Utilize os procedimentos seguintes nas autoridades de certificação (ACs) de Protecção do Acesso à Rede (NAP) para verificar se estes servidores estão correctamente configurados para serem utilizados com a Autoridade de Registo de Estado de Funcionamento (HRA) e com o método de imposição IPSec (Internet Protocol security) de NAP. As ACs NAP são servidores que têm os Serviços de Certificados do Active Directory® (AD CS) instalados e em execução, podendo emitir certificados de estado de funcionamento NAP. Para mais informações sobre o AD CS, consulte https://go.microsoft.com/fwlink/?LinkId=127816 (pode estar em inglês).

A associação ao grupo Domain Admins, ou equivalente, é o requisito mínimo para levar a cabo este procedimento. Consulte detalhes sobre como utilizar as contas e associações a grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477 (Esta página pode estar em inglês).

Escolher uma AC NAP

A HRA tem de estar associada a, pelo menos, uma AC de forma a obter e emitir certificados de estado de funcionamento NAP a computadores cliente NAP compatíveis. Pode seleccionar uma AC durante a instalação da HRA optando por instalar a AC localmente ou seleccionando uma AC remota existente. Também pode adicionar posteriormente ACs NAP utilizando o snap-in HRA ou a linha de comandos. Tem utilizar o snap-in HRA ou a linha de comandos de forma a associar mais de uma CA com a HRA. Pode configurar a HRA para utilizar uma AC empresarial ou autónoma. Os requisitos de configuração para a AC NAP variam consoante o tipo de AC que escolher. Em ambos os casos, terá de configurar as definições de segurança da AC e os requisitos de emissão de certificados. Na configuração recomendada, a HRA é associada a uma AC subordinada autónoma dedicada. Para mais informações sobre a configuração da HRA para utilizar uma AC NAP, consulte Configurar a Autoridade de Certificação NAP.

Escolher uma AC autónoma

A AC autónoma não utiliza modelos de certificado. Sendo assim, não precisa de configurar um modelo de certificado de estado de funcionamento quando utilizar uma AC NAP autónoma. Se optar por escolher uma AC autónoma, terá ainda de configurar as definições de segurança AC e os requisitos de emissão de certificado de forma que a HRA possa pedir e emitir automaticamente certificados de estado de funcionamento a computadores cliente compatíveis.

Escolher uma AC empresarial

Uma AC empresarial emite certificados tendo por base os modelos de certificado. O módulo de politicas é utilizado para fornecer uma lista de extensões de certificado aos certificados emitidos, tal como a autenticação de estado de funcionamento de sistema para NAP. Se a AC empresarial estiver a executar o Windows Server® 2008, então o modelo de certificado de Autenticação de Estado de Funcionamento de Sistema está disponível, por predefinição, com extensões de política de aplicação adequadas à autenticação de domínio e de estado de funcionamento. Se a AC empresarial estiver a executar o Windows Server® 2003, terá de criar e publicar um modelo que contenha as extensões de política de aplicação. Pode utilizar os procedimentos seguintes para verificar se as ACs empresariais estão configuradas para emitir os certificados de estado de funcionamento com as extensões de política de aplicação adequadas.

Verificar a disponibilidade do modelo

Se o servidor da AC empresarial estiver a executar o Windows Server 2008, ficará automaticamente disponível um modelo de certificado para clientes NAP autenticados por domínio com o nome a apresentar da Autenticação de Estado de Funcionamento de Sistema. Se a AC empresarial estiver a executar o Windows Server 2003, este modelo tem de ser criado. Utilize o procedimento seguinte para verificar se está disponível um modelo de certificado de estado de funcionamento NAP com as extensões de política de aplicação correcta, ou crie este modelo caso não esteja disponível. Este procedimento não se aplica se estiver a utilizar uma AC autónoma.

Para verificar a disponibilidade do modelo
  1. Clique em Iniciar, clique em Executar, escreva certtmpl.msc e, em seguida, prima ENTER.

