Orientação Sobre Autoridade de Certificação

 

Publicado: setembro de 2016

Aplica-se A: Windows Server 2012 R2, Windows Server 2012

Uma autoridade de certificação (AC) é responsável por atestar a identidade dos utilizadores, computadores e organizações. A AC efetua a autenticação de uma entidade e responde por essa identidade emitindo um certificado com assinatura digital. A AC também pode gerir, revogar e renovar certificados.

Uma autoridade de certificação pode referir-se ao seguinte:

• Uma organização que responde pela identidade de um utilizador final

• Um servidor utilizado pela organização para emitir e gerir certificados

Ao instalar o serviço de função Autoridade de Certificação dos Serviços de Certificados do Active Directory (AD CS), pode configurar o Windows Server para agir como uma AC.

Antes de instalar o serviço de função AC, tem de:

1. Planear uma infraestrutura de chaves públicas (PKI) adequada para a sua organização.

2. Instalar e configurar um Módulo de Hardware de Segurança (HSM) em conformidade com as instruções do fornecedor HSM, se estiver a planear utilizar um.

3. Criar um CAPolicy.inf adequado, se pretender modificar as predefinições de instalação.

Planear uma PKI

Para se certificar de que a organização pode tirar o máximo partido da sua instalação dos Serviços de Certificados do Active Directory (AD CS),tem de planear a implementação da PKI adequadamente. Deve determinar quantas ACs instalará e em que configuração antes de instalar qualquer AC. Criar um design de PKI adequado pode ser demorado, mas é importante para o êxito da sua PKI.

Para mais informações e recursos, consulte PKI Design Guidance (Orientação Sobre a Estrutura de PKI) no Microsoft TechNet.

Utilizar um HSM

A utilização de um módulo de hardware de segurança (HSM) pode melhorar a segurança da AC e da PKI.

Um HSM é um dispositivo de hardware dedicado gerido separadamente do sistema operativo. Estes módulos fornecem um arquivo de hardware seguro para chaves de AC, além de um processador criptográfico dedicado para acelerar as operações de assinatura de encriptação. O sistema operativo utiliza o HSM através das interfaces CryptoAPI e o HSM funciona como um dispositivo de fornecedor de serviços de criptografia (CSP).

Normalmente, os HSMs são adaptadores PCI, mas também estão disponíveis como aplicações baseadas na rede, dispositivos de série e dispositivos USB. Se uma organização planear implementar duas ou mais ACs, pode instalar um único HSM baseado na rede e partilhá-lo entre várias ACs.

Para configurar uma AC utilizando um HSM, o HSM tem de ser instalado e configurado antes de configurar quaisquer ACs com chaves que serão armazenadas no HSM.

Considerar um ficheiro CAPolicy.inf

O ficheiro CAPolicy.inf não é necessário para instalar o AD CS, mas pode ser utilizado para personalizar as definições da AC. O ficheiro CAPolicy.inf contém várias definições que são utilizadas na instalação de uma AC ou na renovação do certificado da AC. O ficheiro CAPolicy.inf tem de ser criado e estar armazenado no diretório %systemroot% (normalmente, C:\Windows) para poder ser utilizado.

As definições que incluir no ficheiro CAPolicy.inf dependem grande parte do tipo de implementação que pretende criar. Por exemplo, uma AC de raiz pode ter um ficheiro de CAPolicy.inf com o seguinte aspeto:

[Version]  
Signature= "$Windows NT$"  
[Certsrv_Server]  
RenewalKeyLength=4096  
RenewalValidityPeriod=Years  
RenewalValidityPeriodUnits=20  
LoadDefaultTemplates=0  
  

Enquanto que um ficheiro CAPolicy.inf para uma empresa que esteja a emitir uma AC pode ter este aspeto:

[Version]  
Signature= "$Windows NT$"  
[PolicyStatementExtension]  
Policies = LegalPolicy, LimitedUsePolicy  
[LegalPolicy]  
OID = 1.1.1.1.1.1.1.1.1  
URL = "https://www.contoso.com/pki/Policy/USLegalPolicy.asp"  
URL = "ftp://ftp.contoso.com/pki/Policy/USLegalPolicy.txt"  
[LimitedUsePolicy]  
OID = 2.2.2.2.2.2.2.2.2  
URL = "https://www.contoso.com/pki/Policy/USLimitedUsePolicy.asp"  
URL = "ftp://ftp.contoso.com/pki/Policy/USLimitedUsePolicy.txt"  
LoadDefaultTemplates=0  
  

Selecionar as definições de configuração da AC

As secções seguintes descrevem as opções de configuração que irá selecionar depois de instalar os ficheiros de instalação binários da AC.

