Guia complementar da rede principal: Computador e a implantação de certificados de usuário

  • Artigo

 

Aplicável a: Windows Server 2012

O Windows Server ® 2012 guia da rede principal fornece instruções para planejar e implantar os componentes necessários para uma rede totalmente funcional e um novo domínio Active Directory® em uma nova floresta.

Este guia complementar explica como compilar na rede principal, fornecendo instruções para implantar certificados de computador e usuário do cliente com os serviços de certificados do Active Directory (AD CS).

Este guia contém as seções a seguir.

Pré-requisitos para usar este guia

Este é um guia complementar para o Guia da rede principal do Windows Server 2012. Para implantar certificados de computador e de usuário com este guia, você deve primeiro fazer o seguinte.

  1. Implantar uma rede principal usando o guia da rede principal, ou já as tecnologias fornecidas no guia da rede principal instalado e funcionando corretamente em sua rede. Essas tecnologias incluem o TCP/IP v4, DHCP, AD DS (Serviços de Domínio do Active Directory), DNS, NPS e Servidor Web (IIS).

    Dica

    O Windows Server 2012 guia da rede principal está disponível na Windows Server 2012 biblioteca técnica (https://go.microsoft.com/fwlink/?LinkId=154884).

    Guia da rede principal também está disponível em formato do Word com o Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).

  2. Se você estiver usando certificados de computador ou certificados de usuário para autenticação de acesso de rede com métodos de autenticação baseada em certificado, você deve implantar certificados de servidor para servidores NPS, servidores RRAS ou ambos, usando a guia complementar da rede principal: implantação de certificados de servidor; ou você já deve ter implantado uma infraestrutura de chave pública (PKI) e certificados de servidor que atendem aos requisitos para autenticação de acesso à rede.

    Dica

    O Windows Server 2012 guia complementar da rede principal: implantação de certificados de servidor está disponível na Windows Server 2012 biblioteca técnica (https://go.microsoft.com/fwlink/p/?LinkId=251948).

    O guia complementar da rede principal: Implantação de certificados de servidor também está disponível em formato do Word com o Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7).

Sobre este guia

Este guia fornece instruções para implantar certificados de computador e usuário do cliente para computadores membros do domínio e usuários do domínio usando o AD CS.

Os certificados são usados para a autenticação de acesso à rede porque eles oferecem alta segurança para autenticação de usuários e computadores e eles eliminam a necessidade de métodos menos seguros de autenticação baseada em senha.

Quando você implanta Extensible Authentication Protocol com Transport Layer Security (EAP-TLS) ou EAP protegido com TLS (PEAP-TLS), são necessários certificados para autenticação de servidores e para computadores ou usuários, durante a rede tentativas de conexão por meio de servidores de acesso de rede, como comutadores de 802.1 X capaz e acesso sem fio pontos, virtuais privadas de rede (VPN) servidores e computadores que executam o Windows Server 2012 e área de trabalho remota (Gateway RD) ou Windows Server 2008 e o Gateway de serviços de Terminal (TS Gateway).

Dica

Todos esses servidores de acesso de rede também são chamados de clientes de Remote Authentication Dial-In usuário RADIUS (Service), porque eles usam o protocolo RADIUS para enviar solicitações de conexão e outras mensagens RADIUS para servidores RADIUS. Servidores RADIUS processam as solicitações de conexão e executam a autenticação e autorização. O servidor RADIUS e proxy no Windows Server 2012 é o servidor de diretivas de rede (NPS).

Implantação de certificados com o AD CS para métodos de autenticação baseada em certificado EAP e PEAP oferece os seguintes benefícios:

  • Segurança fornecida com a autenticação baseada em certificado, que vincula a identidade do servidor que executa NPS, o servidor RRAS, usuário ou computador cliente para uma chave privada

  • Um método seguro e econômico para gerenciar certificados, permitindo que você se registrar, renovar e revogar certificados para computadores membros do domínio e usuários de domínio automaticamente

  • Um método eficiente para gerenciar autoridades de certificação (CAs)

  • A capacidade de implantar outros tipos de certificados que são usados para finalidades diferentes de autenticação de servidor, usuário ou computador. Por exemplo, você pode implantar certificados que fornecem aos usuários a capacidade de assinar digitalmente o email, ou você pode emitir certificados usados para assinatura de código de software.

