Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os modelos de certificado podem simplificar muito a tarefa de administrar uma AC (autoridade de certificação) do AD CS (Active Directory Certificate Services), permitindo que um administrador emita certificados pré-configurados para tarefas selecionadas. O snap-in Modelos de Certificado permite que um administrador execute as seguintes tarefas:
- Exibir propriedades para cada modelo de certificado.
- Copie e modifique modelos de certificado.
- Controlar quais usuários e computadores podem ler modelos e registrar-se para certificados.
- Execute outras tarefas administrativas relacionadas aos modelos de certificado.
Os modelos de certificado são os conjuntos de regras e configurações configuradas em uma AC a serem aplicadas em solicitações de certificado de entrada. Os modelos de certificado também dão instruções ao cliente sobre como criar e enviar uma solicitação de certificado válida.
Somente uma AC corporativa pode emitir certificados com base em um modelo de certificado. Os modelos são armazenados no AD DS (Active Directory Domain Services) para uso por cada AC na floresta. Isso permite que a AC sempre tenha acesso ao modelo padrão atual e garante a aplicação consistente da política de certificado em toda a floresta.
Versões do modelo de certificado
As versões do modelo de certificado determinam quais recursos estão disponíveis em um modelo de certificado. O AD CS (Active Directory Certificate Services) fornece três versões de modelos de certificado que estão disponíveis nas autoridades de certificação corporativas (AC).
- Os modelos de certificado da versão 1 dão suporte às necessidades gerais de certificado e são compatíveis com todas as versões do AD CS do Windows 2000 em diante. Os modelos da versão 1 são instalados por padrão durante a instalação da Autoridade de Certificação e não podem ser excluídos. A única propriedade que pode ser modificada em um modelo de versão 1 é o conjunto de permissões atribuídas que controla o acesso ao modelo. O registro automático só terá suporte para scripts personalizados e por meio da política de grupo se estiver usando certificados de computador.
- Modelos de certificado da versão 2 foram introduzidos com o Windows Server 2003. Um administrador pode configurar modelos de versão 2 para controlar a maneira como os certificados são solicitados, emitidos e usados. Modelos de versão 2 fornecem suporte para o registro automático de certificado.
- Os modelos de certificado da versão 3 dão suporte a todos os recursos de modelo da versão 2, mas também oferecem suporte para algoritmos criptográficos do Suite B. O Suite B foi criado pela Agência de Segurança Nacional dos EUA para especificar algoritmos criptográficos que devem ser usados por agências governamentais dos EUA para proteger informações confidenciais. Os modelos de certificado da versão 3 estão disponíveis por meio do AD CS em todas as versões com suporte do Windows Server.
Modelos de certificado padrão
Vários modelos de certificado pré-configurados projetados para atender às necessidades da maioria das organizações são incluídos com autoridades de certificação corporativas (CAs) do AD CS. Novos modelos de certificado podem ser criados modificando uma cópia de um modelo pré-configurado existente. Os modelos de certificado padrão são descritos na tabela a seguir:
| Nome | Descrição | Uso de chave | Tipo de assunto | Publicado no AD DS (Active Directory Domain Services)? | Versão do modelo |
|---|---|---|---|---|---|
| Administrador | Permite assinatura de lista de confiança e autenticação de usuário. | Assinatura e criptografia | Utilizador | Sim | 1 |
| Sessão autenticada | Permite que o sujeito se autentique em um servidor Web. | Assinatura | Utilizador | Não | 1 |
| EFS básico | Usado pelo Sistema de Arquivos com Criptografia (EFS) para criptografar dados. | Encriptação | Utilizador | Sim | 1 |
| Bolsa de Valores | Usado para armazenar chaves configuradas para arquivamento de chave privada. | Encriptação | Computador | Não | 2 |
| Criptografia CEP | Permite que o titular do certificado atue como uma autoridade de registro para solicitações do PROTOCOLO SCEP (Simple Certificate Enrollment Protocol). | Encriptação | Computador | Não | 1 |
| Assinatura de código | Usado para assinar digitalmente o software. | Assinatura | Utilizador | Não | 1 |
