Utilize os procedimentos a seguir em suas autoridades de certificação NAP para verificar se estes servidores estão corretamente configurados para serem usados com a HRA (Autoridade de Registro de Integridade) e com o método de imposição de IPsec da NAP. As autoridades de certificação NAP são servidores que possuem o AD CS (Serviços de Certificados do Active Directory®) instalado e em execução e que são capazes de emitir certificados de integridade NAP. Para obter mais informações sobre o AD CS, consulte https://go.microsoft.com/fwlink/?LinkId=94390.

Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento. Veja detalhes sobre como usar as contas e as associações de grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477.

Escolhendo uma autoridade de certificação NAP

A HRA deve ser associada a pelo menos uma autoridade de certificação para obter e emitir certificados de integridade NAP para computadores cliente NAP compatíveis. Você pode selecionar uma autoridade de certificação durante a instalação da HRA ao optar por instalar a autoridade de certificação localmente ou selecionar uma autoridade de certificação remota existente. Você também pode adicionar autoridades de certificação NAP usando o snap-in HRA ou uma linha de comando. Será preciso usar o snap-in HRA ou uma linha de comando para associar mais de uma autoridade de certificação à HRA. Você pode configurar a HRA para que ela use uma autoridade de certificação empresarial ou uma autoridade de certificação autônoma. Os requisitos de configuração para uma autoridade de certificação NAP variam de acordo com o tipo de autoridade de certificação escolhida. Você precisa definir as configurações de segurança da autoridade de certificação e os requisitos de emissão de certificados se escolher uma autoridade de certificação autônoma ou empresarial. Nessa configuração recomendada, a HRA é associada a uma autoridade de certificação subordinada, autônoma e dedicada. Para obter mais informações sobre como configurar a HRA para que ela utilize uma autoridade de certificação NAP, consulte Configurar a autoridade de certificação NAP.

Escolhendo uma autoridade de certificação autônoma

Uma autoridade de certificação autônoma não utiliza modelos de certificado. Portanto, não será preciso configurar um modelo de certificado de integridade quando uma autoridade de certificação NAP autônoma for usada. Se você optar por uma autoridade de certificação autônoma, ainda assim terá de definir configurações de segurança de autoridade de certificação e requisitos de emssão de certificado para que a HRA possa solicitar e emitir automaticamente certificados de integridade para os computadores clientes compatíveis.

Escolhendo uma autoridade de certificação empresarial

Uma autoridade de certificação empresarial emite certificados baseados em modelos de certificado. O módulo de diretiva é usado para oferecer uma lista de extensões de certificado para os certificados emitidos, como a autenticação de integridade do sistema para NAP. Se a sua autoridade de certificação empresarial estiver executando o Windows Server® 2008, o modelo de certificado Autenticação da Integridade do Sistema estará disponível por padrão com extensões de diretiva de aplicativo apropriadas para a autenticação de domínio e de integridade. Se a sua autoridade de autenticação empresarial estiver executando o Windows Server® 2003, você deverá criar e publicar um modelo contendo essas extensões de diretiva de aplicativo. Os procedimentos a seguir podem ser usados para que você verifique se as autoridades de certificação empresariais estão configuradas para emitirem certificados de integridade automaticamente e com as extensões de diretiva de aplicativo corretas.

Verificar a disponibilidade do modelo

Se o seu servidor de autoridade de certificação estiver executando o Windows Server 2008, o modelo de certificado para clientes NAP autenticados no domínio estará automaticamente disponível com o nome para exibição Autenticação da Integridade do Sistema. Se a sua autoridade de certificação estiver executando o Windows Server 2003, esse modelo deverá ser criado. Utilize o procedimento a seguir para verificar se há um modelo de certificado de integridade NAP disponível com as extensões de diretiva de aplicativo corretas ou crie-o se ele não estiver disponível. Este procedimento não se aplicará caso você esteja usando uma autoridade de certificação autônoma.

