Novidades dos Serviços de Certificados do Windows Server

 

Publicado: setembro de 2016

Aplicável a: Windows Server 2012 R2, Windows Server 2012

Este tópico descreve a funcionalidade do AD CS (Serviços de Certificados do Active Directory) que é nova ou alterada no R2 do Windows Server 2012 e no Windows Server 2012. O AD CS fornece serviços personalizáveis para emissão e gerenciamento de certificados de PKI (infraestrutura de chaves públicas) usados em sistemas de segurança de software que empregam tecnologias de chave pública.

Neste tópico:

No R2 do Windows Server 2012, os Serviços de Certificados oferecem suporte aprimorado nas seguintes áreas:

Recurso/funcionalidadeNovo ou melhoradoDescrição
Suporte do módulo de políticas para o Serviço de Registro de Dispositivo de RedeNovoUsar um módulo de políticas com o Serviço de Registro de Dispositivo de Rede fornece segurança aprimorada para que os usuários e dispositivos possam solicitar certificados da Internet.
Atestado de chaves do TPMNovoO atestado de chaves do TPM permite que a AC (Autoridade de Certificação) verifique se a chave privada é protegida por um TPM baseado em hardware.
Windows PowerShell para Serviços de CertificadosNovoOs novos cmdlets do Windows PowerShell estão disponíveis para backup e restauração.

Suporte do módulo de políticas para o Serviço de Registro de Dispositivo de Rede

O serviço de função do AD CS, o Serviço de Registro de Dispositivo de Rede, foi projetado para redes seguras e administradores confiáveis. Por causa desse design, o registro pode usar uma única senha, ou até mesmo nenhuma senha, para solicitar vários certificados. Além disso, não há nenhuma autenticação para o valor de nome de entidade fornecido. No entanto, o R2 do Windows Server 2012 dá suporte a um módulo de políticas do Serviço de Registro de Dispositivo de Rede, que fornece uma autenticação adicional que torna mais prático executar esse serviço de função em uma rede de perímetro. Essa configuração dá suporte ao cenário de BYOD (Traga Seu Próprio Dispositivo), no qual os dispositivos móveis, como aqueles que executam iOS e Android, e computadores que não são membros do domínio, agora podem usar o Serviço de Registro de Dispositivo de Rede para solicitar certificados de usuário e computador da Internet. Às vezes, isso é chamado de registro sem fio.

O R2 do Windows Server 2012 não vem com um módulo de políticas. Você deve instalá-lo separadamente, obtendo-o de um fornecedor de software que forneça um módulo de políticas ou escrevendo seu próprio módulo de políticas. Se você instalar um módulo de políticas de um fornecedor de software, geralmente, ele será uma empresa que fornece gerenciamento de dispositivos móveis. Por exemplo, o System Center 2012 R2 Configuration Manager fornece um módulo de políticas que é necessário para quando você implanta perfis de certificado.

Para obter mais informações, consulte os seguintes recursos:

Atestado de chaves do TPM

O atestado de chaves do TPM permite que a AC (Autoridade de Certificação) verifique se a chave privada é protegida por um TPM baseado em hardware e se a AC confia no TPM. Essa funcionalidade impede que o certificado seja exportado a um dispositivo não autorizado e pode associar a identidade do usuário ao dispositivo.

Todos os TPMs têm uma chave de endosso que é exclusiva para cada TPM. Em alguns casos, os TPMs têm um certificado de chave de endosso que é ligado à AC emissora do fabricante. Nem todos os TPMs dão suporte aos atestados, mas, quando isso acontece, você pode optar por validar o atestado de chaves usando a chave de endosso ou usando um certificado de chave de endosso.

