Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Antes de implantar certificados de servidor, você deve planejar os seguintes itens:
Planeje o local e o nome do diretório virtual no servidor Web
Planejar um registro de alias DNS (CNAME) para seu servidor Web
Planejar a operação de cópia entre a autoridade de certificação e o servidor Web
Planear a configuração do modelo de certificado do servidor na autoridade de certificação
Planejar a configuração básica do servidor
Depois de instalar o Windows Server 2016 nos computadores que você planeja usar como autoridade de certificação e servidor Web, você deve renomear o computador e atribuir e configurar um endereço IP estático para o computador local.
Para obter mais informações, consulte o Guia de Rede Principal do Windows Server 2016.
Planejar o acesso ao domínio
Para fazer logon no domínio, o computador deve ser um computador membro do domínio e a conta de usuário deve ser criada no AD DS antes da tentativa de logon. Além disso, a maioria dos procedimentos neste guia exige que a conta de usuário seja membro dos grupos Administradores de Empresa ou Administradores de Domínio no Active Directory Users and Computers, portanto, deve-se iniciar sessão na autoridade de certificação com uma conta que tenha a associação de grupo apropriada.
Para obter mais informações, consulte o Guia de Rede Principal do Windows Server 2016.
Planeje o local e o nome do diretório virtual no servidor Web
Para fornecer acesso à CRL e ao certificado da autoridade de certificação a outros computadores, você deve armazenar esses itens em um diretório virtual no servidor Web. Neste guia, o diretório virtual está localizado no servidor Web WEB1. Esta pasta está na unidade "C:" e é chamada de "pki". Você pode localizar seu diretório virtual no servidor Web em qualquer local de pasta apropriado para sua implantação.
Planejar um registro de alias DNS (CNAME) para seu servidor Web
Os registos de recursos de alias (CNAME) também são por vezes chamados de registos de recursos de nome canónico. Com esses registros, você pode usar mais de um nome para apontar para um único host, facilitando tarefas como hospedar um servidor FTP (File Transfer Protocol) e um servidor Web no mesmo computador. Por exemplo, os nomes de servidor conhecidos (ftp, www) são registados usando registos de recursos do tipo alias (CNAME) que mapeiam para o nome de host no Sistema de Nomes de Domínio (DNS), como WEB1, para o computador servidor que hospeda esses serviços.
Este guia fornece instruções para configurar o servidor Web para hospedar a lista de certificados revogados (CRL) para sua autoridade de certificação (CA). Como você também pode querer usar seu servidor Web para outros fins, como hospedar um FTP ou site, é uma boa ideia criar um registro de recurso de alias no DNS para seu servidor Web. Neste guia, o registro CNAME é chamado "pki", mas você pode escolher um nome apropriado para sua implantação.
Planejar a configuração do CAPolicy.inf
Antes de instalar o AD CS, deve-se configurar o CAPolicy.inf na AC com informações corretas para a sua implementação. Um arquivo CAPolicy.inf contém as seguintes informações:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
Você deve planejar os seguintes itens para este arquivo:
URL. O arquivo CAPolicy.inf de exemplo tem um valor de URL de
https://pki.corp.contoso.com/pki/cps.txt. Isso ocorre porque o servidor Web neste guia é chamado WEB1 e tem um registro de recurso DNS CNAME de pki. O servidor Web também é associado ao domínio corp.contoso.com. Além disso, há um diretório virtual no servidor Web chamado "pki" onde a lista de revogação de certificados é armazenada. Certifique-se de que o valor que você fornece para URL em seu arquivo CAPolicy.inf aponta para um diretório virtual em seu servidor Web em seu domínio.RenewalKeyLength. O comprimento da chave de renovação padrão para AD CS no Windows Server 2012 é 2048. O comprimento da chave que o utilizador selecionar deve ser o maior comprimento possível, enquanto ainda fornece compatibilidade com as aplicações que pretende usar.
