEnrollmentPolicyWebService configura o CEP. Ele também é usado para criar outras instâncias do serviço em uma instalação existente.

1. Faça login no servidor de CEP com o nome de usuário CEPAdmin e, em seguida, inicie o PowerShell no modo administrativo.

2. Execute o comando Import-Module ServerManager .

3. Execute o comando Add-WindowsFeature Adcs-Enroll-Web-Pol .

4. Execute o comando Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -SSLCertThumbprint “sslCertThumbPrint” .

   Nota:  Substitua < sslCertThumbPrint > pela impressão digital do certificado SSL criado para o servidor de CEP, após excluir os espaços entre os valores de impressão digital.

5. Para concluir a instalação, selecione Y ou A .

6. Inicie o Console de gerenciamento do IIS.

7. No painel Conexões, expanda o servidor da Web que está hospedando o CEP.

8. Expanda Sites e Default Web Site ; em seguida, clique no nome do aplicativo virtual da instalação adequado ADPolicyProvider_CEP_Certificate .

9. No aplicativo virtual chamado Home , faça clique duplo nas configurações do aplicativo e em FriendlyName .

10. Digite o nome em Valor e feche a caixa de diálogo.

11. Faça clique duplo em URI e, em seguida, copie o Valor .

    Notas:

    • Se desejar configurar outro método de autenticação no mesmo servidor de CEP, você deverá alterar o ID.
    • Essa URL é usada no MVE ou em qualquer aplicativo cliente.

12. No painel esquerdo, clique em Pools de aplicativos .

13. Selecione WSEnrollmentPolicyServer e, em seguida, no painel direito, clique em Ações > Definições avançadas .

14. Em Modelo de processo, selecione o campo Identidade.

15. Na caixa de diálogo Identidade do pool de aplicativos, selecione a conta personalizada e, em seguida, digite CEPSvc como nome de usuário do domínio.

16. Feche todas as caixas de diálogo e, em seguida, recicle o IIS do painel direito do Console de gerenciamento do IIS.

17. No PowerShell, digite iisreset para reiniciar o IIS.

Configuração do CES

O cmdlet Install-AdcsEnrollmentWebService configura o Serviço da Web de registro de certificado (CES). Ele também é usado para criar outras instâncias do serviço em uma instalação existente.

1. Faça login no servidor de CES com o nome de usuário CESAdmin e, em seguida, inicie o PowerShell no modo administrativo.

2. Execute o comando Import-Module ServerManager .

3. Execute o comando Add-WindowsFeature Adcs-Enroll-Web-Svc .

4. Execute o comando Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig “CA1.contoso.com\contoso-CA1-CA” -SSLCertThumbprint “sslCertThumbPrint” -AuthenticationType Certificate .

   Notas:

   • Substitua < sslCertThumbPrint > pela impressão digital do certificado SSL criado para o servidor de CES, após excluir os espaços entre os valores de impressão digital.
   • Substitua CA1.contoso.com pelo nome do computador da AC.
   • Substitua contoso-CA1-CA pelo nome comum da AC.
   • Se você já configurou um método de autenticação no host, remova ApplicationPoolIdentity do comando.

5. Para concluir a instalação, selecione Y ou A .

6. Inicie o Console de gerenciamento do IIS.

7. No painel Conexões, expanda o servidor da Web que está hospedando o CEP.

8. Expanda Sites e Default Web Site ; em seguida, clique no nome do aplicativo virtual adequado da instalação: contoso-CA1-CA _CES_Certificate .

9. No painel esquerdo, clique em Pools de aplicativos .

10. Selecione WSEnrollmentServer e, em seguida, no painel direito, clique em Ações > Definições avançadas .

11. Em Modelo de processo, selecione o campo Identidade.

12. Na caixa de diálogo Identidade do pool de aplicativos, selecione a conta personalizada e, em seguida, digite CESSvc como nome de usuário do domínio.

13. Feche todas as caixas de diálogo e, em seguida, recicle o IIS do painel direito do Console de gerenciamento do IIS.

14. No PowerShell, digite iisreset para reiniciar o IIS.

15. Para o usuário do domínio CESSvc, ative a delegação. Para obter mais informações, consulte Ativando a delegação .

Criação de um certificado do cliente

1. Em qualquer conta de usuário de domínio, abra certlm.msc .

2. Clique em Certificados > Pessoal > Certificados > Todas as tarefas > Solicitar novo certificado .

3. Clique em Avançar .

4. Clique em Registro do Active Directory > Acesso do cliente .

   Nota:  Se não quiser usar as opções do Registro do Active Directory :

   1. Clique em Configurado por você > Adicionar novo .

   2. Digite o URI do servidor da política de registro como endereço do servidor CEP para nome de usuário_senha ou Autenticação Kerberos.

