Esta seção fornece instruções sobre o seguinte:
Configuração da CA (Certificate Authority, autoridade de certificações) do Microsoft Enterprise usando o NDES (Network Device Enrollment Service, serviço de registro de dispositivo de rede) da Microsoft
Criar um servidor CA raiz
O servidor CA raiz é o servidor CA principal em qualquer organização, e é o topo da infraestrutura PKI. A CA raiz autentica o servidor CA subordinado. Esse servidor geralmente é mantido em modo off-line para evitar qualquer invasão e proteger a chave privada.
Para configurar o servidor CA raiz, proceda da seguinte forma:
Certifique-se de que o servidor CA raiz esteja instalado. Para mais informações, consulte Instalação do servidor CA raiz .
Defina as configurações de Ponto de distribuição de certificação e de Acesso a informações de autoridade. Para mais informações, consulte Definição das configurações de Ponto de distribuição de certificação e de Acesso a informações de autoridade .
Configurar a acessibilidade de CRL. Para mais informações, consulte Configuração da acessibilidade da CRL .
No Gerenciador de servidores, clique em Gerenciar > Adicionar funções e recursos .
Clique em Funções do servidor , selecione Serviços de certificados do Active Directory e todos os seus recursos e clique em Avançar .
Na seção Serviços de função AD CS, selecione Autoridade de certificação e clique em Avançar > Instalar .
Após a instalação, clique em Configurar serviços de certificados do Active Directory no servidor de destino .
Na seção Serviços de função, selecione Autoridade de certificação > Avançar .
Na seção Tipo de configuração, selecione CA independente e clique em Avançar .
Na seção Tipo de CA, selecione CA raiz e clique em Avançar .
Clique em Criar nova chave privada e clique em Avançar .
No menu Selecione um provedor de serviços de criptografia, selecione Provedor de armazenamento de chave de software RSA#Microsoft .
No menu Comprimento da chave, selecione 4096 .
Na lista de algoritmos de hash, selecione SHA512 e clique em Avançar .
No campo Nome comum para esta CA, digite o nome do servidor host.
No campo Sufixo de nome diferenciado, digite o componente de domínio.
Nome de domínio totalmente qualificado (FQDN) da máquina:
Nome comum (CN):
Sufixo de nome diferenciado:
Clique em Avançar .
Especifique o período válido e clique em Avançar .
Não altere nada na janela de locais do banco de dados.
Conclua a instalação.
No cenário de implantação a seguir, todas as permissões são baseadas em permissões definidas nos modelos de certificado publicados no controlador de domínio. As solicitações de certificado enviadas à CA são baseadas em modelos de certificados.
Para essa configuração, verifique se você tem o seguinte:
Uma máquina que hospeda a AC subordinada
Uma máquina que hospeda o serviço NDES
Um controlador de domínio
Crie os seguintes usuários no controlador de domínio:
Administrador do serviço
Nomeado como SCEPAdmin
Deve ser membro dos grupos local admin e Enterprise Admin
Deve ser registrado localmente quando a instalação da função NDES for acionada
Tem Permissão de registro para os modelos de certificado
Tem Permissão para adicionar modelo na CA
Conta de serviço
Nomeado como SCEPSvc
Deve ser membro do grupo local IIS_IUSRS
Deve ser um usuário do domínio e ter permissões de leitura e registro nos modelos configurados
Tem permissão de solicitação na CA
O servidor CA subordinado é o servidor CA intermediário e está sempre on-line. Geralmente, ele lida com o gerenciamento de certificados.
Para configurar o servidor CA subordinado, proceda da seguinte forma:
Certifique-se de que o servidor CA subordinado está instalado. Para mais informações, consulte Instalação do servidor CA subordinado .
Defina as configurações de Ponto de distribuição de certificação e de Acesso a informações de autoridade. Para mais informações, consulte Definição das configurações de Ponto de distribuição de certificação e de Acesso a informações de autoridade .
