Uma autoridade de certificação (CA) processa todas as solicitações de certificado usando um conjunto de regras definido. A autoridade de certificação pode emitir alguns certificados sem prova de identificação e exigir prova de identificação para emitir outros tipos de certificado. Isso oferece níveis diferentes de garantia para certificados diferentes. Esses níveis de garantia são representados em certificados como diretivas de emissão.
Diretivas de emissão (também chamadas de diretivas de certificado ou de registro) são grupos de regras administrativas implementadas na emissão de certificados. Elas são representadas em um certificado por um identificador de objeto (também conhecido como OID) definido pela autoridade de certificação. Esse identificador de objeto é incluído no certificado emitido. Quando uma entidade apresenta um certificado, ele pode ser examinado pelo computador de destino para verificar a diretiva de emissão e determinar se o nível da diretiva é suficiente para executar a ação solicitada.
O Windows Server 2008 R2, o Windows Server 2008 e o Windows Server 2003 incluem quatro diretivas de emissão predefinidas:
-
Todas as configurações de emissão (2.5.29.32.0). A opção Todas as configurações de emissão indica que a diretiva de emissão contém todas as outras diretivas de emissão. Em geral, esse identificador de objeto é atribuído apenas a certificados de autoridades de certificação.
-
Baixa garantia (1.3.6.1.4.1.311.21.8.x.y.z.1.400). O identificador de objeto de baixa garantia é usado para representar certificados emitidos sem requisitos de segurança adicionais.
Observação A parte x.y.z do identificador de objeto é uma sequência numérica gerada aleatoriamente que é exclusiva para cada floresta do Active Directory.
-
Média garantia (1.3.6.1.4.1.311.21.8.x.y.z.1.401). O identificador de objeto de garantia média é usado para representar certificados com requisitos de segurança adicionais para emissão. Por exemplo, um certificado de cartão inteligente emitido em uma reunião frente a frente com o emissor do cartão inteligente pode ser considerado um certificado de garantia média e conter o identificador de objeto de garantia média.
-
Alta garantia (1.3.6.1.4.1.311.21.8.x.y.z.1.402). O identificador de objeto de alta garantia é usado para representar certificados emitidos com a mais alta segurança. Por exemplo, a emissão de um certificado de agente de recuperação de chaves talvez exija verificações adicionais e uma assinatura digital em segundo plano de um aprovador designado porque o detentor desse certificado pode recuperar o material da chave privada de uma autoridade de certificação corporativa.
Além disso, você pode criar seus próprios identificadores de objeto para representar diretivas de emissão personalizadas.
Quando entidades enviam solicitações de certificado a uma autoridade de certificação, elas pode ser automaticamente aprovadas ou colocadas em um estado "pendente". Um estado pendente é normalmente usado para certificados que exigem um nível mais alto de garantia e, consequentemente, mais administração e verificação mais detalhada da solicitação. Há várias configurações para requisitos de autenticação e assinatura para certificados de emissão baseados em um modelo.
Configuração | Descrição |
---|---|
Aprovação do gerenciador de certificados da autoridade de certificação |
Todos os certificados são colocados no contêiner pendente para que sejam emitidos ou negados por um gerenciador de certificados. |
Número de assinaturas autorizadas |
Essa configuração exige que a solicitação de certificado seja assinada digitalmente por pelo menos uma entidade para que possa ser emitida. Isso permite vários outros parâmetros de configuração. |
Tipo de diretiva exigida na assinatura |
As assinaturas necessárias para emissão de um certificado devem conter uma diretiva de aplicativo específica, uma diretiva de emissão, ou as duas. É assim que a autoridade de certificação determina se a assinatura é apropriada para autorizar a emissão do certificado da entidade. Essa opção é habilitada quando o Número de assinaturas autorizadas é definido. |
Diretiva de aplicativo |
Especifica a diretiva de aplicativo a verificar durante a assinatura de uma solicitação de certificado. Essa opção é habilitada quando o Tipo de diretiva exigido na assinatura é definido como Diretiva de aplicativo ou Diretiva de aplicativo e emissão. |
Diretiva de emissão |
Especifica as diretivas de emissão a verificar durante a assinatura de uma solicitação de certificado. Essa opção é habilitada quando o Tipo de diretiva exigido na assinatura é definido como Diretiva de emissão ou Diretiva de aplicativo e emissão. |
A capacidade de modificar ou criar novas diretivas de aplicativo está disponível apenas nos modelos de certificado das versões 2 e 3. Para obter mais informações, consulte Modelos de Certificados Padrão.
Os clientes devem ser registrados novamente para receber um certificado baseado em um modelo modificado caso já tenham um certificado válido baseado no modelo anterior. Para obter mais informações sobre o novo registro de clientes, consulte Registrar Novamente Todos os Proprietários de Certificado.
Ser membro do grupo Admins. do Domínio ou Administradores Corporativos, ou equivalente, é o mínimo necessário para concluir este procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.
Para modificar uma diretiva de emissão |
Abra o snap-in Modelos de Certificados.
No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que deseja configurar e clique em Propriedades.
Clique na guia Requisitos de emissão.
Forneça as seguintes solicitadas.