Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece informações sobre o serviço de função Autoridade de Certificação para Serviços de Certificados do Ative Directory quando implantado no sistema operacional Windows Server.
Uma autoridade de certificação (CA) é responsável por atestar a identidade de usuários, computadores e organizações. A autoridade de certificação autentica uma entidade e garante essa identidade emitindo um certificado assinado digitalmente. A autoridade de certificação também pode gerenciar, revogar e renovar certificados.
Uma autoridade de certificação pode ser:
- Uma organização que garante a identidade de um usuário final.
- Um servidor que é usado pela organização para emitir e gerenciar certificados.
Ao instalar o serviço de função Autoridade de Certificação dos Serviços de Certificados do Ative Directory (AD CS), você pode configurar seu servidor Windows para atuar como uma autoridade de certificação.
Noções básicas sobre tipos de autoridade de certificação
O Windows Server suporta quatro tipos diferentes de AC:
- Autoridade de Certificação Raiz Corporativa.
- CA subordinada da empresa.
- CA raiz autônoma.
- AC subordinada autónoma.
Autoridades de certificação empresariais e independentes
As autoridades de certificação corporativas são integradas aos Serviços de Domínio Active Directory (AD DS). Eles publicam certificados e listas de revogação de certificados (CRLs) no AD DS. As autoridades de certificação corporativas usam informações armazenadas no AD DS, incluindo contas de usuário e grupos de segurança, para aprovar ou negar solicitações de certificado. As autoridades de certificação corporativas usam modelos de certificado. Quando um certificado é emitido, a autoridade de certificação corporativa usa informações no modelo de certificado para gerar um certificado com os atributos apropriados para esse tipo de certificado.
Se você quiser habilitar a aprovação automatizada de certificados e o registro automático de certificados de usuário, use CAs corporativas para emitir certificados. Esses recursos estão disponíveis somente quando a infraestrutura da autoridade de certificação está integrada ao Ative Directory. Além disso, apenas as autoridades de certificação empresariais podem emitir certificados que permitem o início de sessão com cartão inteligente, porque este processo requer que os certificados de cartão inteligente sejam mapeados automaticamente para as contas de utilizador no Active Directory.
As autoridades de certificação autônomas não exigem AD DS e não usam modelos de certificado. Se você usar CAs autônomas, todas as informações sobre o tipo de certificado solicitado deverão ser incluídas na solicitação de certificado. Por padrão, todas as solicitações de certificado enviadas a autoridades de certificação autônomas são mantidas em uma fila pendente até que um administrador de autoridade de certificação as aprove. Você pode configurar CAs autônomas para emitir certificados automaticamente mediante solicitação, mas é menos seguro e não é recomendado porque as solicitações não são autenticadas.
Você deve usar CAs autônomas para emitir certificados quando estiver usando um serviço de diretório que não seja da Microsoft ou quando o AD DS não estiver disponível. Você pode usar autoridades de certificação corporativas e autônomas em sua organização.
Autoridades de certificação raiz e subordinadas
As autoridades de certificação corporativas e autônomas podem ser configuradas como autoridades de certificação raiz ou subordinadas. As autoridades de certificação subordinadas podem ainda ser configuradas como autoridades de certificação intermediárias (também chamadas de autoridades de certificação de política) ou autoridades de certificação emissoras
Uma autoridade de certificação raiz é a autoridade de certificação que está no topo de uma hierarquia de certificação, onde todas as cadeias de certificados terminam. Quando o certificado da autoridade de certificação raiz está presente no cliente, a autoridade de certificação raiz é confiável incondicionalmente. Quer você use autoridades de certificação corporativas ou autônomas, precisará designar uma autoridade de certificação raiz.
Como a autoridade de certificação raiz é a autoridade de certificação superior na hierarquia de certificação, o campo Assunto do certificado tem o mesmo valor que o campo Emissor. Da mesma forma, como a cadeia de certificados termina quando atinge uma autoridade de certificação autoassinada, todas as autoridades de certificação autoassinadas são autoridades de certificação raiz. A decisão de designar uma autoridade de certificação como uma autoridade de certificação raiz confiável pode ser tomada no nível corporativo ou localmente pelo administrador de TI individual.