Para usar o atestado de chaves do TPM, o sistema operacional cliente deve ser Windows 8.1 ou R2 do Windows Server 2012. Para configurar o atestado de chaves do TPM, use um modelo de certificado versão 4 com uma AC corporativa e defina as configurações na guia Atestado de Chaves. Não selecione Não armazenar certificados e solicitações no banco de dados de AC na guia Servidor das propriedades do modelo de certificado, pois não há suporte para essa configuração no atestado de chaves do TPM. Além disso, as ACs autônomas e o registro da Web não dão suporte ao atestado de chaves do TPM.

Quando você configura o atestado de chaves do TPM, é possível escolher níveis crescentes de garantia especificando como validar a chave de endosso que é gravada no TPM pelo fabricante:

  • Credenciais de usuário. Nenhuma configuração adicional é necessária na AC.

  • Certificado de endosso. Você deve adicionar os certificados raiz e de AC emissora dos TPMs aos novos repositórios de certificados da AC. Os novos repositórios de certificados são EKCA para o repositório intermediário e EKRROT para o repositório raiz.

  • Chave de endosso. Você deve adicionar cada chave de endosso dos TPMs a uma lista aprovada (lista EKPUB).

System_CAPS_ICON_tip.jpg Dica


Se as configurações da guia Atestado de Chaves não estiverem disponíveis, verifique as seguintes configurações:

  • Na guia Compatibilidade: a Autoridade de Certificação é definida como Windows Server 2012 R2 e o Destinatário do certificado é definido como Windows 8.1/Windows Server 2012 R2.
  • Na guia Tratamento de Solicitação: as caixas de seleção Permitir que a chave privada seja exportada e Arquivar chave privada de criptografia da entidade não devem ser marcadas.
  • Na guia Criptografia: A Categoria de Provedor é definida como Provedor de Armazenamento de Chaves e o Nome do algoritmo é definido como RSA. Além disso, a opção A solicitação deve usar um dos seguintes provedores deve ser definida como Provedor de Criptografia da Plataforma da Microsoft.

Para obter mais informações, consulte os seguintes recursos:

Windows PowerShell para Serviços de Certificados

Há novos cmdlets do Windows PowerShell disponíveis no R2 do Windows Server 2012. Você pode usar esses cmdlets para fazer backup e restaurar o banco de dados de uma AC (Autoridade de Certificação).

Nome do cmdletNovo ou melhoradoDescrição
Backup-CARoleServiceNovoFaça backup do banco de dados da AC.
Restore-CARoleServiceNovoRestaure o banco de dados da AC.

Para obter mais informações sobre esses cmdlets, consulte Backup-CARoleService e Restore-CARoleService.

Para usar esses cmdlets em um cenário de migração, consulte as seguintes seções do Guia de Migração de Serviços de Certificados do Active Directory para Windows Server 2012 R2:

No Windows Server 2012, os Serviços de Certificados do Active Directory oferecem suporte aprimorado nas seguintes áreas:

Integração com o Gerenciador do Servidor

O Gerenciador do Servidor fornece uma interface gráfica do usuário centralizada para a instalação e o gerenciamento da função de servidor do AD CS e os seis serviços de função dela.

Qual é o valor agregado desta alteração?

A função de servidor do AD CS e seus serviços de função são integrados no Gerenciador do Servidor, o que permite instalar o serviço de função do AD CS no menu Gerenciar usando Adicionar Funções e Recursos. Assim que a função de servidor é adicionada, o AD CS é exibido no painel do Gerenciador do Servidor como uma das funções que podem ser gerenciadas. Isso fornece um local central do qual você pode implantar e gerenciar o AD CS e os serviços de função. Além disso, o novo Gerenciador do Servidor permite gerenciar vários servidores de um local e você pode ver os serviços de função do AD CS instalados em cada servidor, analisar os eventos relacionados e executar as tarefas de gerenciamento em cada servidor. Para obter mais informações sobre como o novo Gerenciador do Servidor funciona, consulte Gerenciar vários servidores remotos com o Gerenciador do Servidor.

O que passou a funcionar de maneira diferente?

