Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
de Serviços de Certificados oferece suporte à renovação de uma autoridade de certificação (CA). A renovação é a emissão de um novo certificado para que a autoridade de certificação prolongue a vida útil da autoridade de certificação para além da data final do seu certificado original. Você pode renovar uma autoridade de certificação como uma tarefa dentro do snap-in MMC da Autoridade de Certificação ou usando a ferramenta Certutil.exe (com o comando -renewCert).
Cada renovação resulta em um novo certificado de autoridade de certificação; no entanto, o administrador pode gerar um novo par de chaves pública/privada ou reutilizar o par de chaves pública/privada existente para o certificado da autoridade de certificação. Para maior consistência e integridade, os certificados de CA e as listas de revogação de certificados (CRL) emitidos pela autoridade de certificação antes de sua renovação estarão disponíveis após a renovação da autoridade de certificação. Para disponibilizá-los, os Serviços de Certificados mantêm um índice de certificados de CA, CRLs e chaves.
Os índices e nomes de sufixos de certificados de autoridade de certificação e CRLs durante várias operações de renovação de autoridade de certificação são os seguintes.
| Funcionamento | Índice de certificados de AC | Sufixo de nome de arquivo de certificado de autoridade de certificação | CRL e índice de chaves | Sufixo de nome de CRL e contêiner de chave |
|---|---|---|---|---|
| Instalação original da autoridade de certificação | 0 | "" | 0 | "" |
| Renovação com nova chave | 1 | "(1)" | 1 | "(1)" |
| Chave de reutilização de renovação | 2 | "(2)" | 1 | "(1)" |
| Chave de reutilização de renovação | 3 | "(3)" | 1 | "(1)" |
| Renovação com nova chave | 4 | "(4)" | 4 | "(4)" |
| Chave de reutilização de renovação | 5 | "(5)" | 4 | "(4)" |
| Renovação com nova chave | 6 | "(6)" | 6 | "(6)" |
| Chave de reutilização de renovação | 7 | "(7)" | 6 | "(6)" |
Quando uma autoridade de certificação é instalada, o índice de certificado é zero e o sufixo de certificado é "" (uma cadeia de caracteres vazia). Cada vez que o certificado é renovado (quer as chaves sejam ou não reutilizadas), o índice do certificado é incrementado em um e o sufixo de nome de arquivo do certificado torna-se uma cadeia de caracteres do formato "(n)", onde n representa o número de vezes que o certificado da autoridade de certificação foi renovado. Após a primeira renovação, o índice do certificado é 1 e o sufixo do nome do arquivo do certificado é "(1)". Após a segunda renovação, o índice do certificado é 2 e o sufixo do nome do arquivo do certificado é "(2)", e assim por diante.
Embora o índice e o sufixo do certificado da autoridade de certificação sejam incrementados em um a cada vez que a autoridade de certificação é renovada, a CRL e os índices de chave e os sufixos de nome de arquivo são definidos como o índice de certificado da autoridade de certificação somente se o processo de renovação incluir um novo par de chaves pública/privada. Caso contrário, os valores desses índices e sufixos permanecem os mesmos do último índice. Durante a renovação, um administrador especifica se um novo par de chaves é gerado ou se o par de chaves existente é usado. (No snap-in MMC da Autoridade de Certificação, uma opção na interface do usuário especifica um par de chaves novo ou existente; na ferramenta Certutil.exe, o comando certutil -renewCert renova a autoridade de certificação com um novo par de chaves, enquanto o comando certutil -renewCert ReuseKeys renova a autoridade de certificação com o par de chaves existente.)
O índice CRL está diretamente ligado ao índice de chave, que é definido como o índice de certificado da autoridade de certificação somente quando um novo par de chaves é usado para a renovação. Após a primeira renovação (que usou um novo par de chaves), o índice da CRL e da chave é definido como 1, e o sufixo de nome da CRL e do contêiner de chave é "(1)". Após a segunda renovação, no entanto, o índice da CRL e da chave permanece 1, e a CRL e o sufixo do nome do contêiner de chave também permanecem "(1)"; isso ocorre porque a segunda renovação usou o par de chaves existente e apenas uma CRL é emitida para cada par de chaves da autoridade de certificação.
Você pode recuperar os certificados de CA indexados e CRLs chamando o método GetCertificateProperty (nas interfaces ICertServerExit e ICertServerPolicy). Ao recuperar determinadas propriedades relacionadas ao certificado de autoridade de certificação ou à CRL, você pode acrescentar o índice baseado em zero do certificado de autoridade de certificação aos nomes de propriedade. Por exemplo, para recuperar o índice CRL que corresponde ao terceiro certificado da autoridade de certificação, passe a propriedade "CRLIndex.2" para ICertServerPolicy::GetCertificateProperty; para a tabela, o valor da propriedade "CRLIndex.2" recuperado seria 1. Uma propriedade chamada "CertCount" pode ser usada para determinar o número de vezes que a autoridade de certificação recebeu um certificado de autoridade de certificação.
Os certificados de autoridade de certificação e as CRLs contêm uma extensão que fornece informações sobre o certificado e o índice de chave. A extensão é definida em Wincrypt.h como szOID_CERTSRV_CA_VERSION com um valor de "1.3.6.1.4.1.311.21.1". Os dados de extensão são um valor de DWORD (codificado como X509_INTEGER na extensão); Os 16 bits baixos são o índice de certificado e os 16 bits mais altos são o índice de chave.
A instalação inicial de uma autoridade de certificação produz um índice de certificado de zero e um índice de chave de zero. A renovação de um certificado de autoridade de certificação fará com que o índice de certificado seja incrementado. Se a chave for reutilizada na renovação, o índice de chave será o mesmo que o índice de chave anterior. Se a chave não for reutilizada, o índice de chaves corresponderá ao novo índice de certificado.
Tópicos relacionados