Para verificar a disponibilidade do modelo

  1. Clique em Iniciar e em Executar, digite certtmpl.msc e pressione ENTER.

  2. No painel de detalhes, em Nome para Exibição do Modelo, revise a lista de modelos. Clique duas vezes no nome do seu modelo de certificado de integridade NAP. Se ele não estiver listado, execute as etapas a seguir:

    1. Clique com o botão direito do mouse em Autenticação de Estação de Trabalho e clique em Duplicar Modelo.

    2. Em Nome para exibição do modelo, digite Autenticação da Integridade do Sistema e clique na guia Extensões.

    3. Na guia Extensões incluídas neste modelo, clique em Diretivas de Aplicativo e em Editar.

    4. Clique em Adicionar e em Novo.

    5. Em Nova Diretiva de Aplicativo, sob Nome, digite Autenticação da Integridade do Sistema.

    6. Em Identificador de Objeto, digite 1.3.6.1.4.1.311.47.1.1 e clique em OK quatro vezes.

    7. Confirme se o seu novo modelo foi criado com êxito.

    8. Para verificar o seu novo modelo, clique duas vezes em seu nome e conclua as etapas restantes deste procedimento.

  3. Clique na guia Extensões.

  4. Na guia Extensões incluídas neste modelo, clique em Diretivas de Aplicativo.

  5. Em Descrição de Diretivas de Aplicativo, verifique se Autenticação da Integridade do Sistema e Autenticação de Cliente estão listados e clique em Editar.

  6. Clique em Autenticação da Integridade do Sistema e clique em Editar.

  7. Em Editar Diretiva de Aplicativo, sob Identificador de Objeto, verifique se o valor é 1.3.6.1.4.1.311.47.1.1. Se o valor do identificador de objeto de diretiva de aplicativo for diferente, use as etapas anteriores deste procedimento para criar um novo modelo de autenticação de integridade do sistema. Também será preciso corrigir os nomes de diretiva de aplicativo para que o identificador de objeto associado a Autenticação da Integridade do Sistema seja 1.3.6.1.4.1.311.47.1.1.

  8. Clique em Cancelar três vezes e feche o console dos Modelos de Certificado.
Observação

Se esse modelo de certificado for usado para emitir certificados de integridade anônimos, não inclua a diretiva de aplicativo Autenticação de Cliente. Os certificados que contêm a diretiva de aplicativo de autenticação de cliente são emitidos para clientes que se autenticam com credenciais do domínio.

Verificar a disponibilidade do certificado

Em uma autoridade de certificação empresarial, os certificados devem ser disponibilizados antes que possam ser emitidos para computadores clientes. Utilize o procedimento a seguir para garantir que o seu certificado de integridade NAP está disponível para emissão. Este procedimento não se aplicará caso você esteja usando uma autoridade de certificação autônoma.

Para verificar a disponibilidade do certificado

  1. Clique em Iniciar e em Executar, digite certsvr.msc e pressione ENTER.

  2. Na árvore de console, clique em Modelos de Certificado.

  3. No painel de detalhes, em Nome, verifique se o seu certificado de integridade NAP está listado. Se o seu servidor de autoridade de certificação estiver executando o Windows Server 2008, o modelo de certificado para clientes NAP autenticados no domínio terá um nome para exibição Autenticação da Integridade do Sistema.

  4. Se o modelo de certificado de integridade tiver sido criado mas não aparecer na lista, utilize as etapas a seguir para emiti-lo:

    1. Clique com o botão direito do mouse em Modelos de Certificado, aponte para Novo e clique em Modelo de certificado a ser emitido.

    2. Em Ativar modelos de certificado, em Nome, clique no nome do seu certificado de integridade NAP e em OK. Caso o modelo não esteja listado, então ele já foi habilitado ou deve ser criado antes da execução deste procedimento.

