A Autoridade de Registo de Estado de Funcionamento (HRA) tem de ser configurada com, pelo menos, uma autoridade de certificação (AC) a partir da qual pode requisitar certificados de estado de funcionamento em nome dos computadores cliente. Os certificados são requisitados quando ligam-se novos clientes à rede ou quando o período de validade do certificado de estado de funcionamento está prestes a expirar num computador cliente compatível . Os certificados podem ser removidos e novamente emitidos a computadores cliente caso o respectivo estado de funcionamento seja alterado quando estão ligados à rede. A HRA irá apenas requisitar certificados de estado de funcionamento da AC configurada em primeiro lugar, a menos que o servidor esteja indisponível ou que tenha sido identificado como tendo deixar de responder.
Configurar ACs
Utilize este procedimento para configurar ACs na HRA. OS ACs podem ser adicionados ou eliminados, e a ordem pode ser modificada. Também pode especificar o número de minutos de espera entre pedidos antes de identificar um AC como estando indisponível. Se está a utilizar um AC empresarial, pode seleccionar para utilização os modelos de certificados anónimos e autenticados. Se estiver a utilizar uma AC autónoma com Controlo de Acesso à Rede, pode activar as informações de estado expandidas do cliente activando os OIDs de política.
A associação ao grupo Domain Admins, ou equivalente, é o requisito mínimo para levar a cabo este procedimento. Consulte detalhes sobre como utilizar as contas e associações a grupos apropriadas em
Adicionar uma AC nova
Para obter o melhor desempenho, deverá utilizar uma AC subordinada autónoma dedicada para emitir certificados de estado de funcionamento. A tolerância a falhas é fornecida quando configura mais de uma AC no snap-in HRA. O balanceamento de carga pode ser obtido através da configuração de uma HRA adicional utilizando uma ordem de processamento de AC diferente. Pode utilizar o procedimento seguinte para configurar as ACs para utilização com a HRA.
Para adicionar uma autoridade de certificação nova utilizando a interface do Windows |
Abra a consola HRA.
Na árvore da consola, clique com o botão direito do rato em Autoridade de Certificação e, em seguida, clique em Adicionar Autoridade de Certificação. É aberta a caixa de diálogo Adicionar Autoridade de Certificação.
Clique em Procurar. É aberta a caixa de diálogo Seleccionar Autoridade de Certificação.
Em AC, clique no nome da AC que será utilizada para emitir certificados de estado de funcionamento NAP e, em seguida, clique duas vezes em OK.
Na árvore da consola HRA, clique em Autoridade de Certificação e verifique o nome e a ordem das ACs configuradas.
Nota Não pode navegar para uma AC a partir de um ambiente de grupo de trabalho.
Configurar o tempo de espera da AC
A HRA apenas irá tentar obter certificados de estado de funcionamento da AC configurada em primeiro lugar na ordem de processamento, a menos que a AC tenha sido marcada como estando indisponível. Pode utilizar o procedimento seguinte para alterar o número de minutos de espera antes da AC ser marcada como estando indisponível.
Para configurar o tempo de espera da autoridade de certificação utilizando a interface do Windows |
Abra a consola HRA.
Na árvore da consola, clique com o botão direito do rato em Autoridade de Certificação e, em seguida, clique em Propriedades. É aberta a caixa de diálogo Propriedades das Autoridades de Certificação.
Introduza o número de minutos de espera entre pedidos antes de marcar a AC como estando indisponível e, em seguida, clique em OK.
Configurar o período de validade do certificado de estado de funcionamento
O período de validade predefinido para certificados de estado de funcionamento é de 4 horas. Os clientes irão tentar renovar o certificado de estado de funcionamento 15 minutos antes do prazo de expiração ou quando ocorrer uma alteração do estado de funcionamento do cliente. Pode utilizar o procedimento seguinte para configurar um período de validade personalizado para os certificados de estado de funcionamento.