Configurar a acessibilidade de CRL. Para mais informações, consulte Configuração da acessibilidade da CRL .
No servidor, faça login como um usuário do domínio CAAdmin .
No Gerenciador de servidores, clique em Gerenciar > Adicionar funções e recursos .
Clique em Funções do servidor , selecione Serviços de certificados do Active Directory e todos os seus recursos e clique em Avançar .
Na seção Serviços de função AD CS, selecione Autoridade de certificação e Registro de autoridade de certificações na Web e clique em Avançar .
Na seção Serviços de função do Servidor Web (IIS), mantenha as configurações padrão.
Após a instalação, clique em Configurar serviços de certificados do Active Directory no servidor de destino .
Na seção Serviços de função, selecione Autoridade de certificação e Registro de autoridade de certificações na Web e clique em Avançar .
Na seção Tipo de configuração, selecione Enterprise CA e clique em Avançar .
Na seção Tipo de CA, selecione CA subordinada e clique em Avançar .
Clique em Criar nova chave privada e clique em Avançar .
No menu Selecione um provedor de serviços de criptografia, selecione Provedor de armazenamento de chave de software RSA#Microsoft .
No menu Comprimento da chave, selecione 4096 .
Na lista de algoritmos de hash, selecione SHA512 e clique em Avançar .
No campo Nome comum para esta CA, digite o nome do servidor host.
No campo Sufixo de nome diferenciado, digite o componente de domínio.
Nome de domínio totalmente qualificado (FQDN) da máquina:
Nome comum (CN):
Sufixo de nome diferenciado:
Na caixa de diálogo Solicitação de certificado, salve o arquivo de solicitação e clique em Avançar .
Não altere nada na janela de locais do banco de dados.
Conclua a instalação.
Assine a solicitação da CA raiz e exporte o certificado assinado no formato PKCS7.
Na CA subordinada, abra Autoridade de certificação .
No painel esquerdo, clique com o botão direito na CA e clique em Todas as tarefas > Instalar certificado CA .
Selecione o certificado assinado e inicie o serviço da CA.
No Gerenciador de servidores, clique em Ferramentas > Autoridade de certificação .
No painel esquerdo, clique com o botão direito na CA e, em seguida, clique em Propriedades > Extensões .
No menu Selecionar extensão, selecione Ponto de distribuição da CRL (Certificate Revocation List, lista de revogação de certificados) .
Na lista de certificados revogados, selecione C:Windows/system32 e faça o seguinte:
Selecione Publicar CRLs neste local .
Desmarque Publicar CRLs Delta neste local .
Exclua todas as outras entradas, exceto C:\Windows\system32\ .
Clique em Adicionar .
No campo Local, adicione , onde é o endereço IP do servidor.
Clique em OK .
Selecione Incluir na extensão CDP de certificados emitidos para a entrada criada.
No menu Selecionar extensão, selecione Acesso a informações da autoridade (AIA) .
Exclua todas as outras entradas, exceto C:\Windows\system32\ .
Clique em Adicionar .
No campo Local, adicione , onde é o endereço IP do servidor.
Clique em OK .
Selecione Incluir na extensão AIA de certificados emitidos para a entrada criada.
Clique em Aplicar > OK .
No painel esquerdo, expanda a CA, clique com o botão direito em Certificados revogados e clique em Propriedades .
Especifique o valor para Intervalo de publicação da CRL e para Publicar intervalo de publicação de CRLs Delta e clique em Aplicar > OK .
No painel esquerdo, clique com o botão direito em Certificados revogados , clique em Todas as tarefas e publique a Nova CRL.
No Gerenciador do IIS, expanda a CA e expanda Sites .
Clique com o botão direito em Site da Web padrão e, em seguida, clique em Adicionar diretório virtual .
No campo Alias, digite .
No campo Caminho físico, digite .
Clique em OK .
Clique com o botão direito em CertEnroll e depois em Editar permissões .
Na guia Segurança, remova qualquer acesso de gravação, exceto para o sistema.
Clique em OK .
