Exportar (0) Imprimir
Expandir Tudo

O que há de novo no AD CS?

Publicado: maio de 2012

Atualizado: abril de 2013

Aplica-se a: Windows Server 2012

[This topic is pre-release documentation and is subject to change in future releases. Blank topics are included as placeholders.]

O AD CS (Serviços de Certificados do Active Directory) no Windows Server® 2012 fornece novos recursos e funcionalidades em relação às versões anteriores. Este documento descreve a nova implantação, gerenciamento e recursos adicionados ao AD CS no Windows Server 2012.

Os Serviços de Certificados do Active Directory (AD CS) fornecem serviços personalizáveis para emissão e gerenciamento de certificados PKI (infraestrutura de chaves públicas) usados em sistemas de segurança de software que empregam tecnologia de chave pública. A função de servidor do AD CS inclui seis serviços de função:

  • CA (Autoridade de certificação)

  • Inscrição na Web

  • Respondente Online

  • Serviço de Inscrição do Dispositivo de Rede

  • Serviço Web de Política de Registro de Certificado

  • Serviço Web de Registro de Certificado

Para obter uma visão geral do AD CS, consulte Serviços de Certificados do Active Directory (AD CS).

Diversas funcionalidades novas estão disponíveis na versão do Windows Server 2012 do AD CS. Elas incluem:

  • Integração com o Gerenciador do Servidor

  • Funcionalidades de implantação e gerenciamento do Windows PowerShell®

  • Todos os serviços da função do AD CS são executados em qualquer versão do Windows Server 2012

  • Todos os serviços de função do AD RMS podem ser executados no Server Core

  • Suporte para a renovação automática de certificados em computadores associados não pertencentes ao domínio

  • Execução da renovação de certificado com a mesma chave

  • Suporte a nomes de domínio internacionais

  • Melhor segurança habilitada por padrão no serviço de função da Autoridade de Certificação

  • Reconhecimento de sites do AD DS para AD CS e clientes PKI

O Gerenciador do Servidor fornece uma interface gráfica do usuário centralizada para a instalação e o gerenciamento da função de servidor do AD CS e os seis serviços de função dela.

Qual o valor que esta alteração adiciona?

A função de servidor do AD CS e seus serviços de função são integrados no Gerenciador do Servidor, o que permite instalar o serviço de função do AD CS no menu Gerenciar usando Adicionar Funções e Recursos. Assim que a função de servidor é adicionada, o AD CS é exibido no painel do Gerenciador do Servidor como uma das funções que podem ser gerenciadas. Isso fornece um local central do qual você pode implantar e gerenciar o AD CS e os serviços de função. Além disso, o novo Gerenciador do Servidor permite gerenciar vários servidores de um local e você pode ver os serviços de função do AD CS instalados em cada servidor, analisar os eventos relacionados e executar as tarefas de gerenciamento em cada servidor. Para obter mais informações sobre como o novo Gerenciador do Servidor funciona, consulte Gerenciar vários servidores remotos com o Gerenciador do Servidor.

O que passou a funcionar de maneira diferente?

Para adicionar a Função de Servidor do AD CS, você pode usar o link Adicionar Funções e Recursos no menu Gerenciar do Gerenciador do Servidor. O fluxo de instalação do AD CS é semelhante ao da versão anterior, exceto para a divisão do processo de instalação binário e do processo de configuração. Anteriormente, a instalação e a configuração estavam em um único assistente. Na nova experiência de instalação, você instala primeiro os arquivos binários e pode iniciar o Assistente de Configuração do AD CS para configurar os serviços de função que já tiveram seus arquivos binários instalados. Para remover a Função de Servidor do AD CS, você pode usar o link Remover Funções e Recursos no menu Gerenciar.

É possível configurar ou remover as configurações de todos os serviços de função do AD CS usando os cmdlets do Windows PowerShell® de Implantação do AD CS. Esses novos cmdlets de implantação estão descritos no tópico Visão geral de cmdlets de Implantação do AD CS. O cmdlet de Administração do AD CS permite que você gerencie o serviço de função da Autoridade de Certificação. Os novos cmdlets de administração estão descritos no tópico Visão geral de cmdlets de Administração do AD CS.

Qual o valor que esta alteração adiciona?

Você pode usar o Windows PowerShell para executar scripts de implantações de qualquer serviço de função do AD CS, assim como a capacidade de gerenciar o serviço de função da AC.

O que passou a funcionar de maneira diferente?

Você pode usar os cmdlets do Gerenciador do Servidor ou do Windows PowerShell para implantar os serviços de função do AD CS.