Selecionar o tipo de configuração

As ACs Empresariais estão integradas nos Serviços de Domínio do Active Directory (AD DS). Publicam certificados e listas de revogação de certificados (CRLs) no AD DS. As ACs Empresariais utilizam informações armazenadas no AD DS, incluindo contas de utilizador e grupos de segurança, para aprovar ou recusar pedidos de certificado. As ACs Empresariais utilizam modelos de certificado. Quando é emitido um certificado, a AC Empresarial utiliza informações no modelo de certificado para gerar um certificado com os atributos adequados para esse tipo de certificado.

Se pretender ativar a aprovação automatizada de certificados e a inscrição automática de certificados de utilizador, utilize ACs Empresariais para emitir certificados. Estas funcionalidades estão disponíveis apenas quando a infraestrutura da AC está integrada no Active Directory. Além disso, apenas ACs Empresariais podem emitir certificados que permitam o início de sessão de smart card, porque este processo requer que os certificados de smart card sejam mapeados automaticamente para as contas de utilizador no Active Directory.

As ACs autónomas não requerem o AD DS e não utilizam modelos de certificado. Se utilizar ACs autónomas, todas as informações sobre o tipo de certificado solicitado têm de ser incluídas no pedido de certificado. Por predefinição, todos os pedidos de certificado submetidos às ACs autónomas são guardados numa fila pendente até serem aprovados por um administrador da AC. Pode configurar ACs autónomas para emitir certificados automaticamente mediante pedido, mas é uma situação menos segura e normalmente não é recomendada porque os pedidos não são autenticados.

De uma perspetiva de desempenho, a utilização de ACs autónomas com emissão automática permite emitir certificados mais rapidamente do que com ACs empresariais. No entanto, a menos que esteja a utilizar a emissão automática, a utilização de ACs autónomas para emitir grandes volumes de certificados normalmente tem um custo administrativo elevado, porque um administrador tem de rever e, em seguida, aceitar ou recusar manualmente cada pedido de certificado. Por este motivo, as ACs autónomas devem ser utilizadas com aplicações de segurança de chave pública em extranets e na Internet, quando os utilizadores não têm contas de utilizador e quando o volume de certificados a emitir e a gerir é relativamente baixo.

Tem de utilizar ACs autónomas para emitir certificados quando estiver a utilizar um serviço de diretório não Microsoft ou quando o AD DS não estiver disponível. Pode utilizar tanto autoridades de certificação empresariais como autónomas na sua organização, tal como explicado na tabela seguinte.

Opção	AC empresarial	AC autónoma
Publicar certificados no Active Directory e utilizar o Active Directory para validar pedidos de certificado.	Sim	Não
Colocar a AC offline.	Não recomendado	Sim
Configurar a AC para emitir certificados automaticamente.	Sim	Não recomendado
Permitir aos administradores aprovar pedidos de certificado manualmente.	Sim	Sim
Permitir a utilização de modelos de certificado.	Sim	Não
Autenticar pedidos no Active Directory.	Sim	Não

Escolher o tipo de AC

As ACs empresariais e autónomas podem ser configuradas como ACs de raiz ou ACs subordinadas. As ACs subordinadas também podem ser configuradas como ACs intermédias (também conhecidas como ACs de política) ou ACs emissoras

Designar uma AC de raiz

Uma AC de raiz é a AC que está no topo de uma hierarquia de certificação. Tem de ser fidedigna incondicionalmente pelos clientes na sua organização. Todas as cadeias de certificados terminam numa AC de raiz. Se utilizar ACs empresariais ou autónomas, tem de designar uma AC de raiz.

