Implantar uma PKI para acesso remoto
A Contoso pode usar certificados digitais para verificar e autenticar a identidade de cada parte envolvida em uma transação eletrônica. Os certificados digitais também ajudam a estabelecer a confiança entre computadores e os aplicativos correspondentes hospedados em servidores de aplicativos. O acesso remoto usa certificados para verificar a identidade dos servidores e fornecer criptografia. A Contoso também pode usar certificados para verificar a identidade de usuários ou computadores que fazem logon para acesso remoto.
Métodos para obter certificados
Na maioria dos casos, você obtém certificados de uma AC (autoridade de certificação). A consideração mais importante para uma AC é a confiança. Se um certificado for emitido por uma AC confiável, esse certificado será confiável e poderá ser usado para autenticação. Se uma AC não for confiável, os certificados emitidos por essa AC não poderão ser usados para autenticação.
Para obter certificados, você pode:
- Crie sua própria AC privada usando o Windows Server. Os certificados emitidos por uma AC privada são automaticamente confiáveis por clientes e servidores Windows ingressados no domínio. No entanto, os certificados emitidos por uma AC interna não são automaticamente confiáveis por nenhum dispositivo não associado ao domínio.
- Comprar certificados de uma AC pública. Os certificados emitidos por uma AC pública são confiáveis automaticamente por quase todos os dispositivos, sejam eles ingressados no domínio ou não. O Windows não inclui ferramentas para implantar automaticamente certificados de uma AC pública para usuários ou computadores.
- Gere certificados autoassinados em alguns aplicativos. Por padrão, esses certificados são confiáveis apenas pelo servidor emissor e não por outros computadores na organização.
- Gere certificados autoassinados usando o PowerShell. Você pode usar o
New-SelfSignedCertificatecmdlet para gerar um novo certificado autoassinado.
Observação
Você usa certificados autoassinados em organizações de pequeno e médio porte que usam o DirectAccess configurado com o Assistente de Introdução, que fornece configuração e configuração fáceis.
Considerações ao planejar a PKI
Para determinar se você deve implementar uma PKI interna para acesso remoto, você precisa planejar como usará certificados. Se você estiver usando certificados apenas em alguns servidores, o custo de usar uma AC pública será baixo. Certificados de uma AC pública também são benéficos se você espera que dispositivos que não estão ingressados no domínio acessem os servidores.
Uma AC privada é benéfica principalmente para o acesso remoto quando você está emitindo certificados para dispositivos cliente e usuários individuais para autenticação. Por exemplo, é comum exigir um certificado de computador válido para permitir o acesso vpn como um segundo nível de autenticação além de um nome de usuário e senha. Se você estiver emitindo certificados para muitos computadores, o registro automático fornecido por uma AC privada será importante. Há também uma economia de custos significativa porque você não precisa pagar pelos certificados emitidos por uma AC privada.
A tabela a seguir resume as vantagens e desvantagens dos certificados emitidos por CAs privadas e públicas.
| Tipo de AC | Vantagens | Desvantagens |
|---|---|---|
| AC privada | Uma AC privada fornece maior controle sobre o gerenciamento de certificados e tem um custo menor quando comparado a uma AC pública. Não há custo por certificado. Você também tem a opção de usar modelos personalizados e registro automático. | Por padrão, os certificados por CAs privados não são confiáveis por clientes externos (navegadores da Web e sistemas operacionais) e exigem uma administração maior. |
| CA Pública | Um certificado emitido por uma AC pública é confiável para muitos clientes externos (navegadores da Web e sistemas operacionais) e requer administração mínima. | O custo é maior quando comparado a uma AC privada. O custo é baseado por certificado. A aquisição de certificado também é mais lenta. |