Segurança
Uma nova ferramenta avançada para o gerenciamento de certificados
Kevin Dallmann
Visão geral:
- Arquitetura ILM-CM
- Administração e modelos
- Criando um fluxo de trabalho
É um dia calmo no trabalho quando, subitamente, você é chamado pela equipe de help desk e de suporte — há um certificado expirado em um dos seus sistemas de produção. Agora, o sistema está inativo e a sua empresa perderá produtividade (e dinheiro) até você renovar o certificado.
Se você for responsável pelo gerenciamento de um ambiente de PKI (Infra-estrutura de Chave Pública), tenho certeza de que já foi surpreendido pela expiração inesperada de um certificado. Aquele dia calmo — bem, agora é só um sonho.
Quando a Microsoft adicionou serviços de PKI ao Windows® 2000 e ao Windows Server® 2003, as empresas passaram a ter uma forma boa e barata de implementar seu próprio ambiente interno de PKI. Infelizmente, os serviços de PKI da Microsoft® não tinham a capacidade de gerenciar o ciclo de vida dos certificados gerados. No entanto, a Microsoft adquiriu recentemente um produto de gerenciamento de certificados e lançou o ILM (Identity Lifecycle Manager), que combina o gerenciamento de certificados ao provisionamento de identidade e aos recursos de controle do MIIS (Microsoft® Identity Integration Server). Este artigo discutirá o que o ILM pode fazer para auxiliar o gerenciamento de certificados e de cartões inteligentes em sua empresa.
Arquitetura ILM-CM
O núcleo da arquitetura ILM-CM é composto pelo servidor ILM-CM e por seus componentes relacionados (consulte a Figura 1). O servidor ILM-CM pode ser instalado em um único servidor configurado para fazer a interface com uma ou com diversas CAs (Autoridades de Certificação). O ILM-CM requer o SQL Server™ para armazenar as informações, as diretivas e outros dados relacionados ao certificado e assim gerenciar o seu ambiente. Para gerenciar permissões de usuário e de segurança, o servidor ILM-CM também precisa do Active Directory®. Consulte a Figura 2 para ver quais são os componentes e as versões necessárias.
Figure 2 Oferecendo suporte à infra-estrutura do ILM-CM
| Componentes | Versões |
| Active Directory | Windows Server 2003 |
| Servidor de banco de dados | SQL Server 2000 SP3 ou superior ou SQL Server 2005 |
| Autoridade de Certificação | Windows Server 2003 Enterprise Edition ou Data Center Edition |
| SMTP | Servidor de SMTP |
Figura 1** Arquitetura ILM-CM **
Após a instalação completa do ambiente ILM-CM, todas as solicitações de certificado se comunicarão com o servidor ILM-CM. Ele é responsável pelo armazenamento de todas as informações relacionadas ao certificado no banco de dados do SQL Server, que poderão ser usadas para criação de relatórios, de alertas e pela manutenção de um ambiente de fluxo de trabalho.
Essencialmente, a arquitetura do software ILM-CM consiste em três partes de alto nível: o servidor ILM-CM, plug-ins de CA e os componentes do lado cliente. O software do servidor pode ser instalado e executado em uma CA ou em um servidor utilizado principalmente para o ILM-CM. O servidor ILM-CM se comunicará com as CAs, com o banco de dados do SQL Server e com o Active Directory. Ele também oferece um portal utilizado pelos gerentes de certificados na configuração de diretivas e de fluxos de trabalho de certificado, assim como pelos assinantes do certificado para a solicitação de certificados de software e de sua renovação.
Para que a CA possa se comunicar com o servidor ILM-CM, a diretiva ILM-CM e os módulos de saída devem ser instalados e configurados em todas as CAs que você desejar gerenciar. Esses dois módulos são usados para o registro das informações do certificado no banco de dados. Quando um certificado é emitido pela CA, o módulo de saída é responsável por enviar essas informações ao servidor ILM-CM, que, por sua vez, registra as informações do certificado no banco de dados.
Se você planeja gerenciar cartões inteligentes em seu ambiente, será preciso instalar o software cliente de cartões inteligentes do ILM-CM. Esse software deve ser instalado em todos os computadores clientes que terão de interagir com o servidor ILM-CM.
Instalação do ILM-CM
A instalação do servidor ILM-CM é, na verdade, bastante simples — um assistente orienta você por todo o processo. Mas antes de executar esse assistente, é preciso cuidar de algumas funções de pré-instalação.
Os primeiros recursos exigidos pelo ILM-CM são o Active Directory e uma extensão de esquema ILM-CM. A extensão de esquema acrescenta alguns atributos de segurança adicionais do Microsoft .NET Framework de que o ILM-CM necessita para implementar os modelos de perfil.