Uma vez que a AC de raiz é a AC superior na hierarquia de certificação, o campo Requerente do certificado emitido por uma AC de raiz tem o mesmo valor que o campo Emissor do certificado. Da mesma forma, uma vez que a cadeia de certificados termina quando chega a uma AC autoassinada, todas as ACs autoassinadas são ACs de raiz. A decisão de designar uma AC como uma AC de raiz fidedigna pode ser efetuada ao nível da empresa ou localmente pelo administrador de TI individual.

Uma AC de raiz serve como a fundação na qual baseia o seu modelo de fidedignidade de autoridade de certificação. Esta situação garante que a chave pública do requerente corresponde às informações de identidade mostradas no campo de requerente dos certificados que emite. ACs diferentes também podem verificar esta relação utilizando normas diferentes; assim, é importante compreender as políticas e os procedimentos da autoridade de certificação de raiz antes de optar por confiar nessa autoridade para verificar chaves públicas.

A AC de raiz é a AC mais importante na sua hierarquia. Se a AC de raiz ficar comprometida, todas as ACs na hierarquia e todos os certificados emitidos a partir da mesma são considerados comprometidos. Pode maximizar a segurança da AC de raiz mantendo-a desligada da rede e utilizando ACs subordinadas para emitir certificados para outras ACs subordinadas ou utilizadores finais.

ACs subordinadas

As ACs que não sejam de raiz são consideradas subordinadas. A primeira AC subordinada numa hierarquia obtém o respetivo certificado de AC a partir da AC de raiz. Esta primeira AC subordinada pode utilizar esta chave para emitir certificados que verifiquem a integridade de outra AC subordinada. Estas ACs subordinadas superiores são denominadas ACs intermédias. Uma AC intermédia é subordinada de uma AC de raiz, mas serve de autoridade de certificação superior para uma ou mais ACs subordinadas.

Uma AC intermédia é geralmente referida como uma AC de política porque ser normalmente utilizada para separar classes de certificados que podem ser distinguidas pelas políticas. Por exemplo, a separação de política inclui o nível de garantia dado por uma AC ou a localização geográfica da AC para distinguir populações de entidade final diferentes. Uma AC de política pode estar online ou offline.

Armazenar uma chave privada

A chave privada faz parte da identidade da AC e deve ser protegida de comprometimento. Muitas organizações protegem as chaves privadas de AC utilizando um módulo de hardware de segurança (HSM). Se não for utilizado um HSM, a chave privada é armazenada no computador da AC. Para mais informações, consulte Hardware Security Module (HSM) (Módulo de Hardware de Segurança (HSM)) no Microsoft TechNet.

As ACs offline devem ser armazenadas em localizações seguras e não ligadas à rede. As ACs emissoras utilizam as chaves privadas na emissão de certificados, pelo que a chave privada tem de estar acessível (online) durante o funcionamento da AC. Em todos os casos, a AC e a respetiva chave privada na AC devem ser protegidas fisicamente.

Localizar uma chave existente

Se já tiver uma chave privada que pretenda utilizar durante a instalação, pode utilizar o ecrã Chave Existente para localizar essa chave. Pode utilizar o botão Alterar para modificar o fornecedor de serviços de criptografia e, opcionalmente, a AC para a qual pretende procurar uma chave existente.

Localizar um certificado existente

Se já tiver um certificado com a chave privada para a AC, pode utilizar o ecrã Certificado Existente para localizá-lo. Pode utilizar o botão Importar para abrir a caixa de diálogo Importar Certificado Existente e, em seguida, localize o ficheiro PKCS #12 existente.

Selecionar opções criptográficas

A seleção de opções criptográficas para uma autoridade de certificação (AC) pode ter implicações de segurança, desempenho e compatibilidade significativas para essa AC. Embora as opções criptográficas predefinidas possam ser adequadas para a maioria das ACs, a capacidade de implementar opções personalizadas pode ser úteis para administradores e programadores de aplicações com uma compreensão mais avançada relativamente à criptografia e à necessidade desta flexibilidade. As opções criptográficas podem ser implementadas utilizando fornecedores de serviços criptográficos (CSPs) ou fornecedores de armazenamento de chaves (KSPs).

Os CSPs são componentes de hardware e software em sistemas operativos Windows que fornecem funções criptográficas genéricas. Os CSPs podem ser escritos para fornecer uma variedade de tipos de encriptação e algoritmos de assinatura.

