A revogação de um certificado invalida um certificado como uma credencial de segurança fidedigna antes da expiração agendada do período de validade. Uma infra-estrutura de chaves públicas (PKI) depende da verificação distribuída de credenciais, para a qual não é necessária comunicação directa com a entidade fidedigna central que garanta as credenciais.
Para suportar com eficácia a revogação de certificados, o computador cliente tem de determinar se o certificado é válido ou se foi revogado. Para suportar uma variedade de cenários, os Serviços de Certificados do Active Directory suportam métodos de norma da indústria de revogação de certificados. Isto inclui a publicação de listas de revogação de certificados (CRLs) e de CRLs delta em várias localizações para que os clientes acedam às mesmas, incluindo os Serviços de Certificados do Active Directory, servidores Web e partilhas de ficheiros de rede. No Windows, os dados de revogação podem igualmente ser disponibilizados numa variedade de definições através de respostas do protocolo OCSP (Online Certificate Status Protocol).
 | Nota |
|
As CRLs são publicadas em determinadas localizações de rede numa base periódica na qual possam ser transferidas por computadores cliente. As respostas OCSP são respostas assinadas digitalmente que indicam se um certificado individual foi revogado ou suspenso, ou se o respectivo estado é desconhecido. Os dispositivos de resposta OCSP obtêm os dados a partir de CRLs publicadas, ou podem ser actualizados directamente a partir da base de dados do estado do certificado de uma AC (autoridade de certificação). |
Além disso, a Política de Grupo da chave pública permite aos administradores melhorar a utilização dos dispositivos de resposta CRLs e OCSP, especialmente em situações em que CRLs muito extensas ou condições de rede diminuem o desempenho.
Este tópico inclui procedimentos para as seguintes tarefas:
Configurar definições de revogação num computador local
Administradores é o requisito mínimo de associação a grupos necessário para concluir este procedimento.
 | Para configurar definições de revogação num computador local |
Clique em Iniciar, escreva gpedit.msc na caixa Procurar programas e ficheiros e prima ENTER.
Na árvore da consola, em Política do Computador Local\Configuração do Computador\Definições do Windows\Definições de Segurança, clique em Políticas de Chaves Públicas.
Faça duplo clique em Definições de Validação de Caminhos de Certificados e clique no separador Revogação.
Seleccione a caixa de verificação Definir estas definições de política, seleccione as definições de política que pretende aplicar e clique em OK para aplicar as novas definições.
Configurar definições de revogação para um domínio
Admins do Domínio é a associação a grupos mínima exigida para concluir este procedimento.
| Para configurar definições de revogação para um domínio |
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gestor de Servidor.
Em Resumo das Funcionalidades, clique em Adicionar Funcionalidades. Seleccione a caixa de verificação Gestão de Políticas de Grupo, clique em Seguinte e, em seguida, clique em Instalar.
Depois de a página Resultados da instalação mostrar que a instalação da GPMC (Consola de Gestão de Políticas de Grupos) teve êxito, clique em Fechar.
Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Gestão de Políticas de Grupo.
Na árvore da consola, faça duplo clique em Objectos de Política de Grupo na floresta e no domínio que contêm o objecto de Política de Grupo (GPO) Política Predefinida de Domínio que pretende editar.
Clique com o botão direito do rato no GPO Política Predefinida de Domínio e clique em Editar.
Na árvore da consola, em Configuração do Computador\Definições do Windows\Definições de Segurança, clique em Políticas de Chaves Públicas.
Faça duplo clique em Definições de Validação de Caminhos de Certificados e clique no separador Revogação.
Seleccione a caixa de verificação Definir estas definições de política, seleccione as definições de política que pretende aplicar e clique em OK para aplicar as novas definições.
Aumentar o período de validade da CRL e de respostas OCSP de um computador local
Administradores é a associação a grupos mínima requerida para concluir este procedimento.
| Para aumentar o período de validade da CRL e de respostas OCSP de um computador local |
Clique em Iniciar, escreva gpedit.msc na caixa Procurar programas e ficheiros e prima ENTER.
Na árvore da consola, em Política do Computador Local\Configuração do Computador\Definições do Windows\Definições de Segurança, clique em Políticas de Chaves Públicas.
Faça duplo clique em Definições de Validação de Caminhos de Certificados e clique no separador Revogação.
Seleccione a caixa de verificação Definir estas definições de política e, em seguida, seleccione a caixa de verificação Permitir que respostas CRLs e OCSP sejam válidas além do seu tempo limite.
Na caixa Tempo predefinido que o período de validade pode ser alargado, introduza um valor de tempo (em horas) e clique em OK para aplicar as novas definições.
Aumentar o período de validade da CRL e de respostas OCSP de um domínio
Admins do Domínio é a associação a grupos mínima exigida para concluir este procedimento.
| Para aumentar o período de validade da CRL e de respostas OCSP de um domínio |
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gestor de Servidor.
Em Resumo das Funcionalidades, clique em Adicionar Funcionalidades. Seleccione a caixa de verificação Gestão de Políticas de Grupo, clique em Seguinte e clique em Instalar.
Depois de a página Resultados da instalação mostrar que a instalação da GPMC teve êxito, clique em Fechar.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gestão de Políticas de Grupo.
Na árvore da consola, faça duplo clique em Objectos de Política de Grupo na floresta e no domínio que contêm o GPO Política Predefinida de Domínio que pretende editar.
Clique com o botão direito do rato no GPO Política Predefinida de Domínio e clique em Editar.
Na árvore da consola, em Configuração do Computador\Definições do Windows\Definições de Segurança, clique em Políticas de Chaves Públicas.
Faça duplo clique em Definições de Validação de Caminhos de Certificados e clique no separador Revogação.
Seleccione a caixa de verificação Definir estas definições de política e seleccione a caixa de verificação Permitir que respostas CRLs e OCSP sejam válidas além do seu tempo limite.
Na caixa Tempo predefinido que o período de validade pode ser alargado, introduza um valor de tempo (em horas) e, em seguida, clique em OK para aplicar as novas definições.
Referências adicionais