Este guia destina-se a administradores de sistema e rede que tenham seguido as instruções de Windows Server 2012 guia da rede principal para implantar uma rede, ou para aqueles que já implantou as tecnologias incluídas na rede principal, incluindo os serviços de domínio Active Directory (AD DS), sistema de nome de domínio (DNS), protocolo de configuração de Host dinâmico (DHCP), TCP/IP, servidor de diretivas de rede (NPS) e servidor Web (IIS).

É recomendável que você examine os guias de design e implantação para cada uma das tecnologias que são usadas neste cenário de implantação. Esses guias podem ajudá-lo a determinar se o cenário de implantação fornece os serviços e configurações que você precisa para a rede da sua organização.

Requisitos para implantação de certificados de computador e usuário

A seguir estão os requisitos para implantar certificados de computador e usuário do cliente usando o registro automático:

  • AD DS é instalado, assim como outras tecnologias de rede, de acordo com as instruções do Windows Server 2012 guia da rede principal.

  • Para executar o registro automático de certificados de computador e usuário do cliente, a autoridade de certificação deve estar executando o Windows Server 2008 ou Windows Server ® 2008 R2 Enterprise ou Datacenter, sistema operacional e deve ser uma autoridade de certificação emissora; ou a autoridade de certificação deve estar executando o Windows Server 2012 Standard, Enterprise ou Datacenter sistema operacional e deve ser uma autoridade de certificação emissora. Embora o AD CS pode ser implantado em um único servidor, muitas implantações de usam uma infraestrutura de chave pública de duas camadas com vários servidores configurados como autoridades de certificação subordinada.

  • Para implantar o EAP-TLS ou PEAP-TLS, você deve registrar certificados de servidor para servidores NPS e, se você estiver usando servidores RRAS como servidores de rede virtual privada (VPN), para computadores que executam o Windows Server 2008, Windows Server ® 2008 R2, ou Windows Server 2012 e serviço de roteamento e acesso remoto (RRAS). Este guia pressupõe que você tenha os certificados de servidor de acordo com o Windows Server 2012 guia complementar da rede principal: implantando certificados de servidor que está disponível no formato HTML no Windows Server 2012 biblioteca técnica (https://technet.microsoft.com/en-us/library/jj125379).

Dica

Se você implantar um ou mais servidores RRAS como servidores VPN e você não tiver instalado o NPS, as diretivas de rede e os métodos de autenticação incluídos nessas políticas são configurados individualmente por servidor RRAS, que pode ser demorado e pode criar oportunidades para erros de configuração. Quando você instala o NPS, você pode configurar servidores RRAS como clientes RADIUS no NPS e usar o NPS para gerenciar centralmente todas as diretivas e os métodos de autenticação usados por política.

  • Para implantar o PEAP ou EAP para VPN, você deve implantar o roteamento e acesso remoto configurado como um servidor VPN. O uso do NPS é opcional. No entanto, se você tiver vários servidores VPN, com o NPS é recomendado para facilidade de administração e para os serviços de contabilização RADIUS NPS fornece.

  • Para implantar o PEAP ou EAP para o Gateway TS no Windows Server 2008 ou Gateway de área de trabalho remota no Windows Server 2012, você deve implantar o Gateway TS e NPS ou o Gateway de área de trabalho remota e NPS, respectivamente.

  • Para implantar o PEAP ou EAP para 802.1 X segura com ou sem fio, você deve implantar o NPS e o hardware adicional, como comutadores 802.1 X capaz ou pontos de acesso sem fio.

O que este guia não contém

Este guia fornece informações sobre o seguinte:

  • Como implantar certificados de computador e usuário do cliente com cartões inteligentes.

  • Como implantar o registro automático de certificados de servidor.