Os KSPs podem fornecer uma proteção forte de chaves para computadores com uma versão de servidor mínima do Windows Server 2008 R2 e uma versão de cliente mínima do Windows Vista.

Permitir a interação do administrador quando a chave privada é acedida pela AC é uma opção normalmente utilizada com módulos de hardware de segurança (HSMs). Isto permite ao fornecedor de serviços de criptografia pedir ao utilizador uma autenticação adicional quando a chave privada da AC for acedida. Esta opção pode ser utilizada para ajudar a impedir a utilização não aprovada da AC e da respetiva chave privada requerendo que o administrador introduza uma palavra-passe antes de cada operação criptográfica.

Os fornecedores de serviços de criptografia incorporados suportam comprimentos de chaves e algoritmos hash específicos, conforme descrito na tabela seguinte.

Fornecedor de serviços de criptografia	Comprimentos de chaves	Algoritmo hash
Microsoft Base Cryptographic Provider v1.0	- 512 - 1024 - 2048 - 4096	- SHA1 - MD2 - MD4 - MD5
Microsoft Base DSS Cryptographic Provider	- 512 - 1024	SHA1
Microsoft Base Smart Card Crypto Provider	- 1024 - 2048 - 4096	- SHA1 - MD2 - MD4 - MD5
Microsoft Enhanced Cryptographic Provider v1.0	- 512 - 1024 - 2048 - 4096	- SHA1 - MD2 - MD4 - MD5
Microsoft Strong Cryptographic Provider	- 512 - 1024 - 2048 - 4096	- SHA1 - MD2 - MD4 - MD5
RSA#Fornecedor de Armazenamento de Chaves de Software da Microsoft	- 512 - 1024 - 2048 - 4096	- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5
DSA#Fornecedor de Armazenamento de Chaves de Software da Microsoft	- 512 - 1024 - 2048	SHA1
ECDSA_P256#Fornecedor de Armazenamento de Chaves de Software da Microsoft	256	- SHA1 - SHA256 - SHA384 - SHA512
ECDSA_P384#Fornecedor de Armazenamento de Chaves de Software da Microsoft	384	- SHA1 - SHA256 - SHA384 - SHA512
ECDSA_P521#Fornecedor de Armazenamento de Chaves de Software da Microsoft	521	- SHA1 - SHA256 - SHA384 - SHA512
RSA#Fornecedor de Armazenamento de Chaves de Smart Card da Microsoft	- 1024 - 2048 - 4096	- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5
ECDSA_P256#Fornecedor de Armazenamento de Chaves de Smart Card da Microsoft	256	- SHA1 - SHA256 - SHA384 - SHA512
ECDSA_P384#Fornecedor de Armazenamento de Chaves de Smart Card da Microsoft	384	- SHA1 - SHA256 - SHA384 - SHA512
ECDSA_P521#Fornecedor de Armazenamento de Chaves de Smart Card da Microsoft	521	- SHA1 - SHA256 - SHA384 - SHA512

Estabelecer um nome de AC

Antes de configurar autoridades de certificação (ACs) na sua organização, deve estabelecer uma convenção de nomenclatura de AC.

Pode criar um nome utilizando qualquer caráter Unicode, mas pode pretender utilizar o conjunto de carateres ANSI definir se a interoperabilidade for uma preocupação. Por exemplo, determinados tipos de routers não poderão utilizar o Serviço de Inscrição de Dispositivos de Rede para inscrever certificados se o nome da AC contiver carateres especiais, como um caráter de sublinhado.

Nos Serviços de Domínio do Active Directory (AD DS), o nome que especificar quando configurar um servidor como AC torna-se o nome comum da AC e este nome é refletido em cada certificado emitido pela AC. Por este motivo, é importante que não utilize o nome de domínio completamente qualificado para o nome comum da AC. Desta forma, os utilizadores maliciosos que obtenham uma cópia de um certificado não podem identificar e utilizar o nome de domínio completamente qualificado da AC para criar uma potencial vulnerabilidade de segurança.