Você também precisa instalar o .NET Framework 2.0 e os componentes mencionados anteriormente — o SQL Server e as CAs, além de um servidor de SMTP. Caso você esteja pensando em instalar o ILM-CM em um servidor separado da CA, então deverá instalar os módulos do ILM-CM nas CAs executando seu assistente de configuração nelas. Quando a instalação estiver concluída, você poderá se conectar ao portal do ILM-CM ao apontar o seu navegador para http://hostname/CLM.
Para habilitar a notificação de expiração/renovação de certificados, é preciso configurar o serviço ILM-CM no servidor ILM-CM. Comece pela criação de uma conta apropriada no Active Directory. Nos serviços ILM-CM, adicione essa conta como a conta de logon. Em seguida, adicione esse usuário aos administradores locais e ao grupo IIS_WPG no servidor ILM-CM, assim como a "Funcionar como parte do sistema operacional, Gerar auditorias de segurança e Substituir um token no nível de processo ", usando as diretivas de grupo. Após a configuração do serviço ILM-CM, o servidor ILM-CM poderá verificar a existência de certificados expirados no banco de dados do SQL Server e fornecer uma notificação por email aos proprietários ou gerentes do certificado.
Administração do ILM-CM
O ILM-CM é gerenciado por meio de uma interface Web, dividida em áreas funcionais relacionadas ao usuário, ao certificado e às tarefas de gerenciamento de cartões inteligentes. Quando você estiver conectado ao portal ILM-CM com os privilégios administrativos apropriados, serão exibidas algumas tarefas administrativas que permitirão o gerenciamento do ambiente ILM-CM (consulte a Figura 3). A seção Common Tasks (Tarefas Comuns) oferece opções de administração, incluindo o registro de usuários para um novo conjunto de certificados ou para um cartão inteligente. Também é possível gerenciar e aprovar solicitações.
Figura 3** Tarefas de gerenciamento do ILM-CM existentes no portal **(Clique na imagem para aumentar a exibição)
Para localizar usuários ou certificados, utilize a área de tarefas Manage Users and Certificates (gerenciar usuários e certificados). Essas tarefas permitem que você encontre, recupere, revogue ou renove certificados. Você também poderá encontrar uma lista de revogação.
Se a sua empresa utiliza cartões inteligentes, Manage User Smart Cards (gerenciar cartões inteligentes do usuário) será bastante útil. Se, por exemplo, usuário tiver bloqueado seu cartão, o gerenciador de certificados o desbloqueará aqui. Também é possível procurar e exibir cartões inteligentes no leitor de cartões local.
A área Requests (Solicitações) da interface permite que os gerentes de certificados revisem e aprovem solicitações de certificados feitas por usuários. Por exemplo, você pode ver todos os certificados contidos em uma solicitação com o estado pendente. A área Administration (Administração) permite a criação e o gerenciamento de modelos de perfil. Por fim, a área Reports (Relatórios) é, como você poderia esperar, usada para o desenvolvimento e para a criação de relatórios sobre usuários e certificados.
Se a sua conta não tiver privilégios administrativos quando estiver tentando se autenticar no portal ILM-CM, você verá uma página de assinante oferecendo funções de gerenciamento de auto-atendimento para usuários de certificados (consulte a Figura 4). Nesse portal, os usuários podem exibir e gerenciar seus certificados e cartões inteligentes com base em sua configuração particular de diretivas. Exemplos de tarefas comuns incluem a solicitação de certificados ou de um cartão inteligente, a revisão de certificados existentes e a alteração dos PINs dos cartões inteligentes.
Figura 4** Subscriber (Assinante) página do portal para auto-administração do usuário **(Clique na imagem para aumentar a exibição)
O fornecimento de um processo de fluxo de trabalho delegado de alta qualidade para a emissão, renovação, substituição, revogação e substituição de certificados ou de cartões inteligentes pode ser um desafio em qualquer organização. Com o ILM-CM, agora você pode delegar essas tarefas para oferecer uma garantia maior de segurança. Digamos que você tenha um usuário que esqueceu o PIN do cartão inteligente. Usando o modelo de fluxo de trabalho delegado, ele poderia ligar para o help desk e a equipe de suporte faria algumas perguntas de verificação. Caso as perguntas fossem respondidas corretamente, a equipe de suporte poderia desbloquear o cartão inteligente para o usuário. Outro exemplo de fluxo de trabalho delegado seria a recuperação de um certificado de EFS (Sistema de Arquivos Criptografados) em caso de exclusão acidental ou de perda de um laptop.
