Solicitando um certificado de uma autoridade de certificação local

  • Artigo

Publicado: novembro de 2009

Aplica-se a: Forefront Threat Management Gateway (TMG)

Quando os certificados do servidor são de uso interno, é possível criar uma autoridade de certificação (CA) local e evitar a compra de um certificado comercial.

Para configurar uma autoridade de certificação local

  1. Abra o Painel de Controle.

  2. Clique duas vezes em Adicionar ou Remover Programas.

  3. Clique em Adicionar/Remover Componentes do Windows.

  4. Clique duas vezes em Servidor de Aplicativos.

  5. Clique duas vezes em Serviços de Informações da Internet (IIS).

  6. Clique duas vezes em Serviço World Wide Web.

  7. Selecione Active Server Pages.

  8. Clique em OK para fechar a caixa de diálogo Serviço World Wide Web, clique em OK para fechar a caixa de diálogo Serviços de Informações da Internet (IIS) e, em seguida, clique em OK para fechar a caixa de diálogo Servidor de Aplicativos.

  9. Selecione Serviços de Certificados. Revise o aviso relacionado ao nome do computador e à associação de domínio. Clique em Sim na caixa de diálogo se desejar continuar e, em seguida, clique em Avançar na página Componentes do Windows.

  10. Na página Tipo de CA, escolha uma das opções a seguir e, em seguida, clique em Avançar:

    • CA raiz Corporativa. Uma CA raiz Corporativa deve ser instalada em um membro do domínio. A CA raiz Corporativa irá emitir certificados automaticamente quando solicitada por usuário autorizados (reconhecidos pelo controlador de domínio).

    • CA raiz Autônoma. Uma CA raiz Autônoma exige que o administrados emita cada certificado solicitado.

  11. Na página Informações de Identificação da CA, forneça um nome comum para a CA, verifique o sufixo do nome distinto, selecione um período de validade e, em seguida, clique em Avançar.

  12. Na página Configurações de Banco de Dados de Certificado, analise as configurações padrão. Você pode analisar os locais da base de dados. Clique em Avançar.

  13. Na página Concluindo o Assistente de Componentes do Windows, analise o resumo e clique em Concluir.

Dica

Este procedimento também instala os serviços que irão permitir que os computadores obtenham os certificados por meio de uma página da Web. Se você preferir uma abordagem diferente para obter certificados para os computadores, não precisa realizar as instalações dos Serviços de Informações da Internet (IIS) e o Active Server Pages descritas neste procedimento.

Para permitir acesso ao site da CA, você deve publicá-lo. Para limitar o acesso ao site, você pode publicar apenas as pastas específicas necessárias pelo site para um grupo específico de usuários, em vez de publicar um servidor completo para todos os usuários. Para obter mais informações sobre publicação na Web, consulte Planejando a publicação.

Para instalar um certificado de servidor

  1. Abra o Internet Explorer.

  2. No menu, selecione Ferramentas e Opções da Internet.

  3. Selecione a guia Segurança e, em Selecionar uma zona a ser exibida ou alterar configurações de segurança, clique em Sites Confiáveis.

  4. Clique no botão Sites para abrir a caixa de diálogo Sites confiáveis.

  5. Em Adicionar este site à zona, forneça o nome do site do servidor de certificados (http://endereço IP do servidor da autoridade de certificação/certsrvname) e clique em Adicionar.

  6. Clique em Fechar para fechar a caixa de diálogo Sites confiáveis e clique em OK para fechar Opções da Internet.

  7. Vá até:

    http://endereço IP do servidor da autoridade de certificação/certsrv

  8. Solicitar um certificado.

  9. Selecione Solicitação Avançada de Certificado.

  10. Selecione Criar e enviar uma solicitação para a autoridade de certificação.

  11. Preencha o formulário e selecione Certificado de Autenticação de Servidor na lista suspensa Tipo. Para evitar que o cliente receba uma mensagem de erro ao tentar se conectar, é essencial que o nome comum que você forneceu para o certificado seja o mesmo nome do servidor publicado, da seguinte forma:

    • Para a publicação de servidor, em nome comum, digite o nome de domínio totalmente qualificado (FQDN) para o servidor que estiver publicando.

      Dica

      Para obter uma explicação das opções disponíveis na página Solicitação Avançada de Certificado, consulte a página Usando as páginas da Web com serviços de certificado do Windows Server 2003 (https://www.microsoft.com).

    • Na publicação na Web, para um certificado no computador do Forefront TMG, digite o nome de host que os clientes externos digitarão em seus navegadores da Web para acessar o site; por exemplo, news.adatum.com.

    • Na publicação na Web, se você também estiver instalando um certificado no servidor Web além do certificado necessário no computador do Forefront TMG, o nome comum deverá ser o nome de host que o computador do Forefront TMG utiliza para enviar mensagens de solicitação HTTP ao servidor Web por meio da regra de publicação na Web. Este nome deve ser resolvido para o endereço IP do servidor Web e pode ser o mesmo que o FQDN, como, por exemplo, webserver1.adatum.com.

  12. Selecione Armazenar certificado no armazenamento de certificados do computador local e envie a solicitação clicando em Enviar. Analise a caixa de diálogo de aviso que aparece e clique em Sim.