  • Como criar e implantar uma infraestrutura de chave pública (PKI) usando o AD CS. É recomendável que você examine a documentação de design e implantação do AD CS antes de implantar as tecnologias neste guia. Para obter mais informações, consulte recursos adicionais.

  • Como implantar as tecnologias de acesso de rede para o servidor de certificados podem ser usados. Pode haver outros guias complementares disponíveis que fornecem instruções para implantar essas soluções de acesso de rede. Você também poderá examinar a documentação do NPS para essas informações.

Visões gerais da tecnologia

Seguem as visões gerais de tecnologia para o computador cliente e certificados de usuário, EAP, PEAP e AD CS.

AD CS

AD CS no Windows Server 2012 fornecem serviços personalizáveis para criar e gerenciar os certificados x. 509 são usados em sistemas de segurança de software que empregam tecnologias de chave pública. As organizações podem usar o AD CS para aumentar a segurança vinculando a identidade de uma pessoa, dispositivo ou serviço a uma chave pública correspondente. AD CS também inclui recursos que permitem que você gerencie o registro de certificado e a revogação em uma variedade de ambientes escalonáveis.

Certificados de computador e usuário do cliente

Quando você implanta o EAP-TLS ou PEAP-TLS, você pode implantar certificados de computador para autenticação do computador cliente, certificados de usuário para autenticação do usuário ou ambos.

Dica

EAP não fornecem mecanismos que executar autenticação dupla — ou seja, a autenticação do computador que está sendo usado para acessar a rede e o usuário que está tentando se conectar. Por esse motivo, você não precisa emitir certificados de computador e usuário ao implantar o EAP e PEAP com tipos de autenticação baseada em certificado.

Há dois métodos para implantar certificados de computador e usuário do cliente:

  • Usando cartões inteligentes. Quando você implantar certificados usando cartões inteligentes, você deve comprar hardware adicional para registrar certificados na identificação de usuário ou outras placas que seus funcionários usam para fazer logon rede. Além disso, os usuários devem ser fornecidos com leitores de cartão inteligente, que são usados para ler o certificado é impressa no cartão inteligente quando eles fizerem logon.

    Importante

    Este guia fornece informações sobre como implantar certificados de computador e usuário do cliente com cartões inteligentes.

  • Usando o registro automático. Quando você implanta certificados usando o registro automático, você pode configurar a autoridade de certificação para registrar automaticamente certificados para computadores que são membros do grupo de computadores do domínio e os usuários que são membros do grupo usuários do domínio. Nenhum hardware adicional é necessária para registrar os certificados, como os certificados são armazenados no computador que está se conectando à rede. Quando um computador recebe um certificado de computador ou usuário da autoridade de certificação, o certificado é armazenado localmente em um repositório de dados denominado repositório de certificados.

Importante

Você deve registrar certificados somente para os computadores e usuários a quem você deseja conceder acesso à rede por meio de clientes RADIUS. Você não precisa registrar automaticamente certificados para todos os membros dos grupos de usuários de domínio e computadores do domínio. Em vez disso, você pode emitir certificados para subconjuntos de grupos de usuários de domínio e computadores do domínio, como a equipe de vendas ou o departamento de contabilidade. Para registrar certificados para outros grupos, crie os grupos e, em seguida, adicionar membros a grupos no Active Directory Users and Computers. No snap-in Modelos de certificado, remova os grupos de usuários de domínio ou computadores do domínio na lista de controle de acesso (ACL) nos modelos de certificado (o modelo de usuário e o modelo de autenticação de estação de trabalho, respectivamente), e, em seguida, adicione os grupos que você criou para o modelo.

Armazenamento de certificados

Em computadores que executam o sistema operacional Windows, os certificados instalados no computador são mantidos em uma área de armazenamento denominada o repositório de certificados. O armazenamento de certificado está acessível usando o snap-in de certificados Microsoft Management Console (MMC).

Esse armazenamento contém várias pastas, onde são armazenados os certificados de tipos diferentes. Por exemplo, o repositório de certificados contém uma pasta de autoridades de certificação raiz confiáveis em que os certificados de autoridades de certificação de raiz confiável são mantidos.

