As definições de validação de caminhos de certificados no Windows Server 2008 R2 e no Windows Server 2008 permitem-lhe gerir as definições para a detecção e a validação de caminhos de certificado de todos os utilizadores num domínio. Pode utilizar a Política de Grupo para configurar e gerir facilmente estas definições de validação de certificados. Seguem-se algumas das tarefas que pode executar com estas definições:

  • Implementar certificados da autoridade de certificação (AC) intermediários.

  • Bloquear certificados que não sejam fidedignos.

  • Gerir certificados utilizados na assinatura de código.

  • Configurar definições de obtenção de certificados e listas de revogação de certificados (CRLs).

As definições de validação de caminhos de certificados estão disponíveis na Política de Grupo na seguinte localização: Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas de Chaves Públicas.

Quando fizer duplo clique em Definições de Validação de Caminhos de Certificados nesta localização, opções adicionais estão disponíveis ao seleccionar os seguintes separadores:

  • Arquivos

  • Fabricantes Fidedignos

  • Obtenção da Rede

  • Revogação

O seguinte procedimento descreve como configurar definições de validação do caminho de certificados. As secções a seguir ao procedimento vão descrever as definições em cada uma destas áreas.

Ser membro do grupo Administradores de Domínio, ou equivalente, é o requisito mínimo para concluir este procedimento. Para mais informações, consulte Implementar Administração Baseada em Funções.

Para configurar a Política de Grupo da validação de caminhos para um domínio

  1. Num controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Gestão de Políticas de Grupos.

  2. Na árvore da consola, faça duplo clique em Objectos de Política de Grupo na floresta e no domínio que contêm o objecto de Política de Grupo (GPO) Política Predefinida de Domínio que pretende editar.

  3. Clique com o botão direito do rato no GPO Política Predefinida de Domínio e clique em Editar.

  4. Na Consola de Gestão de Políticas de Grupos (GPMC), aceda a Configuração do Computador, Definições do Windows, Definições de Segurança e, em seguida, clique em Políticas de Chaves Públicas.

  5. Faça duplo clique em Definições de Validação de Caminhos de Certificados e clique no separador Arquivos.

  6. Seleccione a caixa de verificação Definir estas definições de política.

  7. Configure as definições opcionais que tem de aplicar.

  8. Quando terminar a realização de alterações, poderá seleccionar um separador diferente para modificar definições adicionais, ou clicar em OK para aplicar as novas definições.

Separador Arquivos

Algumas organizações querem impedir os utilizadores no domínio de configurarem o seu próprio conjunto de certificados raiz fidedignos e de decidirem quais os certificados raiz na organização que podem ser considerados fidedignos. O separador Arquivos pode ser utilizado para o conseguir.

Estão disponíveis as seguintes opções no separador Arquivos:

  • Permitir que as ACs de Raiz fidedignas do utilizador sejam utilizadas para validar certificados. Desmarcar esta caixa de verificação impede os utilizadores de decidirem quais os certificados da AC de raiz a utilizar para validar certificados. Apesar desta opção poder ajudar a impedir os utilizadores de confiarem e validarem certificados de uma cadeia que não seja segura, pode também resultar em falhas aplicacionais ou fazer com que os utilizadores encarem a fidedignidade de certificados raiz como uma forma de validar um certificado que lhes é apresentado.

  • Permitir que os utilizadores confiem em certificados de fidedignidade ponto-a-ponto. A desmarcação desta caixa de verificação impede que os utilizadores decidam quais os certificados ponto a ponto em que devem confiar. Apesar desta opção poder ajudar a impedir os utilizadores de confiarem em certificados de uma origem que não seja segura, também poderá resultar em falhas aplicacionais ou ou fazer com que os utilizadores encarem a fidedignidade de certificados raiz como uma forma de validar um certificado que lhes é apresentado. Também pode seleccionar os objectivos dos certificados, tais como a assinatura ou encriptação, para os quais os certificados de fidedignidade ponto a ponto podem ser utilizados.

  • ACs de raiz em que os computadores cliente podem confiar. Nesta secção, pode identificar ACs de raiz específicas que podem ser confiadas por utilizadores no domínio:

    • ACs de Raiz de Terceiros e ACs de Raiz Empresarial. Ao incluir ACs que não sejam da Microsoft e de raiz empresarial, o utilizador alarga a gama de certificados de AC de raiz nos quais pode confiar.

