As configurações de validação de caminho do certificado no Windows Server 2008 R2 e no Windows Server 2008 permitem que você gerencie as configurações de descoberta e validação de caminho do certificado de todos os usuários de um domínio. Você pode usar a Diretiva de Grupo para configurar e gerenciar facilmente essas configurações de validação de certificado. Estas são algumas tarefas que você pode realizar com estas configurações:

  • Implantar certificados de CA (autoridade de certificação) intermediários.

  • Bloquear certificados não confiáveis.

  • Gerenciar certificados usados para assinatura de código.

  • Definir configurações de recuperação de certificados e CRLs (listas de certificados revogados).

As configurações de validação de caminho de certificado estão disponíveis na Diretiva de Grupo, no seguinte local: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas de Chave Pública.

Quando você clica duas vezes em Configurações de Validação de Caminho do Certificado neste local, outras opções ficam disponíveis se você selecionar as seguintes guias:

  • Repositórios

  • Editores confiáveis

  • Recuperação de Rede

  • Revogação

O procedimento a seguir descreve como definir configurações de validação de caminho do certificado. As seções seguintes ao procedimento descrevem as configurações em cada uma dessas áreas.

Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.

Para configurar a Diretiva de Grupo de validação do caminho de um domínio
  1. Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.

  2. Na árvore de console, clique duas vezes em Objetos de Diretiva de Grupo na floresta e no domínio que contêm o GPO da Diretiva e Domínio Padrão que você deseja editar.

  3. Clique com o botão direito do mouse no GPO da Diretiva de Domínio Padrão e clique em Editar.

  4. No GPMC (Console de Gerenciamento de Diretiva de Grupo), vá para Configuração do Computador, Configurações do Windows Configurações de Segurança e clique em Diretivas de Chave Pública..

  5. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Repositórios.

  6. Marque a caixa de seleção Definir estas configurações de diretiva.

  7. Defina as configurações opcionais que precise aplicar.

  8. Ao terminar de fazer as alterações, selecione uma guia diferente para modificar outras configurações ou clique em OK para aplicar as novas configurações.

Guia Repositórios

Algumas organizações desejam impedir que usuários do domínio configurem seu próprio conjunto de certificados raiz confiáveis e que decidam quais certificados raiz da organização podem ser confiáveis. A guia Repositórios pode ser usada para isso.

As opções a seguir estão disponíveis na guia Repositórios:

  • Permitir que as Autoridades de Certificação raiz em que o usuário confia sejam usadas para validar certificados. Se você desmarcar esta caixa de seleção impedirá que os usuários decidam quais certificados de CA raiz usar para validar certificados. Embora esta opção possa ajudar a evitar que usuários confiem e validem certificados de uma cadeia que não seja segura, ela pode resultar em falhas do aplicativo ou levar usuários a desconsiderar a confiança no certificado raiz como uma forma de validar um certificado apresentado.

  • Permitir que usuários confiem em certificados de confiança de mesmo nível. Desmarcar esta caixa de seleção evita que os usuários decidam quais certificados ponto a ponto são confiáveis. Embora esta opção possa ajudar a impedir que os usuários confiem em certificados de uma fonte não segura, ela também pode resultar em falhas do aplicativo ou levar usuários a desconsiderar certificados como uma forma de estabelecer confiança. Também é possível selecionar as finalidades do certificado, como assinatura ou criptografia, para as quais os certificados confiáveis ponto a ponto podem ser usados.

  • Autoridades de certificação raiz nas quais os computadores cliente podem confiar. Nesta seção, você pode identificar autoridades de certificação raiz específicas nas quais os usuários do domínio podem confiar:

    • Autoridades de certificação raiz de terceiros e autoridades de certificação raiz corporativas. Ao incluir autoridades de certificação raiz não-Microsoft e corporativas, você amplia o intervalo de certificados da autoridade de certificação raiz em que o usuário pode confiar.

