Visão geral da implantação de certificado do servidor

Este tópico inclui as seções a seguir.

Componentes de implantação de certificado do servidor

Você pode usar este guia para instalar o AD CS (Serviços de Certificados do Active Directory) como uma AC raiz corporativa e registrar certificados de servidor para servidores que estão executando o NPS (Servidor de Políticas de Rede), o RRAS (Serviço de roteamento de acesso remoto) ou tanto o NPS quanto o RRAS.

Se você implantar o SDN com autenticação baseada em certificado, os servidores deverão usar um certificado de servidor para provar as identidades deles em outros servidores para que eles obtenham comunicações seguras.

A ilustração a seguir mostra os componentes necessários para implantar certificados de servidor em servidores na sua infraestrutura de SDN.

Infraestrutura necessária para implantação de certificado do servidor

Observação

Na ilustração acima, vários servidores são representados: DC1, CA1, WEB1 e muitos servidores SDN. Este guia fornece instruções para implantar e configurar CA1 e WEB1 e para configurar o DC1, que este guia considera que você já instalou em sua rede. Se você ainda não instalou seu domínio do Active Directory, é possível fazer isso usando o Guia de Rede Principal para o Windows Server 2016.

Para obter mais informações sobre cada item representado na ilustração acima, consulte o seguinte:

CA1 executando a função de servidor do AD CS

Nesse cenário, a AC raiz corporativa também é uma AC emissora. A AC emite certificados para computadores servidores que têm as permissões de segurança corretas para registrar um certificado. O AD CS está instalado no CA1.

Em redes maiores ou onde as preocupações com a segurança são justificadas, você pode separar as funções da AC raiz e da AC emissora e implantar ACs subordinadas que são AC emissoras.

Nas implantações mais seguras, a AC raiz corporativa é colocada offline e fisicamente protegida.

CAPolicy.inf

Configurar o arquivo CAPolicy.inf com configurações específicas para sua implantação antes de instalar os AD CS.

Cópia do modelo de certificado de servidores de RAS e IAS

Ao implantar certificados de servidor, você faz uma cópia do modelo de certificado de servidores de RAS e IAS e, em seguida, configura o modelo de acordo com seus requisitos e as instruções neste guia.

Você utiliza uma cópia do modelo em vez do modelo original para que a configuração do modelo original seja preservada para poder ser usada no futuro. Configure a cópia do modelo de servidores de RAS e IAS para que a AC possa criar certificados de servidor que ele emite para os grupos em usuários e computadores do Active Directory que você especificar.

Configuração adicional de CA1

A AC publica uma CRL (lista de certificados revogados) que os computadores devem verificar para garantir que os certificados apresentados a eles como prova de identidade são válidos e não foram revogados. Você deve configurar sua AC com o local correto da CRL para que os computadores saibam onde procurar a CRL durante o processo de autenticação.

WEB1 executando a função de servidor Web (IIS)

No computador que está executando a função de servidor Web (IIS), WEB1, você deve criar uma pasta no Windows Explorer para uso como o local para CRL e AIA.

Diretório virtual para CRL e AIA

Depois de criar uma pasta no Windows Explorer, você deve configurar a pasta como um diretório virtual no gerenciador dos IIS, bem como uma lista de controle de acesso para o diretório virtual para permitir que os computadores acessem o AIA e a CRL depois que eles forem publicados lá.

DC1 executando as funções de servidor DNS e do AD DS

DC1 é o controlador de domínio e o servidor DNS em sua rede.

Política de domínio padrão da Política de Grupo

Depois de configurar o modelo de certificado na AC, você pode configurar a política de domínio padrão na Política de Grupo para que os certificados sejam registrados automaticamente em servidores do NPS e RAS. A Política de Grupo está configurada no AD DS no servidor DC1.

Registro de recurso de alias DNS (CNAME)

Você deve criar um registro de recurso de alias (CNAME) para o servidor Web a fim de garantir que outros computadores possam encontrar o servidor, bem como o AIA e a CRL armazenados no servidor. Além disso, o uso de um registro de recurso CNAME de alias fornece flexibilidade para que você possa usar o servidor Web para outras finalidades, como hospedar sites Web e FTP.

NPS1 executando o serviço de função do NPS da função de servidor dos Serviços de Acesso e Política de Rede

O NPS é instalado quando você executa as tarefas no Guia de Rede Principal do Windows Server 2016, portanto, antes de executar as tarefas neste guia, você já deve ter um ou mais NPSs instalados em sua rede.

Política de Grupo aplicada e certificado registrado em servidores

Depois de configurar o modelo de certificado e o registro automático, você pode atualizar a Política de Grupo em todos os servidores de destino. Neste momento, os servidores registram o certificado do servidor a partir da CA1.

Visão geral do processo de implantação de certificado do servidor

Observação

Os detalhes de como executar essas etapas são fornecidos na seção Implantação de certificado do servidor.

O processo de configuração do registro de certificado do servidor ocorre nestes estágios:

  1. No WEB1, instale a função de servidor Web (IIS).

  2. No DC1, crie um registro de alias (CNAME) para seu servidor Web, WEB1.

  3. Configure seu servidor Web para hospedar a CRL da AC e, em seguida, publique a CRL e copie o certificado da AC raiz corporativa para o novo diretório virtual.

  4. No computador em que você planeja instalar o AD CS, atribua ao computador um endereço IP estático, renomeie o computador, adicione o computador ao domínio e faça logon no computador com uma conta de usuário que seja membro dos grupos de administradores de domínio e administradores corporativos.

  5. No computador em que você planeja instalar o AD CS, defina o arquivo CAPolicy.inf com configurações específicas para sua implantação.

  6. Instale a função de servidor do AD CS e execute uma configuração adicional da AC.

  7. Copie a CRL e o certificado de AC do CA1 para o compartilhamento no servidor Web WEB1.

  8. Na AC, configure uma cópia do modelo de certificado de servidores de RAS e IAS. A AC emite certificados com base em um modelo de certificado, portanto, você deve configurar o modelo para o certificado do servidor antes que a AC possa emitir um certificado.

  9. Configurar o registro automático de certificados na Política de Grupo. Após configurar o registro automático, todos os servidores especificados com associações de grupo do Active Directory receberão automaticamente um certificado de servidor quando a Política de Grupo em cada servidor for atualizada. Se mais tarde você adicionar mais servidores, eles também receberão um certificado do servidor automaticamente.

  10. Atualizar a Política de Grupo nos servidores. Após atualizar a Política de Grupo, os servidores receberão o certificado do servidor, com base no modelo que você configurou na etapa anterior. Esse certificado é usado pelo servidor para provar sua identidade para computadores cliente e outros servidores durante o processo de autenticação.

    Observação

    Todos os computadores membros do domínio recebem o certificado da AC raiz corporativa automaticamente, sem configurar o registro automático. Esse certificado é diferente do certificado do servidor que você configura e distribui usando o registro automático. O certificado da AC é instalado automaticamente no repositório de certificados de Autoridades de certificação raiz confiáveis para todos os computadores membros do domínio para que eles confiem em certificados emitidos por essa AC.

  11. Verifique se todos os servidores registraram um certificado de servidor válido.