   3. Selecione tipo de autenticação como Integrada ao Windows .

   4. Clique em Validar servidor .

   5. Após a validação bem-sucedida, clique em Adicionar .

   6. Clique em Avançar .

   7. Selecione qualquer modelo.

5. Clique em Detalhes > Propriedades .

6. Clique em Registrar .

7. Na guia Assunto, forneça um nome de domínio totalmente qualificado (FQDN).

8. Na guia Chave privada, selecione Tornar chave privada exportável .

9. Clique em Aplicar > Registro .

Depois de registrar o certificado do cliente, faça o seguinte para exportar o certificado do cliente no formato PFX:

1. Clique em Certificado > Todas as tarefas > Exportar .

2. Clique em Avançar > Sim, exportar a chave privada .

3. Clique em Avançar .

4. Digite a senha fornecida pelo cliente.

5. Clique em Avançar .

6. Especifique o nome do arquivo na caixa de diálogo Exportação de certificado.

7. Clique em Avançar > Concluir .

Configurando o CEP

O cmdlet Install-AdcsEnrollmentPolicyWebService configura o Serviço da Web de política de registro de certificado (CEP). Ele também é usado para criar outras instâncias do serviço em uma instalação existente.

1. Faça login no servidor de CEP com o nome de usuário CEPAdmin e, em seguida, inicie o PowerShell no modo administrativo.

2. Execute o comando Import-Module ServerManager .

3. Execute o comando Add-WindowsFeature Adcs-Enroll-Web-Pol .

4. Execute o comando Install-AdcsEnrollmentPolicyWebService -AuthenticationType UserName -SSLCertThumbprint “sslCertThumbPrint” .

   Nota:  Substitua < sslCertThumbPrint > pela impressão digital do certificado SSL criado para o servidor de CEP, após excluir os espaços entre os valores de impressão digital.

5. Para concluir a instalação, selecione Y ou A .

6. Inicie o Console de gerenciamento do IIS.

7. No painel Conexões, expanda o servidor da Web que está hospedando o CEP.

8. Expanda Sites e Default Web Site ; em seguida, clique no nome do aplicativo virtual adequado da instalação: ADPolicyProvider_CEP_UsernamePassword .

9. No aplicativo virtual chamado Home , faça clique duplo nas configurações do aplicativo e em FriendlyName .

10. Digite o nome em Valor e feche a caixa de diálogo.

11. Faça clique duplo em URI e, em seguida, copie o Valor .

    Notas:

    • Se desejar configurar outro método de autenticação no mesmo servidor de CEP, você deverá alterar o ID.
    • Essa URL é usada no MVE ou em qualquer aplicativo cliente.

12. No painel esquerdo, clique em Pools de aplicativos .

13. Selecione WSEnrollmentPolicyServer e, em seguida, no painel direito, clique em Ações > Definições avançadas .

14. Em Modelo de processo, selecione o campo Identidade.

15. Na caixa de diálogo Identidade do pool de aplicativos, selecione a conta personalizada e, em seguida, digite CEPSvc .

16. Feche todas as caixas de diálogo e, em seguida, recicle o IIS do painel direito do Console de gerenciamento do IIS.

17. No PowerShell, digite iisreset para reiniciar o IIS.

Configuração do CES

O cmdlet Install-AdcsEnrollmentWebService configura o Serviço da Web de registro de certificado (CES). Ele também é usado para criar outras instâncias do serviço em uma instalação existente.

1. Faça login no servidor de CES com o nome de usuário CESAdmin e, em seguida, inicie o PowerShell no modo administrativo.

2. Execute o comando Import-Module ServerManager .

3. Execute o comando Add-WindowsFeature Adcs-Enroll-Web-Svc .

4. Execute o comando Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig “CA1.contoso.com\contoso-CA1-CA” -SSLCertThumbprint “sslCertThumbPrint” -AuthenticationType UserName .

   Notas:

   • Substitua < sslCertThumbprint > pela impressão digital do certificado SSL criado para o servidor de CES, após excluir os espaços entre os valores de impressão digital.
   • Substitua CA1.contoso.com pelo nome do computador da AC.
   • Substitua contoso-CA1-CA pelo nome comum da AC.
   • Se você já configurou um método de autenticação no host, remova ApplicationPoolIdentity do comando.

5. Para concluir a instalação, selecione Y ou A .

6. Inicie o Console de gerenciamento do IIS.

7. No painel Conexões, expanda o servidor da Web que está hospedando o CES.

8. Expanda Sites e Default Web Site ; em seguida, clique no nome do aplicativo virtual adequado da instalação: contoso-CA1-CA_CES_UsernamePassword .

9. No painel esquerdo, clique em Pools de aplicativos .

10. Selecione WSEnrollmentServer e, em seguida, no painel direito, clique em Ações > Definições avançadas em Ações.

11. Em Modelo de processo, selecione o campo Identidade.

12. Na caixa de diálogo Identidade do pool de aplicativos, selecione a conta personalizada e, em seguida, digite CESSvc como nome de usuário do domínio.

13. Feche todas as caixas de diálogo e, em seguida, recicle o IIS do painel direito do Console de gerenciamento do IIS.

14. No PowerShell, digite iisreset para reiniciar o IIS.