Para adicionar a Função de Servidor do AD CS, você pode usar o link Adicionar Funções e Recursos no menu Gerenciar do Gerenciador do Servidor. O fluxo de instalação do AD CS é semelhante ao da versão anterior, exceto para a divisão do processo de instalação binário e do processo de configuração. Anteriormente, a instalação e a configuração estavam em um único assistente. Na nova experiência de instalação, você instala primeiro os arquivos binários e pode iniciar o Assistente de Configuração do AD CS para configurar os serviços de função que já tiveram seus arquivos binários instalados. Para remover a Função de Servidor do AD CS, você pode usar o link Remover Funções e Recursos no menu Gerenciar.

Recursos de implantação e gerenciamento do Windows PowerShell

É possível configurar ou remover as configurações de todos os serviços de função do AD CS usando os cmdlets do Usando o Windows PowerShell de Implantação do AD CS. Esses novos cmdlets de implantação são descritos no tópico Visão geral dos cmdlets de Implantação do AD CS. O cmdlet de Administração do AD CS permite que você gerencie o serviço de função da Autoridade de Certificação. Os novos cmdlets de administração são descritos no tópico Visão geral dos cmdlets de administração do AD CS.

Qual é o valor agregado desta alteração?

Você pode usar o Usando o Windows PowerShell para executar scripts de implantações de qualquer serviço de função do AD CS, assim como a capacidade de gerenciar o serviço de função da AC.

O que passou a funcionar de maneira diferente?

Você pode usar os cmdlets do Gerenciador do Servidor ou do Usando o Windows PowerShell para implantar os serviços de função do AD CS.

Todos os serviços de função do AD CS são executados em qualquer versão

Todas as versões do Windows Server 2012 e R2 do Windows Server 2012permitem instalar todos os serviços de função do AD CS.

Qual é o valor agregado desta alteração?

Ao contrário das versões anteriores, você pode instalar as funções do AD CS em qualquer versão do Windows Server 2012 ou R2 do Windows Server 2012.

O que passou a funcionar de maneira diferente?

No Windows Server 2008 R2, os diferentes serviços de função (anteriormente chamados de componentes) tinham requisitos diferentes de versão do sistema operacional, conforme descrito em Visão geral dos Serviços de Certificados do Active Directory. No Windows Server 2012 ou R2 do Windows Server 2012, todos os seis serviços de funções funcionam como em qualquer versão do Windows Server 2012 ou R2 do Windows Server 2012. A única diferença é que você encontrará o AD CS com todos os seis serviços de função disponíveis para instalação em qualquer versão do Windows Server 2012 ou R2 do Windows Server 2012.

Todos os serviços de função do AD RMS podem ser executados no Server Core

Todos os seis serviços de função do AD CS do Windows Server 2012 e R2 do Windows Server 2012 podem ser instalados e executados usando as opções de instalação do Server Core ou da Interface de Servidor Mínima.

Qual é o valor agregado desta alteração?

Ao contrário das versões anteriores, agora você pode executar todos os serviços de função do AD CS nas opções de instalação do Server Core ou da Interface de Servidor Mínima no Windows Server 2012 ou R2 do Windows Server 2012

O que passou a funcionar de maneira diferente?

Agora você pode implantar facilmente os serviços de função do AD CS usando o Gerenciador do Servidor ou cmdlets do Usando o Windows PowerShell trabalhando localmente no computador ou remotamente pela rede. Além disso, o Windows Server 2012 ou R2 do Windows Server 2012 fornece várias opções de instalação que permitem até mesmo a instalação com uma interface gráfica do usuário e posterior alternância para uma instalação do Server Core ou da Interface de Servidor Mínima. Para obter mais informações sobre as opções de instalação, consulte Opções de instalação do Windows Server.