Para alterar o nome do servidor após a instalação do AD CS, deve desinstalar a AC, alterar o nome do servidor, reinstalar a AC utilizando as mesmas chaves e modificar o registo para usar as chaves de AC e base de dados existentes. Não tem de reinstalar uma AC se mudar o nome de um domínio; no entanto, terá de reconfigurar a AC para suportar a alteração do nome.

Obter um pedido de certificado

Depois de uma autoridade de certificação de raiz (AC) ter sido instalada, muitas organizações instalarão uma ou mais ACs subordinadas para implementar restrições de políticas na infraestrutura de chaves públicas (PKI) e emitir certificados para os clientes finais. A utilização de pelo menos uma AC subordinada pode ajudar a proteger a AC de raiz de exposição desnecessária. Quando instalar uma AC subordinada, tem de obter um certificado da AC principal.

Se a AC principal estiver online, pode utilizar a opção Enviar um pedido de certificado para uma AC principal e selecionar a AC principal pelo nome da AC ou nome do computador.

Se a AC principal estiver offline, deve utilizar a opção Guardar um pedido de certificado no ficheiro no computador de destino. O procedimento será exclusivo para a AC principal. No mínimo, a AC principal deve fornecer um ficheiro com o certificado recém-emitido pela AC subordinada, de preferência com o caminho de certificação completo.

Se obtiver um certificado de AC subordinada que não inclui o caminho de certificação completo, a nova AC subordinada que instalar tem de conseguir criar uma cadeia de ACs válida quando for iniciada. Faça o seguinte para criar um caminho de certificação válido:

• Instale o certificado da AC principal no arquivo de certificados Autoridades de Certificação Intermediárias do computador se a AC principal não for uma AC de raiz.

• Instale os certificados de qualquer outra AC intermediária na cadeia.

• Instale o certificado da AC de raiz no arquivo Autoridades de Certificação de Raiz Fidedigna.

Verificar o período de validade

A criptografia baseada em certificados utiliza a criptografia de chaves públicas para proteger e assinar dados. Ao longo do tempo, os atacantes podiam obter os dados protegidos com a chave pública e tentar derivar a chave privada a partir dos mesmos. Devido ao tempo e recursos suficiente, esta chave privada podia ficar comprometida, desprotegendo efetivamente todos os dados protegidos. De igual modo, os nomes garantidos por um certificado podem ter de ser alterados ao longo do tempo. Uma vez que um certificado é um vínculo entre um nome e uma chave pública, quando qualquer um destes for alterado, o certificado deve ser renovado.

Cada certificado tem um período de validade. Após o fim do período de validade, o certificado já não é considerado uma credencial aceitável ou utilizável.

As ACs não podem emitir certificados válidos além do seu próprio período de validade. A melhor prática é renovar o certificado da AC quando metade do respetivo período de validade tiver expirado. Ao instalar uma AC, deve planear esta data e certificar-se de que é registada como uma tarefa futura.

Escolher uma base de dados de AC

Como em muitas bases de dados, a base de dados da autoridade de certificação é um ficheiro existente na unidade de disco rígido. Além deste ficheiro, outros ficheiros servem de registos de transações e recebem todas as modificações feitas à base de dados antes das alterações serem efetuadas. Uma vez que estes ficheiros podem ser acedidos com frequência e em simultâneo, é melhor manter a base de dados e os registos de transação em unidades de disco rígido separadas ou em configurações de disco de alto desempenho, tais como volumes repartidos.

A localização da base de dados de certificados e os ficheiros de registo são mantidos na seguinte localização de registo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

O registo contém os seguintes valores:

• DBDirectory

• DBLogDirectory

• DBSystemDirectory

• DBTempDirectory

Configurar a AC

Depois de uma AC de raiz ou subordinada estar instalada, tem de configurar as extensões de Acesso a Informações Sobre a Autoridade (AIA) e o ponto de distribuição CRL (CDP) antes de a AC emitir quaisquer certificados. A extensão AIA especifica onde encontrar certificados atualizados da AC. A extensão CDP especifica onde encontrar CRLs atualizados assinados pela AC. Estas extensões aplicam-se a todos os certificados emitidos por essa AC.