No servidor, faça login como um usuário do domínio SCEPAdmin .
No Gerenciador de servidores, clique em Gerenciar > Adicionar funções e recursos .
Clique em Funções do servidor , selecione Serviços de certificados do Active Directory e todos os seus recursos e clique em Avançar .
Na seção Serviços de função AD CS, desmarque Autoridade de certificação .
Selecione Serviço de registro de dispositivo de rede e todos os seus recursos e clique em Avançar .
Na seção Serviços de função do Servidor Web (IIS), mantenha as configurações padrão.
Após a instalação, clique em Configurar serviços de certificados do Active Directory no servidor de destino .
Na seção Serviços de função, selecione Serviço de registro de dispositivo de rede e clique em Avançar .
Selecione a conta de serviço SCEPSvc .
Na seção CA para NDES, selecione Nome da CA ou Nome do computador e clique em Avançar .
Na seção Informações da AR, especifique as informações e clique em Avançar .
Na seção Criptografia para NDES, faça o seguinte:
Selecione os provedores de assinatura e de chave de criptografia apropriados.
No menu Comprimento da chave, selecione o mesmo comprimento de chave que o servidor CA.
Clique em Avançar .
Conclua a instalação.
Agora você pode acessar o servidor NDES por um navegador da Web como um usuário SCEPSvc. No servidor NDES, você pode exibir a impressão digital do certificado CA, a senha de desafio de registro e o período de validade da senha de desafio.
Abra um navegador da Web e digite , onde é o endereço IP do servidor NDES.
Na CA subordinada (certserv), abra Autoridade de certificação .
No painel esquerdo, expanda a CA, clique com o botão direito em Modelos de certificados e clique em Gerenciar .
No Console de modelos de certificado, crie uma cópia do Servidor Web .
Na guia Geral, digite como o nome do modelo.
Na guia Segurança, conceda aos usuários SCEPAdmin e SCEPSvc as permissões apropriadas.
Na guia Nome da entidade, selecione Fornecer na solicitação .
Na CA subordinada (certserv), abra Autoridade de certificação .
Na guia Extensões, selecione Políticas de aplicativos > Editar .
Clique em Adicionar >Autenticação de cliente > OK .
No painel esquerdo, expanda a CA, clique com o botão direito em Modelos de certificados e clique em Novo > Modelo de certificado para emitir .
Selecione os certificados criados recentemente e clique em OK .
Agora você pode acessar os modelos usando o portal de registro na Web da CA.
Abra um navegador da Web e digite , onde é o endereço IP do servidor CA.
No menu Modelo de certificado, exiba os modelos.
No computador, inicie o editor do registro.
Navegue até HKEY_LOCAL_MACHINE >SOFTWARE >Microsoft > Cryptography > MSCEP .
Configure e defina o seguinte como MVEWebServer :
EncryptionTemplate
GeneralPurposeTemplate
SignatureTemplate
Conceda ao usuário SCEPSvc permissão total para o MSCEP.
No Gerenciador do IIS, expanda a CA e clique em Pools de aplicativos .
No painel direito, clique em Reciclar para reiniciar o pool de aplicativos SCEP.
No Gerenciador de IIS, expanda a CA e, em seguida, expanda Sites > Site padrão da Web .
No painel direito, clique em Reiniciar .
No computador, inicie o editor do registro.
Navegue até HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Cryptography > MSCEP .
Defina EnforcePassword como .
No Gerenciador do IIS, expanda a CA, clique em Pools de aplicativos e selecione SCEP .
No painel direito, clique em Configurações avançadas .
Defina Carregar perfil de usuário como Verdadeiro e clique em OK .
No painel direito, clique em Reciclar para reiniciar o pool de aplicativos SCEP.
No Gerenciador de IIS, expanda a CA e, em seguida, expanda Sites > Site padrão da Web .
No painel direito, clique em Reiniciar .
Ao abrir o NDES pelo navegador da Web, agora é possível visualizar apenas a impressão digital da CA.