Suporte à renovação baseada em chave

O recurso Serviços Web de Registro de Certificado foi adicionado no Windows 7 e no Windows Server 2008 R2. Esse recurso permite as solicitações de certificados online de domínios não confiáveis do AD DS (Serviços de Domínio Active Directory) ou mesmo de computadores que não ingressaram em um domínio. O AD CS do Windows Server 2012 e R2 do Windows Server 2012 complementa os Serviços Web de Registro de Certificado adicionando a capacidade de renovar automaticamente certificados de computadores que fazem parte de domínios do AD DS não confiáveis ou que não foram adicionados a um domínio.

Qual é o valor agregado desta alteração?

Os administradores não precisam renovar manualmente os certificados de computadores que são membros de grupos de trabalho ou que possivelmente fazem parte de um domínio ou floresta diferente do AD DS.

O que passou a funcionar de maneira diferente?

Os Serviços Web de Registro de Certificado continuam funcionando da mesma forma que antes, mas agora os computadores fora de um domínio podem renovar os certificados usando seu certificado existente para autenticação.

Para obter informações adicionais, consulte o tópico Renovação baseada em chave. Há também dois Guias de Laboratório de Teste que demonstram o uso da renovação baseada em chave:

  1. Guia de Laboratório de Teste: demonstrando a renovação baseada em chave de certificado

  2. Minimódulo do Guia de Laboratório de Teste: registro de certificado entre florestas usando Serviços Web de Registro de Certificado

Compatibilidade de modelos de certificado

O AD CS no Windows Server 2012 e R2 do Windows Server 2012 inclui modelos de certificado da versão 4. Esses modelos têm várias diferenças das versões de modelo anteriores. Os modelos de certificado da versão 4:

  • Dão suporte aos CSPs (provedores de serviços de criptografia) e aos KSPs (provedores de serviço de chave).

  • Podem ser definidos para exigir renovação com a mesma chave.

  • Estão disponíveis apenas para uso pelo Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012.

  • Especificam os sistemas operacionais mínimos de autoridade de certificação e de cliente de certificado que podem usar o modelo.

Para ajudar os administradores a separar os recursos que têm suporte em quais versões do sistema operacional, a guia Compatibilidade foi adicionada à guia de propriedades do modelo de certificado.

Qual é o valor agregado desta alteração?

Os novos modelos de certificado da versão 4 fornecem funcionalidades adicionais, como a aplicação da renovação com a mesma chave (disponível apenas para os clientes de certificados do Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012). A nova guia Compatibilidade permite que os administradores definam combinações diferentes de versões do sistema operacional para a autoridade de certificação e os clientes de certificados e vejam apenas as configurações que funcionarão com essas versões de clientes.

O que passou a funcionar de maneira diferente?

A guia Compatibilidade é exibida na interface do usuário de propriedades Modelo de Certificado. Essa guia permite que você selecione as versões mínimas de sistema operacional de autoridade de certificação e de cliente de certificado. A configuração da guia Compatibilidade tem algumas funções:

  • Ela marca as opções como indisponíveis nas propriedades de modelo de certificado, dependendo das versões de sistemas operacionais selecionadas do cliente de certificado e da autoridade de certificação.

  • Para os modelos da versão 4, ela determina as versões do sistema operacional que podem usar o modelo.

Os clientes anteriores ao Windows 8 e ao Windows Server 2012 não poderão tirar proveito dos novos modelos da versão 4.

System_CAPS_ICON_note.jpg Observação


Há uma declaração na guia Compatibilidade que informa que Essas configurações talvez não impeçam que sistemas operacionais anteriores utilizem esse modelo. Essa declaração significa que as configurações de compatibilidade não têm efeito restritivo nos modelos da versão 1, 2 ou 3 e as inscrições podem continuar como antes. Por exemplo, na guia Compatibilidade, se a versão mínima do sistema operacional cliente estiver definida como Windows Vista em um modelo da versão 2, um cliente de certificado do Windows XP ainda poderá se registrar para um certificado usando o modelo da versão 2.