A configuração destas extensões assegura que estas informações estão incluídas em cada certificado emitido pela AC para que fiquem disponíveis para todos os clientes. Isto assegura que os clientes PKI obtenham o menor número de falhas possível devido a cadeias de certificados ou revogações de certificados não verificadas, o que pode resultar em ligações de VPN sem êxito, falhas em inícios de sessão de smart card ou assinaturas de e-mail não verificadas.

Como administrador da AC, pode adicionar, remover ou modificar pontos de distribuição CRL e as localizações de emissão de certificados CDP e AIA. A modificação do URL de um ponto de distribuição CRL afeta apenas os certificados recém-emitidos. Os certificados emitidos anteriormente continuarão a referenciar a localização original, motivo pelo qual deve estabelecer estas localizações antes da AC distribuir quaisquer certificados.

Considere estas diretrizes quando configurar URLs de extensão CDP:

• Evite CRLs delta de publicação em ACs de raiz offline. Uma vez que não revoga muitos certificados numa AC de raiz offline, provavelmente um CRL delta não é necessário.

• Ajuste as localizações de URL LDAP:/// e HTTP:// predefinidas no separador Extensões do separador Extensão de Propriedades da autoridade de certificação em conformidade com as suas necessidades.

• Publique um CRL numa localização de Internet ou extranet HTTP para que os utilizadores e as aplicações fora da organização possam efetuar a validação dos certificados. Pode publicar os URLs LDAP e HTTP para localizações CDP para permitir aos clientes obter dados CRL com HTTP e LDAP.

• Não se esqueça de que o clientes Windows obtêm sempre a lista de URLs por ordem sequencial até ser obtido um CRL válido.

• Utilize localizações CDP HTTP para fornecer localizações CRL acessíveis para os clientes com sistemas operativos não Windows.

O Windows PowerShell e o comando certutil suportam números variáveis (precedidos por um sinal de percentagem (%)) para ajudar na publicação de localizações CDP e AIA. O separador Extensão de Propriedades da AC suporta variáveis entre parênteses. A tabela seguinte equaciona as variáveis entre as interfaces e descreve os respetivos significados.

Variável	Nome do separador de extensões	Descrição
%1	<ServerDNSName>	O nome DNS do computador da AC. Se ligado a um domínio DNS, é o nome de domínio completamente qualificado; caso contrário, é o nome de anfitrião do computador.
%2	<ServerShortName>	O nome NetBIOS do servidor da AC
%3	<CaName>	O nome da AC.
%4	<CertificateName>	Isto permite que cada revisão adicional do certificado tenha um sufixo exclusivo.
%4	Nenhum	Não utilizado
%6	<ConfigurationContainer>	A localização do contentor de configuração nos Serviços de Domínio do Active Directory (AD DS)
%7	<CATruncatedName>	O nome da AC truncado para 32 carateres com um hash no final
%8	<CRLNameSuffix>	Isto insere um sufixo no nome de ficheiro ao publicar um CRL num ficheiro ou localização de URL.
%9	<DeltaCRLAllowed>	Quando um CRL delta for publicado, este substitui a variável CRLNameSuffix por um sufixo separado para distinguir o CRL delta do CRL.
%10	<CDPObjectClass>	O identificador de classe do objeto para pontos de distribuição CRL, utilizado quando publicar num URL LDAP.
%11	<CAObjectClass>	O identificador de classe do objeto para uma AC, utilizado quando publicar num URL LDAP.

Publicar a extensão AIA

A extensão AIA indica aos computadores cliente onde podem encontrar o certificado a ser verificado. Isto permite ao cliente confirmar se o certificado pode ser considerado fidedigno.

Pode configurar a extensão AIA utilizando a interface Autoridade de Certificação, o Windows PowerShell ou o comando certutil. A tabela seguinte descreve as opções que pode utilizar com a extensão AIA através destes métodos.

Nome da caixa de verificação da interface	Parâmetro do Windows PowerShell	Valor certutil
Incluir na extensão AIA do certificado emitido	-AddToCertificateAia	2
Incluir na extensão do protocolo OCSP (Online Certificate Status Protocol)	-AddToCertificateOcsp	32

Os exemplos nesta secção para publicar a extensão AIA representam o seguinte cenário:

• O nome de domínio é corp.contoso.com.

• Existe um servidor Web com o nome App1 no domínio.