    3. Verifique se o seu modelo de certificado de integridade NAP foi adicionado à lista de modelos.

  5. Feche o console da Autoridade de Certificação.

Verificar permissões de inscrição de certificado para a HRA

Para que a HRA obtenha certificados de uma autoridade de certificação empresarial e as emita para clientes, deve receber permissão para inscrever o certificado de integridade. A habilitação da permissão de registro automático permite que a HRA adicione automaticamente esse certificado ao seu armazenamento de certificados local. Se apenas a permissão de registro for concedida, você precisará oferecer manualmente um certificado de integridade ao servidor HRA. Utilize o procedimento a seguir para verificar se a HRA recebeu essas permissões. Este procedimento não se aplicará caso você esteja usando uma autoridade de certificação autônoma.

Para verificar permissões de inscrição de certificado para a HRA

  1. Clique em Iniciar e em Executar, digite certtmpl.msc e pressione ENTER.

  2. No painel de detalhes, em Nome de Exibição do Modelo, sob Nome, clique duas vezes no nome do seu certificado de integridade NAP. Se o seu servidor de autoridade de certificação estiver executando o Windows Server 2008, o modelo de certificado para clientes NAP autenticados no domínio terá um nome para exibição Autenticação da Integridade do Sistema.

  3. Clique na guia Segurança.

  4. Verifique se as permissões Registrar and Registrar automaticamente foram concedidas ao nome DNS do seu servidor HRA ou a um grupo do qual o servidor HRA é membro. Se elas não tiverem sido concedidas, execute estas etapas:

    1. Clique em Adicionar e em Tipos de Objeto, marque a caixa de seleção Computadores e clique em OK.

    2. Digite o nome DNS do seu servidor HRA em Digite os nomes de objeto a serem selecionados e clique em OK. Como alternativa, você pode digitar o nome de um grupo do qual o servidor HRA é membro.

    3. Clique no nome ou no grupo adicionado, selecione Permitir para Registrar e Registrar automaticamente e clique em OK.

  5. Feche o console de Modelos de Certificado.

Verificar as configurações de segurança da autoridade de certificação

As configurações de segurança da autoridade de autenticação determinam se a HRA possui permissões suficientes para emitir certificados de integridade. Utilize o procedimento a seguir para verificar essas permissões em suas autoridades de certificação NAP. Este procedimento se aplica aos servidores de autoridade de certificação empresarial e autônoma.

Para verificar as configurações de segurança do certificado

  1. Clique em Iniciar e em Executar, digite certsvr.msc e pressione ENTER.

  2. Clique com o botão direito do mouse no nome comum da sua autoridade de certificação e clique em Propriedades.

  3. Clique na guia Segurança.

  4. Se a sua HRA e autoridade de certificação NAP estiverem no mesmo computador, verifique se o SERVIÇO DE REDE se encontra na lista de Nomes de grupo ou de usuário.

  5. Se a sua HRA e autoridade de certificação NAP estiverem no mesmo computador, verifique se o nome de computador do seu servidor HRA se encontra na lista de Nomes de grupo ou de usuário.

  6. Clique no nome do seu servidor HRA ou clique em SERVIÇO DE REDE para verificar se há permissões para Emitir e Gerenciar Certificados, Gerenciar Autoridade de Certificação e Solicitar Certificados.

  7. Clique em OK e feche o console da Autoridade de Certificação.

Verificar os requisitos de emissão de certificado

Para que os computadores cliente NAP recebam certificados de integridade imediatamente quando estiverem determinados a atender os requisitos de integridade da rede, as autoridades de certificação NAP deverão ser configuradas para emitir certificados de integridade de forma automática. Utilize o procedimento a seguir para verificar se os certificados são emitidos automaticamente. Este procedimento se aplica aos servidores de autoridade de certificação empresarial e autônoma.

Para verificar os requisitos de emissão de certificado

  1. Clique em Iniciar e em Executar, digite certsvr.msc e pressione ENTER.

  2. Clique com o botão direito do mouse no nome comum da sua autoridade de certificação e clique em Propriedades.

  3. Clique na guia Módulo de Diretiva e em Propriedades.

  4. Verifique se Seguir as configurações do modelo de certificado está selecionado.

  5. Clique em OK e feche o console da Autoridade de Certificação.

Consulte também

Sumário