Opcional: Criar um certificado de assinatura de código para o Controlo de Aplicações para Empresas

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

À medida que implementa o Controlo de Aplicações para Empresas, poderá ter de assinar ficheiros de catálogo ou políticas de Controlo de Aplicações internamente. Para efetuar esta assinatura, terá de utilizar o serviço Assinatura Confiável da Microsoft, um certificado de assinatura de código emitido publicamente ou uma AC interna. Se comprou um certificado de assinatura de código, pode ignorar este artigo e, em vez disso, seguir outros artigos listados no Guia de Implementação do Controlo de Aplicações para Empresas.

Se você tiver uma CA interna, complete essas etapas para criar um certificado de assinatura do código.

Aviso

Ao criar certificados de assinatura para a assinatura da política de Controlo de Aplicações, poderá ocorrer uma falha de arranque (ecrã azul) se o certificado de assinatura não seguir estas regras:

  • Todas as políticas, incluindo base e suplementares, têm de ser assinadas de acordo com o PKCS 7 Standard.
  • Utilize chaves RSA apenas com tamanho de chave 2K, 3K ou 4K. A ECDSA não é suportada.
  • Pode utilizar SHA-256, SHA-384 ou SHA-512 como algoritmo de resumo no Windows 11, bem como Windows 10 e Windows Server 2019 e superior após aplicar a atualização de segurança cumulativa de novembro de 2022. Todos os outros dispositivos só suportam SHA256.
  1. Abra o snap-in Console de Gerenciamento Microsoft (MMC) Autoridade de Certificação e selecione a CA emissora.

  2. Quando estiver ligado, clique com o botão direito do rato em Modelos de Certificado e, em seguida, selecione Gerir para abrir a Consola de Modelos de Certificação.

    Snap-in de AC a mostrar Modelos de Certificado.

    Figura 1. Gerenciar os modelos de certificado

  3. No painel de navegação, clique com o botão direito do rato no certificado de Assinatura de Código e, em seguida, selecione Duplicar Modelo.

  4. Na guia Compatibilidade , desmarque a caixa de seleção Mostrar alterações resultantes . Selecione Windows Server 2012 na lista Autoridade de Certificação e Windows 8 / Windows Server 2012 na lista Destinatário do Certificado .

  5. Na guia Geral , especifique o Nome de exibição do modelo e Nome do modelo. Este exemplo utiliza o nome Certificado de Assinatura do Catálogo de Controlo de Aplicações.

  6. Na guia Tratamento de Solicitação , marque a caixa de seleção Permitir que a chave privada seja exportada .

  7. No separador Extensões, selecione a caixa de marcar Restrições Básicas e, em seguida, selecione Editar.

  8. Na caixa de diálogo Editar Extensão das Restrições Básicas, selecione Habilitar esta extensão, conforme mostrado na Figura 2.

    Editar Extensão de Restrições Básicas.

    Figura 2. Selecionar restrições no novo modelo

  9. Caso um gerenciador de certificados seja necessário para aprovar algum certificado emitido, na guia Requisitos de Emissão, selecione Aprovação do gerenciador de certificados de autoridade de certificação.

  10. Na guia Nome do Requerente , selecione Fornecer na solicitação.

  11. Na guia Segurança , verifique se alguma conta será usada para solicitar o certificado tem o direito de registrar o certificado.

  12. Selecione OK para criar o modelo e, em seguida, feche a Consola do Modelo de Certificado.

Quando esse modelo de certificado tiver sido criado, você deverá publicá-lo no repositório de modelos publicados da CA. Para isso, conclua as seguintes etapas:

  1. No snap-in autoridade de certificação MMC, clique com o botão direito do rato em Modelos de Certificação, aponte para Novo e, em seguida, selecione Modelo de Certificado para Emitir, conforme mostrado na Figura 3.

    Selecione Modelo de Certificado para Emitir.

    Figura 3. Selecione o novo modelo de certificado a ser emitido

    É apresentada uma lista dos modelos disponíveis para o problema, incluindo o modelo que criou.

  2. Selecione o certificado de assinatura catálogo de controlo de aplicações e, em seguida, selecione OK.

Agora que o modelo está disponível para ser emitido, tem de pedir um ao computador com Windows 10 ou Windows 11 no qual cria e assina ficheiros de catálogo. Para começar, abra o MMC e conclua as seguintes etapas:

  1. Na MMC, no menu Ficheiro , selecione Adicionar/Remover Snap-in. Clique duas vezes em Certificadose selecione My user account.

  2. No snap-in Certificados, clique com o botão direito do rato na pasta Arquivo pessoal, aponte para Todas as Tarefas e, em seguida, selecione Pedir Novo Certificado.

  3. Selecione Seguinte duas vezes para aceder à lista de seleção de certificados.

  4. Na lista Solicitar Certificado, selecione o certificado de assinatura de código recém-criado e o texto azul que solicita informações adicionais, conforme mostrado na Figura 4.

    Pedir Certificados: são necessárias mais informações.

    Figura 4. Obter mais informações para o certificado de assinatura de código

  5. Na caixa de diálogo Propriedades do Certificado, para Tipo, selecione Nome comum. Em Valor, especifique um nome significativo para o certificado (neste exemplo, selecionamos $ContosoSigningCert) e, em seguida, selecione Adicionar. Quando adicionado, selecione OK.

  6. Registre e conclua.

Observação

Se for necessário um gestor de certificados para aprovar quaisquer certificados emitidos e tiver selecionado exigir a aprovação da gestão no modelo, o pedido terá de ser aprovado na AC antes de ser emitido para o cliente.

Este certificado tem de ser instalado no arquivo pessoal do utilizador no computador que irá assinar os ficheiros do catálogo e as políticas de integridade do código. Se a assinatura ocorrer no mesmo computador que utilizou para pedir o certificado, pode ignorar os seguintes passos. Se estiver a iniciar sessão noutro computador, terá de exportar o certificado .pfx com as chaves e propriedades necessárias. Para isso, conclua as seguintes etapas:

  1. Clique com o botão direito do rato no certificado, aponte para Todas as Tarefas e, em seguida, selecione Exportar.

  2. Selecione Seguinte e, em seguida, selecione Sim, exportar a chave privada.

  3. Escolha as configurações padrão e selecione Exportar todas as propriedades estendidas.

  4. Defina uma palavra-passe, selecione um caminho de exportação e, em seguida, selecione AppControlCatSigningCert.pfx como o nome do ficheiro.

Quando o certificado tiver sido exportado, importe-o para o armazenamento pessoal do usuário que assinará os arquivos de catálogo ou as políticas de integridade de código no computador específico que as assinará.