• App1 tem uma pasta partilhada com o nome PKI que permite permissões de Leitura e Escrita da AC.

• App1 tem um CNAME DNS de www e um diretório virtual partilhado com o nome PKI.

• O primeiro protocolo que os computadores cliente devem utilizar para as informações AIA é HTTP.

• O segundo protocolo que os computadores cliente devem utilizar para as informações AIA é LDAP.

• A AC que está a ser configurada é uma AC emissora online.

• O OCSP não está em utilização.

Utilize a interface para publicar a extensão AIA

A interface utiliza as variáveis e os nomes de caixas de verificação descritos nas tabelas anteriores. Pode aceder à interface através da interface Autoridade de Certificação. A partir do painel de conteúdos, clique com o botão direito do rato na AC, clique em Propriedades e, em seguida, clique em Extensões. Em Selecionar extensão, clique em Acesso a Informações Sobre a Autoridade (AIA).

Figura 1 menu de extensão AIA

As localizações e as definições configuradas na interface de utilizador são as seguintes:

• C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt

• https://www.contoso.com/pki/\<ServerDNSName>_<CaName><CertificateName>.crt

  • Incluir na extensão AIA dos certificados emitidos

• ficheiro://\\App1.corp.contoso.com\pki\<ServerDNSName>_<CaName><CertificateName>.crt

• ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>

  • Incluir na extensão AIA dos certificados emitidos

Utilizar o Windows PowerShell para publicar a extensão AIA

Os comandos do Windows PowerShell seguintes podem ser utilizados para configurar a extensão AIA para o cenário determinado:

$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force};  
Add-CAAuthorityInformationAccess -AddToCertificateAia https://www.contoso.com/pki/%1_%3%4.crt  
Add-CAAuthorityInformationAccess -AddToCertificateAia file://\\App1.corp.contoso.com\pki\%1_%3%4.crt  
Add-CAAuthorityInformationAccess -AddToCertificateAia "ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"  

Utilizar certutil para publicar a extensão AIA

O comando certutil seguinte pode ser utilizado para configurar a extensão AIA para o cenário determinado:

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:https://www.contoso.com/pki/%1_%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"  
  

Publicar a extensão CDP

A extensão CDP indica aos computadores cliente onde podem encontrar o CRL mais recente, para que o cliente possa confirmar que um determinado certificado não foi revogado.

Pode configurar a extensão CDP utilizando a interface Autoridade de Certificação, o Windows PowerShell ou o comando certutil. A tabela seguinte descreve as opções que pode utilizar com a extensão CDP através destes métodos.

Nome da caixa de verificação da interface	Parâmetro do Windows PowerShell	Valor certutil
Publicar CRLs nesta localização	-PublishToServer	1
Incluir em todos os CRLs. (Especifica onde publicar no Active Directory quando publicar manualmente.)	-AddToCrlCdp	8
Incluir em CRLs. (Os clientes utilizam esta opção para encontrar as localizações CRL delta.)	-AddToFreshestCrl	4
Incluir na extensão CDP dos certificados emitidos.	-AddToCertificateCdp	2
Publicar CRLs delta nesta localização.	-PublishDeltaToServer	64
Incluir na extensão IDP dos CRLs emitidos.	-AddToCrlIdp	128

Se permitir a publicação de CRLs delta num servidor Web dos Serviços de Informação Internet (IIS), tem de modificar a configuração predefinida do IIS definindo allowDoubleEscaping=true do elemento requestFiltering na secção system.web da configuração do IIS. Por exemplo, se pretender permitir duplo escape para o diretório virtual de PKI do Web site predefinido no IIS, execute o seguinte comando no servidor Web do IIS: appcmd set config "Default Web Site/pki" -section:system.webServer/security/requestFiltering -allowDoubleEscaping:true. Para mais informações, consulte ADCS: Web server should allow URI containing the “+” character to enable publishing of delta CRLs (O servidor Web deve permitir o URI que contém o caráter “+” para ativar a publicação de CRLs delta).

Os exemplos nesta secção para publicação de extensão CDP representam o cenário a seguir:

• O nome de domínio é corp.contoso.com.

• Existe um servidor Web com o nome App1 no domínio.