Todas as versões do Windows Server 2012 permitem instalar todos os serviços de função do AD CS.

Qual o valor que esta alteração adiciona?

Diferentemente das versões anteriores, você pode instalar funções do AD CS em qualquer versão do Windows Server 2012.

O que passou a funcionar de maneira diferente?

No Windows Server® 2008 R2 operating system, os diferentes serviços de função (anteriormente chamados de componentes) tinham requisitos de versão do sistema operacional diferentes, conforme descrito em Visão geral dos Serviços de Certificados do Active Directory. No Windows Server 2012, todos os seis serviços de funções funcionam como em qualquer versão do Windows Server 2012. A única diferença é que você encontrará o AD CS com todos os seis serviços de função disponíveis para instalação em qualquer versão do Windows Server 2012.

Todos os seis serviços de função do AD CS do Windows Server 2012 podem ser instalados e executados em instalações Server Core do Windows Server 2012 ou com as opções de instalação de Interface de Servidor Mínima.

Qual o valor que esta alteração adiciona?

Diferentemente das versões anteriores, agora você pode executar todos os serviços de função do AD CS nas opções de instalação Server Core ou Interface de Servidor Mínima no Windows Server 2012

O que passou a funcionar de maneira diferente?

Agora você pode implantar facilmente os serviços de função do AD CS usando o Gerenciador do Servidor ou cmdlets do Windows PowerShell trabalhando localmente no computador ou remotamente pela rede. Além disso, o Windows Server 2012 fornece várias opções de instalação que permitem até a instalação com uma interface gráfica do usuário e posterior alternância para uma instalação Server Core ou de Interface de Servidor Mínima. Para obter mais informações sobre as opções de instalação, consulte Opções de instalação do Windows Server

O recurso Serviços Web de Registro de Certificado foi adicionado no Windows® 7 e no Windows Server 2008 R2. Esse recurso permite as solicitações de certificados online de domínios não confiáveis do AD DS (Serviços de Domínio Active Directory) ou mesmo de computadores que não ingressaram em um domínio. O AD CS no Windows Server 2012 complementa os Serviços Web de Registro de Certificado adicionando a capacidade de renovar automaticamente certificados de computadores que fazem parte de domínios do AD DS não confiáveis ou que não ingressaram em um domínio.

Qual o valor que esta alteração adiciona?

Os administradores não precisam renovar manualmente os certificados de computadores que são membros de grupos de trabalho ou que possivelmente fazem parte de um domínio ou floresta diferente do AD DS.

O que passou a funcionar de maneira diferente?

Os Serviços Web de Registro de Certificado continuam funcionando da mesma forma que antes, mas agora os computadores fora de um domínio podem renovar os certificados usando seu certificado existente para autenticação.

Para obter informações adicionais, consulte o tópico sobre renovação baseada em chave. Há também dois Guias de Laboratório de Teste que demonstram o uso da renovação baseada em chave:

  1. Guia de Laboratório de Teste: demonstrando a renovação baseada em chave de certificado

  2. Minimódulo do Guia de Laboratório de Teste: registro de certificado entre florestas usando Serviços Web de Registro de Certificado

O AD CS no Windows Server 2012 introduz modelos de certificado da versão 4. Esses modelos têm várias diferenças das versões de modelo anteriores. Os modelos de certificado da versão 4:

  • oferecem suporte aos CSPs (provedores de serviços de criptografia) e aos KSPs (provedores de serviço de chave).

  • podem ser definidos para exigir renovação com a mesma chave.

  • estão disponíveis apenas para uso pelo Windows® 8 e pelo Windows Server 2012.

  • especificam os sistemas operacionais mínimos de autoridade de certificação de cliente de certificado que podem usar o modelo.

Para ajudar os administradores a separar os recursos que têm suporte em quais versões do sistema operacional, a guia Compatibilidade foi adicionada à guia de propriedades do modelo de certificado.

Qual o valor que esta alteração adiciona?

Os novos modelos de certificado da versão 4 fornecem funcionalidades adicionais, como a imposição da renovação com a mesma chave (disponível apenas para o clientes de certificados do Windows 8 e do Windows Server 2012). A nova guia Compatibilidade permite que os administradores definam combinações diferentes de versões do sistema operacional para a autoridade de certificação e os clientes de certificados e vejam apenas as configurações que funcionarão com essas versões de clientes.

O que passou a funcionar de maneira diferente?