Para obter mais informações sobre essas alterações, consulte Versões e opções de modelos de certificado

Suporte à renovação de certificado com a mesma chave

O AD CS no Windows Server 2012 e Windows Server 2012 permite que um certificado seja configurado para ser renovado com a mesma chave. Isso permite que o mesmo nível de garantia da chave original seja mantido durante todo seu ciclo de vida. O Windows Server 2012 e o Windows Server 2012 dão suporte à geração de chaves protegidas por TPM (Trusted Platform Module) usando KSPs (Provedores de armazenamento de chaves) baseados em TPM. O benefício em usar o KSP baseado em TPM é a não exportabilidade verdadeira das chaves com suporte pelo mecanismo anti-hammering de TPMs. Os administradores podem configurar modelos de certificado para que o Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012 deem mais prioridade aos KSPs baseados em TPM para a geração de chaves. Além disso, usando a renovação com a mesma chave, os administradores podem garantir que a chave ainda permanece no TPM após a renovação.

System_CAPS_ICON_note.jpg Observação


Inserir o PIN (número de identificação pessoal) incorretamente muitas vezes ativa a lógica anti-hammering do TPM. A lógica anti-hammering é constituída de métodos de software ou hardware que aumentam a dificuldade e o custo de um ataque de força bruta em um PIN através da não aceitação de entradas PIN até que um determinado período de tempo tenha transcorrido.

Qual é o valor agregado desta alteração?

Este recurso permite que um administrador imponha a renovação com a mesma chave, o que pode reduzir os custos administrativos (quando as chaves são renovadas automaticamente) e aumentar a segurança da chave (quando as chaves são armazenadas usando KSPs baseados em TPM).

O que passou a funcionar de maneira diferente?

Os clientes que recebem certificados de modelos que foram configurados para a renovação com a mesma chave devem renovar os certificados usando a mesma chave ou a renovação falhará. Além disso, essa opção está disponível somente para clientes de certificado do Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012.

System_CAPS_ICON_note.jpg Observação

Caso Renovar com a mesma chave esteja habilitado em um modelo de certificado e, posteriormente, o arquivamento de chave (Arquivar chave privada de criptografia de requerente) também seja habilitado, os certificados renovados não serão arquivados. Para obter mais informações sobre essa situação e como resolvê-la, consulte Arquivamento e renovação de chaves com a mesma chave.

Suporte a nomes de domínio internacionalizados

Os nomes internacionalizados são nomes que contêm caracteres que não podem ser representados em ASCII. O AD CS no Windows Server 2012 e R2 do Windows Server 2012 dá suporte a IDNs (Nomes de Domínio Internacionalizados) em diversos cenários.

Qual é o valor agregado desta alteração?

Há suporte para os seguintes cenários de IDN:

  • Registro de certificado para computadores que usam IDNs

  • Geração e envio uma solicitação de certificado com um IDN usando a ferramenta de linha de comando certreq.exe

  • Publicação de CRLs (Listas de Certificados Revogados) e do protocolo OCSP em servidores usando IDNs

  • A interface do usuário Certificado dá suporte a IDNs

  • O snap-in do MMC de Certificados também permite IDNs em Propriedades do Certificado

O que passou a funcionar de maneira diferente?

Há suporte limitado aos IDNs, conforme descrito anteriormente.

Melhor segurança habilitada por padrão no serviço de função da Autoridade de Certificação

Quando uma solicitação de certificado é recebida por uma AC (autoridade de certificação), a criptografia da solicitação pode ser aplicada pela AC via RPC_C_AUTHN_LEVEL_PKT, conforme descrito no artigo do MSDN Constantes de nível de autenticação. No Windows Server 2008 R2 e em versões anteriores, essa configuração não é habilitada por padrão na AC. Em uma AC do Windows Server 2012 ou R2 do Windows Server 2012, essa configuração avançada de segurança é habilitada de modo padrão.

Qual é o valor agregado desta alteração?

