Projetar e implementar o AD CS

• 14 minutos

É essencial garantir que você projete sua AC interna da maneira ideal. Seu design terá implicações significativas em aspectos de segurança e operacionais do seu ambiente de PKI.

Criação da hierarquia baseada no AD CS

Antes de implementar o AD CS, primeiro você deve projetar sua hierarquia de AC. Como parte do seu design, você deve decidir quantas camadas de AC são necessárias e qual será a finalidade da autoridade AC em cada camada. Não é recomendável criar uma hierarquia de AC mais profunda que três níveis, a menos que ela esteja em um ambiente complexo, altamente seguro ou distribuído. Geralmente, as hierarquias de AC têm dois níveis, com a AC raiz no nível superior e uma AC emissora subordinada no segundo nível. Normalmente, você usa a AC raiz para criar a hierarquia de AC. Nesse caso, a AC raiz permanece offline enquanto você depender da autoridade de certificação subordinada para emitir e gerenciar certificados.

Alguns designs de AC mais complexos incluem:

• Hierarquias de AC com uma AC de política. ACs de política são ACs subordinadas que residem diretamente sob a AC raiz e acima de outras ACs subordinadas em uma hierarquia de AC. Você usa as ACs de política para emitir certificados de ACs para suas ACs subordinadas. Os certificados de AC refletem as políticas e os procedimentos que uma organização implementa para proteger sua PKI, os processos que validam a identidade dos detentores de certificado e os processos que impõem os procedimentos que gerenciam certificados. Uma AC de política só emite certificado para outras ACs. As ACs que recebem esses certificados devem defender e impor as políticas definidas pela AC de política. O uso de ACs de política não é obrigatório, a menos que diferentes divisões, setores ou locais de sua organização exijam políticas de emissão e procedimentos diferentes. Por exemplo, uma organização pode implementar uma AC de política para todos os certificados que ela emite internamente para funcionários e pode implementar outra AC de política para todos os certificados que ela emite aos prestadores de serviço.
• Hierarquias de AC com relação de confiança de certificação cruzada. Nesse cenário, duas hierarquias de AC independentes interoperam quando uma AC em uma hierarquia emite um certificado de AC com certificação cruzada para uma AC em outra hierarquia. Ao fazer isso, você estabelece uma relação de confiança mútua entre hierarquias de AC diferentes.

ACs autônomas vs. corporativas

Ao usar o AD CS, você pode implantar dois tipos de ACs: autônomas e corporativas. Esses tipos de ACs não tratam da hierarquia, mas, sim, da funcionalidade e da integração com o AD DS. Uma AC autônoma não depende do AD DS. Uma AC corporativa requer o AD DS para fornecer funcionalidades adicionais, como o registro automático. O registro automático permite que usuários de domínio e dispositivos conectados ao domínio se registrem automaticamente para obter certificados depois que você habilitar o registro de certificado automático por meio da Política de Grupo.

A tabela a seguir detalha as diferenças mais significativas entre as ACs autônomas e corporativas.

Característica

CA autônomo

CA corporativa

Uso típico

Normalmente, você usa uma AC autônoma para ACs offline.

Normalmente, você usa uma AC corporativa para emitir certificados para usuários, computadores e serviços. Você não pode usá-la como uma AC offline.

Dependências de AD DS

Uma AC autônoma não depende do AD DS.

Uma AC corporativa depende do AD DS como seu banco de dados de registro e configuração. Uma AC corporativa também usa o AD DS para publicar certificados e seus metadados.

Método de solicitação de certificado

Os usuários só podem solicitar certificados de uma AC autônoma usando um procedimento manual ou um registro na Web.

Os usuários podem solicitar certificados de uma AC corporativa usando o registro manual, registro na Web, registro automático, registro em nome de uma pessoa e serviços Web

Métodos da emissão de certificados

Um administrador de AC deve aprovar todas as solicitações manualmente.

A AC pode emitir certificados ou negar a emissão de certificados automaticamente com base em uma configuração personalizada definida pelo administrador da AC.

Uma AC raiz corporativa é a opção mais comum ao implantar uma única AC em um ambiente de AD DS. Se você implantar uma hierarquia de duas camadas com uma AC subordinada em um ambiente de AD DS, deverá considerar o use de uma AC raiz autônoma como a AC raiz. Isso permite que você a deixe offline sem afetar o processo de gerenciamento de certificados para usuários de domínio e dispositivos conectados ao domínio.

Outra consideração a ser feita é quanto ao tipo de instalação do sistema operacional. Tanto a Experiência Desktop quanto os cenários de Instalação do Server Core dão suporte ao AD CS. O Server Core minimiza a superfície potencial de um hacker mal-intencionado e a sobrecarga de manutenção do sistema operacional, o que o torna a opção ideal para o AD CS em um ambiente corporativo.

Além disso, você deve ter em mente que não é possível alterar nomes de computador, nomes de domínio ou associações de domínio do computador depois de implantar uma AC de qualquer tipo no computador. Portanto, é importante definir essas configurações antes da implantação.

Também há algumas considerações específicas a serem feitas para a implantação de uma AC raiz autônoma e offline:

• Antes de emitir um certificado subordinado da AC raiz, forneça pelo menos um local do CDP (ponto de distribuição de lista de revogação de certificados) e do AIA que estarão disponíveis para todos os clientes. Isso ocorre porque, por padrão, uma AC raiz autônoma tem o CDP e o AIA localizados nela mesma. Portanto, ao deixar a AC raiz fora da rede, uma verificação de revogação falhará porque os locais do CDP e AIA ficarão inacessíveis. Ao definir esses locais, você deve copiar manualmente as informações da CRL e do AIA para esse local.
• Defina um período de validade para CRLs publicadas pela AC raiz em um longo período de tempo, por exemplo, um ano. Isso significa que você precisará habilitar a AC raiz uma vez por ano para publicar uma nova CRL e, em seguida, precisará copiá-la para um local que esteja disponível para os clientes. Caso não consiga fazer isso, depois que a CRL na AC raiz expirar, as verificações de revogação de todos os certificados também falharão.
• Use a Política de Grupo para publicar o certificado de AC raiz em um repositório de AC raiz confiável em todos os computadores cliente e servidor. Você deve fazer isso de modo manual, pois uma AC autônoma não pode fazer isso de modo automático, diferentemente de uma AC corporativa. Você também pode publicar o certificado de AC raiz para AD DS usando a ferramenta de linha de comando certutil.

Demonstração

O vídeo a seguir demonstra como:

• Configurar os pré-requisitos para uma AC raiz corporativa.
• Implantar uma AC raiz corporativa.

As principais etapas do processo são:

1. Criar um ambiente AD DS. Criar uma floresta de AD DS de domínio único.
2. Configurar os pré-requisitos para uma AC raiz corporativa. Instalar a função de servidor e os serviços de função de servidor necessários.
3. Implantar uma AC raiz corporativa. Definir as configurações da AC raiz corporativa.

---

Verifique seu conhecimento

1.

Qual das instruções a seguir sobre a instalação da AC raiz corporativa do AD CS está correta?

Você pode modificar o algoritmo de hash da criptografia da AC.

Antes de executar a instalação, você tem de criar uma chave privada.

Ao instalar a AC corporativa, você precisa incluir o Serviço Web de Registro de Certificado na instalação.

É necessário responder a todas as perguntas antes de verificar o trabalho.