A guia Compatibilidade é exibida na interface do usuário de propriedades Modelo de Certificado. Essa guia permite que você selecione as versões mínimas de sistema operacional de autoridade de certificação e de cliente de certificado. A configuração da guia Compatibilidade tem algumas funções:

  • Ela marca as opções como indisponíveis nas propriedades de modelo de certificado, dependendo das versões de sistemas operacionais selecionadas do cliente de certificado e da autoridade de certificação.

  • Para os modelos da versão 4, ela determina as versões do sistema operacional que podem usar o modelo.

Os clientes anteriores ao Windows 8 e ao Windows Server 2012 não poderão tirar proveito dos novos modelos da versão 4.

noteNote
Há uma declaração na guia Compatibilidade que informa que Essas configurações talvez não impeçam que sistemas operacionais anteriores utilizem esse modelo. Essa declaração significa que as configurações de compatibilidade não têm efeito restritivo nos modelos da versão 1, 2 ou 3 e as inscrições podem continuar como antes. Por exemplo, na guia Compatibilidade, se a versão mínima do sistema operacional cliente estiver definida como Windows® Vista em um modelo da versão 2, um cliente de certificado do Windows® XP ainda poderá se registrar para um certificado usando modelo da versão 2.

Para obter mais informações sobre essas alterações, consulte Versões e opções de modelo de certificado

O AD CS no Windows Server 2012 melhora a segurança exigindo a renovação de um certificado com a mesma chave. Isso permite que o mesmo nível de garantia da chave original seja mantido durante todo seu ciclo de vida. O Windows Server 2012 dá suporte à geração de chaves protegidas por TPM (Trusted Platform Module) usando KSPs (Provedores de Armazenamento de Chaves) baseados em TPM. O benefício em usar o KSP baseado em TPM é a não exportabilidade verdadeira das chaves com suporte pelo mecanismo anti-hammering de TPMs. Os administradores podem configurar modelos de certificado de forma que o Windows 8 e o Windows Server 2012 deem mais prioridade aos KSPs baseados em TPM para a geração de chaves. Além disso, usando a renovação com a mesma chave, os administradores podem garantir que a chave ainda permanece no TPM após a renovação.

noteNote
Inserir o PIN (número de identificação pessoal) incorretamente muitas vezes ativa a lógica anti-hammering do TPM. A lógica anti-hammering são métodos de software ou hardware que aumentam a dificuldade e o custo de um ataque de força bruta em um PIN ao não aceitar as entradas PIN até um determinado período de tempo ter decorrido.

Qual o valor que esta alteração adiciona?

Este recurso permite que um administrador imponha a renovação com a mesma chave, o que pode reduzir os custos administrativos (quando as chaves são renovadas automaticamente) e aumentar a segurança da chave (quando as chaves são armazenadas usando KSPs baseados em TPM).

O que passou a funcionar de maneira diferente?

Os clientes que recebem certificados de modelos que foram configurados para a renovação com a mesma chave devem renovar os certificados usando a mesma chave ou a renovação falhará. Além disso, essa opção está disponível somente para clientes de certificado do Windows 8 e do Windows Server 2012.

noteNote
  1. Para obter mais informações, consulte Renovação de certificado com a mesma chave.

  2. Caso Renew with the same key esteja habilitado em um modelo de certificado e, posteriormente, o arquivamento de chave (Archive subject's encryption private key) também seja habilitado, é possível que alguns certificados renovados não sejam arquivados. Para obter mais informações sobre essa situação e como resolvê-la, consulte Arquivamento e renovação de chave com a mesma chave.

Para obter mais informações, consulte Renovação de certificado com a mesma chave. Caso Renovar com a mesma chave esteja habilitado em um modelo de certificado e, posteriormente, o arquivamento de chave (Arquivar chave privada de criptografia de requerente) também seja habilitado, os certificados renovados não serão arquivados. Para obter mais informações sobre essa situação e como resolvê-la, consulte Arquivamento e renovação de chave com a mesma chave.

Os nomes internacionalizados são nomes que contêm caracteres que não podem ser representados em ASCII. O AD CS no Windows Server 2012 dá suporte a IDNs (Nomes de Domínio Internacionalizados) em diversos cenários.

Qual o valor que esta alteração adiciona?

Há suporte para os seguintes cenários de IDN:

  • Registro de certificado para computadores que usam IDNs

  • Geração e envio uma solicitação de certificado com um IDN usando a ferramenta de linha de comando certreq.exe

  • Publicação de CRLs (Listas de Certificados Revogados) e do protocolo OCSP em servidores usando IDNs

  • A interface do usuário Certificado dá suporte a IDNs

  • O snap-in do MMC de Certificados também permite IDNs em Propriedades do Certificado

O que passou a funcionar de maneira diferente?