RenewalValidityPeriodUnits. O arquivo CAPolicy.inf de exemplo tem um valor RenewalValidityPeriodUnits de 5 anos. Isto porque a vida útil esperada da AC é de cerca de dez anos. O valor de RenewalValidityPeriodUnits deve refletir o período de validade geral da autoridade de certificação ou o número máximo de anos para os quais se pretende fornecer inscrição.
CRLPeriodUnits. O arquivo CAPolicy.inf de exemplo tem um valor CRLPeriodUnits de 1. Isso ocorre porque o intervalo de atualização de exemplo para a lista de revogação de certificados neste guia é de 1 semana. No valor de intervalo que especificar com esta configuração, deve publicar a CRL na CA no diretório virtual do servidor Web onde a armazena e fornecer acesso para computadores em processo de autenticação.
AlternateSignatureAlgorithm. Este CAPolicy.inf implementa um mecanismo de segurança melhorado através da implementação de formatos de assinatura alternativos. Você não deve implementar essa configuração se ainda tiver clientes Windows XP que exigem certificados dessa autoridade de certificação.
Se você não planeja adicionar nenhuma autoridade de certificação subordinada à sua infraestrutura de chave pública posteriormente, e se quiser impedir a adição de nenhuma autoridade de certificação subordinada, você pode adicionar a chave PathLength ao arquivo CAPolicy.inf com o valor 0. Para adicionar essa chave, copie e cole o seguinte código em seu arquivo:
[BasicConstraintsExtension]
PathLength=0
Critical=Yes
Important
Não é recomendável que você altere quaisquer outras configurações no arquivo CAPolicy.inf, a menos que você tenha um motivo específico para fazê-lo.
Planejar a configuração das extensões CDP e AIA no CA1
Ao configurar as configurações de CDP (Ponto de Distribuição de Lista de Revogação de Certificados) (CRL) e AIA (Acesso a Informações de Autoridade) na CA1, você precisa do nome do servidor Web e do nome de domínio. Você também precisa do nome do diretório virtual criado no servidor Web onde a lista de certificados revogados (CRL) e o certificado da autoridade de certificação estão armazenados.
O local da CDP que você deve inserir durante esta etapa de implantação tem o formato:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.
Por exemplo, se o servidor Web for chamado WEB1 e o registro CNAME do alias DNS para o servidor Web for "pki", o domínio for corp.contoso.com e o diretório virtual for chamado pki, o local da CDP será:
http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
A localização AIA que tem de inserir tem o formato:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.
Por exemplo, se o servidor Web se chamar WEB1 e o registo CNAME do alias DNS para o servidor Web for "pki", o seu domínio for corp.contoso.com e o diretório virtual for denominado pki, a localização do AIA será:
http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt
Planejar a operação de cópia entre a autoridade de certificação e o servidor Web
Para publicar o CRL e o certificado da CA no diretório virtual do servidor Web, pode-se executar o comando certutil -crl após configurar os locais CDP e AIA na CA. Certifique-se de configurar os caminhos corretos na guia Extensões de propriedades da autoridade de certificação antes de executar este comando usando as instruções deste guia. Além disso, para copiar o certificado da autoridade de certificação corporativa para o servidor Web, você já deve ter criado o diretório virtual no servidor Web e configurado a pasta como uma pasta compartilhada.
Planear a configuração do modelo de certificado de servidor na autoridade de certificação
Para implantar certificados de servidor registrados automaticamente, você deve copiar o modelo de certificado chamado Servidor RAS e IAS. Por predefinição, esta cópia é denominada Cópia do Servidor RAS e IAS. Se você quiser renomear essa cópia de modelo, planeje o nome que deseja usar durante esta etapa de implantação.
Note
As três últimas seções de implantação deste guia - que permitem configurar o registro automático de certificado de servidor, atualizar a Diretiva de Grupo em servidores e verificar se os servidores receberam um certificado de servidor válido da autoridade de certificação - não exigem etapas de planejamento adicionais.