    • Apenas ACs de Raiz Empresarial. Ao restringir a fidedignidade apenas a ACs de raiz empresariais, restringe eficazmente a fidedignidade a certificados emitidos por uma AC empresarial interna que obtém as informações de autenticação e publica certificados nos Serviços de Domínio do Active Directory (AD DS).

  • As ACs também têm de ser compatíveis com as restrições de Nome Principal de Utilizador. Estas definições restringem também a fidedignidade a ACs empresariais internas. Para além disso, a restrição do nome principal de utilizador iria impedi-los de confiarem em certificados relacionados com autenticação que não estão em conformidade com as condições relacionadas com os nomes principais de utilizador.

Além disso, algumas organizações poderão pretender identificar e distribuir certificados de raiz fidedigna para permitir cenários empresariais onde as relações fidedignas adicionais sejam necessárias. Para identificar certificados raiz fidedignos que gostaria de distribuir aos clientes no domínio, consulte Utilizar a Política para Distribuir Certificados.

Separador Fabricantes Fidedignos

A assinatura de software está a ser utilizada por um número crescente de fabricantes de software e programadores de aplicações para verificar se a origem das respectivas aplicações é fidedigna. No entanto, muitos utilizadores não compreendem ou prestam pouca atenção aos certificados de assinatura associados às aplicações que instalam.

As opções de política no separador Fabricantes Fidedignos da política de validação de caminhos de certificado permitem-lhe controlar quem pode tomar decisões sobre fabricantes fidedignos:

  • Administradores e utilizadores

  • Apenas administradores

  • Apenas administradores empresariais

Para além disso, as opções de política neste separador permitem-lhe requerer que os certificados de fabricantes fidedignos sejam verificados a fim de confirmar se:

  • Não foram revogados

  • Dispõem de carimbos de data/hora válidos

Separador Obtenção da Rede

Para serem eficazes, os dados relacionados com certificados, tais como listas de revogação de certificados (CRLs) e certificados no Microsoft Root Certificate Program têm de ser actualizados regularmente. No entanto, podem ocorrer problemas se a verificação da validação e a obtenção de dados de revogação de certificados e de certificados de validade múltipla forem interrompidas, uma vez que estão a ser transferidos mais dados do que originalmente antecipado.

As definições de obtenção da rede permitem aos administradores:

  • Actualizar automaticamente certificados no Microsoft Root Certificate Program.

  • Configurar valores de tempo limite para obtenção de CRLs e validação de caminhos (os valores predefinidos mais elevados podem ser úteis se as condições de rede não forem as ideais).

  • Activar a obtenção do certificado do emissor durante a validação de caminhos.

  • Definir a frequência com que os certificados de validade múltipla são transferidos.

Separador Revogação

Para suportar a verificação de revogação, os Serviços de Certificados do Active Directory (AD CS) suportam a utilização de CRLs e de CRLs delta, bem como respostas OCSP (Online Certificate Status Protocol) distribuídas por Dispositivos de Resposta Online.

As definições da Política de Grupo de validação de caminhos permite aos administradores melhorar a utilização dos Dispositivos de Resposta Online de CRLs, especialmente em situações em que CRLs muito extensas ou as condições da rede diminuem o desempenho.

Estão disponíveis as seguintes definições:

  • Preferir sempre CRLs (Listas de Revogação de Certificados) em vez das respostas do protocolo OCSP (Online Certificate Status Protocol). Em geral, os clientes devem utilizar os dados de revogação mais recentes disponíveis, independentemente de serem oriundos de uma CRL ou de um Dispositivo de Resposta Online. Se esta opção for seleccionada, uma verificação de revogação de um Dispositivo de Resposta Online só será utilizada se uma CRL ou CRL delta válida não estiver disponível.

  • Permitir que respostas CRL e OCSP sejam válidas além do seu tempo limite. Não é geralmente recomendado que CRLs e respostas OCSP sejam consideradas válidas para além do respectivo período de validade. No entanto, esta opção poderá ser necessária nas situações em que os clientes não conseguem ligar a um ponto de distribuição CRL ou ao Dispositivo de Resposta Online durante um longo período de tempo. No entanto, o período de tempo para além do período de validade indicado que uma CRL ou resposta OCSP pode ser utilizada é também configurável ao abrigo desta definição de política.

Referências adicionais

Sumário