Partilhar via


Configurar e validar a PKI num modelo de confiança de certificado híbrido

Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:


O Windows Hello para Empresas tem de ter uma Infraestrutura de Chaves Públicas (PKI) ao utilizar os modelos de fidedignidade do certificado . Os controladores de domínio têm de ter um certificado, que serve de raiz de confiança para os clientes. O certificado garante que os clientes não comunicam com controladores de domínio não autorizados.

As implementações de confiança de certificados híbridas emitem aos utilizadores um certificado de início de sessão, permitindo-lhes autenticar no Active Directory com as credenciais do Windows Hello para Empresas. Além disso, as implementações de confiança de certificados híbridas emitem certificados às autoridades de registo para fornecer segurança de defesa em profundidade ao emitir certificados de autenticação de utilizador.

Implementar uma autoridade de certificação empresarial

Este guia considera que a maioria das empresas tem uma infraestrutura de chave pública existente. O Windows Hello para Empresas depende de uma PKI empresarial que execute a função Serviços de Certificados do Windows Server Active Directory .
Se não tiver um PKI existente, reveja a Documentação de Orientação da Autoridade de Certificação para estruturar corretamente a sua infraestrutura. Em seguida, consulte o Guia do Laboratório de Teste: Implementar um AD CS Two-Tier Hierarquia PKI para obter instruções sobre como configurar a PKI com as informações da sua sessão de estrutura.

PKI baseada em laboratório

As instruções seguintes podem ser utilizadas para implementar uma infraestrutura de chave pública simples adequada para um ambiente de laboratório.

Inicie sessão com credenciais equivalentes do Administrador do Enterprise num Windows Server onde pretende instalar a autoridade de certificação (AC).

Observação

Nunca instale uma autoridade de certificação num controlador de domínio num ambiente de produção.

  1. Abrir uma linha de comandos elevada do Windows PowerShell
  2. Use o comando a seguir para instalar a função de Serviços de certificação do Active Directory.
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  3. Utilize o seguinte comando para configurar a AC com uma configuração de autoridade de certificação básica
    Install-AdcsCertificationAuthority
    

Configurar o PKI empresarial

Configurar certificados de controlador de domínio

Os clientes têm de confiar nos controladores de domínio e a melhor forma de ativar a confiança é garantir que cada controlador de domínio tem um certificado de Autenticação Kerberos . A instalação de um certificado nos controladores de domínio permite que o Centro de Distribuição de Chaves (KDC) prove a respetiva identidade a outros membros do domínio. Os certificados fornecem aos clientes uma raiz de confiança externa ao domínio, nomeadamente a autoridade de certificação empresarial.

Os controladores de domínio solicitam automaticamente um certificado de controlador de domínio (se publicado) quando detetam que uma AC empresarial é adicionada ao Active Directory. Os certificados baseados nos modelos de certificado de Autenticação do Controlador de Domínio e do Controlador de Domínio não incluem o identificador de objeto de Autenticação KDC (OID), que foi posteriormente adicionado ao RFC kerberos. Por conseguinte, os controladores de domínio têm de pedir um certificado com base no modelo de certificado de Autenticação Kerberos .

Por predefinição, a AC do Active Directory fornece e publica o modelo de certificado de Autenticação Kerberos . A configuração de criptografia incluída no modelo baseia-se em APIs de criptografia mais antigas e menos eficazes. Para garantir que os controladores de domínio pedem o certificado adequado com a melhor criptografia disponível, utilize o modelo de certificado autenticação Kerberos como uma linha de base para criar um modelo de certificado de controlador de domínio atualizado.