    • Somente autoridades de certificação raiz corporativas. Ao restringir a confiança a somente autoridades de certificação raiz corporativas, você restringe efetivamente a confiança aos certificados emitidos por uma autoridade de certificação corporativa interna que obtém informações de autenticação dos Serviços de Domínio Active Directory (AD DS) e publica certificados nesses serviços.

  • As autoridades de certificação também devem ser compatíveis com as restrições de nome UPN. Estas configurações também restringem a confiança às autoridades de certificação corporativas internas. Além disso, a restrição de nome principal do usuário as impediria de confiar em certificados relacionados a autenticação que não estivessem em conformidade com as condições relacionadas aos nomes principais do usuário.

Além disso, algumas organizações podem optar por identificar e distribuir certificados raiz confiáveis para habilitar ambientes corporativos onde relações de confiança adicionais sejam necessárias. Para identificar os certificados raiz confiáveis que você gostaria de distribuir aos clientes do seu domínio, consulte Usar diretiva para distribuir certificados.

Guia Fornecedores Confiáveis

A assinatura de software está sendo usada por um crescente número de editores de software e desenvolvedores de aplicativo para verificar se os aplicativos vêm de uma origem confiável. Porém, muitos usuários não entendem ou ignoram os certificados de autenticação associados a aplicativos que instalam.

As opções de diretiva da guia Fornecedores Confiáveis da diretiva de validação de caminho do certificado permitem controlar quem pode tomar decisões sobre fornecedores confiáveis:

  • Administradores e usuários

  • Somente administradores

  • Somente administradores corporativos

Além disso, as opções de diretiva desta guia permitem que você exija que se verifique se os certificados do fornecedor confiável:

  • Não foram revogados

  • Têm carimbos de data e hora válidos

Guia Recuperação de Rede

Para serem efetivos, os dados relativos a certificados, como CRLs (listas de certificados revogados) e certificados do Microsoft Root Certificate Program, devem ser atualizados regularmente. Porém, podem surgir problemas se o tempo limite da verificação de validação, da recuperação de dados de revogação de certificado e de certificados cruzados for interrompido, porque mais dados estão sendo transferidos do que o esperado.

As configurações de recuperação da rede permitem que os administradores:

  • Atualizem certificados automaticamente no Microsoft Root Certificate Program

  • Configurem valores do tempo limite de recuperação para CRLs (listas de certificados revogados) e validação de caminhos (valores padrão mais altos podem ser úteis se as condições de rede não forem ideais)

  • Habilitem recuperação de certificado do emissor durante a validação de caminhos.

  • Definir com que frequência certificados cruzados são baixados.

Guia Revogação

Para oferecer suporte à verificação de revogação, os AD CS (Serviços de Certificados do Active Directory) dão suporte à utilização de CRLs e CRLs delta, assim como a respostas OCSP (protocolo de status de certificados online) distribuídas por Respondentes Online.

As configurações de Diretiva de Grupo de validação do caminho permitem que administradores otimizem o uso de CRLs e Respondentes Online, especialmente em situações onde CRLs extremamente grandes ou condições de rede prejudiquem o desempenho.

As seguintes configurações estão disponíveis:

  • Sempre preferir Listas de Certificados Revogados (CRLs) a respostas do Protocolo de Status de Certificados On-line (OCSP). Em geral, os clientes devem usar os dados de revogação mais recentes disponíveis, independentemente de eles virem de uma CRL ou de um Respondente Online. Se esta opção estiver selecionada, uma verificação de revogação do Respondente Online só será usada se uma CRL ou CRL delta válida não estiver disponível.

  • Permitir que as respostas de CRLs e de OCSP sejam válidas por mais tempo do que seu tempo de vida. Geralmente não é recomendável permitir que respostas de CRLs e OCSP permaneçam válidas além do seu período de validade. Entretanto, esta opção pode ser necessária em situações em que clientes não possam se conectar a um ponto de distribuição da CRL ou Respondente Online por um período extenso. Porém, o período de tempo além do declarado como válido para a utilização de uma resposta CRL ou OCSP também pode ser configurado com a configuração desta diretiva.


Sumário