Introdução
Neste tutorial, explicarei como configurar uma autoridade de certificação corporativa vinculada a um Active Directory, diferentemente da autoridade de certificação autônoma.
Este tipo de autoridade certificadora permite automatizar a geração de certificados com submissão direta à CA. Para emitir automaticamente certificados de computador e de usuário para, por exemplo, proteger o acesso VPN com Windows NPS.
De uma autoridade de certificação corporativa, você também pode solicitar certificados para servidores web, firewalls para descriptografia SSL, assinatura de código, etc.
Pré-requisitos
Um servidor Windows:
- Ingressou no domínio do Active Directory
- Com um endereço IP fixo
A função AD CS não deve ser instalada em um controlador de domínio. Recomenda-se dedicar um servidor para esta função
Instalando a função AD CS
No gerenciador do servidor, inicie o assistente de instalação clicando em Adicionar funções de recurso 1.
Ao iniciar o assistente, clique em Próximo 1.
Escolha a opção Instalação baseada em uma função ou funcionalidade 1 e clique em Avançar 2.
Selecione o servidor 1 onde deverá ser realizada a instalação da função AD CS e clique em Próximo 2.
Marque a caixa da função Servidor de Certificados do Active Directory 1.
Clique em Adicionar recursos 1 para adicionar ferramentas administrativas.
Com a função AD CS selecionada, clique em Próximo 1.
Ignore a lista de recursos clicando em Próximo 1.
Um resumo da função do AD CS é exibido. Clique em Avançar 1.
Verifique os serviços de Autoridades Certificadoras 1 e Registro de Autoridade Certificadora via Web 2 e clique em Avançar 3.
O serviço de autoridade certificadora nos permitirá gerar certificados, o registro via web permitirá ao usuário solicitar certificados através de uma interface gráfica em um navegador.
O registro na Web é baseado na função do IIS. Clique em Avançar 1 para ignorar o resumo da função do IIS.
Clique em Próximo 1 para validar os serviços que serão instalados para o IIS.
Confirme a instalação clicando em Instalar 1.
Aguarde enquanto instala…
Assim que a instalação for concluída, saia do assistente clicando em Fechar 1.
Configurando a Autoridade de Certificação
Agora que a função AD CS está instalada no servidor, configuraremos o serviço para ser uma autoridade de certificação corporativa.
No Gerenciador do Servidor, clique no ícone de notificação e em Configurar Serviços de Certificados do Active Directory 1 para abrir o assistente de configuração.
Indique a conta de usuário 1 para a configuração e clique em Próximo 2.
Para configurar uma CA corporativa vinculada ao Active Directory, a conta deve ser membro do grupo Administradores Corporativos.
Verifique os dois serviços 1 que foram instalados e clique em Próximo 2.
Escolha o tipo de Autoridade de Certificação Corporativa 1 e clique em Próximo 2.
Ao contrário de uma autoridade de certificação autônoma que pode estar off-line, o servidor da autoridade de certificação corporativa deve permanecer ligado.
Choisir l’option Autorité de certification racine 1 et cliquer sur Suivant 2.
Se você tiver uma autoridade de certificação autônoma e quiser configurar uma hierarquia de PKI, deverá escolher a opção Autoridade de certificação secundária. Após a configuração, você será solicitado a construir usando autoridade root.
Selecione Criar chave privada 1 e clique em Próximo 2.
Configure a criptografia da chave 1 e clique em Próximo 2.
Configure o período de validade 1 e clique em Próximo 2.
Se necessário, modifique a localização dos bancos de dados e clique em Próximo 1.
Valide as informações e clique em Configurar 1.
Assim que a configuração for concluída, clique em Fechar 1 para sair do assistente.
Administração de Autoridade de Certificação – ADCS
No servidor onde a função está instalada, um console da Autoridade de Certificação está disponível.
O console de administração da autoridade de certificação apresenta diversas pastas que conterão os certificados e também os modelos.
Voltaremos com mais detalhes aos diferentes arquivos seguindo o tutorial durante as diferentes manipulações.
Para acessar as configurações do serviço, clique com o botão direito no servidor 1 e depois clique em Propriedades 2.
As duas guias, exceto em casos especiais que são modificados regularmente, são:
Extensões: que permite configurar locais de revogação de certificados.
Auditoria: que permite ativar o registro de eventos.
Exportar e instalar o certificado de autoridade
Antes de começar a gerar certificados com a autoridade de certificação, você deve exportar o certificado para instalá-lo nos computadores do domínio. Ao instalar o certificado nos computadores evita-se a mensagem de erro nos navegadores de internet e permite o funcionamento de serviços como gateway RDS, VPN SSTP, etc.
Certificado de autoridade de exportação
Acesse o console mmc certlm disponível de diversas maneiras.