Importante

Os certificados emitidos para os controladores de domínio têm de cumprir os seguintes requisitos:

  • A extensão do ponto de distribuição da Lista de Revogação de Certificados (CRL) tem de apontar para uma CRL válida ou para uma extensão de Acesso a Informações de Autoridade (AIA) que aponte para um dispositivo de resposta do Protocolo OCSP (Online Certificate Status Protocol)
  • Opcionalmente, a secção Assunto do certificado pode conter o caminho do diretório do objeto de servidor (o nome único)
  • A secção Utilização da Chave de Certificado tem de conter Assinatura Digital e Cifragem de Chave
  • Opcionalmente, a secção Restrições Básicas do certificado deve conter: [Subject Type=End Entity, Path Length Constraint=None]
  • A secção utilização da chave expandida do certificado tem de conter Autenticação de Cliente (1.3.6.1.5.5.7.3.2), Autenticação do Servidor (1.3.6.1.5.5.7.3.1) e Autenticação KDC (1.3.6.1.5.2.3.5)
  • A secção Nome Alternativo do Requerente do Certificado tem de conter o nome do Sistema de Nomes de Domínio (DNS)
  • O modelo de certificado tem de ter uma extensão que tenha o valor DomainController, codificado como BMPstring. Se estiver a utilizar a Autoridade de Certificação Empresarial do Windows Server, esta extensão já está incluída no modelo de certificado do controlador de domínio
  • O certificado do controlador de domínio tem de ser instalado no arquivo de certificados do computador local

Inicie sessão numa AC ou estações de trabalho de gestão com credenciais equivalentes de Administrador de Domínio .

  1. Abrir a consola de gestão da Autoridade de Certificação

  2. Clique com o botão direito do rato em Gestão de Modelos > de Certificado

  3. Na Consola do Modelo de Certificado, clique com o botão direito do rato no modelo Autenticação Kerberos no painel de detalhes e selecione Duplicar Modelo

  4. Utilize a tabela seguinte para configurar o modelo:

    Nome do Separador Configurações
    Compatibilidade
    • Desmarque a caixa de verificação Mostrar alterações resultantes
    • Selecione Windows Server 2016 na lista Autoridade de Certificação
    • Selecione Windows 10/Windows Server 2016 na lista Destinatários da Certificação
    Geral
    • Especifique um Nome a apresentar do Modelo, por exemplo Autenticação do Controlador de Domínio (Kerberos)
    • Defina o período de validade para o valor pretendido
    • Tome nota do nome do modelo para mais tarde, que deve ser o mesmo que os espaços de subtração do nome a apresentar do modelo
    Nome do Requerente
    • Selecione Criar a partir destas informações do Active Directory
    • Selecione Nenhum na lista Formato do nome do requerente
    • Selecione Nome DNS na lista Incluir estas informações num assunto alternativo
    • Limpar todos os outros itens
    Criptografia
    • Defina a Categoria do Fornecedor como Fornecedor de Armazenamento de Chaves
    • Defina o Nome do algoritmo como RSA
    • Defina o tamanho mínimo da chave como 2048
    • Defina o Hash do pedido como SHA256
  5. Selecione OK para finalizar as alterações e criar o novo modelo

  6. Fechar a consola

Observação

A inclusão do OID de Autenticação KDC no certificado de controlador de domínio não é necessária para dispositivos associados híbridos do Microsoft Entra. O OID é necessário para ativar a autenticação com o Windows Hello para Empresas para recursos no local por dispositivos associados ao Microsoft Entra.

Importante

Para que os dispositivos associados ao Microsoft Entra se autentiquem em recursos no local, certifique-se de que:

  • Instale o certificado de AC de raiz no arquivo de certificados de raiz fidedigna do dispositivo. Veja como implementar um perfil de certificado fidedigno através do Intune
  • Publique a lista de revogação de certificados numa localização que esteja disponível para dispositivos associados ao Microsoft Entra, como um URL baseado na Web

Substituir certificados de controlador de domínio existentes

Os controladores de domínio podem ter um certificado de controlador de domínio existente. Os Serviços de Certificados do Active Directory fornecem um modelo de certificado predefinido para controladores de domínio denominados certificado de controlador de domínio. As versões posteriores do Windows Server forneceram um novo modelo de certificado denominado certificado de autenticação do controlador de domínio. Estes modelos de certificado foram fornecidos antes da atualização da especificação Kerberos que indica que os Centros de Distribuição de Chaves (KDCs) efetuam a autenticação de certificados necessária para incluir a extensão de Autenticação KDC .