A autoridade de certificação impõe a segurança aprimorada nas solicitações que são enviadas a ela. Esse maior nível de segurança exige que os pacotes que solicitam um certificado sejam criptografados, de modo que não possam ser interceptados e lidos. Sem essa configuração habilitada, qualquer um com acesso à rede pode ler os pacotes enviados para a autoridade de certificação e dela usando um analisador de rede. Isso significa que as informações que poderiam ser expostas podem ser consideradas uma violação de privacidade, como nomes dos usuários ou máquinas que solicitam, os tipos de certificados nos quais eles estão se registrando, as chaves públicas envolvidas, etc. Em uma floresta ou um domínio, o vazamento desses dados poderia não ser uma preocupação para a maioria das organizações. No entanto, se os invasores obterem acesso ao tráfego de rede, a estrutura interna e a atividade da empresa poderiam ser obtidas, o que poderia ser usado em mais ataques de engenharia social ou de phishing.

Os comandos para habilitar o nível de segurança avançado de RPC_C_AUTHN_LEVEL_PKT em autoridades de certificação do Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 ou do Windows Server 2008 R2 são:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Para reiniciar a autoridade de certificação:
net stop certsvc
net start certsvc

Se você ainda tiver computadores cliente Windows XP que precisam solicitar certificados de uma autoridade de certificação com a configuração habilitada, você tem duas opções:

  1. Atualizar os clientes Windows XP para um sistema operacional mais recente.

  2. Reduzindo a segurança da autoridade de certificação executando os seguintes comandos:

    Para reduzir a segurança da autoridade de certificação para obter compatibilidade com os clientes Windows XP
    1. certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

    2. net stop certsvc

    3. net start certsvc

O que passou a funcionar de maneira diferente?

Os clientes do Windows XP não serão compatíveis com essa configuração de alta segurança habilitada de modo em uma AC do Windows Server 2012 ou R2 do Windows Server 2012. Se necessário, você pode diminuir a configuração de segurança, conforme descrito anteriormente.

Reconhecimento de sites do AD DS para AD CS e clientes PKI

Os serviços de certificados do Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012 podem ser configurados para utilizar sites do AD DS (Serviços de Domínio do Active Directory) a fim de ajudar a otimizar as solicitações de clientes de serviços de certificados. Essa funcionalidade não é habilitada por padrão nos computadores clientes da CA (autoridade de certificação) ou da PKI (infraestrutura de chave pública).

System_CAPS_ICON_note.jpg Observação


Para obter informações sobre como habilitar o reconhecimento de sites do AD DS, consulte o artigo sobre Reconhecimento de sites do AD DS para AD CS e clientes PKI no Wiki da TechNet.

Qual é o valor agregado desta alteração?

Esta alteração permite que os clientes de certificados do Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012 localizem uma CA no site local do AD DS.

O que passou a funcionar de maneira diferente?

Ao se registrar para um certificado baseado em modelo, o cliente consulta o AD DS para os objetos de modelo e CA. Em seguida, o cliente usa uma chamada à função DsGetSiteName para obter seu próprio nome de site. Para CAs que já possuem o atributo msPKI-Site-Name definido, o cliente de serviços de certificados determina o custo do link do site do AD DS a partir do site do cliente para cada site da CA de destino. Uma chamada à função DsQuerySitesByCost é usada para determinar isso. O cliente dos serviços de certificados usa os custos de site retornados para priorizar as CAs que concedem a permissão de registro ao cliente e oferecem suporte ao modelo de certificado relevante. O contato com as CAs de custo mais alto é feito por último (somente se as CAs antigas estiverem indisponíveis).

System_CAPS_ICON_note.jpg Observação


É possível que uma CA não retorne o custo do site caso o atributo msPKI-Site-Name não esteja definido na CA. Caso não haja custo de site disponível para uma CA, será atribuído a ela o custo mais alto possível.