Quando sua organização implanta uma PKI e instala um privada autoridade de certificação de raiz confiável usando o AD CS, a autoridade de certificação automaticamente envia seu certificado para todos os computadores membros do domínio da organização. Os computadores cliente e servidor do membro de domínio armazenam o certificado de autoridade de certificação na pasta autoridades de certificação raiz confiáveis no usuário atual e os armazenamentos de certificados do computador Local. Depois disso, os computadores membros do domínio confiam em certificados emitidos pela CA de raiz confiável.

Da mesma forma, quando você registrar automaticamente certificados de computador para computadores cliente membros do domínio, o certificado é mantido no armazenamento de certificados pessoal do computador Local. Quando você registrar automaticamente certificados para usuários, o certificado do usuário é mantido no armazenamento de certificados pessoais do usuário atual.

EAP

O protocolo EAP estende o protocolo PPP, pois permite métodos arbitrários de autenticação que usam credenciais e troca de informações de comprimentos arbitrários. O EAP foi desenvolvido em resposta à demanda por métodos de autenticação que usam dispositivos de segurança como cartões inteligentes, cartões de token e calculadoras de criptografia. O EAP oferece uma arquitetura de padrão industrial para suporte a métodos de autenticação adicionais dentro do PPP.

Com o EAP, um mecanismo de autenticação arbitrário é usado para verificar as identidades do cliente e no servidor que estão estabelecendo uma conexão de acesso de rede. O esquema de autenticação a ser usado é negociado pelo cliente de acesso e o autenticador (o servidor de acesso de rede ou o servidor RADIUS).

Para uma autenticação bem-sucedida ocorra, o cliente de acesso de rede e o autenticador (como o servidor que executa o NPS) devem suportar o mesmo tipo EAP.

Importante

Tipos de EAP de alta segurança (como aqueles baseados em certificados) oferecem melhor proteção contra ataques de força bruta, ataques de dicionário e ataques de protocolos de autenticação baseada em senha (como CHAP ou MS-CHAP versão 1) de adivinhação de senha.

EAP em Windows Server 2012

Windows Server 2012 inclui uma infra-estrutura EAP, dois tipos de EAP e a capacidade de passar mensagens EAP para um servidor RADIUS (EAP-RADIUS), como NPS.

Usando o EAP, você pode dar suporte a esquemas de autenticação adicionais, conhecidas como tipos EAP. Os tipos de EAP que são suportados pelo Windows Server 2012 são:

  • Layer Security (TLS) de transporte. EAP-TLS requer o uso de certificados de computador ou certificados de usuário, além de certificados de servidor registrados em computadores que executam o NPS.

  • Microsoft Challenge Handshake Authentication Protocol versão 2 (MS-CHAP v2). Esse tipo EAP é um protocolo de autenticação baseada em senha. Quando usado dentro de EAP como o método de autenticação EAP-MS-CHAP v2, servidores NPS e RRAS fornecem um certificado de servidor como prova de identidade para computadores cliente, enquanto os usuários comprovem sua identidade com um nome de usuário e senha.

  • Encapsulado Transport Layer Security (TTLS). EAP-TTLS é novo no Windows Server 2012 e não está disponível em outras versões do Windows Server. O EAP-TTLS é um método de encapsulamento EAP baseado em padrões que aceita autenticação mútua. Ele gera um túnel seguro para a autenticação do cliente usando métodos de EAP e outros protocolos herdados. Além disso, o EAP-TTLS também pode ser configurado em computadores cliente para soluções de acesso à rede nas quais servidores RADIUS que não são da Microsoft e que oferecem suporte ao EAP-TTLS são usados para autenticação.

Além disso, você pode instalar outros módulos EAP não - Microsoft no servidor executando o NPS ou roteamento e acesso remoto para fornecer outros tipos de autenticação EAP. Na maioria dos casos, se você instalar tipos EAP adicionais em servidores, também instale componentes de autenticação do cliente EAP correspondentes nos computadores cliente para que o cliente e o servidor podem negociar com êxito um método de autenticação a ser usado para solicitações de conexão.

