Microsoft Official

Course

Mdulo 6

Implementao dos Servios

de Certificados do Active
Directory

Viso geral do mdulo

Viso geral do PKI
Implantao de autoridades de certificao
Implantao e gerenciamento de modelos
decertificados
Implementao da distribuio e revogao
decertificados
Gerenciamento da recuperao de

certificados

Lio 1: Viso geral do PKI

O que PKI?
Componentes de uma soluo PKI
O que so CAs?
Viso geral da funo de servidor do AD CS
noWindows Server 2012
O que h de novo no AD CS
doWindowsServer2012
ACs pblicas versus ACs privadas
O que hierarquia de certificao

cruzada?

O que PKI?
PKI
uma abordagem padro a ferramentas,
tecnologias, processos e servios baseados em
segurana que so usados para aprimorar a
segurana de comunicaes, aplicativos e
transaes comerciais
baseada na troca de certificados digitais entre
usurios autenticados e recursos de confiana
A PKI oferece
Confidencialidade
Integridade
Autenticidade
No repdio

Componentes de uma soluo PKI

Autoridade de
Certificao

Certificados digitais

Servios e aplicaes
pblicas habilitadas
por chave

Modelos de
certificado

Ferramentas de
gerenciamento de
autoridade de
certificao e
certificados

CRLs e
respondentes
online

AIA e CDPs

O que so CAs?

AC raiz

Emite um
certificado
autoassinado
prprio

Verifica a
identidade do
solicitante
docertificado

Emite certificados
para usurios,
computadores e
servios

Gerencia
arevogao
docertificado

Viso geral da funo de servidor do AD CS

noWindows Server 2012
Autoridade de Certificao

Registro via Web na AC

x
nu
i
L

Respondente online

Servio de Inscrio do Dispositivo

deRede
Servio Web de Registro de
Certificado

Registro
Fire
wal
l

in
W

s
w
o
d

Servio Web de Poltica de Registro

deCertificado
in
W

s
w
o
d

Proxy

Poltica

O que h de novo no AD CS do Windows

Server 2012
Todos os servios de funo do AD CS so

executados em todas as verses do Windows

Server
Integrao total com o gerenciador do servidor
Gerencivel por meio do Windows PowerShell
Nova verso de modelo de certificado (v4)
D suporte renovao automtica de
certificados paracomputadores associados que
no pertencem aum domnio
Imposio de renovao de certificado
comamesmachave
Segurana adicional para solicitaes de
certificado

ACs pblicas versus ACs privadas

ACs internas privadas
Requer maior administrao que ACs pblicas
externas
Custa menos do que ACs pblicas externas e
oferece maior controle do gerenciamento de
certificado
No confiado por clientes externos por padro
Oferece vantagens como modelos
personalizados eregistro automtico
ACs pblicas externas
So confiadas por muitos clientes externos
(navegadores da Web, sistemas operacionais)

O que hierarquia de certificao

cruzada?
Certificao cruzada no nvel da AC raiz
AC raiz

AC raiz

AC subordinada

AC
subordinada

Organizao 1

Organizao 2

Certificao cruzada entre AC subordinada e AC raiz

AC raiz
AC
subordinada

Organizao 1

AC raiz
AC
subordinada

Organizao
2

Lio 2: Implantao de autoridades de

certificao

Opes para a implementao de hierarquias

deAC
ACs autnomas versus ACs corporativas
Consideraes para a implantao de uma
AC raiz
Demonstrao: Implantao de uma AC raiz
Consideraes para a implantao
deumaACsubordinada
Como usar o arquivo CAPolicy.inf na

instalao

Opes para a implementao de hierarquias

de AC
AC raiz
ACs de
polticas

AC raiz

Emitindo as ACs

Emitindo a AC

Emitindo a
AC

Emitindo a
AC

Uso da AC de polticas

Hierarquia de duas
camadas

AC raiz

AC raiz

AC de
polticas

AC de
polticas
Emitindo a
AC

Emitindo a AC Emitindo a
AC

Emitindo a
AC

Emitindo a ACEmitindo a
AC

Confiana da certificao cruzada

ACs autnomas versus ACs corporativas

ACs autnomas
Deve ser usada se qualquer
AC (raiz/intermediria/de
poltica) estiver offline
porque uma AC autnoma
no associada aum
domnio do AD DS

