Este tópico assume que conhece os conceitos de encadeamento fidedigno de certificados, assinatura do certificado e os princípios gerais de infra-estrutura de chaves públicas e de configuração de certificados. Para saber informações sobre configuração de PKI no Windows Server 2008, consulte o artigo ITPROADD-204, Melhoramento de PKI no Windows Vista e no Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=93995 (pode estar em inglês)). Para saber informações gerais sobre configuração de PKI no Windows Server 2003, consulte o artigo sobre a infra-estrutura de chaves públicas (https://go.microsoft.com/fwlink/?LinkId=19936). (Esta página poderá estar em inglês.)

Por predefinição, o TLS 1.0 (Transport Layer Security) é utilizado para encriptar as comunicações entre os clientes de Serviços de Ambiente de Trabalho Remoto e servidores de Gateway de RD através da Internet. TLS é um protocolo padrão que é utilizado para fornecer comunicações Web seguras na Internet ou em intranets. O protocolo TLS é a versão mais recente e mais segura do protocolo SSL (Secure Sockets Layer). Para obter mais informações acerca de TLS, consulte os artigos:

Para que a TLS funcione adequadamente, tem de instalar um certificado X.509 compatível com SSL no servidor de Gateway de RD.

Descrição geral sobre o processo de instalação e configuração de certificados

O processo de obter, instalar e configurar um certificado para o servidor de Gateway de RD envolve os seguintes passos.

Passo 1: Obter um certificado para o servidor de Gateway de Ambiente de Trabalho Remoto

Pode obter um certificado para o servidor de Gateway de RD utilizando um dos seguintes métodos:

  • Se a empresa tiver uma AC autónoma ou empresarial, que esteja configurada para emitir certificados X.509 compatíveis com SSL que satisfazem os requisitos de Gateway de RD, pode gerar e submeter um pedido de certificado de várias maneiras, consoante as políticas e a configuração da AC da organização. Os métodos para obter um certificado incluem:

    • Iniciar a inscrição automática a partir do snap-in Certificados.

    • Pedir certificados mediante a utilização do Assistente de Pedido de Certificados.

    • Pedir um certificado através da Web.

      Nota

      Se tiver uma AC do Windows Server 2003, tenha em atenção que a funcionalidade de inscrição na Web dos Serviços de Certificados do Windows Server 2003, depende de um controlo ActiveX chamado Xenroll. Este controlo ActiveX está disponível no Microsoft Windows Server 2003, Windows 2000 e no Windows XP. No entanto, o Xenroll foi preterido no Windows Server 2008 e no Windows Vista. As páginas Web de inscrição de certificados de exemplo que são incluídas com a versão original de lançamento do Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) e Windows Server 2003 Service Pack 2 (SP2) não são concebidas para gerir a mudança na forma como o Windows Server 2008 e o Windows Vista efectuam operações de inscrição de certificados baseados na Web. Para saber informações sobre os passos necessários para tratar deste assunto, consulte o artigo 922706 na Base de Dados de Conhecimento Microsoft (https://go.microsoft.com/fwlink/?LinkId=94472). (Esta página poderá estar em inglês.)

    • Utilizar a ferramenta de linha de comandos Certreq.

    Para saber mais informações sobre como utilizar qualquer um destes métodos para obter certificados para Windows Server 2008 R2, consulte o tópico sobre a obtenção de um certificado na ajuda do snap-in de certificados e o tópico sobre o Certreq na referência de comandos do Windows Server 2008 R2. Para rever os tópicos de ajuda dp snap-in de certificados, clique em Iniciar, clique em Executar, escreva hh certmgr.chm e, em seguida, clique em OK. Para saber informações sobre como pedir certificados para o Windows Server 2003, consulte o tópico sobre como requerer certificados (https://go.microsoft.com/fwlink/?LinkID=19638). (Esta página poderá estar em inglês.)

