Pode utilizar este procedimento para configurar o modelo de certificado que o AD CS (Serviços de Certificados do Active Directory®) utiliza como base para os certificados de utilizador atribuídos a membros do grupo de utilizadores do domínio.

A associação aos grupos Enterprise Admins e Domain Admins do domínio de raiz constitui o requisito mínimo para levar a cabo este procedimento.

Para configurar a inscrição automática e o modelo de certificado

  1. No computador em que os Serviços de Certificados do Active Directory estão instalados, clique em Iniciar, clique em Executar, escreva mmc e, em seguida, clique em OK.

  2. No menu Ficheiro, clique em Adicionar/Remover Snap-in. É aberta a caixa de diálogo Adicionar ou Remover Snap-ins.

  3. Em Snap-ins disponíveis, faça duplo clique em Autoridade de Certificação. Seleccione a autoridade de certificação (AC) que pretende gerir e, em seguida, clique em Concluir. A caixa de diálogo Autoridade de Certificação é fechada, regressando à caixa de diálogo Adicionar ou Remover Snap-ins.

  4. Em Snap-ins disponíveis, faça duplo clique em Modelos de Certificado e, em seguida, clique em OK.

  5. Na árvore da consola, clique em Modelos de Certificado. Todos os modelos de certificado são apresentados no painel de detalhes.

  6. No painel de detalhes, clique no modelo Utilizador.

  7. No menu Acção, clique em Modelo Duplicado. É aberta a caixa de diálogo Modelo Duplicado. Seleccione a versão do modelo adequada para a implementação e, em seguida, clique em OK. É aberta a caixa de diálogo de propriedades do novo modelo.

  8. No separador Geral, em Nome a Apresentar, escreva um novo nome para o modelo de certificado ou mantenha o nome predefinido.

  9. Clique no separador Segurança. Em Nomes de grupos ou utilizadores, clique em Utilizadores do Domínio.

  10. Em Permissões para Utilizadores do Domínio, em Permitir, seleccione as caixas de verificação de permissão Inscrever e Inscrever automaticamente e, em seguida, clique em OK.

  11. Faça duplo clique em Autoridade de Certificação, faça duplo clique no nome da CA e, em seguida, clique em Modelos de Certificado. No menu Acção, aponte para Novo e, em seguida, clique em Modelo de Certificado a Emitir. É aberta a caixa de diálogo Activar Modelos de Certificado.

  12. Clique no nome do modelo de certificado que acabou de configurar e, em seguida, clique em OK. Por exemplo, se não tiver alterado o nome predefinido do modelo de certificado, clique em Cópia de Utilizador e, em seguida, clique em OK.

  13. No computador em que os Serviços de Domínio do Active Directory (AD DS) estão instalados, clique em Iniciar, clique em Executar, escreva mmc e, em seguida, clique em OK.

  14. No menu Ficheiro, clique em Adicionar/Remover Snap-in. É aberta a caixa de diálogo Adicionar ou Remover Snap-ins.

  15. Na caixa de diálogo Adicionar ou Remover Snap-ins, em Snap-ins disponíveis, faça duplo clique em Editor de Gestão de Políticas de Grupo. É aberto o assistente Seleccionar Objecto de Política de Grupo. Clique em Procurar e, em seguida, seleccione Política Predefinida de Domínio. Clique em OK, clique em Concluir e, em seguida, clique em OK novamente.

  16. Clique em Política Predefinida de Domínio. Abra Configuração do Utilizador, em seguida Políticas, em seguida Definições do Windows, em seguida Definições de Segurança e, em seguida, Políticas de Chaves Públicas.

  17. No painel de detalhes, faça duplo clique em Cliente de Serviços de Certificados - Inscrição Automática. É aberta a caixa de diálogo Propriedades de Cliente de Serviços de Certificados - Inscrição Automática.

  18. Na caixa de diálogo Propriedades de Cliente de Serviços de Certificados - Inscrição Automática, em Modelo de Configuração, seleccione Activado.

  19. Seleccione a caixa de verificação Renovar certificados expirados, actualizar certificados pendentes e remover certificados revogados.

  20. Seleccione a caixa de verificação Actualizar certificados que utilizam modelos de certificado e, em seguida, clique em OK.

Considerações adicionais

Após este procedimento estar concluído, os utilizadores de domínio inscrevem automaticamente um certificado de utilizador quando a Política de Grupo é actualizada. Para actualizar a Política de Grupo, reinicie o computador cliente ou, na linha de comandos, execute gpupdate.

Certifique-se de que os contentores de sistema adequados do domínio estão configurados para a inscrição automática de certificados de utilizador através da herança de definições de Política de Grupo de um sistema principal ou através de configuração explícita.

Sumário