Guia Complementar de Rede Principal: implantação de certificado do servidor

Aplicável a: Windows Server 2012

O guia da rede principal do Windows Server 2012 fornece instruções para planejar e implantar os componentes principais necessários para uma rede totalmente operacional e um novo domínio Active Directory® em uma nova floresta.

Este guia explica como criar na rede principal, fornecendo instruções para implantar certificados de servidor para computadores que executam o servidor de diretivas de rede (NPS), roteamento e acesso remoto (RRAS) ou ambos.

Este guia contém as seções a seguir.

• Pré-requisitos para usar este guia

• Sobre este guia

• O que este guia não contém

• Visões gerais da tecnologia

• Visão geral da implantação do certificado do servidor

• Planejar a implantação de certificados de servidor

• Implantação de certificado do servidor

• Recursos adicionais

Pré-requisitos para usar este guia

Este é um guia complementar para o Guia da rede principal do Windows Server 2012. Para implantar certificados de servidor com este guia, você deve primeiro fazer o seguinte.

• Implantar uma rede principal usando o guia da rede principal, ou já as tecnologias fornecidas no guia da rede principal instalado e funcionando corretamente em sua rede. Essas tecnologias incluem o TCP/IP v4, DHCP, AD DS (Serviços de Domínio do Active Directory), DNS, NPS e Servidor Web (IIS).

  Dica

  O Windows Server 2012 guia da rede principal está disponível na Windows Server 2012 biblioteca técnica (https://go.microsoft.com/fwlink/?LinkId=154884).

  Guia da rede principal também está disponível em formato do Word com o Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).

Sobre este guia

Este guia fornece instruções para implantar certificados de servidor para servidores que executam o NPS, RRAS ou ambos, usando o AD CS no Windows Server 2012.

Quando você implanta os métodos de autenticação baseada em certificados com o protocolo EAP e o PEAP (EAP protegido) para autenticação de acesso de rede, são necessários certificados de servidor.

Implantando certificados do servidor com serviços de certificado Active Directory (AD CS) para métodos de autenticação baseada em certificado EAP e PEAP oferece os seguintes benefícios:

• Associando a identidade do servidor que executa NPS ou o servidor RRAS para uma chave privada

• Um método seguro e econômico para registrar automaticamente certificados para servidores NPS e RRAS do membro de domínio

• Um método eficiente para gerenciar certificados e autoridades de certificação (CAs)

• Segurança fornecida por autenticação baseada em certificado

• A capacidade de expandir o uso de certificados para outras finalidades

Este guia foi criado para administradores de rede e sistema que seguiram as instruções no Guia da rede principal do Windows Server 2012 para implantar uma rede principal, ou aqueles que já implantaram as tecnologias incluídas no Guia da rede principal, incluindo o AD DS (Serviços de Domínio do Active Directory ), DNS (Serviço de Nomes de Domínio), o protocolo DHCP, TCP/IP, Servidor Web (IIS) e NPS (Servidor de Políticas de Rede).

É recomendável que você examine os guias de design e implantação para cada uma das tecnologias que são usadas neste cenário de implantação. Esses guias podem ajudá-lo a determinar se esse cenário de implantação fornece os serviços e configurações necessários para a rede da sua organização.

Requisitos para implantação de certificados de servidor

A seguir estão os requisitos para usar certificados:

• Para implantar certificados de servidor usando o registro automático, o AD CS requer o Windows Server 2012 sistemas operacionais Standard, Enterprise ou Datacenter. AD DS deve ser instalado antes que o AD CS esteja instalado. Embora o AD CS pode ser implantado em um único servidor, muitas implantações envolvem vários servidores configurados como autoridades de certificação.

• Para fornecer computadores com acesso para o acesso de informações da autoridade (AIA) e a lista de certificados revogados (CRL) que é gerada por sua autoridade de certificação, você deve ter um servidor Web que está configurado corretamente de acordo com as instruções neste guia.