  2. No painel de detalhes, em Nome apresentado do modelo, reveja a lista de modelos. Faça duplo clique sobre o nome do modelo de certificado de estado de funcionamento NAP. Se não estiver listado um modelo de certificado de estado de funcionamento NAP, efectue os passos seguintes:

    1. Clique com o botão direito do rato em Autenticação da estação de trabalho e, em seguida, clique em Duplicar Modelo.

    2. Em Nome apresentado do modelo, escreva Autenticação do Estado de Funcionamento de Sistema e, em seguida, clique no separador Extensões.

    3. Em Extensões incluídas neste modelo, clique em Políticas de Aplicação e, em seguida, clique em Editar.

    4. Clique em Adicionar e, em seguida, clique em Nova.

    5. Em Nova Política de Aplicação, em Nome, escreva Autenticação de Estado de Funcionamento de Sistema.

    6. Em Identificador de objecto, escreva 1.3.6.1.4.1.311.47.1.1 e, em seguida, clique quatro vezes em OK.

    7. Confirme que foi criado com êxito o novo modelo.

    8. Para verificar o novo modelo, faça duplo clique sobre o nome e conclua os passos restantes deste procedimento.

  3. Clique no separador Extensões.

  4. Em Extensões incluídas neste modelo, clique em Políticas de Aplicação.

  5. Em Descrição das Políticas de Aplicação, verifique se estão listadas Autenticação de Estado de Funcionamento de Sistema e Autenticação de Cliente e, em seguida, clique em Editar.

  6. Clique em Autenticação de Estado de Funcionamento de Sistema e, em seguida, clique em Editar.

  7. Em Editar Política de Aplicação, em Identificador de objecto, verifique se o valor é 1.3.6.1.4.1.311.47.1.1. Se o valor do identificador de objecto de política de aplicação for diferente, então utilize os passos anteriores deste procedimento para criar um novo modelo de autenticação de estado de funcionamento de sistema. Deverá também corrigir os nomes da política de aplicação de forma a que o identificador de objecto associado à Autenticação de Estado de Funcionamento de Sistema seja 1.3.6.1.4.1.311.47.1.1.

  8. Clique três vezes em Cancelar e, em seguida, feche a consola Modelos de Certificado.

Nota

Se este modelo de certificado for utilizado para emitir certificados de estado de funcionamento anónimos, não inclua a política de aplicação Autenticação de Cliente. Os certificados com a política de aplicação de autenticação do cliente são emitidos a clientes que efectuam a autenticação com as credenciais de domínio.

Verificar disponibilidade do certificado

Numa AC empresarial, os certificados têm de estar disponíveis antes de poderem ser emitidos a computadores cliente. Utilize o procedimento seguinte para garantir que o certificado de estado de funcionamento NAP está disponível para emissão. Este procedimento não se aplica se estiver a utilizar uma AC autónoma.

Para verificar a disponibilidade do certificado
  1. Clique em Iniciar, clique em Executar, escreva certsvr.msc e, em seguida, prima ENTER.

  2. Na árvore da consola, clique em Modelos de Certificado.

  3. No painel de detalhes, em Nome, verifique se o certificado de estado de funcionamento está listado. Se o servidor da AC empresarial estiver a executar o Windows Server 2008, o modelo de certificado de estado de funcionamento predefinido para clientes NAP autenticados no domínio tem o nome Autenticação de Estado de Funcionamento de Sistema.

  4. Se o modelo de certificado de estado de funcionamento tiver sido criado, mas não é apresentado na lista, utilize os passos seguintes para emitir o modelo:

    1. Clique com o botão direito do rato em Modelos de Certificado, aponte para Novo e, em seguida, clique em Modelo de Certificado a Emitir.

    2. Em Activar Modelos de Certificado, em Nome, clique no nome do certificado de estado de funcionamento NAP e, em seguida, clique em OK. Se o modelo não se encontrar listado, então já foi activado ou terá de o criar antes de efectuar este procedimento.