O modelo de certificado de Autenticação Kerberos é o modelo de certificado mais atual designado para controladores de domínio e deve ser aquele que implementa em todos os controladores de domínio.
A funcionalidade de inscrição automática permite-lhe substituir os certificados do controlador de domínio. Utilize a seguinte configuração para substituir certificados de controlador de domínio mais antigos por novos, utilizando o modelo de certificado autenticação Kerberos .

Inicie sessão numa AC ou estações de trabalho de gestão com credenciais equivalentes do Administrador do Enterprise .

  1. Abrir a consola de gestão da Autoridade de Certificação
  2. Clique com o botão direito do rato em Gestão de Modelos > de Certificado
  3. Na Consola do Modelo de Certificado, clique com o botão direito do rato no modelo Autenticação do Controlador de Domínio (Kerberos) (ou o nome do modelo de certificado que criou na secção anterior) no painel de detalhes e selecione Propriedades
  4. Selecione o separador Modelos Substituídos . Selecione Adicionar
  5. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado Controlador de Domínio e selecione OK > Adicionar
  6. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado Autenticação do Controlador de Domínio e selecione OK
  7. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado autenticação Kerberos e selecione OK
  8. Adicione outros modelos de certificado empresarial que tenham sido configurados anteriormente para controladores de domínio ao separador Modelos Substituídos
  9. Selecione OK e feche a consola Modelos de Certificado

O modelo de certificado está configurado para substituir todos os modelos de certificado fornecidos na lista de modelos substituídos .
No entanto, o modelo de certificado e a substituição de modelos de certificado não estão ativos até que o modelo seja publicado numa ou mais autoridades de certificação.

Observação

O certificado do controlador de domínio tem de ser ligado a uma raiz no arquivo NTAuth. Por predefinição, o certificado de raiz da Autoridade de Certificação do Active Directory é adicionado ao arquivo NTAuth. Se estiver a utilizar uma AC que não seja da Microsoft, tal poderá não ser feito por predefinição. Se o certificado do controlador de domínio não encadear a uma raiz no arquivo NTAuth, a autenticação do utilizador falhará. Para ver todos os certificados no arquivo NTAuth, utilize o seguinte comando:

Certutil -viewstore -enterprise NTAuth

Configurar um modelo de certificado do agente de inscrição

Uma autoridade de registo de certificados (CRA) é uma autoridade fidedigna que valida o pedido de certificado. Depois de validar o pedido, apresenta o pedido à autoridade de certificação (AC) para emissão. A AC emite o certificado, devolve-o à CRA, que devolve o certificado ao utilizador requerente. As implementações de confiança de certificados do Windows Hello para Empresas utilizam o AD FS como CRA.

A CRA inscreve-se num certificado de agente de inscrição. Depois de a CRA verificar o pedido de certificado, assina o pedido de certificado com o respetivo certificado de agente de inscrição e envia-o para a AC. O modelo de certificado de autenticação do Windows Hello para Empresas é configurado para emitir certificados somente às solicitações de certificado que foram assinadas com um certificado de agente de registro. A AC só emite um certificado para esse modelo se a autoridade de registo assinar o pedido de certificado.

Importante

Siga os procedimentos abaixo com base na conta de serviço do AD FS utilizada no seu ambiente.

Criar um certificado do agente de inscrição para Contas de Serviço Geridas de Grupo (GMSA)

Inicie sessão numa AC ou estações de trabalho de gestão com credenciais equivalentes de Administrador de Domínio .

  1. Abrir a consola de gestão da Autoridade de Certificação

  2. Clique com o botão direito do rato em Modelos de Certificado e selecione Gerir

  3. Na Consola do Modelo de Certificado, clique com o botão direito do rato no painel de detalhes do modelo agente de inscrição do Exchange (pedido offline) e selecione Duplicar Modelo

  4. Utilize a tabela seguinte para configurar o modelo:

    Nome do Separador Configurações
    Compatibilidade
    • Desmarque a caixa de verificação Mostrar alterações resultantes
    • Selecione Windows Server 2016 na lista Autoridade de Certificação
    • Selecione Windows 10/Windows Server 2016 na lista Destinatários da Certificação
    Geral
    • Especifique um Nome a apresentar do Modelo, por exemplo , Agente de Inscrição WHFB
    • Defina o período de validade para o valor pretendido
    Nome do Requerente Selecione Fornecer no pedido