Uma autoridade de certificação raiz serve como a base sobre a qual você baseia seu modelo de confiança de autoridade de certificação. Garante que a chave pública do sujeito corresponde às informações de identidade mostradas no campo assunto dos certificados que emite. Diferentes autoridades de certificação também podem verificar essa relação usando padrões diferentes; Portanto, é importante entender as políticas e os procedimentos da autoridade de certificação raiz antes de escolher confiar nessa autoridade para verificar chaves públicas.
A autoridade de certificação raiz é a autoridade de certificação mais importante em sua hierarquia. Se sua autoridade de certificação raiz estiver comprometida, todas as autoridades de certificação na hierarquia e todos os certificados emitidos a partir dela serão considerados comprometidos. Você pode maximizar a segurança da autoridade de certificação raiz mantendo-a desconectada da rede e usando autoridades de certificação subordinadas para emitir certificados para outras autoridades de certificação subordinadas ou para usuários finais. Uma autoridade de certificação raiz desconectada também é conhecida como uma autoridade de certificação raiz offline.
As autoridades de certificação que não são autoridades de certificação raiz são consideradas subordinadas. A primeira autoridade de certificação subordinada numa hierarquia obtém o seu certificado CA da autoridade de certificação raiz. Essa primeira autoridade de certificação subordinada pode usar essa chave para emitir certificados que verificam a integridade de outra autoridade de certificação subordinada. Essas autoridades competentes subordinadas superiores são chamadas de autoridades competentes intermediárias. Uma autoridade de certificação intermediária é subordinada a uma autoridade de certificação raiz, mas serve como uma autoridade de certificação superior para uma ou mais autoridades de certificação subordinadas.
Uma autoridade de certificação intermediária é frequentemente chamada de autoridade de certificação de política porque normalmente é usada para separar classes de certificados que são distinguidos por meio de políticas. Por exemplo, a separação de políticas inclui o nível de garantia que uma autoridade de certificação fornece ou a localização geográfica da autoridade de certificação para distinguir diferentes populações de entidades finais. Uma autoridade de certificação de política pode estar online ou offline.
Chaves privadas da autoridade de certificação
A chave privada faz parte da identidade da autoridade de certificação e deve ser protegida contra comprometimento. Muitas organizações protegem as chaves privadas da autoridade de certificação usando um módulo de segurança de hardware (HSM). Se um HSM não for usado, a chave privada será armazenada no computador da autoridade de certificação.
As Autoridades Certificadoras offline devem ser guardadas em locais seguros e não devem estar conectadas à rede. As autoridades de certificação emissoras usam suas chaves privadas ao emitir certificados, portanto, a chave privada deve estar acessível (online) enquanto a autoridade de certificação estiver em operação. Em todos os casos, a autoridade de certificação e a sua chave privada devem ser fisicamente protegidas.
Módulos de segurança de hardware
O uso de um módulo de segurança de hardware (HSM) pode melhorar a segurança de sua autoridade de certificação e PKI (infraestrutura de chave privada).
Um HSM é um dispositivo de hardware dedicado que é gerenciado separadamente do sistema operacional. Os HSMs fornecem um armazenamento de hardware seguro para chaves CA, além de um processador criptográfico dedicado para acelerar as operações de assinatura e criptografia. O sistema operacional utiliza o HSM através das interfaces CryptoAPI, e o HSM funciona como um dispositivo CSP (provedor de serviços de criptografia).
Os HSMs normalmente são adaptadores PCI, mas também estão disponíveis como dispositivos baseados em rede, dispositivos seriais e dispositivos USB. Se uma organização planeja implementar duas ou mais autoridades de certificação, você pode instalar um único HSM baseado em rede e compartilhá-lo entre várias autoridades de certificação.
Os HSMs devem ser instalados e configurados antes de configurar qualquer autoridade de certificação com chaves que precisam ser armazenadas no HSM.