ACs corporativas
Requer o uso do AD
DS
Pode usar a Poltica de
Grupo para propagar
ocertificado para um
repositrio de
certificado AC raiz
confivel

Os usurios fornecem
informaes de
identificao eespecificam
o tipo decertificado

Publica certificados de
usurio e CRLs em AD
DS

No necessita de modelos
decertificados

Emite certificados com

base em um modelo
decertificado

Todas as solicitaes de
certificados so mantidas
pendentes at a aprovao
doadministrador

D suporte ao registro
automtico para
emitir certificados

Consideraes para a implantao de uma AC

raiz

Nome do computador
e
associao do domnio
no podem ser
alterados

Nome e
Configurao

Banco de dados
do certificado
e local do log

Perodo de validade
Planejamento de uma AC Raiz

Certificado
CSP
Padro: 2048Algoritmo de hash
Tamanho da chave em caracteres
Configurao de chave privada

Demonstrao: Implantao de uma AC

raiz
Nesta demonstrao, voc ver como
implantar uma AC raiz corporativa

Consideraes para a implantao de uma AC

subordinada

S/MIME

EFS

Raiz

Raiz

Subordinad
o

Subordinad
o

RAS

ndia

Canad

EUA

Locais

Usos do certificado
Raiz

Raiz

Subordinad
o

Subordinad
o

Balanceamento de carga

Funcionri
o

Contratant
e
UOs

Parceiro

Como usar o arquivo CAPolicy.inf na

instalao
O arquivo PolticadeAC.inf armazenado dentro da
pasta %Windir% da AC raiz ou subordinada. Esse
arquivo define o seguinte

CPS

Identificador de objeto

Intervalos de publicao da CRL

Configuraes de renovao da AC

Tamanho da chave

Perodo de validade do certificado

Caminhos CDP e AIA

Laboratrio A: Implantao e configurao da

hierarquia de autoridades de certificao

Exerccio 1: Implantao de uma AC raiz

autnoma
Exerccio 2: Implantao de uma AC

subordinada
corporativa
Informaes de logon
Mquinas virtuais

Nome de Usurio
Senha

24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CA1
24412B-LON-CL1
Adatum\Administrador
Pa$$w0rd

Tempo previsto: 50 minutos

Cenrio do laboratrio
Como a A. Datum Corporation expandiu, os
seus requisitos de segurana tambm
aumentaram. Odepartamento de segurana
est interessado principalmente em habilitar o
acesso seguro a sites crticos e em oferecer
segurana adicional para os recursos. Para
resolver esses e outros requisitos de
segurana, a A. Datum decidiu implementar
uma PKI usando a funo ADCS no Windows
Server 2012
Como um dos administradores de rede snior
daA.Datum, voc responsvel por

Reviso do laboratrio
Por que no recomendado instalar apenas

umaAC raiz corporativa?

Lio 3: Implantao e gerenciamento de

modelos de certificados

O que so modelos de certificado?

Verses dos modelos de certificados
noWindowsServer 2012
Configurao das permisses do modelo
decertificado
Configurao de modelos de certificados
Opes para a atualizao do modelo
decertificado
Demonstrao: Modificao e habilitao

deummodelo de certificado

O que so modelos de certificado?

O modelo de certificado define
O formato e o contedo de um certificado
O processo de criao e envio de uma

solicitao de certificado vlida

Os princpios de segurana que tm
permisso para ler, se registrar ou usar o
registro automtico de um certificado que
ser baseado no modelo
Permisses exigidas para modificar um
modelo decertificado

Verses dos modelos de certificados

noWindowsServer 2012
Verso 1
Introduzido no Windows 2000 Server, fornecido para a
compatibilidade comverses anteriores em verses mais novas
Criado por padro quando uma AC instalada
No pode ser modificado (exceto para permisses) ou removido, mas
pode serduplicado para se tornar modelos verso 2 ou 3 (que pode
ser, ento, modificado)
Verso 2
Modelo padro introduzido com o Windows Server 2003
Permite a personalizao da maioria das configuraes no modelo
So fornecidos vrios modelos pr-configurados quando uma AC
instalada
Verso 3
D suporte s configuraes criptogrficas da Suite B
Inclui opes avanadas para criptografia, assinaturas digitais, troca
de chaves, e hashing
Somente d suporte aos servidores do Windows Server 2008
edoWindowsServer 2008 R2
D suporte somente a computadores cliente Windows Vista e
Windows 7
Verso 4
Disponvel somente para clientes do Windows Server 2012 e do
Windows 8
D suporte a CSPs e KSPs
D suporte a renovao com a mesma chave

