O que é o Serviço de Função de Autoridade de Certificação?
Esse artigo fornece informações sobre o Serviço de Função da Autoridade de Certificação para Serviços de Certificados do Active Directory quando implantado no sistema operacional Windows Server.
Uma AC (autoridade de certificação) é responsável por atestar a identidade de usuários, computadores e organizações. A AC autentica uma entidade e garante-a emitindo um certificado assinado digitalmente. A AC também pode gerenciar, revogar e renovar certificados.
Uma autoridade de certificação pode ser:
- Uma organização que garante a identidade de um usuário final.
- Um servidor usado pela organização para emitir e gerenciar certificados.
Instalando o serviço de função Autoridade de Certificação do AD CS (Serviços de Certificados do Active Directory), você pode configurar seu Windows Server para atuar como uma AC.
Noções básicas sobre os tipos da autoridade de certificação
O Windows Server dá suporte a quatro tipos diferentes de AC:
- AC Raiz Corporativa.
- AC Subordinada Corporativa.
- AC Raiz Autônoma.
- AC Subordinada Autônoma.
Autoridades de certificação Corporativa e Autônoma
AsACs corporativas são integradas ao AD DS (Serviços de Domínio Active Directory). Elas publicam certificados e CRLs (listas de certificados revogados) no AD DS. As ACs Corporativas usam informações armazenadas no AD DS, inclusive contas de usuário e grupos de segurança, para aprovar ou negar as solicitações de certificado. As ACs corporativas usam modelos de certificado. Quando um certificado é emitido, a AC corporativa usa informações do modelo de certificado para gerar um certificado com os atributos apropriados para aquele tipo de certificado.
Se você quiser habilitar a aprovação automática de certificados e o registro automático de certificados de usuário, use ACs corporativas para emitir certificados. Esses recursos são disponibilizados apenas quando a infraestrutura de AC está integrada ao Active Directory. Além disso, apenas ACs corporativas podem emitir certificados que habilitem o logon do cartão inteligente, pois esse processo exige que os certificados do cartão inteligente sejam mapeados automaticamente para as contas de usuário do Active Directory.
As CAs autônomas não exigem AD DS e não usam modelos de certificado. Se você usa ACs autônomas, todas as informações sobre o tipo de certificado solicitado devem ser incluídas na solicitação de certificado. Por padrão, todas as solicitações de certificado enviadas a ACs autônomas são mantidas em uma fila pendente até que sejam aprovadas por um administrador de AC. Você pode configurar CAs autônomas para emitir certificados automaticamente mediante solicitação, mas isso é menos seguro e não é recomendado porque as solicitações não são autenticadas.
Você deve usar CAs autônomas para emitir certificados quando estiver usando um serviço de diretório que não seja da Microsoft ou quando o AD DS não estiver disponível. Você pode usar autoridades de certificação autônomas e corporativas em sua organização.
Autoridades de certificação raiz e subordinadas
ACs corporativas e autônomas podem ser configuradas como ACs raiz ou ACs subordinadas. As ACs subordinadas podem ainda ser configuradas como ACs intermediárias (também chamadas de AC de política) ou ACs emissoras
Uma AC raiz é a AC que está no topo de uma hierarquia de certificação, onde todas as cadeias de certificados terminam. Quando o Certificado de Autoridade de Certificação raiz está presente no cliente, a AC raiz é confiável incondicionalmente. Seja usando ACs corporativas ou autônomas, você deve designar uma AC raiz.
Como a AC raiz é a AC superior na hierarquia de certificação, o campo Assunto de certificado tem o mesmo valor que o campo Emissor. Da mesma forma, como a cadeia de certificados termina quando chega a uma AC autoassinada, todas as ACs autoassinadas são ACs raiz. A decisão de designar uma AC como AC raiz confiável pode ser tomada no nível corporativo ou localmente pelo administrador de TI individual.
Uma AC raiz serve como uma base sobre a qual você fundamenta seu modelo de confiança da autoridade de certificação. Ela garante que a chave pública da entidade corresponda às informações de identidade mostradas no campo de entidade dos certificados emitidos. As ACs diferentes também podem verificar esse relacionamento usando padrões diferentes; portanto, é importante entender as políticas e procedimentos da autoridade de certificação raiz antes de optar por confiar nessa autoridade para verificar as chaves públicas.
A AC raiz é a mais importante da sua hierarquia. Se a AC raiz estiver comprometida, todas as ACs da hierarquia e todos os certificados emitidos por ela serão considerados comprometidos. Você pode maximizar a segurança da AC raiz mantendo-a desconectada da rede e usando ACs subordinadas para emitir certificados a outras ACs subordinadas ou a usuários finais. Uma AC raiz desconectada também é conhecida como AC raiz offline.
As ACs que não são ACs raiz são consideradas subordinadas. A primeira AC subordinada de uma hierarquia obtém seu Certificado de Autoridade de Certificação da AC raiz. Essa primeira AC subordinada pode usar essa chave para emitir certificados que verifiquem a integridade de outra AC subordinada. Essas ACs subordinadas superiores são conhecidas como ACs intermediárias. Uma AC intermediária é subordinada a uma AC raiz, mas serve como autoridade certificadora superior para uma ou mais ACs subordinadas.
Uma AC intermediária geralmente é chamada de AC de política porque normalmente é usada para separar classes de certificados que são distinguidas por meio de políticas. Por exemplo, a separação de política abrange o nível de garantia que a AC oferece ou a localização geográfica da AC para distinguir diferentes populações de entidades finais. A AC de política pode estar online ou offline.
Chaves privadas da autoridade de certificação
A chave privada faz parte da identidade da AC e deve ser protegida para não ser comprometida. Muitas organizações protegem chaves privadas de AC usando um HSM. Se um HSM não for usado, a chave privada será armazenada no computador da AC.
As ACs offline devem ser armazenadas em locais seguros e não conectados à rede. As ACs emissoras usam as próprias chaves privadas ao emitir certificados. Portanto, a chave privada deve estar acessível (online) enquanto a AC está em operação. Em todos os casos, a AC e sua chave privada devem ser protegidas fisicamente.
Módulos de segurança de hardware
O uso de um módulo de segurança de hardware (HSM) pode aumentar a segurança de sua AC e da Infraestrutura de Chave Privada (PKI).
O HSM é um dispositivo de hardware dedicado gerenciado separadamente do sistema operacional. Os HSMs fornecem um armazenamento de hardware seguro para chaves AC, além de um processador criptográfico dedicado para acelerar as operações de assinatura e criptografia. O sistema operacional utiliza o HSM por meio de interfaces CryptoAPI e as funções do HSM como um dispositivo CSP (provedor de serviços de criptografia).
Os HSMs normalmente são adaptadores PCI, mas também estão disponíveis como dispositivos baseados em rede, dispositivos seriais e dispositivos USB. Se uma organização planeja implementar duas ou mais ACs, você pode instalar um HSM individual baseado na rede e compartilhá-lo entre as várias ACs.
Os HSMs devem ser instalados e configurados antes de configurar quaisquer ACs com chaves que precisam ser armazenadas no HSM.