• Para implantar o PEAP ou EAP para redes virtuais privadas (VPNs), você deve implantar o RRAS configurado como um servidor VPN. O uso do NPS é opcional. No entanto, se você tiver vários servidores VPN, com o NPS é recomendado para facilidade de administração e para os serviços de contabilização RADIUS NPS fornece.

• Para implantar o PEAP ou EAP para o Gateway de área de trabalho remota (Gateway RD), você deve implantar o Gateway de área de trabalho remota e o NPS.

  Dica

  Nas versões anteriores do Windows Server, serviços de área de trabalho remota foi chamado serviços de Terminal.

• Para implantar o PEAP ou EAP para 802.1 X segura com ou sem fio, você deve implantar o NPS e o hardware adicional, como comutadores 802.1 X capaz e pontos de acesso sem fio.

• Para implantar métodos de autenticação baseada em certificado que requerem certificados para autenticação de usuário e computador, além de exigir certificados para autenticação de servidor, como EAP com Transport Layer Security (EAP-TLS) ou PEAP-TLS, você deve também implantar certificados de usuário ou computador através do registro automático ou usando cartões inteligentes.

O que este guia não contém

Este guia fornece instruções abrangentes para projetar e implantar uma infraestrutura de chave pública (PKI) usando o AD CS. É recomendável que você examine a documentação do AD CS e documentação de design PKI antes de implantar as tecnologias neste guia. Para obter mais informações, consulte o Recursos adicionais seção mais adiante neste documento.

Este guia fornece instruções sobre como instalar o servidor Web (IIS) ou tecnologias de servidor de diretivas de rede em computadores do servidor. Essas instruções são fornecidas na guia da rede principal.

Este guia também não fornece instruções detalhadas para implantar as tecnologias de acesso de rede para os quais certificados de servidor podem ser usados.

Visões gerais da tecnologia

Seguem as visões gerais de tecnologia do EAP, PEAP e AD CS.

EAP

O protocolo EAP estende o protocolo PPP, pois permite métodos arbitrários de autenticação que usam credenciais e troca de informações de comprimentos arbitrários. O EAP foi desenvolvido em resposta a uma crescente demanda por métodos de autenticação que usam dispositivos de segurança como cartões inteligentes, cartões de token e calculadoras de criptografia. O EAP oferece uma arquitetura de padrão industrial para suporte a métodos de autenticação adicionais dentro do PPP.

Com o EAP, um mecanismo de autenticação arbitrário é usado para verificar as identidades do cliente e no servidor que estão estabelecendo uma conexão de acesso de rede. O esquema exato de autenticação a ser usado é negociado pelo cliente de acesso e o autenticador - o servidor de acesso de rede ou o servidor remoto Authentication Dial-In usuário Service (RADIUS).

Com a autenticação EAP, o cliente de acesso de rede e o autenticador (como o servidor que executa o NPS) devem oferecer suporte o mesmo tipo EAP para autenticação bem-sucedida ocorra.

EAP em Windows Server 2012

Windows Server 2012 inclui uma infra-estrutura EAP, tipos de EAP e a capacidade de passar mensagens EAP para um servidor RADIUS (EAP-RADIUS), como NPS.

Usando o EAP, você pode dar suporte a esquemas de autenticação adicionais, conhecidas como tipos EAP. Os tipos de EAP que são suportados pelo Windows Server 2012 são:

• Layer Security (TLS) de transporte. EAP-TLS requer o uso de certificados de computador ou certificados de usuário, além de certificados de servidor registrados em computadores que executam o NPS.

• Microsoft Challenge Handshake Authentication Protocol versão 2 (MS-CHAP v2). Esse tipo EAP é um protocolo de autenticação baseada em senha. Quando usado dentro de EAP como o método de autenticação EAP-MS-CHAP v2, servidores NPS e RRAS fornecem um certificado de servidor como prova de identidade para computadores cliente, enquanto os usuários comprovem sua identidade com um nome de usuário e senha.

