Compartilhar via


Gerenciar modelos de certificado

Os Modelos de Certificado são gerenciados por meio do snap-in Modelos de Certificado do Console de Gerenciamento Microsoft (MMC). Você pode usar esse snap-in para gerenciar os Serviços de Certificados do Active Directory (AD CS) local e remotamente.

Como gerenciar modelos

Você deve ser membro de Administradores de Domínio para acessar e administrar modelos de certificado para um domínio. Para adicionar esse snap-in, instale as ferramentas de gerenciamento do AD CS no computador de gerenciamento. As ferramentas de gerenciamento do AD CS fazem parte das Ferramentas de Administração de Servidor Remoto (RSAT). Você pode instalar as ferramentas de gerenciamento em um computador Windows Server executando o seguinte comando do PowerShell a partir de uma sessão elevada do PowerShell:

Install-WindowsFeature RSAT-ADCS

Para configurar um MMC para usar o snap-in Modelos de Certificado:

  1. Clique com o botão direito do mouse em Iniciar, clique em Executar e digite mmc.
  2. No menu Arquivo , clique em Adicionar/Remover Snap-in.
  3. Na caixa de diálogo Adicionar e Remover Snap-ins, clique duas vezes no snap-in Modelos de Certificado para adicioná-lo à lista. Clique em OK.

Criar um novo modelo de certificado

Você pode criar um novo modelo de certificado duplicando um modelo existente e usando as propriedades do modelo existente como padrão para o novo modelo. Revise a lista de modelos de certificado padrão e examine suas propriedades para identificar o modelo de certificado existente que mais atende às suas necessidades. A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.

Para criar um novo modelo de certificado:

  1. Abra o snap-in Modelos de Certificado e conecte-se ao servidor raiz ou subordinado do AC CS Enterprise.
  2. Clique com o botão direito do mouse no modelo do qual copiar e clique em Duplicar Modelo.
  3. Escolha a versão mínima do sistema operacional da Autoridade de Certificação (CA) do AD CS que você deseja suportar. Atualmente, a versão mais recente do Windows Server que você pode selecionar é o Windows Server 2016. Você também pode selecionar o sistema operacional de destinatário mínimo para o modelo de certificado, com a versão mais recente sendo o Windows 10/Windows Server 2016.
  4. Forneça um nome para o modelo de certificado e defina as configurações do modelo.

Excluir um modelo de certificado

Você pode excluir um modelo de certificado quando não quiser mais que ele esteja disponível para uso. Quando você exclui um modelo de certificado, os certificados baseados no modelo não podem mais ser emitidos. As exclusões de modelo afetam todas as CAs em uma floresta. Os modelos de certificado não podem ser recuperados depois de excluídos. A associação a Administradores de Domínio ou Administradores de Empresa, ou equivalente, é necessária para excluir um modelo de certificado.

Para excluir um modelo de certificado, siga as etapas:

  1. Abra um MMC com o snap-in Modelos de Certificado.
  2. Clique no modelo que deseja excluir e clique em Excluir.
  3. Clique em Sim para confirmar que deseja excluir o modelo.

Renomear um modelo de certificado

Os nomes dos modelos de certificado padrão não podem ser alterados. Os administradores podem alterar os nomes dos modelos de certificado personalizados. O nome do modelo é o atributo de nome comum do objeto de modelo de certificado nos Serviços de Domínio do Active Directory (AD DS). Somente esse objeto de modelo será atualizado se o nome do modelo for alterado. Se o modelo modificado tiver sido publicado anteriormente para autoridades de certificação (CAs) emissoras ou adicionado a uma lista de modelos substituídos, essas ações deverão ser repetidas para manter a consistência do ambiente de PKI (infraestrutura de chave pública).

Para alterar o nome de um modelo de certificado:

  1. Abra o snap-in Modelos de Certificado e conecte-se à AC AD CS.
  2. Selecione o modelo de certificado que deseja modificar. No menu Ação, clique em Alterar Nomes.
  3. Digite um novo nome na caixa Nome do modelo ou na caixa Nome de exibição do modelo, ou em ambos.
  4. Clique em OK para salvar as alterações.

Se o modelo modificado já estiver publicado nas CAs emissoras, remova o modelo dos Modelos de Certificado nas CAs emissoras, reinicie esses computadores emissores e adicione o modelo renomeado às CAs emissoras. Se outro modelo substituir o modelo modificado, atualize o modelo de substituição adicionando o modelo modificado à lista de modelos substituídos.

Implantando modelos de certificado em uma CA

Quando você cria uma autoridade de certificação (CA) corporativa, os modelos de certificado são armazenados nos Serviços de Domínio do Active Directory (AD DS) e podem ser disponibilizados para todas as CAs corporativas na floresta. Todos os modelos de certificado recém-criados serão replicados automaticamente para todos os controladores de domínio na empresa.

Para configurar uma CA para emitir certificados com base em um modelo de certificado, execute as seguintes etapas:

  1. Abra o snap-in Autoridade de Certificação e clique duas vezes no nome da CA.
  2. Clique com o botão direito do mouse em Modelos de Certificado, clique em Novo e em Modelo de Certificado a Ser Emitido.
  3. Selecione o certificado do modelo e clique em OK.

Remover um modelo de certificado de uma CA

Pode ser necessário remover um modelo de certificado de uma autoridade de certificação (CA). Por exemplo, se você precisar evitar confusão ao adicionar uma versão mais recente do modelo de certificado.

Para remover um modelo de certificado de uma CA:

  1. Abra o snap-in Autoridade de Certificação.
  2. Na árvore do console, clique em Modelos de Certificado.
  3. No painel de detalhes, clique com o botão direito do mouse no modelo de certificado que você deseja excluir e clique em Excluir.

Não é possível remover os modelos de certificado internos.