  13. Se você instalou uma CA raiz autônoma, siga as seguintes etapas no computador de autoridade de certificação. Estas etapas são automatizadas em uma CA raiz corporativa.

    1. Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativase, em seguida, clique em Autoridade de Certificação para abrir o snap-in da Autoridade de Certificação Console de Gerenciamento da Microsoft (MMC).

    2. Expanda o nó CA_Name, onde CA_Name é o nome de sua autoridade de certificação.

    3. Clique no nó Solicitações Pendentes, clique com o botão direito do mouse em sua solicitação, selecione Todas as Tarefas e, em seguida, selecione Emitir.

  14. No computador do Forefront TMG, retorne à página da Web http://endereço IP do servidor da autoridade de certificação/certsrv e clique em Exibir o status de uma solicitação pendente.

  15. Clique na sua solicitação e escolha Instalar este certificado.

  16. Verifique se o certificado do servidor foi instalado corretamente realizando as seguintes etapas.

    1. Clique em Iniciar, clique em Executar, digite mmc na caixa de texto Abrir e, em seguida, clique em OK.

    2. Na janela Console1, clique no menu Arquivo e, em seguida, clique em Adicionar/Remover Snap-in.

    3. Na caixa de diálogo Adicionar ou Remover Snap-in, selecione Certificados e clique em Adicionar.

    4. Na página Snap-in de certificados, selecione Conta do computador e clique em Avançar.

    5. Na página Selecionar computador, selecione Computador local e clique em Concluir.

    6. Na caixa de diálogo Adicionar ou Remover Snap-in, clique em OK.

    7. Na árvore do console, expanda o nó Certificados (Computador Local), expanda Pessoal, clique em Certificados e, em seguida, clique duas vezes no novo certificado de servidor. Na guia Geral, deve haver uma observação dizendo Há uma chave particular que corresponde a este certificado. Na guia Caminho de certificação, você deverá ver um relacionamento hierárquico entre o certificado e a CA (autoridade de certificação) e uma observação que diz Este certificado é válido.

    8. Feche a janela Console1.

Dica

Este procedimento é realizado no computador que exige certificado digital. No caso da publicação na Web, este será o computador do Forefront TMG, no mínimo, e poderá também incluir o computador do servidor Web. No caso de publicação de servidor, este será o único computador de servidor que você irá publicar. Se você instalou uma CA raiz autônoma em vez de uma CA raiz corporativa, existem também ações que ocorrerão na autoridade de certificação.

Em um computador do Forefront TMG, o certificado de servidor obtido por uma CA deve ser armazenado no repositório Pessoal de certificados do computador do Forefront TMG. O certificado raiz da CA deve ser armazenado no repositório Autoridades de Certificação Raiz Confiáveis do computador do Forefront TMG.

Para que um computador cliente confie nos certificados de servidor instalados de uma CA local, é necessário que você tenha instalado o certificado raiz da CA. Siga esse procedimento em qualquer computador cliente que requeira o certificado raiz. Observe que você também pode transferir o certificado raiz para uma mídia como um disco, por exemplo, e então instalá-lo no computador cliente.

Para instalar um certificado raiz

  1. Abra o Internet Explorer.

  2. No menu, selecione Ferramentas e Opções da Internet.

  3. Selecione a guia Segurança e clique em Nível Personalizado para abrir a caixa de diálogo Configurações de Segurança. Defina o valor Médio no menu suspenso Redefinir Configurações Personalizadas, clique em OK para fechar a caixa de diálogo Configurações de Segurança e clique em OK para fechar a caixa de diálogo Opções da Internet.

    Dica

    A instalação do certificado não é possível quando a configuração de segurança está definida como Alta.

  4. Vá até:

    http://endereço IP do servidor da autoridade de certificação/certsrv

  5. Clique em Download de um certificado de CA, Cadeia de Certificado ou CRL. Na página seguinte, clique em Download de Certificado de CA. Este é o certificado de CA raiz que deve ser instalado no computador do Forefront TMG. Na caixa de diálogo Download de Arquivo, clique em Abrir.

  6. Na caixa de diálogo Certificado, clique em Instalar Certificado para iniciar o Assistente para Importação de Certificados.

  7. Na página Bem-vindo ao Assistente para Importação de Certificados, clique em Avançar. Na página Armazenamento de Certificados, selecione Posicionar todos os certificados no seguinte armazenamento e clique em Procurar. Na caixa de diálogo Selecionar Armazenamento de Certificados, selecione Exibir Armazenamento Físico. Expanda Autoridades de Certificação Raiz Confiáveis, selecione Computador Local e clique em OK. Na página Armazenamento de Certificados, clique em Avançar.

  8. Na página Concluindo o Assistente para Importação de Certificados, analise os detalhes e clique em Concluir.

  9. Verifique se o certificado raiz foi instalado corretamente realizando as seguintes etapas.

    1. Abra o snap-in dos Certificados do Console de Gerenciamento Microsoft (MMC) do computador local.

    2. Expanda o nó Autoridades de Certificação Raiz Confiáveis, clique em Certificados e verifique se o certificado raiz está no lugar.

    Dica

    Você também pode instalar certificados em um computador a partir do snap-in Certificados do MMC (Computador Local). Entretanto, isso fornece acesso somente a autoridades de certificação no mesmo domínio.