    Um certificado emitido por uma AC empresarial ou autónoma tem de ser co-assinado por uma AC pública fidedigna que participa no programa Microsoft Root Certification Program Members (https://go.microsoft.com/fwlink/?LinkID=59547). (Esta página poderá estar em inglês.) Caso contrário, os utilizadores que ligam de computadores domésticos ou quiosques podem não conseguir ligar a servidores de TS Gateway ou de Gateway de RD. Estas ligações podem falhar porque a raiz emitida pela AC pode não ser fidedigna para os computadores que não são membros de domínios, tal como computadores domésticos ou quiosques.

  • Se a empresa não mantiver uma AC autónoma ou empresarial que esteja configurada para emitir certificados X.509 compatíveis com SSL, poderá adquirir um certificado de uma AC pública fidedigna que participa no programa Microsoft Root Certificate Program Members (https://go.microsoft.com/fwlink/?LinkID=59547). (Esta página poderá estar em inglês.) Algumas destas AC públicas podem oferecer certificados gratuitamente numa base experimental.

  • Em alternativa, se a empresa não mantiver uma AC autónoma ou empresarial e não tiver um certificado compatível de uma AC pública fidedigna, pode criar e importar um certificado auto-assinado para o servidor de Gateway de RD para fins de avaliação técnica e testes. Para mais informações, consulte Criar um Certificado Auto-assinado Para o Servidor de Gateway de Ambiente de Trabalho Remoto.

    Importante

    Se utilizar um dos dois primeiros métodos para obter um certificado (ou seja, se obtiver um certificado a partir de uma AC autónoma ou empresarial ou uma AC pública fidedigna), também terá de Importar Um Certificado Para o Servidor de Gateway de Ambiente de Trabalho Remoto e Seleccionar um Certificado Existente para Gateway de Ambiente de Trabalho Remoto. No entanto, se criar um certificado auto-assinado utilizando o Assistente para Adicionar Funções durante a instalação do serviço de função do Gateway de Ambiente de Trabalho Remoto ou utilizando o Gestor de Gateway de Ambiente de Trabalho Remoto após a instalação (conforme é descrito em Criar um Certificado Auto-assinado Para o Servidor de Gateway de Ambiente de Trabalho Remoto), não precisará de instalar ou mapear o certificado para o servidor de Gateway de RD. Neste caso, o certificado é criado automaticamente, instalado na localização correcta no servidor de Gateway de RD e mapeado para o servidor de Gateway de RD.

    Note que os clientes de Serviços de Ambiente de Trabalho Remoto têm de ter o certificado da AC que emitiu o certificado do servidor no respectivo arquivo de Autoridades de Certificação de Raiz Fidedigna. Para obter instruções passo a passo para instalar o certificado no cliente, consulte Instalar o Certificado de Raiz do Servidor de Gateway de Ambiente de Trabalho Remoto no Cliente de Serviços de Ambiente de Trabalho Remoto.

    Se utilizou um dos primeiros dois métodos para obter um certificado e o computador cliente de Serviços de Ambiente de Trabalho Remoto considerar a AC emissora fidedigna, não precisa de instalar o certificado da AC que emitiu o certificado do servidor no arquivo de certificados do computador cliente. Por exemplo, não precisa de instalar o certificado da AC emissora no arquivo de certificados do computador cliente, se está instalado um certificado VeriSign ou outro certificado de AC fidedigna pública no servidor de Gateway de RD. Se utilizar o terceiro método para obter um certificado (ou seja, se criar um certificado auto-assinado), não precisa de instalar o certificado da AC que emitiu o certificado do servidor no arquivo de Autoridades de Certificação de Raiz Fidedigna no computador cliente. Para mais informações, consulte Instalar o Certificado de Raiz do Servidor de Gateway de Ambiente de Trabalho Remoto no Cliente de Serviços de Ambiente de Trabalho Remoto.

Passo 2: Importar um certificado

Depois de obter um certificado, pode importar o certificado para o servidor de Gateway de RD utilizando um dos seguintes métodos:

Referências adicionais

Sumário