    Nota: As Contas de Serviço Geridas de Grupo (GMSA) não suportam a opção Criar a partir desta informação do Active Directory e resultarão na falha da inscrição do certificado do agente de inscrição no servidor do AD FS. Tem de configurar o modelo de certificado com a opção Fornecer no pedido para garantir que os servidores do AD FS podem efetuar a inscrição automática e a renovação do certificado do agente de inscrição.
    Criptografia
    • Defina a Categoria do Fornecedor como Fornecedor de Armazenamento de Chaves
    • Defina o Nome do algoritmo como RSA
    • Defina o tamanho mínimo da chave como 2048
    • Defina o Hash do pedido como SHA256
    Segurança
    • Selecione Adicionar
    • Selecione Tipos de Objeto e selecione a caixa de verificação Contas de Serviço
    • Selecione OK
    • Escreva adfssvc na caixa de texto Introduza os nomes dos objetos para selecionar e selecione OK
    • Selecione o adfssvc na lista Nomes de grupos ou utilizadores . Na secção Permissões para adfssvc :
      • Na secção Permissões para adfssvc, selecione a caixa de verificação Permitir para a permissão Inscrever
      • Excluindo o utilizador adfssvc, desmarque a caixa de verificação Permitir para as permissões inscrever e inscrever automaticamente para todos os outros itens na lista de nomes de grupos ou utilizadores
    • Selecione OK
  5. Selecione OK para finalizar as alterações e criar o novo modelo

  6. Fechar a consola

Criar um certificado do agente de inscrição para uma conta de serviço padrão

Inicie sessão numa AC ou estações de trabalho de gestão com credenciais equivalentes de Administrador de Domínio .

  1. Abrir a consola de gestão da Autoridade de Certificação

  2. Clique com o botão direito do rato em Modelos de Certificado e selecione Gerir

  3. Na Consola do Modelo de Certificado, clique com o botão direito do rato no painel de detalhes do modelo agente de inscrição do Exchange (pedido offline) e selecione Duplicar Modelo

  4. Utilize a tabela seguinte para configurar o modelo:

    Nome do Separador Configurações
    Compatibilidade
    • Desmarque a caixa de verificação Mostrar alterações resultantes
    • Selecione Windows Server 2016 na lista Autoridade de Certificação
    • Selecione Windows 10/Windows Server 2016 na lista Destinatários de Certificados
    Geral
    • Especifique um Nome a apresentar do Modelo, por exemplo , Agente de Inscrição WHFB
    • Defina o período de validade para o valor pretendido
    Nome do Requerente
    • Selecione Criar a partir destas informações do Active Directory
    • Selecione Nome único completo na lista Formato do nome do requerente
    • Selecione a caixa de verificação Nome Principal de Utilizador (UPN)em Incluir estas informações no nome do requerente alternativo
    Criptografia
    • Defina a Categoria do Fornecedor como Fornecedor de Armazenamento de Chaves
    • Defina o Nome do algoritmo como RSA
    • Defina o tamanho mínimo da chave como 2048
    • Defina o Hash do pedido como SHA256
    Segurança
    • Selecione Adicionar
    • Selecione Tipos de Objeto e selecione a caixa de verificação Contas de Serviço
    • Selecione OK
    • Escreva adfssvc na caixa de texto Introduza os nomes dos objetos para selecionar e selecione OK
    • Selecione o adfssvc na lista Nomes de grupos ou utilizadores . Na secção Permissões para adfssvc :
      • Na secção Permissões para adfssvc, selecione a caixa de verificação Permitir para a permissão Inscrever
      • Excluindo o utilizador adfssvc, desmarque a caixa de verificação Permitir para as permissões inscrever e inscrever automaticamente para todos os outros itens na lista de nomes de grupos ou utilizadores
    • Selecione OK
  5. Selecione OK para finalizar as alterações e criar o novo modelo

  6. Fechar a consola

Configurar um modelo de certificado de autenticação do Windows Hello para Empresas

Durante o aprovisionamento do Windows Hello para Empresas, os clientes Windows solicitam um certificado de autenticação do AD FS, que pede o certificado de autenticação em nome do utilizador. Essa tarefa configura o modelo de certificado de autenticação do Windows Hello para Empresas.

