Instalar os certificados digitais no Windows 10 Mobile

  • Artigo

Os certificados digitais associam a identidade de um usuário ou computador a um par de chaves que pode ser usado para criptografar e assinar informações digitais. Os certificados são emitidos por uma autoridade de certificação (CA) que garante a identidade do proprietário do certificado, e eles permitem comunicações de cliente seguro com sites e serviços.

Os certificados no Windows 10 Mobile são usados principalmente para as seguintes finalidades:

  • Para criar um canal seguro usando SSL (Secure Sockets Layer) entre um telefone e um servidor ou serviço Web.
  • Para autenticar um usuário para um servidor proxy inverso que é usado para habilitar o Microsoft Exchange ActiveSync (EAS) para email.
  • Para a instalação e o licenciamento de aplicativos (a partir da Loja do Windows Phone ou um site personalizado de distribuição da empresa).

Instalar certificados usando o Internet Explorer

Um certificado pode ser postado em um site e disponibilizado para os usuários por meio de uma URL acessível ao dispositivo que eles podem usar para baixar o certificado. Quando um usuário acessa a página e toca no certificado, ele é aberto no dispositivo. O usuário pode inspecionar o certificado e, se ele optar por continuar, o certificado será instalado no dispositivo Windows 10 Mobile.

Instalar certificados usando o email

O instalador do certificado do Windows 10 Mobile é compatível com arquivos .cer, .p7b, .pem e .pfx. Para instalar certificados por email, verifique se os seus filtros de email não bloqueiam arquivos .cer. Certificados que são enviados por email aparecem como anexos de mensagens. Quando um certificado é recebido, um usuário pode tocar para revisar o conteúdo e, em seguida, tocar para instalar o certificado. Normalmente, quando um certificado de identidade é instalado, o usuário é solicitado a fornecer a senha (ou frase secreta) que o protege.

Instalar certificados usando o MDM (gerenciamento de dispositivos móveis)

O Windows 10 Mobile dá suporte a certificado raiz, CA e cliente para ser configurado via MDM. Usando o MDM, um administrador pode diretamente adicionar, excluir ou consultar certificados raiz e de autoridade de certificação, e configurar o dispositivo para registrar um certificado de cliente em um servidor de registro de certificado que dá suporte ao protocolo SCEP. Os certificados de cliente registrados no SCEP são usados por Wi-Fi, VPN, email e navegador para autenticação de cliente baseada em certificado. Um servidor MDM também pode consultar e excluir o certificado de cliente registrado no SCEP (incluindo certificados instalados pelo usuário) ou disparar uma nova solicitação de registro antes de o certificado atual expirar.

Aviso  

Não use SCEP para certificados de criptografia para S/MIME. Você deve usar um perfil de certificado PFX para dar suporte a S/MIME no Windows 10 Mobile. Para obter instruções sobre como criar um perfil de certificado PFX no Microsoft Intune, veja Habilitar o acesso aos recursos da empresa usando perfis de certificados com o Microsoft Intune.

 

Mt679135.wedge(pt-br,VS.85).gifProcesso de instalação de certificados usando MDM

  1. O servidor MDM gera a solicitação inicial de registro de certificado incluindo senha de desafio, URL do servidor SCEP e outros parâmetros relacionados ao registro.

  2. A política é convertida para a solicitação de OMA DM e enviada ao dispositivo.

  3. O certificado de autoridade de certificação confiável é instalado diretamente durante a solicitação MDM.

  4. O dispositivo aceita a solicitação de registro de certificado.

  5. O dispositivo gera um par de chaves privada/pública.

  6. O dispositivo se conecta ao ponto voltado para a Internet exposto pelo servidor MDM.

  7. O servidor MDM cria um certificado que é assinado com o certificado de autoridade de certificação adequado e o devolve para o dispositivo.

    Observação  

    O dispositivo dá suporte à função pendente para permitir que o lado do servidor faça uma verificação adicional antes de emitir o certificado. Neste caso, um status pendente é enviado de volta para o dispositivo. O dispositivo contatará o servidor periodicamente, com base na contagem pré-configurada de tentativas e nos parâmetros do período de tentativas. A repetição termina quando:

    Um certificado é recebido com êxito do servidor

    O servidor retorna um erro

    O número de tentativas atinge o limite pré-configurado

     

  8. O certificado é instalado no dispositivo. Navegador, Wi-Fi, VPN, email e outros aplicativos primários têm acesso a esse certificado.

    Observação  

    Se o MDM solicitou que a chave privada fosse armazenada no TPM (Módulo de Processo Confiável) (configurado durante a solicitação de registro), a chave privada será salva no TPM. Observe que o certificado registrado no SCEP protegido por TPM não está protegido por um PIN. No entanto, se o certificado for importado para o KSP (Provedor de Armazenamento de Chaves) do Passport for Work, ele será protegido pelo PIN do Passport.

     

Tópicos relacionados

Configurar S/MIME