Configurao das permisses do modelo

decertificado
Permisso

Controle total

Leitura

Gravao

Registro

Registro automtico

Descrio
Permite que um usurio, um grupo ou um
computador designado modifique todos
os atributos (inclusive propriedade e
permisses)
Permite que um usurio, grupo ou
computador designado leiam o
certificado no AD DS aoseregistrar
Permite que um usurio, um grupo ou um
computador designado modifique todos
osatributos, exceto as permisses
Permite que um usurio, grupo ou
computador designado se registre no
modelo de certificado
Permite que um usurio, um grupo ou um
computador designado receba um
certificado pelo processo de registro

Configurao de modelos de certificados

Para cada modelo de certificado, voc pode personalizar
vriasconfiguraes como: hora de validade, finalidade,
CSP, exportabilidade de chave privada e requisitos de
emisso
Exemplo de
Exemplo de
Categoria
mltiplas
finalidade nica
finalidades
EFS Bsico
Administrador

Sesso
autenticada
Usurios

Logon do carto
inteligente
Servidor Web
IPsec

Computadores

Usurio
Usurio de carto
inteligente
Computador
Controlador
dedomnio

Opes para a atualizao do modelo de

certificado

Origina
l

Atualizad
o

Modificao
Modifique o modelo de
certificado original para
incorporar as novas
configuraes

Substituio
Carto
inteligente 1

Carto
inteligente
2

Substitua um ou mais modelos

decertificados por um modelo
decertificado atualizado
Cartes
inteligentes
(novo)

Demonstrao: Modificao e habilitao

deummodelo de certificado

Nesta demonstrao, voc aprender como

modificar e habilitar um modelo de
certificado

Lio 4: Implementao da distribuio e

revogao de certificados

Opes de registro de certificado

Como funciona o registro automtico?
O que o agente de registro restrito?
Demonstrao: Configurao de um agente
deregistro restrito
O que servio de registro de dispositivo de
rede?
Como funciona a revogao de certificado?
Consideraes para a publicao de AIAs e
CDPs

Opes de registro de certificado

Mtodo

Uso

Para automatizar a solicitao, a

recuperao eoarmazenamento
decertificados para computadores
baseados em domnio

Para pedir certificados usando o

console decertificados ou o
Certreq.exe quando osolicitante no
pode se comunicar diretamentecom
a AC

Para pedir certificados de um site

queest localizado em uma AC

Para emitir certificados quando o

registro automtico no estiver mais
disponvel

Para fornecer equipe de TI direitos

desolicitao de certificados em
nome deoutrousurio (Agente de

Registro automtico

Registro manual

Registro via Web na AC

Registrar em nome
de

Como funciona o registro automtico?

Modelo de certificado

Um modelo de certificado configurado

para permisses de Permisso, Registro
e Registro automtico para usurios que
recebem oscertificados
A AC configurada para emitir o modelo

Autoridade
deCertificao

Objeto de poltica
de grupo

Mquina cliente

Um objeto de poltica de grupo do

ActiveDirectory deve ser criado para
habilitar oregistro automtico. O GPO deve
estar vinculado ao site, o domnio ou a
unidade organizacional apropriada
A mquina cliente recebe os certificados
durante o prximo intervalo de atualizao
da poltica degrupo

O que o agente de registro restrito?

O agente de registro restrito
Permisses limitadas do agente de registro
Requer o Windows Server 2008 Enterprise
ouoWindows Server 2012 CA
Usa os modelos de certificados verso 3
ouverso4

Demonstrao: Configurao de um agente

deregistrorestrito

Nesta demonstrao, voc ver como

configurar oagente de registro restrito

O que servio de registro de dispositivo de

rede?