Inicie sessão numa AC ou estações de trabalho de gestão com credenciais equivalentes de Administrador de Domínio .

  1. Abrir a consola de gestão da Autoridade de Certificação

  2. Clique com o botão direito do rato em Modelos de Certificado e selecione Gerir

  3. Na Consola do Modelo de Certificado, clique com o botão direito do rato no modelo início de sessão do Smartcard e selecione Duplicar Modelo

  4. Utilize a tabela seguinte para configurar o modelo:

    Nome do Separador Configurações
    Compatibilidade
    • Desmarque a caixa de verificação Mostrar alterações resultantes
    • Selecione Windows Server 2016 na lista Autoridade de Certificação
    • Selecione Windows 10/Windows Server 2016 na lista Destinatários da Certificação
    Geral
    • Especifique um Nome a apresentar do Modelo, por exemplo Autenticação WHFB
    • Defina o período de validade para o valor pretendido
    • Tome nota do nome do modelo para mais tarde, que deve ser o mesmo que os espaços de subtração do nome a apresentar do modelo
    Nome do Requerente
    • Selecione Criar a partir destas informações do Active Directory
    • Selecione Nome único completo na lista Formato do nome do requerente
    • Selecione a caixa de verificação Nome Principal de Utilizador (UPN)em Incluir estas informações no nome do requerente alternativo
    Criptografia
    • Defina a Categoria do Fornecedor como Fornecedor de Armazenamento de Chaves
    • Defina o Nome do algoritmo como RSA
    • Defina o tamanho mínimo da chave como 2048
    • Defina o Hash do pedido como SHA256
    Extensões Verifique se a extensão de Políticas de Aplicação inclui o Início de Sessão do Smart Card
    Requisitos de Emissão
    • Selecione a caixa de verificação Este número de assinaturas autorizadas . Escreva 1 na caixa de texto
    • Selecione Política de aplicação no Tipo de política necessário na assinatura
    • Selecione Agente de Pedido de Certificado na lista Política de aplicação
    • Selecione a opção Certificado existente válido
    Processamento de Pedidos Selecione a caixa de verificação Renovar com a mesma chave
    Segurança
    • Selecione Adicionar
    • Segmente um grupo de segurança do Active Directory que contenha os utilizadores que pretende inscrever no Windows Hello para Empresas. Por exemplo, se tiver um grupo denominado Windows Hello para Utilizadores Empresariais, escreva-o na caixa de texto Introduza os nomes dos objetos para selecionar e selecione OK
    • Selecione o Windows Hello para Utilizadores Empresariais na lista Nomes de grupos ou utilizadores . Na secção Permissões para Utilizadores do Windows Hello para Empresas :
      • Selecione a caixa de verificação Permitir para a permissão Inscrever
      • Excluindo o grupo acima (por exemplo, Utilizadores do Windows Hello para Empresas), desmarque a caixa de verificação Permitir para as permissões Inscrever e Inscrever Automaticamente para todas as outras entradas na secção Nomes de grupos ou utilizadores se as caixas de verificação ainda não estiverem desmarcadas
    • Selecione OK
  5. Selecione OK para finalizar as alterações e criar o novo modelo

  6. Fechar a consola

Marcar o modelo como o modelo de conexão do Windows Hello

Iniciar sessão numa AC ou estações de trabalho de gestão com credenciais equivalentes do Administrador do Enterprise

Abra uma linha de comandos elevada e execute o seguinte comando

certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY

Se o modelo tiver sido alterado com êxito, a saída do comando conterá valores antigos e novos dos parâmetros do modelo. O novo valor tem de conter o CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY parâmetro . Exemplo:

CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication

Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)

New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."

Observação

Se deu um nome diferente ao modelo de certificado de Autenticação do Windows Hello para Empresas, substitua WHFBAuthentication no comando acima pelo nome do modelo de certificado. É importante que você use o nome do modelo em vez do nome de exibição do modelo. É possível exibir o nome do modelo na guia Geral do modelo de certificado utilizando o console de gerenciamento de Modelos de certificado (certtmpl.msc).

