Explorar os conceitos básicos da PKI e do AD CS

  • 5 minutos

Para obter certificados para sua infraestrutura de AD DS, você pode solicitá-los de uma AC pública ou emiti-los usando sua própria infraestrutura. Para implementar sua própria AC, você pode usar o AD CS, que é o caminho que a Contoso optou por seguir. O AD CS é uma tecnologia de identidade do Windows Server que permite que você implemente o PKI na sua organização.

O que é a PKI?

A PKI é a combinação de software, tecnologias de criptografia, processos e serviços, a qual permite que uma organização proteja dados, comunicações e transações de negócios. A PKI conta com a troca de certificados digitais entre usuários autenticados e recursos confiáveis. Você usa certificados para proteger os dados e gerenciar as credenciais de identificação de usuários e computadores dentro e fora da sua organização.

O que é o AD CS?

Você pode implementar uma solução PKI usando a função do Windows Server do AD CS. O AD CS fornece todos os componentes relacionados à PKI no formato de serviços de função. Cada serviço de função é responsável por uma parte específica da infraestrutura de certificado durante o trabalho em conjunto para formar uma solução completa.

A função de AD CS inclui os seguintes serviços de função:

  • Autoridade de certificação. As principais finalidades das ACs são emitir certificados, revogar certificados e publicar informações sobre o AIA (acesso a informações de autoridade) e sobre revogações. A primeira AC que você implantar vai se tornar a raiz de sua PKI interna. Subsequentemente, você pode implantar ACs subordinadas, posicionadas na hierarquia de PKI, com a AC raiz na parte superior. As ACs subordinadas implicitamente confiam na AC raiz e, por implicação, nos certificados emitidos por ela.

    Observação

    Você tem a opção de implantar várias hierarquias de AC interna, cada uma com sua própria raiz.

  • Registro via Web na Autoridade de Certificação. Esse componente fornece um método para emitir e renovar certificados em cenários em que os usuários usam dispositivos não conectados ao domínio ou que estão executando sistemas operacionais diferentes do Windows.

  • Respondente Online. Você pode usar esse componente para configurar e gerenciar a verificação de validação e revogação do OCSP. Um Respondente Online decodifica as solicitações de status de revogação de certificados específicos, avalia o status desses certificados e retorna uma resposta assinada que contém as informações solicitadas sobre o status do certificado.

  • NDES (Serviço de Registro de Dispositivo de Rede). Com esse componente, roteadores, comutadores e outros dispositivos de rede podem obter certificados de AD CS.

  • CES (Serviço Web de Registro de Certificado). Esse componente funciona como um cliente proxy entre um computador que executa o Windows e a AC. O CES permite que usuários, computadores ou aplicativos se conectem a uma AC usando serviços Web para:

    • Solicitar, renovar e instalar certificados emitidos.
    • Recuperar CRLs (listas de certificados revogados).
    • Baixar um certificado raiz.
    • Registrar-se pela Internet ou entre florestas.
    • Renovar certificados automaticamente para computadores que fazem parte de domínios não confiáveis do AD DS ou não conectados a um domínio.

  • Serviço Web de Política de Registro de Certificado. Esse componente permite que os usuários obtenham informações sobre a política de registro de certificado. Em combinação com o CES, ele permite que o certificado baseado em políticas seja registrado em cenários nos quais os dispositivos de usuário não estão conectados ao domínio ou não podem se conectar a um controlador de domínio.

Os serviços de função da função do AD CS no Windows Server 2019, incluindo AC, registro na Web da AC, Respondente Online, Serviço de Registro de Dispositivo de Rede, CES e Serviço Web de Política de Registro de Certificado.