Partilhar via

O que são os Serviços de Certificados do Ative Directory?

Os Serviços de Certificados do Ative Directory (AD CS) são uma função do Windows Server para emitir e gerenciar certificados PKI (infraestrutura de chave pública) usados em protocolos de autenticação e comunicação segura.

Emitir e gerenciar certificados

Os certificados digitais podem ser usados para criptografar e assinar digitalmente documentos e mensagens eletrônicas, bem como para autenticação de contas de computador, usuário ou dispositivo em uma rede. Por exemplo, os certificados digitais fornecem:

  • Confidencialidade através de encriptação.
  • Integridade através de assinaturas digitais.
  • Autenticação associando chaves de certificado às contas de computador, usuário ou dispositivo em uma rede de computadores.

Principais características

O AD CS fornece os seguintes recursos importantes:

  • Autoridades de certificação: As Autoridades de Certificação (CAs) raiz e subordinada são usadas para emitir certificados para usuários, computadores e serviços e para gerenciar a validade de certificados.

  • Inscrição na Web: O registro na Web permite que os usuários se conectem a uma autoridade de certificação com um navegador da Web para solicitar certificados e recuperar listas de revogação de certificados (CRLs).

  • Respondente Online: O serviço Respondente Online decodifica solicitações de status de revogação para certificados específicos, avalia o status desses certificados e envia de volta uma resposta assinada contendo as informações de status do certificado solicitado.

  • Serviço de Registro de Dispositivo de Rede: O Serviço de Registro de Dispositivo de Rede permite que roteadores e outros dispositivos de rede que não têm contas de domínio obtenham certificados.

  • Atestado de chave TPM: Permite que a autoridade de certificação verifique se a chave privada está protegida por um TPM baseado em hardware e se o TPM é aquele em que a autoridade de certificação confia. O atestado de chave TPM impede que o certificado seja exportado para um dispositivo não autorizado e pode vincular a identidade do usuário ao dispositivo.

  • Serviço Web da Política de Registro de Certificado: O Serviço Web de Diretiva de Registro de Certificado permite que usuários e computadores obtenham informações sobre a política de registro de certificado.

  • Serviço Web de Registro de Certificado: O Serviço Web de Registro de Certificado permite que usuários e computadores realizem o registro de certificado por meio de um serviço Web. Juntamente com o Serviço Web de Política de Registro de Certificado, isso permite o registro de certificado baseado em política quando o computador cliente não é membro de um domínio ou quando um membro do domínio não está conectado ao domínio.

Benefits

Pode utilizar o AD CS para melhorar a segurança ligando a identidade de uma pessoa, computador ou serviço a uma chave privada correspondente. O AD CS fornece uma maneira econômica, eficiente e segura de gerenciar a distribuição e o uso de certificados. Além da associação de identidades e chaves privadas, o AD CS também inclui recursos que permitem gerenciar o registro e a revogação de certificados.

As informações de identidade de ponto de extremidade existentes no Ative Directory são usadas para registrar certificados, permitindo que as informações sejam inseridas automaticamente nos certificados. As diretivas de grupo do Ative Directory também podem ser usadas para designar quais usuários e máquinas têm permissão para quais tipos de certificados. A configuração da política de grupo permite o controle de acesso baseado em função ou atributo.

As aplicações suportadas pelo AD CS incluem Secure/Multipurpose Internet Mail Extensions (S/MIME), redes sem fios seguras, rede privada virtual (VPN), segurança do protocolo Internet (IPsec), sistema de encriptação de ficheiros (EFS), início de sessão com cartão inteligente, Secure Socket Layer/Transport Layer Security (SSL/TLS) e assinaturas digitais.

Próximos passos

  • Last updated on