Por causa da crescente variedade de certificados em uso atualmente e do crescente número de entidades de certificado, algumas organizações podem optar por gerenciar certificados confiáveis e impedir usuários no domínio de configurar seu próprio conjunto de certificados raiz. Além disso, algumas organizações podem optar por identificar e distribuir certificados raiz confiáveis para habilitar ambientes corporativos onde relações de confiança adicionais sejam necessárias.

Administradores é a associação de grupo mínima necessária para concluir esse procedimento. Examine os detalhes nas Considerações adicionais desse tópico.

Para gerenciar certificados raiz confiáveis de um computador local

  1. Clique em Iniciar, clique em Iniciar Pesquisa, digite mmc e, em seguida, pressione ENTER.

  2. No menu Arquivo, clique em Adicionar/Remover Snap-in.

  3. Na lista Snap-ins disponíveis, clique em Editor de Objeto de Diretiva de Grupo Local, clique em Adicionar, selecione o computador cujo GPO local você deseja editar e, em seguida, clique em Concluir.

  4. Se você não tiver mais snap-ins para adicionar ao console, clique em OK.

  5. Na árvore de console, vá para Diretiva de Computador Local, Configuração do Computador, Configuraçãos do Windows Configurações de Segurança, e clique em Diretiva de Chave Pública..

  6. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Armazenamentos.

  7. Marque a caixa de seleção Definir estas configurações de diretiva.

  8. Em Armazenamentos de certificado por usuário, desmarque as caixas de seleção Permitir que as Autoridades de Certificação raiz em que o usuário confia sejam usadas para validar certificados e Permitir que os usuários confiem em certificados confiáveis de mesmo nível.

  9. Em Armazenamentos de certificado raiz, selecione os CAs raiz nos quais os computadores clientes podem confiar e clique em OK para aplicar as novas configurações.

O grupo Administradores de Domínio é a associação mínima de grupo necessária para concluir esse procedimento. Reveja os detalhes em "Considerações adicionais" deste tópico.

Para gerenciar certificados raiz confiáveis de um domínio

  1. Abra o Gerenciador do Servidor e em Resumo de Recursos, clique em Adicionar Recursos. Marque a caixa de seleção Gerenciamento de Diretiva de Grupo, clique em Avançar e, em seguida, clique em Instalar.

  2. Após a exibição da página Resultados da Instalação mostrar que a instalação do GPMC foi bem-sucedida, clique em Fechar.

  3. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.

  4. Na árvore de console, clique duas vezes em Objetos de Diretiva de Grupo na floresta e no domínio que contêm o GPO Diretiva de Domínio Padrão que você deseja editar.

  5. Clique com o botão direito do mouse no GPO Diretiva de Domínio Padrão e clique em Editar.

  6. No GPMC, vá para Configuração do Computador, Configuraçãos do Windows Configurações de Segurança e clique em Diretivas de Chave Pública..

  7. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Armazenamentos.

  8. Marque a caixa de seleção Definir estas configurações de diretiva.

  9. Em Armazenamentos de certificado por usuário, desmarque as opções Permitir que as Autoridades de Certificação raiz em que o usuário confia sejam usadas para validar certificados e Permitir que os usuários confiem em certificados confiáveis de mesmo nível nas caixas de seleção de Armazenamentos de certificado por usuário.

  10. Em Armazenamentos de certificado raiz, selecione os CAs raiz nos quais os computadores clientes podem confiar e clique em OK para aplicar as novas configurações.

A participação no grupo Administradores é o requisito mínimo necessário para concluir esse procedimento. Reveja os detalhes em "Considerações adicionais" deste tópico.

Para adicionar certificados ao armazenamento de Autoridades de Certificação Raiz Confiáveis de um computador local

  1. Clique em Iniciar, clique em Iniciar Pesquisa, digite mmc e, em seguida, pressione ENTER.

  2. No menu Arquivo, clique em Adicionar/Remover Snap-in.

  3. Em Snap-ins disponíveis, clique duas vezes em Certificados e, em seguida em Adicionar.

  4. Em Este snap-in sempre gerenciará certificados para, clique em Conta de computador e clique em Avançar.

  5. Clique em Computador local e, em seguida, clique em Concluir.

  6. Se você não tiver mais snap-ins para adicionar ao console, clique em OK.

  7. Na árvore de console, clique duas vezes em Certificados.

  8. Clique com o botão direito do mouse no armazenamento de Autoridades de Certificação Raiz Confiáveis.

  9. Clique em Importar para importar os certificados e seguir as etapas do Assistente para Importação de Certificados.

O grupo Administradores de Domínio é a associação mínima de grupo necessária para concluir esse procedimento. Reveja os detalhes em "Considerações adicionais" deste tópico.

Para adicionar certificados ao armazenamento de Autoridades de Certificação Raiz Confiáveis de um domínio

  1. Abra o Gerenciador do Servidor e em Resumo de Recursos, clique em Adicionar Recursos. Marque a caixa de seleção Gerenciamento de Diretiva de Grupo, clique em Avançar e, em seguida, clique em Instalar.

  2. Após a exibição da página Resultados da Instalação mostrar que a instalação do GPMC foi bem-sucedida, clique em Fechar.

  3. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.

  4. Na árvore de console, clique duas vezes em Objetos de Diretiva de Grupo na floresta e no domínio que contêm o GPO Diretiva de Domínio Padrão que você deseja editar.

  5. Clique com o botão direito do mouse no GPO Diretiva de Domínio Padrão e clique em Editar.

  6. No GPMC, vá para Configuração do Computador, Configuraçãos do Windows Configurações de Segurança e clique em Diretivas de Chave Pública..

  7. Clique com o botão direito do mouse no armazenamento de Autoridades de Certificação Raiz Confiáveis.

  8. Clique em Importar e siga as etapas do Assistente para Importação de Certificados para importar os certificados.

Considerações adicionais

  • Opções de Diretiva de Grupo só podem ser alteradas por um administrador.

Sumário