Cancelar a publicação de modelos de certificado obsoletos

A autoridade de certificação apenas emite certificados com base em modelos de certificado publicados. Para segurança, é uma boa prática anular a publicação de modelos de certificado que a AC não está configurada para emitir, incluindo os modelos pré-publicados da instalação da função e quaisquer modelos substituídos.

O modelo de certificado de autenticação do controlador de domínio recentemente criado substitui os modelos de certificado de controlador de domínio anteriores. Portanto, você deve cancelar esses modelos de certificado de todas as autoridades de certificação emissoras.

Inicie sessão na AC ou estação de trabalho de gestão com credenciais equivalentes do Administrador do Enterprise .

  1. Abrir a consola de gestão da Autoridade de Certificação
  2. Expandir o nó principal a partir do painel de navegação >Modelos de Certificado
  3. Clique com o botão direito do rato no modelo de certificado Controlador de Domínio e selecione Eliminar. Selecione Sim na janela Desativar modelos de certificado
  4. Repita o passo 3 para os modelos de certificado de Autenticação do Controlador de Domínio e Autenticação Kerberos

Publicar os modelos de certificado na AC

Uma autoridade de certificação só pode emitir certificados para modelos de certificado publicados no mesmo. Se tiver mais do que uma AC e quiser que mais ACs emitam certificados com base no modelo de certificado, tem de publicar o modelo de certificado nos mesmos.

Inicie sessão na AC ou nas estações de trabalho de gestão com credenciais equivalentes do Administrador de Empresa .

  1. Abrir a consola de gestão da Autoridade de Certificação
  2. Expandir o nó principal a partir do painel de navegação
  3. Selecione Modelos de Certificado no painel de navegação
  4. Clique com botão direito do mouse no nó de Modelos de certificado. Selecione Novo > Modelo de Certificado para emitir
  5. Na janela Ativar Modelos de Certificados , selecione os modelos Autenticação do Controlador de Domínio (Kerberos),Agente de Inscrição WHFB e Autenticação WHFB que criou nos passos > anteriores, selecione OK
  6. Fechar a consola

Importante

Se planear implementar dispositivos associados ao Microsoft Entra e exigir o início de sessão único (SSO) em recursos no local ao iniciar sessão com o Windows Hello para Empresas, siga os procedimentos para atualizar a SUA AC para incluir um ponto de distribuição CRL baseado em http.

Configurar e implementar certificados em controladores de domínio

Configurar a inscrição automática de certificados para os controladores de domínio

Os controladores de domínio solicitam automaticamente um certificado do modelo de certificado controlador de domínio. No entanto, os controladores de domínio desconhecem modelos de certificado mais recentes ou configurações sobrepostas em modelos de certificado. Para que os controladores de domínio se inscrevam e renovem automaticamente certificados, configure um GPO para inscrição automática de certificados e associe-o à UO dos Controladores de Domínio .

  1. Abra a Consola de Gestão de Políticas de Grupo (gpmc.msc)
  2. Expanda o domínio e selecione o nó Objeto de Política de Grupo no painel de navegação
  3. Clique com o botão direito do mouse no Objeto de política de grupo e selecione Novo
  4. Escreva Inscrição de Certificado Automático do Controlador de Domínio na caixa nome e selecione OK
  5. Clique com o botão direito do rato no objeto Política de Grupo de Inscrição de Certificados Automáticas do Controlador de Domínio e selecione Editar
  6. No painel de navegação, expanda Políticas em Configuração do Computador
  7. Expandir As Políticas > de Chave Pública das Definições > de Segurança do Windows
  8. No painel de detalhes, clique com o botão direito do rato em Cliente de Serviços de Certificados – Inscrição Automática e selecione Propriedades
  9. Selecione Ativado na lista Modelo de Configuração
  10. Selecione a caixa de verificação Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados
  11. Selecione a caixa de verificação Atualizar certificados que utilizam modelos de certificado
  12. Selecione OK
  13. Fechar o Editor de Gestão de Políticas de Grupo

Implementar o GPO de inscrição de certificados automáticos do controlador de domínio

Inicie sessão em estações de trabalho de gestão ou controlador de domínio com credenciais equivalentes de Administrador de Domínio .

