O separador Validação Expandida é utilizado por administradores para adicionar uma política de certificado de Validação Expandida (EV) a certificados de raiz distribuídos pela Política de Grupo. Adicionar a política de certificado de Validação Expandida (EV) a certificados de raiz e a certificados emitidos para Web sites da intranet proporciona um indicador visual que um site é fidedigno.
É necessário concluir os seguintes procedimentos para utilizar certificados EV para Web sites da intranet.
- Adicionar uma política de certificado EV a um modelo de certificado.
- Adicionar uma política de certificado EV a um certificado de raiz.
- Emitir certificados EV para Web sites da intranet.
Adicionar uma política de certificado EV a um modelo de certificado
Para além do certificado de raiz, a política de certificado EV também tem de ser incluída nos certificados emitidos para Web sites da intranet e para todos os certificados de autoridades de certificação emissoras (CA) no caminho de certificação.
Neste procedimento, poderá modificar um modelo de certificado utilizado para emitir certificados de servidor Web na organização ou qualquer modelo de certificado que cumpra os seguintes requisitos:
- O modelo de certificado é a versão 2 ou a versão 3.
- O objectivo do certificado inclui a assinatura e a encriptação.
- A extensão de política de aplicação inclui a autenticação de servidor.
A autoridade de certificação emissora tem de cumprir os seguintes requisitos:
- O caminho de certificação da autoridade de certificação emissora inclui um certificado de raiz que, por sua vez, inclui uma política de certificado.
- O certificado da autoridade de certificação emissora inclui a política Todas as Políticas de Emissão ou uma política de certificado EV.
- A AC emissora é uma AC empresarial.
Admins da Empresa é o requisito mínimo de associação a grupos necessário para concluir este procedimento.
Para adicionar uma política de certificado EV a um modelo de certificado |
Na AC emissora, abra o Gestor de Servidor. Na árvore da consola, expanda Funções, expanda Serviços de Certificados do Active Directory e, em seguida, clique em Modelos de Certificado.
Faça duplo clique num modelo que é utilizado para emitir certificados para Web sites da intranet.
Clique no separador Extensões.
Clique em Políticas de Aplicação e, em seguida, clique em Editar para abrir a caixa de diálogo Editar extensão de políticas de aplicação.
Clique em Adicionar para abrir a caixa de diálogo Adicionar política de aplicação.
Clique em Novo para abrir a caixa de diálogo Nova Política de Aplicação.
Escreva um nome para a política de certificado EV. O nome será apresentado nas extensões de certificados emitidos e nas propriedades do modelo no snap-in Modelos de Certificado.
Um valor de identificador de objecto único (também designado por OID) é gerado automaticamente. Copie o valor de identificador de objecto para o utilizar no seguinte procedimento. Clique em OK.
Na lista Políticas de aplicação, seleccione a política que criou. Clique em OK.
Clique em OK para guardar a extensão de política de aplicação. No separador Extensões, verifique se a política de certificado EV é apresentada na caixa Descrição das Políticas de Aplicação.
Clique no separador Segurança. Verifique se os grupos ou utilizadores que pedem certificados para Web sites da intranet têm as permissões Ler e Inscrever.
Clique em OK para guardar o modelo de certificado.
Na árvore da consola, faça duplo clique na AC.
Na árvore da consola, clique com o botão direito do rato em Modelos de Certificado, clique em Novo e clique em Modelo de certificado a emitir para abrir a caixa de diálogo Activar modelos de certificação.
Seleccione o modelo de certificado com a política de certificado EV e clique em OK.
Adicionar uma política de certificado EV a um certificado de raiz
Admins da Empresa é o requisito mínimo de associação a grupos necessário para concluir este procedimento.
Para adicionar uma política de certificado EV a um certificado de raiz |
Clique em Iniciar e, em seguida, clique em Executar. Escreva gpmc.msc e clique em OK para abrir a Consola de Gestão de Políticas de Grupo (GPMC).
Na árvore da consola, expanda a floresta e o domínio que contêm a política que pretende editar e clique em Objectos de Política de Grupo.
Clique com o botão direito do rato na política que pretende editar e clique em Editar.
Na árvore da consola, em Configuração do Computador, expanda Políticas, Definições do Windows, Definições de Segurança, Políticas de Chaves Públicas e Autoridades de Certificação de Raiz Fidedigna.
Se não forem apresentados certificados de raiz, exporte o certificado de AC a partir da raiz AC, e importe o certificado para Autoridades de Certificação de Raiz Fidedigna. Consulte Exportar um Certificado.
Clique com o botão direito do rato no certificado de raiz, clique em Propriedades e, em seguida, clique no separador Validação Expandida.
Escreva um valor de identificador de objecto que representa a política de certificado EV na organização. Se a política de certificado EV tiver sido criada utilizando o procedimento anterior, utilize o mesmo valor de identificador de objecto.
Clique em Adicionar OID e, em seguida, clique em OK.
Nota | |
As alterações na Política de Grupo são periodicamente aplicadas pelos membros de domínio, com base no intervalo de actualização da Política de Grupo, durante o arranque do computador e durante o início de sessão do utilizador. O intervalo de actualização predefinido é de 90 minutos. Para actualizar de imediato a Política de Grupo de um membro de domínio, execute o comando Gpupdate. |
Emitir certificados EV
Siga os procedimentos nestes tópicos relacionados, para pedir e instalar um certificado EV no servidor Web da intranet.
- Num servidor Web da intranet, abra o snap-in Certificados para o computador local. Consulte Adicionar o Snap-in Certificados a uma MMC.
- Pedir um certificado EV. Consulte Pedir Certificados Utilizando o Assistente de Pedido de Certificado.
- Configurar um enlace de Web site. Consulte a Caixa de Diálogo Adicionar ou Editar Enlaces de Sites (
https://go.microsoft.com/fwlink/?LinkId=140356 (esta página poderá estar em inglês) ).
Referências adicionais
- Certificados SSL de Validação Expandida (
https://go.microsoft.com/fwlink/?LinkId=142392 (esta página poderá estar em inglês) ) - Ver Propriedades do Certificado