• Encapsulado Transport Layer Security (TTLS). EAP-TTLS é novo no Windows Server 2012 e não está disponível em outras versões do Windows Server. O EAP-TTLS é um método de encapsulamento EAP baseado em padrões que aceita autenticação mútua. Ele gera um túnel seguro para a autenticação do cliente usando métodos de EAP e outros protocolos herdados. Além disso, o EAP-TTLS também pode ser configurado em computadores cliente para soluções de acesso à rede nas quais servidores RADIUS que não são da Microsoft e que oferecem suporte ao EAP-TTLS são usados para autenticação.

Além disso, você pode instalar outros módulos EAP não - Microsoft no servidor executando o NPS ou roteamento e acesso remoto para fornecer outros tipos de autenticação EAP. Na maioria dos casos, se você instalar tipos EAP adicionais em servidores, também instale componentes de autenticação do cliente EAP correspondentes nos computadores cliente para que o cliente e o servidor podem negociar com êxito um método de autenticação a ser usado para solicitações de conexão.

PEAP

O PEAP usa o TLS para criar um canal criptografado entre um cliente PEAP de autenticação, como um computador sem fio e um autenticador PEAP, como um servidor executando NPS ou outro servidor RADIUS.

O PEAP não especifica um método de autenticação, mas ele fornece segurança adicional para outros protocolos de autenticação EAP (como o EAP-MSCHAP v2) que podem operar pelo canal criptografado TLS fornecido pelo PEAP. O PEAP é usado como um método de autenticação para clientes de acesso que estão se conectando à rede da sua organização os seguintes tipos de servidores de acesso à rede:

• Pontos de acesso sem fio 802.1 X capaz

• Comutadores de autenticação 802.1 X capaz

• Computadores que executam o Windows Server 2012 ou Windows Server 2008 R2 e RRAS que são configurados como servidores VPN

• Computadores que executam o Windows Server 2012 ou Windows Server 2008 R2 e o Gateway de área de trabalho remota

Recursos do PEAP

Para aprimorar a segurança de rede e protocolos EAP, PEAP fornece:

• Um canal TLS que oferece proteção para a negociação do método EAP que ocorre entre o cliente e servidor. Esse canal TLS ajuda a impedir que um invasor insira pacotes entre o cliente e o servidor de acesso de rede para fazer com que a negociação de um tipo EAP menos seguro. O canal TLS criptografado também ajuda a impedir ataques negação de serviço contra o servidor NPS.

• Suporte para a fragmentação e reagrupamento de mensagens, que permite o uso de tipos EAP que não fornecem essa funcionalidade.

• Clientes com a capacidade de autenticar o NPS ou outro servidor RADIUS. Como o servidor também autentica o cliente, ocorre a autenticação mútua.

• Proteção contra a implantação de um ponto de acesso sem fio não autorizadas no momento em que o cliente EAP autentica o certificado fornecido pelo servidor que executa o NPS. Além disso, o segredo mestre TLS criado pelo autenticador PEAP e o cliente não é compartilhado com o ponto de acesso. Por isso, o ponto de acesso não pode descriptografar as mensagens protegidas pelo PEAP.

• Reconexão rápida do PEAP, que reduz o atraso entre uma solicitação de autenticação por um cliente e a resposta do NPS ou outro servidor RADIUS. A reconexão rápida também permite que clientes sem fio se movam entre os pontos de acesso configurados como clientes RADIUS para o mesmo servidor RADIUS, sem solicitações repetidas de autenticação. Isso reduz os requisitos de recurso para o cliente e o servidor e minimiza o número de vezes que os usuários são solicitados para credenciais.

Serviços de Certificados do Active Directory

AD CS no Windows Server 2012 fornecem serviços personalizáveis para criar e gerenciar os certificados x. 509 são usados em sistemas de segurança de software que empregam tecnologias de chave pública. As organizações podem usar o AD CS para aumentar a segurança vinculando a identidade de uma pessoa, dispositivo ou serviço a uma chave pública correspondente. AD CS também inclui recursos que permitem que você gerencie o registro de certificado e a revogação em uma variedade de ambientes escalonáveis.