Este tópico pressupõe um entendimento da cadeia de certificados confiáveis, assinatura de certificados, infra-estrutura de chave pública geral e princípios de configuração de certificado. Para obter mais informações sobre a configuração da PKI no Windows Server 2008, consulte o item ITPROADD-204: sobre aperfeiçoamento de PKI no Windows Vista e Windows Server 2008 (
Por padrão, o TLS 1.0 é usado para criptografar as comunicações entre os clientes de Serviços de Terminal e os servidores de Gateway TS na Internet. O TLS é um protocolo padrão usado para fornecer comunicações seguras via Web na Internet ou intranets. O TLS é a versão mais recente e mais segura do protocolo SSL. Para obter mais informações sobre TLS, consulte:
-
o artigo sobre SSL/TLS no Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkID=19646 ). A página pode estar em inglês.
-
o RFC 2246 sobre o protocolo TLS 1.0 (
https://go.microsoft.com/fwlink/?LinkID=40979 ). A página pode estar em inglês.
Para que o TLS funcione corretamente, você deve instalar um certificado X.509 compatível com no servidor Gateway TS.
Requisitos de certificado para Gateway TS
Os certificados para o Gateway TS devem atender a estes requisitos:
-
O nome na linha Assunto do certificado de servidor (nome do certificado ou CN) deve corresponder ao nome DNS que o cliente usa para se conectar ao servidor Gateway TS, a menos que você esteja usando certificados curinga ou os atributos de SAN dos certificados. Se a organização emitir certificados de uma CA corporativa, um modelo de certificado deverá ser configurado para que o nome apropriado seja fornecido na solicitação de certificado. Se a sua organização emitir certificados de uma CA independente, não será necessário fazer isso.
-
O certificado é um certificado de computador.
-
O objetivo do certificado é a autenticação do servidor. O EKU (Uso Estendido da Chave) é Autenticação de Servidor (1.3.6.1.5.5.7.3.1).
-
O certificado tem uma chave privada correspondente.
-
O certificado não expirou. É recomendável que o certificado seja válido por um ano a partir da data da instalação.
-
Um identificador de objeto de certificado (também conhecido como OID) de 2.5.29.15 não é necessário. No entanto, se o certificado que você planeja usar contiver um identificador de objeto de 2.5.29.15, somente será possível utilizá-lo se pelo menos um dos seguintes valores de chave também estiver definido:
-
CERT_KEY_ENCIPHERMENT_KEY_USAGE
-
CERT_KEY_AGREEMENT_KEY_USAGE
-
CERT_DATA_ENCIPHERMENT_KEY_USAGE
https://go.microsoft.com/fwlink/?LinkID=74577 ). A página pode estar em inglês.
-
CERT_KEY_ENCIPHERMENT_KEY_USAGE
-
Os clientes devem confiar no certificado. Isto é, o certificado público da CA que assinou o certificado de servidor Gateway TS deve ficar no armazenamento de Autoridades de Certificação Raiz Confiáveis no computador cliente.
Usando os certificados existentes
Se você já tiver um certificado, poderá reutilizá-lo para o servidor Gateway TS, se esse certificado:
-
For emitido por uma das autoridades de certificação (CAs) de chave pública confiáveis que participam do programa Microsoft Root Certificate Program Members [conforme listado no artigo 931125 na Base de Dados de Conhecimento Microsoft (
https://go.microsoft.com/fwlink/?LinkID=59547 )]; (a página pode estar em inglês) e
-
Atender aos requisitos de certificado para o servidor Gateway TS.
Se o programa Microsoft Root Certificate Program Members não confiar no certificado (por exemplo, se você criar e instalar um certificado auto-assinado no servidor Gateway TS e não configurar manualmente o cliente de Serviços de Terminal para confiar no certificado), um aviso informando que você não tem um certificado raiz confiável será exibido quando o cliente tentar se conectar por meio do servidor Gateway TS e a conexão não será bem-sucedida. Para evitar esse erro, instale o certificado no armazenamento das Autoridades de Certificação Raiz Confiáveis no computador cliente antes de o cliente tentar se conectar por meio do servidor Gateway TS.
Visão geral do processo de instalação e configuração de certificado
O processo de obtenção, instalação e configuração de um certificado para o servidor Gateway TS envolve estas etapas:
Etapa 1: Obter um certificado para o servidor Gateway TS
Para obter um certificado para o servidor Gateway TS, use um destes métodos:
-
Se a sua empresa mantiver uma CA autônoma ou corporativa configurada para emitir certificados X.509 compatíveis com que atendam aos requisitos de Gateway TS, você poderá gerar e enviar uma solicitação de certificado de várias maneiras, dependendo das diretivas e da configuração da CA da sua organização. Métodos para obtenção de um certificado:
-
Iniciar a inscrição automática a partir do snap-in Certificados.
-
Solicitar certificados usando o Assistente para Solicitação de Certificados.
-
Solicitar um certificado na Internet.
Observação Se você tiver uma CA do Windows Server 2003, saiba que a funcionalidade de inscrição na Web dos Serviços de Certificado do Windows Server 2003 depende de um controle ActiveX denominado Xenroll. Esse controle ActiveX está disponível no Microsoft Windows 2000, Windows Server 2003 e Windows XP. No entanto, o Xenroll foi preterido no Windows Server 2008 e no Windows Vista. Os exemplos de páginas da Web de inscrição de certificado incluídos na versão comercial original do Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) e Windows Server 2003 Service Pack 2 (SP2) não foram projetados para manipular a alteração no modo como o Windows Server 2008 e o Windows Vista executam operações de inscrição de certificado com base na Web. Para obter informações sobre as etapas que você pode executar para resolver esse problema, consulte o artigo 922706 na Base de Dados de Conhecimento Microsoft (
https://go.microsoft.com/fwlink/?LinkId=94472 ). A página pode estar em inglês. -
Usar a ferramenta de linha de comando Certreq.
https://go.microsoft.com/fwlink/?LinkID=19638 ). A página pode estar em inglês.
Um certificado emitido por uma CA autônoma ou corporativa deve ser co-assinado por uma CA pública confiável que faça parte do programa Microsoft Root Certification Program Members (https://go.microsoft.com/fwlink/?LinkID=59547 ). A página pode estar em inglês. Caso contrário, os usuários que se conectarem de computadores residenciais ou quiosques talvez não possam se conectar a servidores de Gateway TS. Pode ser que essas conexões falhem porque a raiz emitida pela CA não seja confiável para os computadores que não são membros de domínios, como computadores residenciais ou quiosques.
-
Iniciar a inscrição automática a partir do snap-in Certificados.
-
Se a sua empresa não mantiver uma CA autônoma ou corporativa configurada para emitir certificados X.509 compatíveis com SSL, você poderá adquirir um certificado de uma CA pública confiável que faça parte do programa Microsoft Root Certificate Program Members (
https://go.microsoft.com/fwlink/?LinkID=59547 ). A página pode estar em inglês. Alguns desses CAs públicos podem oferecer certificados sem custos em uma base de testes.
-
Como alternativa, se a sua empresa não mantiver uma CA autônoma ou corporativa e não houver um certificado compatível de uma CA pública confiável, você poderá criar e importar um certificado auto-assinado para o seu servidor Gateway TS para fins de avaliação técnica e testes. Para obter mais informações, consulte Criar um certificado auto-assinado para o servidor Gateway TS.
Observe que os clientes de Serviços de Terminal devem ter o certificado da CA que emitiu o certificado de servidor em seus armazenamentos das Autoridades de Certificação Raiz Confiáveis. Para obter instruções detalhadas sobre como instalar o certificado no cliente, consulte Instalar o certificado raiz do servidor Gateway TS no cliente dos Serviços de Terminal.
Importante Se você usar um dos dois primeiros métodos para obter um certificado (ou seja, se obtiver um certificado de uma CA autônoma ou corporativa ou de uma CA pública confiável), também deverá Instalar um certificado no servidor Gateway TS e Mapear o certificado do Gateway TS. No entanto, se você criar um certificado auto-assinado usando o Assistente para Adicionar Funções durante a instalação do serviço de função do Gateway TS ou usando o TS Gateway Manager após a instalação (conforme descrito em Criar um certificado auto-assinado para o servidor Gateway TS), não será necessário instalar ou mapear o certificado para o servidor de Gateway TS. Nesse caso, o certificado será criado automaticamente, instalado no local correto no servidor Gateway TS e mapeado para servidor Gateway TS.
Se você tiver usado um dos dois primeiros métodos para obter um certificado e o computador cliente de Serviços de Terminal confiar na CA emissora, não será necessário instalar o certificado da CA que emitiu o certificado de servidor no armazenamento de certificado de computador cliente. Por exemplo, você não precisará instalar o certificado da CA emissora no armazenamento de certificado de computador cliente se um certificado da VeriSign ou de outra CA pública confiável estiver instalado no servidor Gateway TS. Se você usar o terceiro método para obter um certificado (isto é, se você criar um certificado auto-assinado), não será necessário instalar o certificado da CA que emitiu o certificado de servidor no armazenamento de Autoridades de Certificação de Raiz Confiáveis no computador cliente. Para obter mais informações, consulte Instalar o certificado raiz do servidor Gateway TS no cliente dos Serviços de Terminal.
Etapa 2: Instalar um certificado
Para instalar um certificado, consulte Instalar um certificado no servidor Gateway TS.
Etapa 3: Mapear o certificado
Para mapear um certificado, consulte Mapear o certificado do Gateway TS.