Formato PFX protegido por grupo

Anteriormente, um formato padrão PKCS#12 (também conhecido como PFX) era protegido apenas por uma senha que tinha as seguintes limitações:

  • Difícil de automatizar

  • Não muito segura, pois normalmente um administrador usava uma senha fraca

  • Difícil de compartilhar entre vários usuários

O Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012 podem proteger os certificados e chaves privadas associadas combinando um formato PFX existente com um novo recurso de proteção de dados. Isso permite criptografar o conteúdo do arquivo PFX com uma chave que pertence a um grupo ou a uma pessoa, em vez de protegê-lo com uma senha.

System_CAPS_ICON_note.jpg Observação

Qual é o valor agregado desta alteração?

Ao usar esse recurso, os administradores poderão:

  • Implantar, gerenciar e solucionar problemas de certificados e remotamente em farms de servidores usando o Windows PowerShell.

  • Compartilhar certificados e chaves com segurança entre farms de servidores que executam o Windows Server 2012 ou o R2 do Windows Server 2012 usando APIs do Windows.

As versões anteriores do Windows podem consumir esse PFX porque, internamente, o sistema operacional atribui uma senha forte aleatória. A senha é incluída no PFX e é protegida por um conjunto de SIDs (identificadores de segurança) com APIs de proteção de dados. Qualquer usuário que tenha acesso ao PFX pode ver essa senha e compartilhá-la com as versões anteriores do Windows.

O que passou a funcionar de maneira diferente?

Agora, um arquivo PFX pode ser protegido para uma entidade de segurança, e não apenas para uma senha. A interface do usuário para exportação de certificados foi atualizada para permitir a seleção de uma entidade de segurança durante a exportação.

Notificações do ciclo de vida dos certificados

No Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012, os certificados fornecem notificações de ciclo de vida no repositório MY por meio dos níveis de API de registros de certificado e do Windows PowerShell. As notificações incluem expiração, exclusão, novos, renovação, substituição, proximidade da expiração, arquivamento e exportação. Os desenvolvedores e administradores podem gerenciar (exibir, instalar, copiar, solicitar e excluir) certificados e suas chaves privadas associadas remotamente usando o Windows PowerShell. Esse recurso permite que um script ou um executável seja iniciado em resposta a uma notificação de ciclo de vida do certificado.

System_CAPS_ICON_note.jpg Observação

Qual é o valor agregado desta alteração?

Para os desenvolvedores de aplicativos e cargas de trabalho de servidor que usam certificados em seus produtos, a integração com o ciclo de vida do certificado no Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012 é fácil e confiável, e pode ser feita remotamente. Os desenvolvedores podem desenvolver aplicativos que se reconfigurem sempre que um certificado for renovado ou substituído por outro certificado – por meio de registro automático ou por uma ação manual ou com script feita por um administrador. O investimento necessário para a integração com as interfaces de gerenciamento de certificados é muito pequeno.

Para um administrador que gerencia os aplicativos que usam certificados, os certificados do Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012 certificados são usados por esses aplicativos automaticamente. Isso ocorre porque os aplicativos se integram às notificações de certificados do Windows 8, Windows 8.1, Windows Server 2012 e R2 do Windows Server 2012 ou quando o script do administrador é disparado por um evento de certificado.

O que passou a funcionar de maneira diferente?

Agora, as notificações podem ser habilitadas para alertar os administradores do sistema antes que os certificados expirem.

As chaves privadas de AC são incluídas na imagem de backup de estado do sistema

O recurso de Backup do Windows Server pode ser instalado na AC (autoridade de certificação) para criar um backup de estado do sistema que inclui as chaves privadas da AC.

O que passou a funcionar de maneira diferente?

No Windows Server 2012 e no R2 do Windows Server 2012, o recurso de backup de estado do sistema faz o backup automaticamente da chave privada das ACs quando um administrador ou operador de backup usa o recurso de backup do Windows Server para executar um backup de estado do sistema.

O que passou a funcionar de maneira diferente?

Agora, o recurso de backup do Windows Server inclui as chaves privadas da AC.

System_CAPS_ICON_tip.jpg Dica

Mostrar: