Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico contém as seguintes seções.
Componentes de implantação de certificado de servidor
Você pode usar este guia para instalar os Serviços de Certificados do Ative Directory (AD CS) como uma autoridade de certificação (CA) raiz corporativa e para registrar certificados de servidor em servidores que executam o NPS (Servidor de Diretivas de Rede), o RRAS (Serviço de Roteamento e Acesso Remoto) ou o NPS e o RRAS.
Se você implantar o SDN com autenticação baseada em certificado, os servidores deverão usar um certificado de servidor para provar suas identidades a outros servidores, de modo que alcancem comunicações seguras.
A ilustração a seguir mostra os componentes necessários para implantar certificados de servidor em servidores em sua infraestrutura SDN.
Note
Na ilustração acima, vários servidores são representados: DC1, CA1, WEB1 e muitos servidores SDN. Este guia fornece instruções para implantar e configurar CA1 e WEB1 e para configurar DC1, que este guia pressupõe que você já tenha instalado em sua rede. Se ainda não tiver instalado o domínio do Ative Directory, pode fazê-lo utilizando o Guia de Rede Principal do Windows Server 2016.
Para obter mais informações sobre cada item representado na ilustração acima, consulte o seguinte:
CA1 executando a função de servidor AD CS
Nesse cenário, a autoridade de certificação (CA) Enterprise Root também é uma autoridade de certificação emissora. A autoridade de certificação emite certificados para computadores servidores que têm as permissões de segurança corretas para registrar um certificado. Os Serviços de Certificados do Ative Directory (AD CS) estão instalados na CA1.
Para redes maiores ou onde as preocupações de segurança fornecem justificação, pode-se separar as funções de autoridade de certificação raiz e autoridade de certificação emissora e implantar autoridades de certificação subordinadas que atuam como autoridades de certificação emissoras.
Nas implantações mais seguras, a Autoridade de Certificação Raiz da Empresa é colocada offline e fisicamente protegida.
CAPolicy.inf
Antes de instalar o AD CS, configure o arquivo CAPolicy.inf com configurações específicas para sua implantação.
Cópia do modelo de certificado dos servidores RAS e IAS
Ao implantar certificados de servidor, você faz uma cópia do modelo de certificado de servidores RAS e IAS e, em seguida, configura o modelo de acordo com seus requisitos e as instruções neste guia.
Você utiliza uma cópia do modelo em vez do modelo original para que a configuração do modelo original seja preservada para possível uso futuro. Configure a cópia do modelo de servidores RAS e IAS para que a autoridade de certificação possa criar certificados de servidor que emite para os grupos em Usuários e Computadores do Ative Directory que você especificar.
Configuração adicional do CA1
A autoridade de certificação publica uma lista de revogação de certificados (CRL) que os computadores devem verificar para garantir que os certificados que lhes são apresentados como prova de identidade são certificados válidos e não foram revogados. Você deve configurar sua autoridade de certificação com o local correto da CRL para que os computadores saibam onde procurar a CRL durante o processo de autenticação.
WEB1 executando a função de servidor Serviços Web (IIS)
No computador que está executando a função de Servidor Web (IIS), WEB1, deve-se criar uma pasta no Windows Explorer para servir como local de CRL e AIA.
Diretório virtual para CRL e AIA
Depois de criar uma pasta no Windows Explorer, você deve configurar a pasta como um diretório virtual no Gerenciador dos Serviços de Informações da Internet (IIS), bem como configurar a lista de controle de acesso para o diretório virtual para permitir que os computadores acessem o AIA e a CRL depois que eles forem publicados lá.
DC1 executando as funções de servidor AD DS e DNS
DC1 é o controlador de domínio e servidor DNS na sua rede.
Política de domínio padrão da Política de Grupo
Depois de configurar o modelo de certificado na autoridade de certificação, você pode configurar a diretiva de domínio padrão na Diretiva de Grupo para que os certificados sejam registrados automaticamente nos servidores NPS e RAS. A Política de Grupo está configurada no AD DS no servidor DC1.
Registo de recursos de alias DNS (CNAME)
Você deve criar um registro de recurso de alias (CNAME) para o servidor Web para garantir que outros computadores possam localizar o servidor, bem como o AIA e a CRL armazenados no servidor. Além disso, o uso de um registro de recurso CNAME de alias fornece flexibilidade para que você possa usar o servidor Web para outros fins, como hospedagem de sites da Web e FTP.
NPS1 executando o serviço de função Servidor de Diretivas de Rede da função de servidor Serviços de Acesso e Diretiva de Rede
O NPS é instalado quando você executa as tarefas no Guia de Rede Principal do Windows Server 2016, portanto, antes de executar as tarefas neste guia, você já deve ter um ou mais NPSs instalados na rede.
Política de Grupo aplicada e certificado inscrito nos servidores
Depois de configurar o modelo de certificado e o registro automático, você pode atualizar a Diretiva de Grupo em todos os servidores de destino. Neste momento, os servidores registram o certificado do servidor da CA1.
Visão geral do processo de implantação de certificado de servidor
Note
Os detalhes de como executar essas etapas são fornecidos na seção Implantação de certificado de servidor.
O processo de configuração do registro de certificado do servidor ocorre nestas etapas:
Em WEB1, instale a função Servidor Web (IIS).
Em DC1, crie um registro de alias (CNAME) para seu servidor Web, WEB1.
Configure o servidor Web para hospedar a CRL da autoridade de certificação, publique a CRL e copie o certificado da autoridade de certificação raiz corporativa para o novo diretório virtual.
No computador onde pretende instalar o AD CS, atribua ao computador um endereço IP estático, mude o nome do computador, associe o computador ao domínio e, em seguida, inicie sessão no computador com uma conta de utilizador que seja membro dos grupos Administradores do Domínio e Administradores Empresariais.
No computador onde você está planejando instalar o AD CS, configure o arquivo CAPolicy.inf com configurações específicas para sua implantação.
Instale a função de servidor AD CS e execute a configuração adicional da CA.
Copie o certificado de CRL e CA de CA1 para o compartilhamento no servidor Web WEB1.
Na CA, configure uma cópia do modelo de certificado de Servidores RAS e IAS. A autoridade de certificação emite certificados com base em um modelo de certificado, portanto, você deve configurar o modelo para o certificado do servidor antes que a autoridade de certificação possa emitir um certificado.
Configure o registro automático de certificado do servidor na Diretiva de Grupo. Quando você configura o registro automático, todos os servidores especificados com associações de grupo do Ative Directory recebem automaticamente um certificado de servidor quando a Diretiva de Grupo em cada servidor é atualizada. Se você adicionar mais servidores posteriormente, eles também receberão automaticamente um certificado de servidor.
Atualize a Diretiva de Grupo nos servidores. Quando a Diretiva de Grupo é atualizada, os servidores recebem o certificado do servidor, que se baseia no modelo que você configurou na etapa anterior. Esse certificado é usado pelo servidor para provar sua identidade para computadores clientes e outros servidores durante o processo de autenticação.
Note
Todos os computadores membros do domínio recebem automaticamente o certificado da Autoridade de Certificação Raiz Empresarial sem a configuração do registro automático. Esse certificado é diferente do certificado do servidor que você configura e distribui usando o registro automático. O certificado da CA é instalado automaticamente no armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis para todos os computadores membros do domínio, para que eles confiem nos certificados emitidos por essa CA.
Verifique se todos os servidores registraram um certificado de servidor válido.