Modelos de perfil
Um modelo de perfil é o componente fundamental que habilita um processo de gerenciamento de fluxo de trabalho completo para o ILM-CM. Um modelo de perfil é considerado um objeto administrativo único que contém um ou mais modelos de certificado. Os modelos de perfil são criados e configurados para gerenciarem a forma como o processo de fluxo de trabalho deve operar em seu ambiente de certificação. O aspecto fundamental de um modelo de perfil é que ele pode conter vários modelos de certificado que podem ser gerenciados como um único item, o que significa que os usuários podem ser gerenciados por um modelo que pode rastrear o processo de certificação em todo o seu ciclo de vida.
Os modelos de perfil podem ser configurados para armazenar certificados em um computador (baseados em software) ou em um cartão inteligente (baseados em hardware). Você pode criar esses modelos duplicando um exemplo retirado do portal de administração do ILM-CM. No modelo de perfil, é possível definir diversos componentes de diretiva de gerenciamento diferentes (consulte a Figura 5).
Figura 5** Um modelo de perfil **(Clique na imagem para aumentar a exibição)
Muitos dos componentes da diretiva são aplicáveis tanto aos perfis de software como aos de cartão inteligente (consulte a Figura 6). Vale a pena fazer alguns comentários adicionais sobre alguns desses componentes. Durante o processo de registro do certificado, você pode usar o componente de diretiva de registro para definir certos critérios sobre a forma como gostaria que esse processo fluísse. Por exemplo, você poderia configurar uma coleção de dados, o que significa que o usuário precisaria inserir informações como códigos departamentais, endereços de e-mail e quem é o gerente. Também seria possível criar definições para a exibição automática de um documento oficial assim que o usuário concluísse a registro de um certificado.
Figure 6 Diretivas de perfil de software
| Componente | Descrição |
| Detalhes do perfil | Fornece os detalhes gerais sobre o modelo de perfil. Aqui você pode adicionar um ou mais modelos de certificado ao modelo de perfil. |
| Diretiva de duplicatas | Define as entidades de fluxo de trabalho de um certificado existente. |
| Diretiva de registro | Define o fluxo de trabalho do processo de registro. |
| Diretiva de atualização on-line | Similar à diretiva de renovação, exceto que pode atualizar os certificados que estejam expirando, o conteúdo do certificado, os modelos e os miniaplicativos de cartões inteligentes. |
| Diretiva Recover on behalf | Recupera a chave privada ou os certificados de um usuário. |
| Diretiva de renovação | Define o fluxo de trabalho de renovação quando um certificado expira. |
| Diretiva de restabelecimento | Define o processo de restabelecimento de um certificado. |
| Diretiva de recuperação | Define o fluxo de trabalho para a recuperação de um certificado de usuário armazenado em um computador que foi apagado, reinstalado ou furtado. |
| Diretiva de revogação | Define o fluxo de trabalho para a revogação de todos os certificados de um perfil. |
A diretiva de atualização on-line pode ser muito útil para a sua organização. Ela é similar à diretiva de renovação, exceto que pode atualizar o conteúdo do certificado, os modelos do certificado, miniaplicativos em cartões inteligentes, além de atualizar o próprio certificado quando ele estiver para expirar. Para aproveitar ao máximo essa diretiva, você deve habilitar o serviço ILM-CM e o arquivo web.config para permitir o acesso a um atributo que aceite diversos valores no Active Directory. Também será necessário instalar o serviço de atualização on-line no computador cliente.
A diretiva Recover on behalf (Recuperar em nome de) pode ser conveniente caso a sua empresa utilize a criptografia EFS. Suponha que alguém apague, acidentalmente, o certificado de criptografia que possui. Você poderia usar esse componente de diretiva para configurar um fluxo de trabalho em que a equipe de segurança do help desk solicite a chave privada do usuário. Em seguida, o usuário poderia recuperar sua chave privada ao receber um email com uma senha secreta gerada pelo servidor ILM-CM. Finalmente, ele iria para um link secreto no servidor ILM-CM para recuperar o certificado com suas chaves privadas associadas. A diretiva Recover on behalf também é particularmente útil quando um funcionário deixa a empresa, mas é necessário recuperar seus dados para fins de arquivo, regulamento, entre outros.
Para oferecer um processo de renovação mais seguro, a diretiva de renovação permite que você configure e envie por email uma senha secreta gerada uma única vez e que será usada pelos usuários na renovação de seus certificados. Se você revogar um certificado e então quiser restabelecê-lo e removê-lo da CRL (Lista de Certificados Revogados), a diretiva de restabelecimento poderá definir esse processo de fluxo de trabalho.
A diretiva de recuperação e a diretiva de revogação são dois componentes de diretiva exclusivos que só pode ser associados às diretivas de certificado de software, e não às de cartões inteligentes. Se um certificado de usuário armazenado em um computador for apagado ou se o próprio computador for reinstalado ou roubado, a política de recuperação poderá definir o processo de restauração do certificado ou das chaves se estiver arquivado na CA. A política de revogação permite que o administrador defina um motivo de revogação estático ou permita que a pessoa que esteja fazendo a solicitação de revogação indique o motivo no momento da revogação.