Roteador de rede
Autoridade
deCertifica
o

Rede

NDES
Usa SCEP para se comunicar com os
dispositivos de rede
Funes como um servio de funo dos AD
CS
Requer o IIS

Como funciona a revogao de

certificado?
1
1 certificado revogado
O

3
3

2
2

A revogao de
certificado publicada

O computador cliente verifica a validade e a

revogao do certificado

Consideraes para a publicao de AIAs e

CDPs
Publique a AC e a URL docertificado raiz
em
AD DS
Servidores Web
Servidores FTP
Servidores de arquivos
Servidor Web externo
AD DS

Internet

Firewall

Offline
AC raiz

FTP Server

Firewall

Servidor Web interno

Servidor de arquivos

O que um respondente online?

Usa a validao e a
revogao de OCSP usando
HTTP
Recebe e responde
dinamicamente a
solicitaes individuais
D suporte somente ao
Windows Server 2008,
Windows Vista, e sistemas
operacionais Windows
maisrecentes
Funciona como um
respondente para vrias
ACs

Demonstrao: Configurao de um respondente

online

Nesta demonstrao, voc pode ver como

configurar um respondente online

Lio 5: Gerenciamento da recuperao

decertificados

Viso geral de arquivamento de chave

erecuperao
Configurao do arquivamento de chave
automtico
Demonstrao: Configurao da AC
doarquivamento de chave
Recuperao de uma chave perdida
Demonstrao: Recuperao de uma chave

privada perdida (opcional)

Viso geral de arquivamento de chave e

recuperao
As chaves podem ser perdidas quando
O perfil de usurio deletado
O sistema operacional instalado novamente
O disco est danificado
O computador roubado
Os mtodos de recuperao de dados incluem
Arquivamento de chave e KRAs
Arquivamento e recuperao manual de
chave

Configurao do arquivamento de chave

automtico
Etapas para configurar o arquivamento de chave automtico

Configure e emita o modelo de certificado

KRA

Designe uma pessoa como o KRA e se

registre
no certificado

Habilite o arquivamento de chave na AC

Modifique e habilite os modelos de

certificado para arquivamento de chave

Demonstrao: Configurao da AC do
arquivamento dechave

Nesta demonstrao, voc ver como

configurar uma AC para arquivamento de
chave

Recuperao de uma chave perdida

3
3

N de srie:
00AD036
PKCS#7

2
2
1
1

6
6

A chave privada
perdida ou
danificada

O usurio importa
a chave privada

O Gerenciador de
Certificados extrai o
nmero PKCS#7 da
AC

O gerenciador de
certificados localiza
onmero de srie
docertificado

4
4
5
5

O KRA recupera
a chave privada

O Gerenciador de
Certificadostransfere o
nmero PKCS#7 para o
KRA

Demonstrao: Recuperao de uma chave

privada perdida (opcional)

Nesta demonstrao, voc ver como

recuperar uma chave privada perdida

Laboratrio B: Implantao e gerenciamento

decertificados
Exerccio 1: Configurao de modelos de
certificados
Exerccio 2: Configurao de registro de
certificado
Exerccio 3: de
Configurao
de revogao de
Informaes
logon
certificado
Mquinas
virtuais
24412B-LON-DC1
24412B-LON-SVR1
Exerccio 4: Configurao
da recuperao de
24412B-LON-SVR2
chave
24412B-LON-CA1
24412B-LON-CL1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Tempo previsto: 75 minutos

Cenrio do laboratrio
Como a A. Datum Corporation expandiu, os seus
requisitos de segurana tambm aumentaram. O
departamento de segurana est interessado
particularmente em habilitar o acesso seguro asites
crticos, e a fornecer segurana adicional para recursos
como EFS, cartes inteligentes e o recurso DirectAccess
do Windows 7 e do Windows 8. Para resolver esses e
outros requisitos de segurana, a A. Datum decidiu
implementar umaPKI usando a funo ADCS no
Windows Server 2012
Como um dos administradores de rede snior da A.
Datum, voc responsvel por implementar a
implantao do ADCS. Voc vai implantar a hierarquia
de AC, desenvolver osprocedimentos e processos de

Reviso do laboratrio
Quais so os principais benefcios do OCSP

sobrea CRL?
O que voc deve fazer voc para recuperar

aschaves privadas?

Reviso e informaes complementares do

mdulo

Perguntas de reviso
Problemas e cenrios reais
Ferramentas
Prtica recomendada
Problemas comuns e dicas de soluo

deproblemas