Compartilhar via

O que são os Serviços de Certificados do Active Directory?

O AD CS (Serviços de Certificados do Active Directory) é uma função do Windows Server para emitir e gerenciar certificados PKI (infraestrutura de chave pública) usados em protocolos de autenticação e comunicação segura.

Emitir e gerenciar certificados

Certificados digitais podem ser usados para criptografar e assinar digitalmente documentos e mensagens eletrônicas, bem como para autenticação de contas de computador, usuário ou dispositivo em uma rede. Por exemplo, os certificados digitais fornecem:

  • Confidencialidade por meio de criptografia.
  • Integridade por meio de assinaturas digitais.
  • Autenticação pela associação de chaves de certificado a contas de computador, usuário ou dispositivo em uma rede de computadores.

Características principais

O AD CS fornece os seguintes recursos importantes:

  • Autoridades de certificação: As autoridades de certificação raiz e subordinadas (CAs) são usadas para emitir certificados para usuários, computadores e serviços e para gerenciar a validade do certificado.

  • Registro na Web: O registro na Web permite que os usuários se conectem a uma AC com um navegador da Web para solicitar certificados e recuperar CRLs (listas de revogação de certificado).

  • Respondente Online: O serviço Respondente Online decodifica solicitações de status de revogação para certificados específicos, avalia o status desses certificados e envia de volta uma resposta assinada que contém as informações de status do certificado solicitadas.

  • Serviço de Registro de Dispositivo de Rede: o Serviço de Registro do Dispositivo de Rede permite que roteadores e outros dispositivos de rede que não tenham contas de domínio obtenham certificados.

  • Atestado de chave do TPM: permite que a autoridade de certificação verifique se a chave privada é protegida por um TPM baseado em hardware e se a AC confia no TPM. O atestado de chave do TPM impede que o certificado seja exportado para um dispositivo não autorizado e possa associar a identidade do usuário ao dispositivo.

  • Serviço Web de Política de Registro de Certificado: o Serviço Web de Política de Registro de Certificado permite a usuários e computadores obter informações da política de registro de certificado.

  • Serviço Web de Registro de Certificado: o Serviço Web de Registro de Certificado permite que usuários e computadores executem o registro de certificado por meio de um serviço Web. Junto com o Serviço Web de Política de Registro de Certificado, isso permite o registro de certificado baseado em política quando o computador cliente não é membro de um domínio ou quando um membro de domínio não está conectado ao domínio.

Benefits

Você pode usar o AD CS para aumentar a segurança associando a identidade de uma pessoa, computador ou serviço a uma chave privada correspondente. O AD CS oferece uma maneira econômica, eficiente e segura de gerenciar a distribuição e o uso de certificados. Além da associação de identidades e chaves privadas, o AD CS também inclui recursos que permitem gerenciar o registro e a revogação de certificados.

As informações de identidade de ponto de extremidade existentes no Active Directory são usadas para registrar certificados, permitindo que as informações sejam inseridas automaticamente nos certificados. As políticas de grupo do Active Directory também podem ser usadas para designar quais usuários e máquinas têm permissão para quais tipos de certificados. A configuração de políticas de grupo permite o controle de acesso baseado em função ou atributo.

Os aplicativos com suporte do AD CS incluem S/MIME (Secure/Multipurpose Internet Mail Extensions), redes sem fio protegidas, VPNs (redes virtuais privadas), IPsec (Internet Protocol security), EFS (Encrypting File System), entrada com cartão inteligente, SSL/TLS (Secure Socket Layer/Transport Layer Security) e assinaturas digitais.

Próximas etapas

  • Last updated on