    3. Verifique se o modelo de certificado de estado de funcionamento NAP está na lista de modelos.

  5. Feche a consola Autoridade de Certificação.

Verificar as permissões de inscrição de certificados para a HRA

Para a HRA obter certificados de uma AC empresarial e os emitir aos clientes, tem de ser concedida permissão para inscrever o certificado de estado de funcionamento. A activação da permissão de inscrição automática permite à HRA adicionar automaticamente este certificado ao respectivo arquivo de certificados locais. Se apenas são permitidas as permissões de inscrição, tem de provisionar manualmente um certificado de estado de funcionamento no servidor HRA. Utilize o procedimento seguinte para verificar se foram concedidas essas permissões à HRA. Este procedimento não se aplica se estiver a utilizar uma AC autónoma.

Para verificar as permissões de inscrição de certificados para a HRA
  1. Clique em Iniciar, clique em Executar, escreva certtmpl.msc e, em seguida, prima ENTER.

  2. No painel de detalhes, em Nome Apresentado do Modelo, faça duplo clique sobre o nome do certificado de estado de funcionamento NAP. Se o servidor da AC empresarial estiver a executar o Windows Server 2008, o modelo de certificado de estado de funcionamento predefinido para clientes NAP autenticados por domínio terá o nome a apresentar Autenticação de Estado de Funcionamento de Sistema.

  3. Clique no separador Segurança.

  4. Verifique se as permissões Inscrição e Inscrição Automática foram concedidas ao nome de DNS do servidor HRA, ou a um grupo do qual o servidor HRA é membro. Se estas permissões não forem concedidas, efectue os passos seguintes:

    1. Clique em Adicionar, clique em Tipos de Objecto, seleccione a caixa de verificação Computadores e, em seguida, clique em OK.

    2. Em Introduza os nomes de objectos a seleccionar escreva o nome de DNS do servidor HRA e clique em OK. De forma alternativa, pode escrever o nome de um grupo do qual o servidor HRA é membro.

    3. Clique no nome ou grupo que adicionou, seleccione Permitir permissões para Inscrição e Inscrição Automática e, em seguida, clique em OK.

  5. Feche a consola de Modelos de Certificado.

Verificar as definições de segurança da AC

As definições de segurança da AC determinam se a HRA possui permissão para emitir certificados de estado de funcionamento. Utilize o seguinte procedimento para verificar estas permissões nas ACs NAP. Este procedimento aplica-se a servidores AC empresariais e autónomos.

Para verificar as definições de segurança de certificado
  1. Clique em Iniciar, clique em Executar, escreva certsrv.msc e, em seguida, prima ENTER.

  2. Clique com o botão direito do rato no nome comum da AC e, em seguida, clique em Propriedades.

  3. Clique no separador Segurança.

  4. Se a HRA e a AC NAP estiverem a ser executadas no mesmo computador, verifique se encontra a entrada NETWORK SERVICE em Nomes de grupos ou utilizadores.

  5. Se a HRA e a AC NAP estiverem a ser executadas em computadores diferentes, verifique se encontra o nome de computador do servidor HRA em Nomes de grupos ou utilizadores.

  6. Clique no nome do servidor HRA ou clique em NETWORK SERVICE, e verifique se as permissões permitem Emitir e Gerir Certificados, Gerir a AC e Pedir Certificados.

  7. Clique em OK e, em seguida, feche a consola da Autoridade de Certificação.

Verificar os requisitos de emissão de certificados

Por forma que os computadores cliente NAP adquiram imediatamente certificados de estado de funcionamento quando é determinado que estão em conformidade com os requisitos de estado de funcionamento de rede, as ACs de NAP têm de ser configuradas para emitir certificados de estado de funcionamento automaticamente. Utilize o procedimento seguinte para verificar se os certificados são emitidos automaticamente. Este procedimento aplica-se a servidores AC empresariais e autónomos.

Para verificar os requisitos de emissão de certificados
  1. Clique em Iniciar, clique em Executar, escreva certsrv.msc e, em seguida, prima ENTER.

  2. Clique com o botão direito do rato no nome comum da AC e, em seguida, clique em Propriedades.

  3. Clique no separador Módulo de Política e, em seguida, clique em Propriedades.

  4. Verifique se está seleccionado Seguir as definições do modelo de certificado.

  5. Clique duas vezes em OK e, em seguida, feche a consola da Autoridade de Certificação.

Referências adicionais