O Serviço Web de Registro de Certificado pode processar solicitações de registro de novos certificados e de renovação de certificados. Em ambos os casos, o computador cliente envia a solicitação ao serviço Web e este envia a solicitação à autoridade de certificação em nome do computador cliente. Por esse motivo, a conta do serviço Web deve ser confiável para delegação, a fim de apresentar a identidade do cliente à autoridade de certificação.
O Serviço Web de Registro de Certificado que aceita as solicitações vindas da Internet apresenta um maior risco para a segurança, e algumas organizações podem optar por não confiar na conta do serviço Web para delegação. O Serviço Web de Registro de Certificado pode ser configurado no modo somente renovação para diminuir o risco de aceitar solicitações vindas da Internet.
No modo somente renovação, o serviço Web aceitará apenas as solicitações de renovação de certificado. As solicitações de novos certificados serão rejeitadas. Para dar suporte ao modo somente renovação, a autoridade de certificação deve ser configurada para autenticar o computador cliente usando a assinatura existente na solicitação de renovação e o certificado existente do computador cliente. Nessa configuração, não há nenhum requisito para confiar na conta do serviço Web para delegação.
Requisitos do modo somente renovação:
- Autoridade de certificação corporativa executando o Windows Server 2008 R2.
- Computadores cliente com o Windows 7 ou o Windows Server 2008 R2.
- Os computadores cliente que solicitarem a renovação de certificado devem ter um certificado que não tenha expirado e possa ser verificado pela autoridade de certificação emitente.
Administradores Corporativos é a associação de grupo mínima necessária para concluir este procedimento.
 | Para configurar o Serviço Web de Registro de Certificado no modo somente renovação |
Abra o Gerenciador de Servidores.
Na árvore de console, clique em Funções.
Se a opção Serviços de Certificados do Active Directory for exibida na página Resumo de Funções, clique em Adicionar Serviços de Função e continue com a próxima etapa. Caso essa opção não seja exibida, execute as seguintes etapas antes de continuar:
- Na página Resumo de Funções, clique em Adicionar Funções.
- Na página Antes de Começar, clique em Avançar.
- Na página Selecionar Funções do Servidor, clique em Serviços de Certificados do Active Directory e clique em Avançar.
- Examine as informações da página Introdução aos Serviços de Certificado do Active Directory e clique em Avançar.
- Na página Resumo de Funções, clique em Adicionar Funções.
Na página Selecionar Serviços de Função, marque a caixa de seleção Serviço Web de Registro de Certificado.
Observação O serviço de função Autoridade de Certificação é selecionado automaticamente quando a função AD CS é adicionada, mas ele não pode ser instalado ao mesmo tempo que o Serviço Web de Registro de Certificado. Se você pretende instalar a Autoridade de Certificação e o Serviço Web de Registro de Certificado, conclua a instalação da Autoridade de Certificação primeiro. Consulte Configurando os Serviços de Certificados do Active Directory.
Clique em Adicionar Serviços de Função Necessários quando for solicitado a instalar os serviços de função e os recursos necessários e clique em Avançar.
Para especificar uma Autoridade de Certificação, clique em Nome da Autoridade de Certificação ou em Nome do computador e clique em Procurar. Selecione uma Autoridade de Certificação ou digite um nome de computador e clique em OK.
Marque a caixa de seleção Configure o Serviço Web de Registro de Certificado para o modo somente renovação.
Na página Selecionar Tipo de Autenticação, clique em Nome de usuário e senha ou em Autenticação de certificado de cliente.
Na página Especificar Credenciais de Conta, clique em Especifique a conta de serviço ou Usar a identidade do pool de aplicativos interno. Para especificar uma conta de serviço, clique em Selecionar, digite o nome de usuário e a senha de uma conta de domínio e clique em OK. Clique em Avançar.
Selecione um certificado de servidor existente, clique em Importar para importar um arquivo de certificado ou clique em Escolher e atribuir um certificado de servidor mais tarde e clique em Avançar. Consulte Configurando certificados de servidor para os Serviços Web de Registro de Certificado para obter detalhes.
Na página Introdução ao Servidor Web (IIS), clique em Avançar.
Na página Selecionar Serviços de Função, examine os serviços de função selecionados e clique em Avançar.
Verifique as informações na página Confirmar Seleções de Instalação e clique em Instalar.
Verifique se existem mensagens na página Resultados da Instalação. Podem ser necessárias tarefas adicionais para configurar o Serviço Web de Registro de Certificado antes que os usuários enviem suas solicitações.
Use estes comandos para configurar e reiniciar os Serviços de Certificados do Active Directory. Nessa configuração, a autoridade de certificação também pode processar solicitações de novos certificados.
| Para configurar a autoridade de certificação para dar suporte ao modo somente renovação |
Na autoridade de certificação, em um prompt de comando, digite certutil –setreg policy\editflags +enablerenewonbehalfof e pressione ENTER.
Abra o snap-in Autoridade de Certificação.
Na árvore de console, clique com o botão direito do mouse na autoridade de certificação e clique em Propriedades.
Clique na guia Segurança.
Se a conta do serviço Web for exibida em Nomes de grupo ou de usuário, verifique se a permissão Leitura está selecionada. Se a conta do serviço Web não for exibida, conclua estas etapas:
- Clique em Adicionar.
- Digite o nome da conta e clique em Verificar Nomes. Se o nome não for encontrado, clique em Tipos de Objeto e verifique se o tipo de conta correto está selecionado. Clique em OK depois de localizar o nome de conta correto.
- Marque a caixa de seleção Leitura e clique em OK.
- Clique em Adicionar.
Digite sc stop certsvc e pressione ENTER.
Digite sc start certsvc e pressione ENTER.
Referências adicionais