As autoridades de certificação corporativas (CAs) podem emitir certificados para diversos fins, tais como assinaturas digitais, proteção de email usando S/MIME (Extensões Multipropósito do Internet Mail Protegidas), autenticação para um servidor Web protegido usando o protocolo SSL ou Transport Layer Security (TLS) e o logon em um domínio, usando um cartão inteligente.
Uma autoridade de certificação corporativa apresenta as características a seguir:
-
Necessita do acesso aos Serviços de Domínio Active Directory (AD DS).
-
Utiliza a Diretiva de Grupo para propagar seu certificado para o armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis de todos os usuários e computadores do domínio.
-
Publica os certificados de usuário e as listas de certificados revogados (CRLs) para os AD DS. Para publicar os certificados para os AD DS, o servidor em que a autoridade de certificação está instalada deve ser membro do grupo Editores de Certificados. Esse processo é automático para o domínio do servidor, porém permissões de segurança adequadas para publicar certificados em outros domínios devem ter sido delegadas ao servidor.
Observação | |
É necessário ser um membro do grupo Admins. do Domínio ou ser um administrador com acesso de Gravação aos AD DS para instalar uma autoridade de certificação corporativa raiz. |
Uma autoridade de certificação corporativa emite certificados com base num modelo de certificado. A funcionalidade a seguir é possível quando modelos de certificado são usados:
-
As autoridades de certificação corporativas exigem verificações de credenciais dos usuários durante a inscrição do certificado. Cada modelo de certificado possui uma permissão de segurança definida nos AD DS, que determina se o responsável pela solicitação do certificado está autorizado a receber o tipo de certificado solicitado.
-
O nome da entidade de certificado pode ser gerado automaticamente a partir das informações nos AD DS ou fornecido explicitamente pelo responsável pela solicitação.
-
O módulo de diretiva adiciona uma lista pré-definida de extensões para o certificado emitido. As extensões são definidas pelo modelo de certificado. Isso reduz a quantidade de informações que o responsável pela solicitação tem que fornecer sobre o certificado e o seu propósito.
-
O registro automático pode ser usado para emitir certificados.