| Computador | Permite que um computador se autentique na rede. | Assinatura e criptografia | Computador | Não | 1 |
| Autoridade de Certificação Cruzada | Usado para certificação cruzada e subordinação qualificada. | Assinatura | AC com Certificação Cruzada | Sim | 2 |
| Replicação de Email de Diretório | Usado para replicar email no AD DS. | Assinatura e criptografia | Computador | Sim | 2 |
| Controlador de domínio | Usado por controladores de domínio como certificados de todas as finalidades. | Assinatura e criptografia | Computador | Sim | 1 |
| Autenticação do Controlador de Domínio | Usado para autenticar computadores e usuários do Active Directory. | Assinatura e criptografia | Computador | Não | 2 |
| Agente de Recuperação do EFS | Permite que o sujeito descriptografe arquivos que foram criptografados anteriormente com EFS. | Encriptação | Utilizador | Não | 1 |
| Agente de Registro | Usado para solicitar certificados em nome de outro indivíduo. | Assinatura | Utilizador | Não | 1 |
| Agente de Registro (Computador) | Usado para solicitar certificados em nome de outro computador. | Assinatura | Computador | Não | 1 |
| Agente de Registro do Exchange (solicitação offline) | Usado para solicitar certificados em nome de outro sujeito e fornecer o nome do sujeito na solicitação. | Assinatura | Utilizador | Não | 1 |
| Apenas assinatura do Exchange | Usado pelo Serviço de Gerenciamento de Chaves do Microsoft Exchange para emitir certificados aos usuários do Exchange para assinatura digital de email. | Assinatura | Utilizador | Não | 1 |
| Usuário do Exchange | Usado pelo Serviço de Gerenciamento de Chaves do Microsoft Exchange para emitir certificados aos usuários do Exchange para criptografar emails. | Encriptação | Utilizador | Sim | 1 |
| IPSEC | Usado pela IPsec (segurança do Protocolo de Internet) para assinar digitalmente, criptografar e descriptografar a comunicação de rede. | Assinatura e criptografia | Computador | Não | 1 |
| IPSEC (solicitação offline) | Usado pelo IPsec para assinar, criptografar e descriptografar digitalmente a comunicação de rede quando o nome do sujeito é fornecido na solicitação. | Assinatura e criptografia | Computador | Não | 1 |
| Autenticação Kerberos | Usado para autenticar computadores e usuários do Active Directory. | Assinatura e criptografia | Computador | Não | 2 |
| Agente de Recuperação de Chave | Recupera chaves privadas arquivadas na Autoridade Certificadora. | Encriptação | Agente de recuperação de chave | Não | 2 |
| Assinatura de Resposta OCSP | Usado por um Respondente Online para assinar respostas a solicitações de status de certificado. | Assinatura | Computador | Não | 3 |
| RAS e Servidor IAS | Permite que servidores de acesso remoto e servidores ias (Serviço de Autenticação da Internet) autentiquem sua identidade em outros computadores. | Assinatura e criptografia | Computador | Não | 2 |
| Autoridade de Certificação Raiz | Usado para comprovar a identidade da AC raiz. | Assinatura | CA | Não | 1 |
| Roteador (solicitação offline) | Usado por um roteador quando solicitado por meio de uma solicitação SCEP de uma AC que possui um certificado de Criptografia CEP. | Assinatura e criptografia | Computador | Não | 1 |
| Login de cartão inteligente | Permite que o titular se autentique usando um cartão inteligente. | Assinatura e criptografia | Utilizador | Não | 1 |
| Usuário do Cartão Inteligente | Permite que o titular autentique e proteja o email usando um cartão inteligente. | Assinatura e criptografia | Utilizador | Sim | 1 |
| Autoridade de Certificação Subordinada | Usado para comprovar a identidade da AC raiz. Ele é emitido pela AC pai ou raiz. | Assinatura | CA | Não | 1 |
| Assinatura de lista de confiança | Permite que o titular assine digitalmente uma lista de confiança. | Assinatura | Utilizador | Não | 1 |
| Utilizador | Usado pelos usuários para e-mail, EFS e autenticação de cliente. | Assinatura e criptografia | Utilizador | Sim | 1 |
| Somente assinatura de usuário | Permite que os usuários assinem dados digitalmente. | Assinatura | Utilizador | Não | 1 |
| Servidor Web | Prova a identidade de um servidor Web. | Assinatura e criptografia | Computador | Não | 1 |
| Autenticação de Estação de Trabalho | Permite que os computadores cliente autentiquem sua identidade nos servidores. | Assinatura e criptografia | Computador | Não | 2 |