No console, vá para Autoridade de certificação raiz confiável 1 e depois para Certificados 2 e procure por esta autoridade. Clique com o botão direito sobre ele 3 e vá para Todas as Tarefas 4 / Exportar 5.
Ao iniciar o assistente de exportação, clique em Próximo 1.
Escolha o formato de exportação 1 e clique em Próximo 2.
Indique o local e o nome do arquivo de exportação do certificado 1 e clique em Avançar 2.
Clique em Concluir 1 para fechar o assistente.
Uma mensagem aparece indicando que a exportação foi bem-sucedida, clique em OK 1 para fechá-la.
O certificado é exportado.
Instalar manualmente o certificado em computadores de domínio
Agora que temos o arquivo, devemos implantá-lo nas estações de trabalho do domínio. É possível fazer isso por GPO ou instalar manualmente.
Copie o arquivo para um computador onde deverá ser instalado, clique com o botão direito sobre ele 1 e clique em Instalar certificado 2.
Um assistente é iniciado para realizar a importação, escolha o local Computador Local 1 e clique em Avançar 2.
Selecione o armazenamento Autoridades de certificação raiz confiáveis 1 e clique em Avançar 2.
Clique em Concluir 1 para importar o certificado.
Será exibida uma mensagem indicando que a importação foi bem-sucedida, clique em OK 1.
O computador agora pode usar certificados originados da autoridade de certificação corporativa.
Solicite um certificado da autoridade de certificação
Gere um certificado no console de Certificados
Nesta parte, veremos como solicitar um certificado do console de Certificados MMC de um computador membro do domínio do Active Directory. A conta usada é membro do grupo Administradores de Domínio.
Para ilustrar o tutorial, geraremos um certificado de Computador que será usado para conexões de Área de Trabalho Remota.
No console, vá até a pasta Pessoal 1 e clique com o botão direito na área central e vá em Todas as tarefas 2 e clique em Solicitar um novo certificado 3.
Ao iniciar o assistente, clique em Próximo 1.
Selecione o modelo de certificado Computador 1 e clique em Registro 2.
O certificado foi gerado, clique em Concluir 1.
O certificado já está disponível na loja.
Copie/cole para colocá-lo no armazenamento da Área de Trabalho Remota 1 e exclua o certificado autoassinado do servidor.
É possível visualizar o certificado gerado na autoridade certificadora a partir do console de administração na pasta Certificados emitidos.
Para usar o certificado, você deve fazer este pedido :wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<certificate thumbprint>"
Solicitar certificado do IIS
Nesta parte veremos como solicitar um certificado de domínio usando o console do IIS. Para entrar em contato com a autoridade de certificação corporativa, o servidor deve ser membro do domínio.
No console IIS de um servidor, clique em Certificados de Servidor 1.
Clique com o botão direito na área de certificados e clique em Criar certificado de domínio 1 ou acesse o menu Ações.
Insira as informações do certificado 1, o nome comum contém o endereço que irá identificar. É possível criar um certificado para outro domínio. Clique em Próximo 2.
Agora você deve escolher a autoridade certificadora da empresa, clicar em Selecionar 1.
Escolha autoridade 1 e clique em OK 2.
Com a autoridade selecionada, insira o nome amigável do servidor 1 e clique em Concluir 2.
O certificado 1 é gerado e está disponível no IIS.
O certificado também está disponível no armazenamento de Certificados Emitidos da Autoridade de Certificação.
Faça uma solicitação de certificado personalizado
Agora que vimos como fazer solicitações de certificado para computadores e sites no IIS, veremos como fazer uma solicitação de certificado personalizada com vários nomes DNS e endereços IP.
No console Certificados de um computador membro do domínio, vá para a pasta Pessoal/Certificados 1. Clique com o botão direito na área de exibição e vá para Todas as Tarefas 2 / Operações Avançadas 3 e clique em Criar Solicitação Personalizada 4.
Ao iniciar o assistente, clique em Próximo 1.
Selecione a política de registro do Active Directory 1 e clique em Avançar 2.
Escolha o modelo 1 (Web Server) e clique em Próximo 2.
Um resumo do modelo de certificado é exibido, clique em Propriedades 1.
Configure o nome comum do certificado 1 e clique em Adicionar 2.
Agora que o nome comum foi adicionado, na seção Nome alternativo 1, escolha o tipo de DNS 2, insira o nome desejado 3 e clique em Adicionar 4.
Como você pode ver abaixo, é possível adicionar vários nomes DNS. Vamos agora adicionar um endereço IP, escolha o tipo Endereço IP (v4) 1, indique o endereço IP 2 e clique em Adicionar 3.
Agora que o endereço IP foi adicionado, clique em Aplicar 1 e OK 2 para validar as informações do certificado.
Clique em Próximo 1 para continuar a solicitação.
