Para funcionar correctamente, um Dispositivo de Resposta Online tem de possuir um certificado de Assinatura de Resposta do Protocolo de Estado de Certificado Online (OCSP) válido. Este certificado de Assinatura de Resposta de OCSP será também necessário se estiver a utilizar um dispositivo de resposta de OCSP que não seja da Microsoft.
A configuração de uma autoridade de certificação (AC) para suportar serviços de dispositivo de resposta de OCSP inclui os seguintes passos:
-
Configurar modelos e propriedades de emissão de certificados para certificados de Assinatura de Resposta de OCSP.
-
Configurar permissões de inscrição para os computadores que venham a alojar Dispositivos de Resposta Online.
-
Se se tratar de uma AC baseada no Windows Server 2003, activar a extensão OCSP nos certificados emitidos.
-
Adicionar a localização do Dispositivo de Resposta Online ou do dispositivo de resposta de OCSP à extensão de acesso a informações de autoridade na AC.
-
Activar o modelo de certificado de Assinatura de Resposta OCSP para a AC.
O modelo de certificado utilizado para emitir um certificado de Assinatura de Resposta OCSP terá de conter uma extensão intitulada "Sem Verificação de Revogação de OCSP" e a política de aplicação de Assinatura de OCSP. Terão também de estar configuradas permissões para permitir ao computador que alojará o Dispositivo de Resposta Online inscrever este certificado.
O procedimento que se segue aplica-se a uma AC que esteja instalada num computador com o Windows Server 2008 R2 ou Windows Server 2008.
É necessária, pelo menos, uma associação a Admins do Domínio, Admins de Empresa, ou equivalente, para concluir este procedimento. Para mais informações sobre administração de uma infra-estrutura de chaves públicas (PKI), consulte Implementar Administração Baseada em Funções.
Para configurar o modelo de certificado para um certificado de Assinatura de Resposta OCSP emitido por uma AC baseada no Windows Server 2008 R2 ou por uma AC baseada no Windows Server 2008 |
Abra o snap-in Modelos de Certificado.
Nota Se estiver a executar este procedimento num computador que não tenha uma AC ou um Dispositivo de Resposta Online instalado, poderá ter de instalar as Ferramentas de Administração Remota do Servidor dos Serviços de Certificados do Active Directory (AD CS) para poder utilizar o snap-in Modelos de Certificado. Para mais informações sobre as Ferramentas de Administração Remota do Servidor, consulte Administrar um Dispositivo de Resposta Online a Partir de Outro Computador.
Clique com o botão direito do rato no modelo Assinatura de Resposta OCSP e clique em Propriedades.
Clique no separador Segurança. Em Nome de grupo ou de utilizador, clique em Adicionar.
Clique em Tipos de Objecto, seleccione a caixa de verificação Computadores e clique em OK.
Escreva o nome ou procure e seleccione o computador anfitrião do Dispositivo de Resposta Online ou dos serviços de dispositivo de resposta do OCSP, e clique em OK.
Na caixa de diálogo Nomes de grupos ou utilizadores, clique no nome do computador; na caixa de diálogo Permissões, seleccione as caixas de verificação Ler e Inscrever. Em seguida, clique em OK.
O procedimento que se segue aplica-se a uma AC que esteja instalada num computador com o Windows Server 2003. O procedimento tem de ser executado num computador com o Windows Server 2008 R2 ou Windows Server 2008.
É necessária, pelo menos, uma associação a Admins do Domínio, Admins de Empresa, ou equivalente, para concluir este procedimento. Para mais informações sobre administração de uma PKI, consulte Implementar Administração Baseada em Funções.
Para configurar o modelo de certificado para um certificado de Assinatura de Resposta OCSP emitido por uma AC baseada no Windows Server 2003 |
Abra o snap-in Modelos de Certificado.
Clique com o botão direito do rato no modelo Assinatura de Resposta OCSP e clique em Duplicar. Clique em Windows 2003 Server, Enterprise Edition e clique em OK.
Clique no separador Segurança. Em Nome de grupo ou de utilizador, clique em Adicionar e escreva o nome ou procure e seleccione o computador anfitrião do Dispositivo de Resposta Online ou dos serviços de dispositivo de resposta do OCSP.
Clique em Tipos de Objecto, seleccione a caixa de verificação Computadores e clique em OK.
Escreva o nome ou procure e seleccione o computador anfitrião do Dispositivo de Resposta Online ou dos serviços de dispositivo de resposta do OCSP, e clique em OK.
Na caixa de diálogo Nomes de grupos ou utilizadores, clique no nome do computador; na caixa de diálogo Permissões, seleccione as caixas de verificação Ler e Inscrever.
Nota | |
O modelo de certificado de Assinatura de Resposta OCSP predefinido contém uma extensão intitulada "Sem Verificação de Revogação de OCSP". Não remova esta extensão, utilizada por muitos clientes para verificar se as respostas assinadas com o certificado de assinatura são válidas. |
Se a AC estiver instalada num computador com o Windows Server 2003, terá de executar o procedimento seguinte para configurar o módulo de política da AC para emitir certificados que incluam esta extensão.
Tem de ser um administrador local para concluir este procedimento. Para mais informações sobre administração de uma PKI, consulte Implementar Administração Baseada em Funções.
Para preparar um computador com o Windows Server 2003 para emitir certificados de Assinatura de Resposta OCSP |
No servidor anfitrião da AC, abra uma linha de comandos e escreva:
certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
Pare e reinicie a AC. Pode efectuar esta operação numa linha de comandos, executando os seguintes comandos:
net stop certsvc net start certsvc
Para configurar a sua AC para OCSP, terá de utilizar o snap-in Autoridade de Certificação para executar os seguintes passos de configuração da AC:
-
Adicionar a localização do Dispositivo de Resposta Online ou do dispositivo de resposta de OCSP à extensão de acesso a informações de autoridade.
-
Activar o modelo de certificado para a AC.
Tem de ser um administrador de AC para concluir este procedimento. Para mais informações sobre administração de uma PKI, consulte Implementar Administração Baseada em Funções.
Para configurar uma AC para suportar um Dispositivo de Resposta Online ou serviços de dispositivo de resposta do OCSP |
Abra o snap-in Autoridade de Certificação.
Na árvore da consola, clique no nome da AC.
No menu Acção, clique em Propriedades.
Clique no separador Extensões.
Na lista Seleccionar extensão, clique em Acesso a Informações sobre Autoridade (AIA) e, em seguida, clique em Adicionar.
Especifique as localizações a partir das quais os utilizadores podem obter dados de revogação de certificados, tais como http://computername/ocsp.
Seleccione a caixa de verificação Incluir na extensão OCSP (protocolo de estado de certificado online).
Na árvore da consola do snap-in Autoridade de Certificação, clique com o botão direito do rato em Modelos de Certificado e clique em Novos Modelos de Certificado a Emitir.
Em Activar Modelos de Certificado, seleccione o modelo Assinatura de Resposta OCSP e quaisquer outros modelos de certificado que tenha configurado anteriormente, e clique em OK.
Faça duplo clique em Modelos de Certificado e verifique se os modelos de certificado modificados aparecem na lista.