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
  2. No painel de navegação, expanda o domínio e expanda o nó com o nome de domínio do Active Directory. Clique com o botão direito do rato na unidade organizacional Controladores de Domínio e selecione Ligar um GPO existente...
  3. Na caixa de diálogo Selecionar GPO, selecioneInscrição de Certificado Automático do Controlador de Domínio ou o nome do objeto de Política de Grupo de inscrição de certificados do controlador de domínio que criou anteriormente
  4. Selecione OK

Validar a configuração

O Windows Hello para Empresas é um sistema distribuído que, na superfície, aparenta ser complexo e difícil de usar. A chave para uma implementação bem-sucedida é validar fases de trabalho antes de passar para a fase seguinte.

Confirme que os controladores de domínio inscrevem os certificados corretos e não os modelos de certificado substituídos. Verifique se cada controlador de domínio concluiu a inscrição automática do certificado.

Utilizar os registos de eventos

Inicie sessão em estações de trabalho de gestão ou controlador de domínio com credenciais equivalentes de Administrador de Domínio .

  1. Com o Visualizador de Eventos, navegue para o Registo de eventosDo Microsoft>Windows>CertificateServices-Lifecycles-System da Aplicação e Serviços>
  2. Procure um evento que indique uma nova inscrição de certificados (inscrição automática):
    • Os detalhes do evento incluem o modelo de certificado no qual o certificado foi emitido
    • O nome do modelo de certificado utilizado para emitir o certificado deve corresponder ao nome do modelo de certificado incluído no evento
    • O thumbprint do certificado e as EKUs do certificado também estão incluídos no evento
    • O EKU necessário para a autenticação adequada do Windows Hello para Empresas é a Autenticação Kerberos, além de outras EKUs fornecidas pelo modelo de certificado

Os certificados substituídos pelo novo certificado do controlador de domínio geram um evento de arquivo no Registo de Eventos. O evento de arquivo contém o nome de modelo de certificado e a impressão digital do certificado substituído pelo novo certificado.

Gerenciador de certificados

Você pode usar o console do Gerenciador de certificados para validar se o controlador de domínio tem o certificado devidamente registrado com base no modelo de certificado correto com as EKUs adequadas. Use certlm.msc para exibir o certificado no armazenamento de certificados dos computadores locais. Expanda o armazenamento Pessoal e visualize os certificados registrados para o computador. Os certificados arquivados não aparecem no Gestor de Certificados.

Certutil.exe

Pode utilizar certutil.exe o comando para ver os certificados inscritos no computador local. O Certutil mostra certificados registrados e arquivados do computador local. Numa linha de comandos elevada, execute o seguinte comando:

certutil.exe -q -store my

Para ver informações detalhadas sobre cada certificado no arquivo e validar a inscrição automática de certificados inscritos nos certificados adequados, utilize o seguinte comando:

certutil.exe -q -v -store my

Solução de problemas

O Windows ativa o registro automático de certificado do computador durante a inicialização e quando a Política de grupo é atualizada. Você pode atualizar a Política de grupo de um prompt de comando com privilégios elevados usando gpupdate.exe /force.

Como alternativa, você pode acionar o registro automático de certificado usando certreq.exe -autoenroll -q em um prompt de comando com privilégios elevados.

Use os logs de eventos para monitorar o registro e o arquivamento de certificado. Reveja a configuração, como publicar modelos de certificado para emitir autoridade de certificação e permitir permissões de inscrição automática.

Revisão da secção e passos seguintes

Antes de avançar para a secção seguinte, certifique-se de que os seguintes passos estão concluídos:

  • Configurar certificados de controlador de domínio
  • Substituir certificados de controlador de domínio existentes
  • Cancelar a publicação de modelos de certificado obsoletos
  • Configurar um modelo de certificado do agente de inscrição
  • Configurar um modelo de certificado de autenticação
  • Publicar os modelos de certificado na AC
  • Implementar certificados nos controladores de domínio
  • Validar a configuração dos controladores de domínio