Indique o local e o nome do arquivo 1 (CSR) para salvar a solicitação e clique em Concluir 2.
O arquivo de solicitação foi gerado, agora você precisa enviar a solicitação à autoridade de certificação corporativa. Abra um navegador da Internet e insira a URL http://nome-do-servidor/certsrv/ 1. Clique no link Solicitar um certificado 2.
Clique em solicitação de certificado avançado 1.
Abra o arquivo de consulta com um editor de teste e copie a string 1.
Cole a solicitação 1 no campo Solicitação salva, escolha o modelo 2 e clique em Enviar 3.
Recupere o certificado clicando em Baixar certificado 1.
Retorne ao console de Certificados, vá para Solicitação de registro de certificado 1 / Certificados 2, clique com o botão direito nele e em seguida Todas as tarefas 3 / Importar 4.
Ao iniciar o assistente, clique em Próximo 1.
Selecione o certificado baixado 1 e clique em Próximo 2.
Saia da loja, clique em Próximo 1.
Clique em Concluir 1 para finalizar a importação.
O certificado é gerado e vemos que foi emitido pela autoridade de certificação corporativa.
Agora você pode mover o certificado da loja para Pessoal.
Não é possível por padrão exportar o certificado com sua chave privada, é necessário modificar o modelo.
Crie um modelo de certificado
Dans cette partie, nous allons voir comment créer un modèle de certificat en s’appuyant sur un modèle existant, on va modifier le modèle serveur afin de pouvoir exporter la clef privée pour l’installer par exemple sur un serveur IIS hors domaine.
Abra o Admin Console, clique com o botão direito no armazenamento de modelos de certificado 1 e clique em Gerenciar 2.
Clique com o botão direito no modelo 1 e clique em Duplicar modelo 2.
Nomeie o modelo 1.
Vá até a aba Solicitação 1 Processamento e marque a caixa Permitir exportação da chave privada 2.
Assim que o modelo estiver configurado, clique em Aplicar e OK para salvar as alterações.
De volta ao console de administração da autoridade de certificação, clique com o botão direito na pasta Modelo de certificado 1, vá para Novo 2 e clique em Modelo de certificado para emitir 3 .
Selecione o modelo 1 e clique em OK 2.
O modelo é adicionado à lista 1.
Também está disponível em solicitações.
Registro automático de certificados de usuário e computador – AutoEnroll
Dans cette partie, nous allons voir comment générer des certificats automatiquement pour les postes et ordinateurs du domaine par GPO.
Pré-requisitos para inscrição automática
Para certificados de usuário, alguns pré-requisitos são necessários para que isso funcione.
É necessário que o campo email no Active Directory seja preenchido porque o certificado depende dele.
Crie um modelo de certificado baseado no modelo Usuários, permitindo a inscrição automática para usuários do domínio.
Política de Grupo – GPO
Crie um novo GPO e coloque-o na raiz do domínio para afetar todos os computadores e usuários.
Configurações do computador
Habilitando o registro automático
Configuração do Computador/Políticas/Configurações do Windows/Configurações de Segurança/Políticas de Chave Pública/Clientes de Serviços de Certificados – Registro Automático.
Ative 1 o parâmetro e marque ambas as caixas 2.
Configurando o modelo de certificado
Em Configuração do Computador / Políticas / Configurações do Windows / Configurações de Segurança / Políticas de Chave Pública, clique com o botão direito em Configurações de Solicitação Automática de Certificado 1, vá para Novo 2 e clique em Solicitação Automática de Certificado 3.
Ao iniciar o assistente, clique em Próximo 1.
Escolha o modelo Computador 1 e clique em Próximo 2.
Clique em Concluir 1 para sair do assistente e validar as configurações.
Le modèle a été ajouté au demande automatique.
Configurações do Usuário
Habilitando o registro automático
Configuração do usuário/Políticas/Configurações do Windows/Configurações de segurança/Políticas de chave pública/Clientes de serviços de certificado – Registro automático.
Ative 1 o parâmetro e marque ambas as caixas 2.
Validar cadastro automático
Em um computador membro do domínio, faça login e valide no console de administração da Autoridade de Certificação Corporativa no armazenamento de Certificados Emitidos que os certificados são gerados.
Salve a autoridade de certificação
No console de administração, clique com o botão direito no servidor 1, vá para Todas as Tarefas 2 e clique em Salvar Autoridade de Certificação 3.
Ao iniciar o assistente, clique em Próximo 1.
Selecione os elementos 1 para salvar, indique o local de salvamento 2 e clique em Próximo 3.
Digite uma senha para acessar a chave privada 1 e clique em Próximo 2.
Clique em Concluir 1 para fechar o assistente e realizar o backup.
Verifique se o backup foi bem-sucedido visualizando os arquivos.