Existem cinco diretivas de gerenciamento adicionais que são específicas de modelos de perfil de cartão inteligente, como mostra a Figura 7.
Figure 7 Diretivas de perfil de cartão inteligente
| Componente | Descrição |
| Diretiva de substituição | Define o perfil caso o cartão inteligente de um usuário tenha sido perdido ou furtado. |
| Diretiva de desabilitação | Define o processo de desabilitação de certificados de um cartão inteligente antes da sua expiração. |
| Diretiva de aposentadoria | Define o processo para a revogação de todos os certificados de um cartão inteligente. |
| Diretiva de desbloqueio | Define quem pode desbloquear o PIN do usuário de um cartão inteligente. |
| Diretiva de cartões temporários | Define um cartão inteligente para uma substituição temporária. O usuário recebe novos certificados assinantes mas é capaz de descriptografar seus dados ao obter os certificados de criptografia do perfil existente. |
É possível definir diversas operações diferentes para a política de aposentadoria, como a exclusão dos dados de usuário do cartão inteligente, o bloqueio dos PINs administrativo e do usuário e a redefinição do PIN administrativo. A política de desbloqueio é normalmente usada quando um usuário esquece seu PIN ou quando um novo cartão é enviado com um PIN atribuído pelo ILM-CM. O usuário precisa, então, solicitar o desbloqueio do cartão inteligente.
Assim como acontece com qualquer produto administrativo, a geração de relatórios é um recurso bastante útil. A capacidade de capturar um instantâneo do ambiente do seu certificado ou do seu cartão inteligente é muito importante para qualquer organização. O ILM-CM vem com vários relatórios internos que incluem inventários de cartão inteligente, resumos de solicitações, uso e expiração de certificados e muitos outros. Assim como qualquer outro sistema de relatórios, se você precisar de relatórios adicionais poderá escrever uma consulta personalizada, desde que todos os dados estejam armazenados em um banco de dados do SQL Server.
Desenvolvendo um fluxo de trabalho
Agora vamos examinar como o ILM-CM pode auxiliar a definição de um processo de fluxo de trabalho produtivo. Digamos que você tenha vários administradores de sistema responsáveis pelo gerenciamento e pela manutenção de certificados SSL para seus sistemas. A primeira pergunta a ser feita é: quais são os aspectos fundamentais do processo?
Dependendo do tipo do sistema, o processo poderá exigir métodos diferentes para a criação do arquivo de solicitação do certificado. Assim, a primeira tarefa será desenvolver uma página de intranet que possua instruções detalhadas sobre como criar a solicitação do certificado para todos os sistemas.
Depois que o administrador criar o arquivo de solicitação, poderá enviá-lo ao portal de usuário do ILM-CM para a aprovação do certificado. Usando o processo de fluxo de trabalho do ILM-CM, o administrador pode definir diversos aprovadores, que precisam verificar e aprovar uma solicitação de certificado. Após a aprovação de um certificado, o usuário poderá recuperá-lo no ILM-CM. Uma vez que o ILM-CM armazena as informações de certificado em um banco de dados do SQL Server, os administradores são capazes de recuperar informações históricas.
Um ano mais tarde, quando o certificado se aproximar de seu período de expiração, o ILM-CM enviará uma notificação por email ao solicitador informando que o certificado está para expirar e deve ser renovado. A criação desse processo de fluxo de trabalho ajudará a evitar as ocasiões em que os certificados expiram inesperadamente, arruinando o seu dia.
Resumo
Se a sua empresa estiver usando um ambiente de PKI da Microsoft, o ILM-CM pode ajudar a gerenciá-lo. O ILM-CM permite que as empresas aperfeiçoem os processos de autenticação de segurança e reduzam os custos e a complexidade do gerenciamento de certificados digitais e de cartões inteligentes. O ILM-CM também será a fundação para o desenvolvimento de processos de fluxo de trabalho de certificados e de cartões inteligentes que muitas empresas ainda não possuem.
A Microsoft também implementou o suporte externo de API para o ILM-CM. Se a sua organização utiliza aplicativos personalizados, talvez você possa criar uma interface para eles e assim aproveitar o suporte à API do ILM-CM.
Para obter mais informações sobre o ILM-CM, consulte microsoft.com/technet/clm. Há também um guia rápido de introdução em (go.microsoft.com/fwlink/?LinkId=87336).
Kevin Dallmann é engenheiro de sistemas sênior que atua como consultor da Accenture e é responsável, principalmente, pelo suporte aos ambientes do Active Directory e da PKI para grandes empresas. Ele possui os certificados MCSE e MCT e também leciona em cursos da Microsoft.
© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..