• App1 tem uma pasta partilhada com o nome PKI que permite permissões de Leitura e Escrita da AC.

• App1 tem um CNAME DNS de www e um diretório virtual partilhado com o nome PKI.

• O primeiro protocolo que os computadores cliente devem utilizar para as informações CDP é HTTP.

• O segundo protocolo que os computadores cliente devem utilizar para as informações CDP é LDAP.

• A AC que está a ser configurada é uma AC emissora online.

• O IDP não está em utilização.

Utilize a interface para publicar a extensão CDP

A interface utiliza as variáveis e os nomes de caixas de verificação descritos nas tabelas anteriores. Pode aceder à interface através da interface Autoridade de Certificação. A partir do painel de conteúdos, clique com o botão direito do rato na AC, clique em Propriedades e, em seguida, clique em Extensões. Em Selecionar extensão, clique em Ponto de Distribuição CRL (CDP).

Figura 2 menu de extensão CDP

As localizações e as definições configuradas na interface são as seguintes:

• C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Publicar CRLs nesta localização

  • Publicar CRLs delta nesta localização

• https://www.contoso.com/pki/\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Incluir em CRLs. Os clientes utilizam esta opção para encontrar localizações CRL delta.

  • Incluir na extensão CDP dos certificados emitidos

• ficheiro://\\App1.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Publicar CRLs nesta localização

  • Publicar CRLs delta nesta localização

• ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>

  • Incluir em todos os CRLs. Especifica onde publicar no Active Directory quando publicar manualmente.

  • Incluir na extensão CDP dos certificados

Utilizar o Windows PowerShell para publicar a extensão CDP

Os comandos do Windows PowerShell seguintes são utilizados para configurar a extensão CDP para o cenário determinado:

$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-CACrlDistributionPoint $crl.uri -Force};  
Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\%3%8%9.crl -PublishToServer -PublishDeltaToServer  
Add-CACRLDistributionPoint -Uri https://www.contoso.com/pki/%3%8%9.crl -AddToCertificateCDP -AddToFreshestCrl  
Add-CACRLDistributionPoint -Uri file://\\App1.corp.contoso.com\pki\%3%8%9.crl -PublishToServer -PublishDeltaToServer  
Add-CACRLDistributionPoint -Uri "ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10" -AddToCrlCdp -AddToCertificateCdp  

Utilizar certutil para publicar a extensão CDP

O comando certutil seguinte pode ser utilizado para configurar a extensão CDP para o cenário determinado:

certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n6:https://www.contoso.com/pki/%3%8%9.crl\n65:file://\\App1.corp.contoso.com\pki\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"  

Para publicar o CRL, pode executar o comando certutil -crl na AC a partir de Windows PowerShell ou de uma linha de comandos executar como administrador. Para mais informações sobre a configuração e publicação de CRLs, consulte Configuring Certificate Revocation (Configurar a Revogação de Certificados).

Verificar a configuração

Para verificar a configuração da AC, pode executar os seguintes comandos a partir do Windows PowerShell ou de uma janela da Linha de Comandos:

Comando	Descrição
Certutil -CAInfo	Mostra o estado dos nomes, região, identificadores de objetos (OIDs) e CRLs da AC.
Certutil -getreg	Apresenta a configuração de registo da AC.
Certutil -ADCA	Confirma a configuração de ACs empresariais.

Pode utilizar a ferramenta Enterprise PKI View (PKIView.msc) para verificar as configurações da publicação de AIA e CDP. Para mais informações, consulte Enterprise PKI (PKI de Empresa).

Também pode utilizar o serviço de função Dispositivo de Resposta Online para verificar a revogação de certificados. Para mais informações sobre o Dispositivo de Resposta Online, consulte Online Responder Installation, Configuration, and Troubleshooting Guide (Guia de Instalação, Configuração e Resolução de Problemas do Dispositivo de Resposta Online).

Conteúdo relacionado

• Fórum de Segurança do Windows Server

• Perguntas Mais Frequentes (FAQ) sobre a Infraestrutura de Chaves Públicas (PKI) dos Serviços de Certificados do Active Directory (AD CS)

• Referência de Documentação e Biblioteca do Windows PKI

• Blogue do Windows PKI