A HRA (Autoridade de Registro de Integridade) deve ser configurada com pelo menos uma CA (autoridade de certificação), para a qual solicitará certificados de integridade em nome de computadores cliente. Os certificados são solicitados quando novos clientes se conectam à rede ou quando o período de validade do certificado de integridade está para expirar em um computador cliente compatível. Os certificados também podem ser removidos e emitidos novamente para os computadores cliente caso seus estados de integridade mudar enquanto eles estiverem conectados à rede. A HRA solicitará certificados de integridade somente da autoridade de certificação configurada como a primeira da ordem de processamento, a menos que o servidor esteja indisponível ou não esteja respondendo.

Configurar autoridades de certificação

Use este procedimento para configurar autoridades de certificação na HRA. As autoridades de certificação podem ser adicionadas ou excluídas e sua ordem pode ser modificada. Você também pode especificar o tempo, em minutos, de espera entre solicitações antes da identificação de uma autoridade de certificação como indisponível. Se estiver usando uma autoridade de certificação empresarial, selecione os modelos de certificado autenticado e anônimo. Se estiver usando uma autoridade de certificação autônoma com Controle de Acesso à Rede, habilite as informações de estado estendido do cliente ao ativar OIDs de diretiva.

Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento. Veja detalhes sobre como usar as contas e as associações de grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477.

Adicionar uma nova autoridade de certificação

Para obter o desempenho ideal, uma autoridade de certificação subordinada autônoma e dedicada deve ser usada para a emissão de certificados de integridade. A tolerância a falhas é oferecida quando você configura mais de uma autoridade de certificação no snap-in HRA. O balanceamento de carga pode ser obtido pela configuração de uma HRA adicional com uma ordem de processamento de autoridade de certificação diferente. Você pode usar o procedimento a seguir para configurar autoridades de certificação a serem usadas com a HRA.

Para adicionar uma nova autoridade de certificação usando a interface do Windows
  1. Abra o console da HRA.

  2. Na árvore de console, clique com o botão direito do mouse em Autoridade de Certificação e clique em Adicionar Autoridade de Certificação. A caixa de diálogo Adicionar Autoridade de Certificação será aberta.

  3. Clique em Procurar. A caixa de diálogo Selecionar Autoridade de Certificação será aberta.

  4. Em Autoridade de Certificação, clique no nome da autoridade de certificação que será usada para a emissão de certificados de integridade NAP e clique em OK duas vezes.

  5. Na árvore de console da HRA, clique em Autoridade de Certificação e verifique o nome a ordem das autoridades de certificação configuradas.

    Observação

    Não é possível procurar uma autoridade de certificação em um ambiente de grupo de trabalho.

Configurar o tempo de espera da autoridade de certificação

A HRA só tentará obter certificados de integridade da autoridade de certificação configurada em primeiro lugar na ordem de processamento, a menos que ela tenha sido marcada como indisponível. Você pode usar o procedimento a seguir para alterar o tempo, em minutos, de espera antes da identificação da autoridade de certificação como indisponível.

Para configurar o tempo de espera da autoridade de certificação usando a interface do Windows
  1. Abra o console da HRA.

  2. Na árvore de console, clique com o botão direito do mouse em Autoridade de Certificação e clique em Propriedades. A caixa de diálogo Propriedades da Autoridade de Certificação será aberta.

  3. Insira o tempo, em minutos, de espera entre as solicitações antes da identificação de uma autoridade de certificação como indisponível e clique em OK.

Configure o período de validade do certificado de integridade

O período de validade padrão para certificados de integridade é de 4 horas. Os clientes tentarão renovar o certificado de integridade 15 minutos antes da expiração ou quando houver uma alteração em seu status de integridade. Você pode utilizar o procedimento a seguir para configurar um período de validade personalizado para certificados de integridade.

Para configurar o tempo de validade de certificados de integridade aprovados pela HRA usando a interface do Windows
  1. Abra o console da HRA.

  2. Na árvore de console, clique com o botão direito do mouse em Autoridade de Certificação e clique em Propriedades. A caixa de diálogo Propriedades da Autoridade de Certificação será aberta.

  3. Selecione a unidade de tempo usando a caixa de listagem suspensa disponível. É possível selecionar Minutos, Horas, Dias ou Semanas.

  4. Depois de escolher uma unidade de tempo, insira o número de unidades desejado e clique em OK.

  5. Se estiver usando uma autoridade de certificação corporativa, execute as etapas a seguir para substituir o período de validade configurado em seus modelos de certificado.

    1. Clique em Iniciar, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador.

    2. Na janela de comando, digite Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE e pressione ENTER.

    3. Na janela de comando, digite net stop certsvc && net start certsvc e pressione ENTER.

    4. Verifique se o AD CS (Serviços de Certificados do Active Directory®) é parado e iniciado com êxito.

Importante

O período máximo de validade do certificado de integridade é determinado pelo período de validade da autoridade de certificação, definido por padrão como 52 semanas. Tenha cuidado ao configurar um perídoo de validade menor do que 1 horas devido a potenciais problemas de desempenho no servidor da autoridade de certificação. Não utilize um período de validade de 15 minutos ou menos.

Escolher o tipo de autoridade de certificação

Utilize o procedimento a seguir para configurar o tipo de autoridade de certificação NAP. É importante escolher um tipo de autoridade de certificação que corresponda à autoridade de certificação configurada no procedimento anterior. Se estiver usando uma autoridade de certificação corporativa, configure os modelos antes de executar este procedimento.

Para escolher o tipo de autoridade de certificação usando a interface do Windows
  1. Abra o console da HRA.

  2. Na árvore de console, clique com o botão direito do mouse em Autoridade de Certificação e clique em Propriedades. A caixa de diálogo Propriedades da Autoridade de Certificação será aberta.

  3. Se estiver usando uma autoridade de certificação autônoma, escolha Usar autoridade de certificação autônoma.

  4. Não marque a caixa de seleção ao lado de Habilitar OIDs de Diretiva a menos que esteja usando informações de estado estendido do cliente para o Controle de Acesso à Rede.

  5. Se estiver usando uma autoridade de certificação corporativa integrada ao Active Directory, ou se estiver usando autoridades de certificação corporativa e autônomas, escolha Usar autoridade de certificação corporativa e use a lista suspensa para selecionar um Modelo de certificado compatível autenticado e um Modelo de certificado compatível anônimo na lista de modelos disponíveis. Se você não optou por permitir solicitações anônimas de certificados de integridade durante a instalação da HRA, a configuração de um modelo anônimo neste procedimento não habilitará as solicitações anônimas de certificado.

Configurar a ordem das autoridades de certificação ou excluí-las

Utilize o procedimento a seguir para modificar a prioridade das autoridades de certificação usadas pela HRA ou para removê-las da configuração da HRA. A HRA solicitará certificados somente da primeira autoridade de certificação configurada na lista, a menos que ela tenha sido marcada como indisponível.

Para configurar a ordem das autoridades de certificação ou para excluí-las usando a interface do Windows
  1. Abra o console da HRA.

  2. Na árvore de console, clique em Autoridades de Certificação.

  3. Clique com o botão direito do mouse no nome da autoridade de certificação na lista de servidores. Clique em Mover para Cima para aumentar a preferência desse servidor na ordem. Como alternativa, clique em Mover para Baixo para diminuir a preferência desse servidor na ordem.

  4. Para excluir uma autoridade de certificação da lista, clique com o botão direito do mouse em seu nome e clique em Excluir.

Consulte também