O Serviço Web de Inscrição de Certificados pode processar pedidos de inscrição para novos certificados e para renovação de certificados. Em ambos os casos, o computador cliente submete o pedido ao serviço Web e este submete o pedido à autoridade de certificação (AC) em nome do computador cliente. Por este motivo, a conta de serviço Web tem de ser fidedigna para delegação, de modo a permitir a apresentação da identidade de cliente à AC.

A aceitação de pedidos provenientes da Internet por parte do Serviço Web de Inscrição de Certificados representa um risco de segurança acrescido, sendo que algumas organizações poderão optar por não confiar na conta de serviço Web para delegação. O Serviço Web de Inscrição de Certificados pode ser configurado com o modo de apenas renovação para mitigar o risco de aceitar pedidos provenientes da Internet.

No modo de apenas renovação, o serviço Web irá aceitar apenas pedidos de renovação de certificados, sendo que pedidos de novos certificados serão rejeitados. Para suportar o modo de apenas renovação, a AC tem de ser configurada para autenticar o computador cliente utilizando a assinatura no pedido de renovação e o certificado existente no computador cliente. Nesta configuração, não é necessário confiar na conta de serviço Web para delegação.

O modo de apenas renovação tem estes requisitos:

  • AC empresarial a executar o Windows Server 2008 R2.

  • Computadores cliente a executar o Windows 7 ou Windows Server 2008 R2.

  • Computadores cliente que peçam renovação de certificados têm de ter um certificado que não tenha expirado e que possa ser verificado pela AC emissora.

Admins da Empresa é o requisito mínimo de associação a grupos necessário para concluir este procedimento.

Para configurar o Serviço Web de Inscrição de Certificados para modo de apenas renovação
  1. Abra o Gestor de Servidor.

  2. Na árvore da consola, clique em Funções.

  3. Se Serviços de Certificados do Active Directory for apresentado na página Resumo das Funções, clique em Adicionar Serviços de Função e avance para o passo seguinte. Se não for apresentado, conclua os seguintes passos antes de continuar:

    1. Na página Resumo das Funções, clique em Adicionar Funções.

    2. Na página Antes de Começar, clique em Seguinte.

    3. Na página Seleccionar Funções de Servidor, seleccione Serviços de Certificados do Active Directory e clique em Seguinte.

    4. Reveja as informações da página Introdução aos Serviços de Certificados do Active Directory e clique em Seguinte.

  4. Na página Seleccionar Serviços de Função, seleccione a caixa de verificação Serviço Web de Inscrição de Certificados.

    Nota

    O serviço de função Autoridade de Certificação é seleccionado automaticamente quando a função CS de AD é adicionada, mas não pode ser instalado em simultâneo com o Serviço Web de Inscrição de Certificados. Se pretender instalar a AC e o Serviço Web de Inscrição de Certificados, conclua primeiro a instalação da AC. Consulte Configurar os Serviços de Certificados do Active Directory.

  5. Clique em Adicionar Serviços de Função Requeridos quando lhe for pedido que instale funcionalidades e serviços de função necessários, e clique em Seguinte.

  6. Para especificar uma AC, clique em Nome da AC ou Nome do computador e clique em Procurar. Seleccione uma AC ou escreva um nome de computador e clique em OK.

  7. Seleccione a caixa de verificação Configurar o Serviço de Web de Inscrição de Certificados para o modo apenas de renovação.

  8. Na página Seleccionar Tipo de Autenticação, clique em Nome de utilizador e palavra-passe ou Autenticação de certificados de cliente.

  9. Na página Especificar Credenciais de Conta, clique em Especificar conta de serviço ou Utilizar identidade de conjunto aplicacional incorporada. Para especificar uma conta de serviço, clique em Seleccionar, escreva um nome de utilizador e uma palavra-passe de conta de domínio e clique em OK. Clique em Seguinte.

  10. Seleccione um certificado de servidor existente, clique em Importar para importar um ficheiro de certificado ou clique em Escolher e atribuir um certificado de servidor mais tarde, e clique em Seguinte. Para obter detalhes, consulte Configurar Certificados de Servidor para Serviços Web de Inscrição de Certificados.

  11. Na página Introdução ao Servidor Web (IIS), clique em Seguinte.

  12. Na página Seleccionar Serviços de Função, reveja os serviços de função seleccionados e clique em Seguinte.

  13. Reveja as informações da página Confirmar Selecções de Instalação e clique em Instalar.

  14. Consulte a página Resultados da Instalação para ver se existem mensagens. Poderão ser necessárias tarefas adicionais para configurar o Serviço Web de Inscrição de Certificados antes de os utilizadores poderem submeter pedidos.

Utilize estes comandos para configurar e reiniciar os Serviços de Certificados do Active Directory. Nesta configuração, a AC também pode processar pedidos de novos certificados.

Para configurar a AC para suportar o modo de apenas renovação
  1. Na AC numa linha de comandos, escreva certutil –setreg policy\editflags +enablerenewonbehalfof e prima ENTER.

  2. Abra o snap-in Autoridade de Certificação.

  3. Na árvore da consola, clique com o botão direito na AC e clique em Propriedades.

  4. Clique no separador Segurança.

  5. Se a conta de serviço Web for apresentada em Nomes de grupos ou utilizadores, confirme que a permissão Leitura está seleccionada. Se a conta de serviço Web não for apresentada, conclua os seguintes passos:

    1. Clique em Adicionar.

    2. Escreva o nome da conta e clique em Verificar Nomes. Se o nome não for encontrado, clique em Tipos de Objecto e certifique-se de que o tipo de conta correcto está seleccionado. Clique em OK quando o nome de conta correcto for encontrado.

    3. Seleccione a caixa de verificação Leitura e clique em OK.

  6. Escreva sc stop certsvc e prima ENTER.

  7. Escreva sc start certsvc e prima ENTER.

Referências adicionais


Sumário