PEAP

O PEAP usa o TLS para criar um canal criptografado entre um cliente PEAP de autenticação, como um computador sem fio e um autenticador PEAP, como um servidor executando NPS ou outro servidor RADIUS.

O PEAP não especifica um método de autenticação, mas ele fornece segurança adicional para outros protocolos de autenticação EAP (como o EAP-MSCHAP v2) que podem operar pelo canal criptografado TLS fornecido pelo PEAP. O PEAP é usado como um método de autenticação para clientes de acesso que estão se conectando à rede da sua organização os seguintes tipos de servidores de acesso à rede:

  • Pontos de acesso sem fio 802.1 X capaz

  • Comutadores de autenticação 802.1 X capaz

  • Computadores que executam o Windows Server 2012 ou Windows Server 2008 R2 e RRAS que são configurados como servidores VPN

  • Computadores que executam o Windows Server 2012 ou Windows Server 2008 R2 e o Gateway de área de trabalho remota

Recursos do PEAP

Para aprimorar a segurança de rede e protocolos EAP, PEAP fornece:

  • Um canal TLS que oferece proteção para a negociação do método EAP que ocorre entre o cliente e servidor. Esse canal TLS ajuda a impedir que um invasor insira pacotes entre o cliente e o servidor de acesso de rede para fazer com que a negociação de um tipo EAP menos seguro. O canal TLS criptografado também ajuda a impedir ataques negação de serviço contra o servidor NPS.

  • Suporte para a fragmentação e reagrupamento de mensagens, que permite o uso de tipos EAP que não fornecem essa funcionalidade.

  • Clientes com a capacidade de autenticar o NPS ou outro servidor RADIUS. Como o servidor também autentica o cliente, ocorre a autenticação mútua.

  • Proteção contra a implantação de um ponto de acesso sem fio não autorizadas no momento em que o cliente EAP autentica o certificado fornecido pelo servidor que executa o NPS. Além disso, o segredo mestre TLS criado pelo autenticador PEAP e o cliente não é compartilhado com o ponto de acesso. Por isso, o ponto de acesso não pode descriptografar as mensagens protegidas pelo PEAP.

  • Reconexão rápida do PEAP, que reduz o atraso entre uma solicitação de autenticação por um cliente e a resposta do NPS ou outro servidor RADIUS. A reconexão rápida também permite que clientes sem fio se movam entre os pontos de acesso configurados como clientes RADIUS para o mesmo servidor RADIUS, sem solicitações repetidas de autenticação. Isso reduz os requisitos de recurso para o cliente e o servidor e minimiza o número de vezes que os usuários são solicitados para credenciais.

Visão geral de implantação do EAP-TLS e PEAP-TLS

A seguir estão as etapas gerais para implantar o EAP-TLS ou PEAP-TLS:

  • Implante servidores de acesso de rede (clientes RADIUS) EAP e compatíveis com RADIUS.

  • Registrar automaticamente certificados de servidor para servidores NPS e, se aplicável, servidores de roteamento e acesso remoto VPN.

  • Registrar automaticamente certificados de computador, certificados de usuário, ou ambos, para computadores membros do domínio e usuários, respectivamente, ou a outros grupos que você criou.

  • Configure servidores de acesso à rede como clientes RADIUS no NPS.

  • Configure a autenticação de EAP na diretiva de rede NPS ou RRAS.

  • Certifique-se de que os computadores cliente oferecer suporte a EAP. Por padrão, Windows® 8, Windows ® 7, e Windows Vista® suporte a EAP.

Política de Grupo

Política de Grupo é uma infraestrutura do Windows Server 2012 usada para fornecer e aplicar uma ou mais configurações desejadas ou configurações de política a um conjunto de usuários e computadores de destino dentro de um ambiente do Active Directory. Essa infraestrutura consiste em um mecanismo de Política de Grupo e em várias CSEs (Extensões do Lado do Cliente) responsáveis pela leitura de configurações de política nos computadores cliente de destino. Diretiva de grupo é usada neste cenário para registrar e distribuir certificados para usuários, computadores ou ambos.