Use este procedimento para configurar o modelo de certificado que os Serviços de Certificados do Active Directory® (AD CS) utilizam como base para certificados de computadores que são registrados nos computadores clientes membros do domínio.
A associação ao grupo Enterprise Admins e ao grupo Domain Admins do domínio raiz é o mínimo exigido para concluir este procedimento.
Importante | |
Se você já tiver implantado certificados de servidor utilizando as etapas fornecidas em Certificado do servidor NPS: Configurar o modelo e o registro automático, você não precisará passar pelas etapas de 13 a 20 deste procedimento. Essas etapas são utilizadas para configurar o registro automático do certificado do computador e são as mesmas etapas encontradas no tópico já mencionado. |
Para configurar o modelo e o registro automático para o certificado |
No computador em que os Serviços de Certificados do Active Directory estão instalados, clique em Iniciar e em Executar, digite mmc e clique em OK.
No menu Arquivo, clique em Adicionar ou Remover Snap-in. Será exibida a caixa de diálogo Adicionar ou Remover Snap-ins.
Em Snap-ins disponíveis, clique duas vezes em Autoridade de certificação. Selecione a autoridade de certificação (CA) que deseja gerenciar com o snap-in e clique em Concluir. A caixa de diálogo Autoridade de certificação será fechada, retornando à caixa de diálogo Adicionar ou Remover Snap-ins.
Em Snap-ins disponíveis, clique duas vezes em Modelos de certificado e, em seguida, clique em OK.
Na árvore de console, clique em Modelos de Certificado. Todos os modelos de certificado serão exibidos no painel de detalhes.
No painel de detalhes, clique no modelo Autenticação de estação de trabalho.
No menu Ação, clique em Duplicar modelo. Será exibida a caixa de diálogo Duplicar modelo. Selecione a versão do modelo apropriada para a implantação e clique em OK. Será exibida a caixa de diálogo de propriedades do novo modelo.
Na guia Geral , em Nome para exibição, digite um novo nome para o modelo de certificado ou mantenha o nome padrão.
Clique na guia Segurança. Em Nomes de grupo ou de usuário, clique em Computadores do domínio.
Em Permissões para computadores do domínio, em Permitir, marque as caixas de seleção Registrar e Registrar automaticamente e clique em OK.
Clique duas vezes em Autoridade de certificação, clique duas vezes no nome da autoridade de certificação e clique em Modelos de certificado. No menu Ação, aponte para Novo e clique em Modelo de certificado a ser emitido. A caixa de diálogo Ativar Modelos de Certificado se abre.
Clique no nome do modelo de certificado que acabou de configurar e clique em OK. Por exemplo, se você não alterou o nome padrão do modelo de certificado, clique em Cópia de autenticação de estação de trabalho e em OK.
No computador em que os Serviços de Domínio Active Directory (AD DS) estão instalados, clique em Iniciar e em Executar, digite mmc e clique em OK.
No menu Arquivo, clique em Adicionar ou Remover Snap-in. Será exibida a caixa de diálogo Adicionar ou Remover Snap-ins.
Na caixa de diálogo Adicionar ou Remover Snap-ins, em Snap-ins disponíveis, clique duas vezes em Editor de Gerenciamento de Diretiva de Grupo. Será aberto o assistente Selecionar Objeto de Diretiva de Grupo. Clique em Procurar e selecione Diretiva de Domínio Padrão. Clique em OK, em Concluir e em OK.
Clique duas vezes em Diretiva de Domínio Padrão. Abra Configuração do Computador, Diretivas, Configurações do Windows, Configurações de Segurança e Diretivas de Chave Pública.
No painel detalhes, clique duas vezes em Cliente dos Serviços de Certificados - Registro Autom.. A caixa de diálogo Cliente de Serviços de Certificado - Registro Automático se abre.
Na caixa de diálogo Cliente de Serviços de Certificado - Propriedades de Registro Automático em Modelo de Configuração, selecione Habilitado.
Marque a caixa de seleção Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados.
Marque a caixa de seleção Atualizar certificados que usam modelos de certificados e clique em OK.
Considerações adicionais
Após a conclusão deste procedimento, os computadores clientes membros do domínio registrarão automaticamente um certificado de computador cliente quando a Diretiva de Grupo for atualizada. Para atualizar a Diretiva de Grupo, reinicie o computador cliente ou, no prompt de comandos, execute gpupdate.