A revogação de um certificado invalida um certificado como uma credencial de segurança confiável antes que seu período de validade expire naturalmente. Uma infra-estrutura de chave pública (PKI) depende da verificação distribuída de credenciais, na qual não há necessidade de comunicação direta com a entidade central confiável que garante as credenciais.

Para oferecer suporte à revogação de certificados de forma eficiente, o cliente deverá determinar se o certificado é válido ou se já foi revogado. Para oferecer suporte a diversas situações, os Serviços de Certificado oferecem suporte a métodos de revogação de certificados padrão da indústria.

Isso inclui a publicação de listas de certificados revogados (CRLs) e CRLs delta em diversos locais acessíveis a clientes, dentre eles, o serviço de diretório Active Directory, servidores Web e compartilhamentos de arquivos de rede. No Windows, dados de revogação também podem ser disponibilizados em uma variedade de configurações através de respostas do protocolo de status de certificados online (OCSP).

Observação

CRLs são publicadas periodicamente em locais especificados da rede onde podem ser baixadas por clientes que as solicitem. Respostas OCSP são assinadas digitalmente e indicam se um certificado individual foi revogado ou suspenso, ou se o seu status é desconhecido. Respondentes OCSP obtêm seus dados de CRLs publicadas, ou podem ser atualizados diretamente do banco de dados de status de certificados de uma autoridade de certificação (CA).

Além disso, a Diretiva de Grupo de chave pública permite que administradores aumentem o uso de CRLs e respondentes online, especialmente em situações onde CRLs extremamente grandes ou condições de rede prejudiquem o desempenho.

Administradores é a associação de grupo mínima necessária para concluir esse procedimento. Examine os detalhes nas Considerações adicionais desse tópico.

Para definir as configurações de revogação em um computador local

  1. Clique em Iniciar, clique em Iniciar Pesquisa, digite mmc e, em seguida, pressione ENTER.

  2. No menu Arquivo, clique em Adicionar/Remover Snap-in.

  3. Na lista Snap-ins disponíveis, clique em Editor de Objeto de Diretiva Local, clique em Adicionar e, em seguida, clique em Concluir.

  4. Se você não tiver mais snap-ins para adicionar ao console, clique em OK.

  5. Na árvore de console, vá para Diretiva de Computador Local, Configuração do Computador, Configuraçãos do Windows Configurações de Segurança, e clique em Diretiva de Chave Pública..

  6. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Revogação.

  7. Marque a caixa de seleção Definir estas configurações de diretiva, selecione as opções de diretiva desejadas e clique em OK para aplicar as novas configurações.

O grupo Administradores de Domínio é a associação mínima de grupo necessária para concluir esse procedimento. Reveja os detalhes em "Considerações adicionais" deste tópico.

Para definir as configurações de revogação em um domínio

  1. Abra o Gerenciador do Servidor e em Resumo de Recursos, clique em Adicionar Recursos. Marque a caixa de seleção Gerenciamento de Diretiva de Grupo, clique em Avançar e, em seguida, clique em Instalar.

  2. Após a exibição da página Resultados da Instalação mostrar que a instalação do GPMC foi bem-sucedida, clique em Fechar.

  3. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.

  4. Na árvore de console, clique duas vezes em Objetos de Diretiva de Grupo na floresta e no domínio que contêm o GPO Diretiva de Domínio Padrão que você deseja editar.

  5. Clique com o botão direito do mouse no GPO Diretiva de Domínio Padrão e clique em Editar.

  6. No GPMC, vá para Configuração do Computador, Configuraçãos do Windows Configurações de Segurança e clique em Diretivas de Chave Pública..

  7. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Revogação.

  8. Marque a caixa de seleção Definir estas configurações de diretiva, selecione as opções de diretiva desejadas e clique em OK para aplicar as novas configurações.

A participação no grupo Administradores é o requisito mínimo necessário para concluir esse procedimento. Reveja os detalhes em "Considerações adicionais" deste tópico.

Para estender o período de validade de respostas CRL e OCSP em um computador local

  1. Clique em Iniciar, clique em Iniciar Pesquisa, digite mmc e, em seguida, pressione ENTER.

  2. No menu Arquivo, clique em Adicionar/Remover Snap-in.

  3. Na lista Snap-ins disponíveis, clique em Editor de Objeto de Diretiva Local, clique em Adicionar e, em seguida, clique em Concluir.

  4. Se você não tiver mais snap-ins para adicionar ao console, clique em OK.

  5. Na árvore de console, vá para Diretiva de Computador Local, Configuração do Computador, Configuraçãos do Windows Configurações de Segurança, e clique em Diretiva de Chave Pública..

  6. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Revogação.

  7. Marque a caixa de seleção Definir estas configurações de diretiva e marque a caixa de seleção Permitir que as respostas de CRLs e de OCSP sejam válidas por mais tempo do que seu tempo de vida.

  8. Selecione Tempo padrão em que o período de validade pode ser estendido, digite um valor de tempo desejado (em horas) e clique em OK para aplicar as novas configurações.

O grupo Administradores de Domínio é a associação mínima de grupo necessária para concluir esse procedimento. Reveja os detalhes em "Considerações adicionais" deste tópico.

Para estender o período de validade de respostas CRL e OCSP em um domínio

  1. Abra o Gerenciador do Servidor e em Resumo de Recursos, clique em Adicionar Recursos. Marque a caixa de seleção Gerenciamento de Diretiva de Grupo, clique em Avançar e, em seguida, clique em Instalar.

  2. Após a exibição da página Resultados da Instalação mostrar que a instalação do GPMC foi bem-sucedida, clique em Fechar.

  3. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.

  4. Na árvore de console, clique duas vezes em Objetos de Diretiva de Grupo na floresta e no domínio que contêm o GPO Diretiva de Domínio Padrão que você deseja editar.

  5. Clique com o botão direito do mouse no GPO Diretiva de Domínio Padrão e clique em Editar.

  6. No GPMC, vá para Configuração do Computador, Configuraçãos do Windows Configurações de Segurança e clique em Diretivas de Chave Pública..

  7. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Revogação.

  8. Marque a caixa de seleção Definir estas configurações de diretiva e marque a caixa de seleção Permitir que as respostas de CRLs e de OCSP sejam válidas por mais tempo do que seu tempo de vida.

  9. Selecione Tempo padrão em que o período de validade pode ser estendido, digite um valor de tempo desejado (em horas) e clique em OK para aplicar as novas configurações.

Considerações adicionais

  • É necessário ser administrador para modificar configurações de Diretiva de Grupo.

Sumário