Table of contents
TOC
Recolher sumário
Expandir sumário

Instalar os certificados digitais no Windows 10 Mobile

J. Decker|Última Atualização: 16/02/2017
|
1 Colaborador

Aplica-se a:

  • Windows 10 Mobile

Os certificados digitais associam a identidade de um usuário ou computador a um par de chaves que pode ser usado para criptografar e assinar informações digitais. Os certificados são emitidos por uma autoridade de certificação (CA) que garante a identidade do proprietário do certificado, e eles permitem comunicações de cliente seguro com sites e serviços.

Os certificados no Windows 10 Mobile são usados principalmente para as seguintes finalidades:

  • Para criar um canal seguro usando SSL (Secure Sockets Layer) entre um telefone e um servidor ou serviço Web.
  • Para autenticar um usuário para um servidor proxy inverso que é usado para habilitar o Microsoft Exchange ActiveSync (EAS) para email.
  • Para a instalação e o licenciamento de aplicativos (a partir da Loja do Windows Phone ou um site personalizado de distribuição da empresa).
Aviso

No Windows 10, versão 1607, se você tiver vários certificados provisionados no dispositivo e o perfil de Wi-Fi provisionado não tiver um critério de filtragem rigoroso, você poderá ver falhas de conexão ao se conectar ao Wi-Fi. Saiba mais sobre esse problema conhecido na versão 1607

Instalar certificados usando o Microsoft Edge

Um certificado pode ser postado em um site e disponibilizado para os usuários por meio de uma URL acessível ao dispositivo que eles podem usar para baixar o certificado. Quando um usuário acessa a página e toca no certificado, ele é aberto no dispositivo. O usuário pode inspecionar o certificado e, se ele optar por continuar, o certificado será instalado no dispositivo Windows 10 Mobile.

Instalar certificados usando o email

O instalador do certificado do Windows 10 Mobile é compatível com arquivos .cer, .p7b, .pem e .pfx. Alguns programas de email bloqueiam arquivos .cer por motivos de segurança. Se esse for o caso na organização, use um método alternativo para implantar o certificado. Certificados que são enviados por email aparecem como anexos de mensagens. Quando um certificado é recebido, um usuário pode tocar para revisar o conteúdo e, em seguida, tocar para instalar o certificado. Normalmente, quando um certificado de identidade é instalado, o usuário é solicitado a fornecer a senha (ou frase secreta) que o protege.

Instalar certificados usando o MDM (gerenciamento de dispositivos móveis)

O Windows 10 Mobile dá suporte a certificado raiz, CA e cliente para ser configurado via MDM. Usando o MDM, um administrador pode diretamente adicionar, excluir ou consultar certificados raiz e de autoridade de certificação, e configurar o dispositivo para registrar um certificado de cliente em um servidor de registro de certificado que dá suporte ao protocolo SCEP. Os certificados de cliente registrados no SCEP são usados por Wi-Fi, VPN, email e navegador para autenticação de cliente baseada em certificado. Um servidor MDM também pode consultar e excluir o certificado de cliente registrado no SCEP (incluindo certificados instalados pelo usuário) ou disparar uma nova solicitação de registro antes de o certificado atual expirar.

Aviso

Não use SCEP para certificados de criptografia para S/MIME. Você deve usar um perfil de certificado PFX para dar suporte a S/MIME no Windows 10 Mobile. Para obter instruções sobre como criar um perfil de certificado PFX no Microsoft Intune, veja Habilitar o acesso aos recursos da empresa usando perfis de certificados com o Microsoft Intune.

Processo de instalação de certificados usando MDM

  1. O servidor MDM gera a solicitação inicial de registro de certificado incluindo senha de desafio, URL do servidor SCEP e outros parâmetros relacionados ao registro.
  2. A política é convertida para a solicitação de OMA DM e enviada ao dispositivo.
  3. O certificado de autoridade de certificação confiável é instalado diretamente durante a solicitação MDM.
  4. O dispositivo aceita a solicitação de registro de certificado.
  5. O dispositivo gera um par de chaves privada/pública.
  6. O dispositivo se conecta ao ponto voltado para a Internet exposto pelo servidor MDM.
  7. O servidor MDM cria um certificado que é assinado com o certificado de autoridade de certificação adequado e o devolve para o dispositivo.

    Observação

    O dispositivo dá suporte à função pendente para permitir que o lado do servidor faça uma verificação adicional antes de emitir o certificado. Neste caso, um status pendente é enviado de volta para o dispositivo. O dispositivo contatará o servidor periodicamente, com base na contagem pré-configurada de tentativas e nos parâmetros do período de tentativas. A repetição termina quando:

    • Um certificado é recebido com êxito do servidor
    • O servidor retorna um erro
    • O número de tentativas atinge o limite pré-configurado
  8. O certificado é instalado no dispositivo. Navegador, Wi-Fi, VPN, email e outros aplicativos primários têm acesso a esse certificado.

    Observação

    Se o MDM solicitou que a chave privada fosse armazenada no TPM (Módulo de Processo Confiável) (configurado durante a solicitação de registro), a chave privada será salva no TPM. Observe que o certificado registrado no SCEP protegido por TPM não está protegido por um PIN. No entanto, se o certificado for importado para o KSP (Provedor de Armazenamento de Chaves) do Windows Hello para Empresas, ele será protegido pelo PIN do Hello.

Tópicos relacionados

Configurar S/MIME

© 2017 Microsoft