Há suporte limitado aos IDNs, conforme descrito anteriormente.

Quando uma solicitação de certificado é recebida por uma AC (autoridade de certificação), a criptografia da solicitação pode ser imposta pela AC via RPC_C_AUTHN_LEVEL_PKT, conforme descrito no artigo do MSDN Constantes de nível de autenticação (http://msdn.microsoft.com/library/aa373553.aspx). No Windows Server 2008 R2 e em versões anteriores, essa configuração não é habilitada por padrão na AC. Em uma AC do Windows Server 2012, essa configuração de segurança avançada está habilitada por padrão.

Qual o valor que esta alteração adiciona?

A autoridade de certificação impõe a segurança aprimorada nas solicitações que são enviadas a ela. Esse maior nível de segurança exige que os pacotes que solicitam um certificado sejam criptografados, de modo que não possam ser interceptados e lidos. Sem essa configuração habilitada, qualquer um com acesso à rede pode ler os pacotes enviados para a autoridade de certificação e dela usando um analisador de rede. Isso significa que as informações que poderiam ser expostas podem ser consideradas uma violação de privacidade, como nomes dos usuários ou máquinas que solicitam, os tipos de certificados nos quais eles estão se registrando, as chaves públicas envolvidas, etc. Em uma floresta ou um domínio, o vazamento desses dados poderia não ser uma preocupação para a maioria das organizações. No entanto, se os invasores obterem acesso ao tráfego de rede, a estrutura interna e a atividade da empresa poderiam ser obtidas, o que poderia ser usado em mais ataques de engenharia social ou de phishing.

Os comandos para habilitar o nível de segurança avançado de RPC_C_AUTHN_LEVEL_PKT em autoridades de certificação do Windows Server® 2003, Windows Server® 2003 R2, Windows Server® 2008 ou do Windows Server 2008 R2 são os seguintes:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Reiniciar a autoridade de certificação
net stop certsvc
net start certsvc

Se você ainda tiver computadores cliente Windows XP que precisam solicitar certificados de uma autoridade de certificação com a configuração habilitada, você tem duas opções:

  1. Atualizar os clientes Windows XP para um sistema operacional mais recente.

  2. Reduzindo a segurança da autoridade de certificação executando os seguintes comandos:

    1. certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

    2. net stop certsvc

    3. net start certsvc

O que passou a funcionar de maneira diferente?

Os clientes do Windows XP não serão compatíveis com essa configuração de alta segurança habilitada por padrão em uma AC do Windows Server 2012. Se necessário, você pode diminuir a configuração de segurança, conforme descrito anteriormente.

Os serviços de certificados no Windows 8 e no Windows Server 2012 podem ser configurados para utilizar sites do AD DS (Serviços de Domínio Active Directory) a fim de ajudá-lo a otimizar as solicitações de clientes de serviços de certificados. Essa funcionalidade não é habilitada por padrão nos computadores clientes da CA (autoridade de certificação) ou da PKI (infraestrutura de chave pública).

noteNote
Para obter informações sobre como habilitar o reconhecimento de sites do AD DS, consulte o artigo sobre reconhecimento de sites do AD DS para AD CS e clientes PKI na Wiki da TechNet.

Qual o valor que esta alteração adiciona?

Esta alteração permite que os clientes de certificados do Windows 8 e do Windows Server 2012 localizem uma CA no site local do AD DS.

O que passou a funcionar de maneira diferente?

Ao se registrar para um certificado baseado em modelo, o cliente consulta o AD DS para os objetos de modelo e CA. Em seguida, o cliente usa uma chamada à função DsGetSiteName para obter seu próprio nome de site. Para CAs que já possuem o atributo msPKI-Site-Name definido, o cliente de serviços de certificados determina o custo do link do site do AD DS a partir do site do cliente para cada site da CA de destino. Uma chamada à função DsQuerySitesByCost é usada para determinar isso. O cliente dos serviços de certificados usa os custos de site retornados para priorizar as CAs que concedem a permissão de registro ao cliente e oferecem suporte ao modelo de certificado relevante. O contato com as CAs de custo mais alto é feito por último (somente se as CAs antigas estiverem indisponíveis).

noteNote
É possível que uma CA não retorne o custo do site caso o atributo msPKI-Site-Name não esteja definido na CA. Caso não haja custo de site disponível para uma CA, será atribuído a ela o custo mais alto possível.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

Mostrar:
© 2014 Microsoft