Para configurar o tempo de validade dos certificados de estado de funcionamento aprovados pela HRA utilizando a interface do Windows |
Abra a consola HRA.
Na árvore da consola, clique com o botão direito do rato em Autoridade de Certificação e, em seguida, clique em Propriedades. É aberta a caixa de diálogo Propriedades das Autoridades de Certificação.
Seleccione a unidade de tempo utilizando a lista pendente. Pode seleccionar Minutos, Horas, Dias ou Semanas.
Após escolher uma unidade de tempo, introduza o número de unidades pretendido e, em seguida, clique em OK.
Se está a utilizar uma AC empresarial, tem de efectuar os passos seguintes de forma a substituir o período de validade configurado nos modelos de certificado.
-
Clique em Iniciar, clique com o botão direito do rato em Linha de Comandos e clique em Executar como administrador.
-
Na janela de comandos, escreva Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE e, em seguida, prima ENTER.
-
Na janela de comandos, escreva net stop certsvc && net start certsvc e, em seguida, prima ENTER.
-
Verifique se os Serviços de Certificados Active Directory® (AD CS) param e iniciam com êxito.
-
Clique em Iniciar, clique com o botão direito do rato em Linha de Comandos e clique em Executar como administrador.
Importante | |
O período de validade do certificado de estado de funcionamento máximo é determinado pela período de validade da AC, que é predefinido para 52 semanas. Leve em consideração que se configurar o período de validade para menos de 1 hora pode ter problemas de desempenho no servidor AC. Não utilize períodos de validade iguais ou inferiores a 15 minutos. |
Escolher tipo de AC
Utilize o procedimento seguinte para configurar o tipo de autoridade de certificação NAP. É importante escolher um tipo de AC que corresponda ao AC que configurou no procedimento anterior. Se estiver a utilizar uma AC empresarial, tem de configurar os modelos antes de efectuar este procedimento.
Para escolher o tipo de autoridade de certificação utilizando a interface do Windows |
Abra a consola HRA.
Na árvore da consola, clique com o botão direito do rato em Autoridade de Certificação e, em seguida, clique em Propriedades. É aberta a caixa de diálogo Propriedades das Autoridades de Certificação.
Se está a utilizar uma AC autónoma, escolha Utilizar autoridade de certificação autónoma.
Não seleccione a caixa de verificação junto de Activar OIDs de Política a menos se estiver a utilizar as informações de estado expandidas para o Controlo de Acesso à Rede.
Se está a utilizar uma AC empresarial integrada no Active Directory ou se estiver a utilizar ACs empresariais e autónomas, escolha Utilizar autoridade de certificação empresarial e, em seguida, utilize a lista pendente para seleccionar um Modelo de certificado compatível autenticado e Modelo de certificado compatível anónimo da lista de modelos disponíveis. Se não optar por permitir pedidos anónimos de certificados de estado de funcionamento durante a instalação da HRA, então a configuração de um modelo anónimo neste procedimento não permite os pedidos de certificado anónimos.
Configurar a ordem ou eliminar as ACs
Utilize o procedimento seguinte para modificar a prioridade das ACs utilizadas pela HRA, ou para remover as ACs da configuração da HRA. A HRA irá apenas requisitar certificados da primeira AC configurada na lista, excepto se a AC estiver marcada como estando indisponível.
Para configurar a ordem ou para eliminar as autoridades de certificação utilizando a interface do Windows |
Abra a consola HRA.
Na árvore da consola, clique em Autoridades de Certificação.
Clique com o botão direito do rato no nome da AC na lista de servidores. Clique em Mover para cima para aumentar a preferência por este servidor na ordem. Alternativamente, clique em Mover para baixo para diminuir a preferência por este servidor na ordem.
Para eliminar uma AC da lista, clique com o botão direito do rato sobre o nome da AC e, em seguida, clique em Eliminar.