Compartilhar via

Configurar o registro automático de certificados para o Servidor de Política de Rede

O registro automático de certificado simplifica o processo de implantação e gerenciamento de certificados em servidores que executam o NPS (Servidor de Política de Rede) em um ambiente do Active Directory. Este artigo descreve como configurar o registro automático para certificados de servidor e de usuário usando a Política de Grupo. Seguindo estas etapas, você pode ajudar a garantir que os certificados sejam emitidos, renovados e gerenciados automaticamente para os servidores e usuários da sua organização.

Pré-requisitos

Antes de começar, verifique se os seguintes pré-requisitos são atendidos:

  • O AD CS (Active Directory Certificate Services) está instalado e configurado com pelo menos uma AC (Autoridade de Certificação Corporativa).

  • Você configurou o modelo de certificado do servidor para registro automático. Para obter mais informações, consulte Configurar um modelo de certificado do servidor para registro automático.

  • Você tem uma conta de usuário que é membro dos grupos de segurança Enterprise Admins e Domain Admins do domínio raiz.

  • Acesso aos seguintes consoles de gerenciamento:

    • Gerenciamento de Política de Grupo.
    • Servidor de Política de Rede.

Configurar o registro automático do servidor e do certificado do usuário

Para configurar o registro automático para certificados de servidor, siga estas etapas:

  1. Abra o console do Gerenciamento de Política de Grupo.

  2. Expanda os nós para sua floresta e domínio do Active Directory e localize a Política de Domínio Padrão. Clique com o botão direito do mouse na Política de Domínio Padrão e selecione Editar, que abre o Editor de Gerenciamento de Política de Grupo.

  3. Navegue até o seguinte caminho no Editor de Gerenciamento de Políticas de Grupo: Configuração do Computador>Políticas>Configurações do Windows>Configurações de Segurança>Políticas de Chave Pública.

  4. No painel de detalhes, clique duas vezes em Cliente dos Serviços de Certificados - Inscrição Automática. A caixa de diálogo Propriedades é aberta. Configure os seguintes itens:

    1. Para o Modelo de Configuração, selecione Habilitado.
    2. Marque a caixa para renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados.
    3. Marque a caixa para atualizar certificados que usam modelos de certificação.

  5. Selecione OK. Mantenha o console do Editor de Gerenciamento de Política de Grupo aberto para configurar o registro automático de certificado do usuário.

  6. Navegue até o seguinte caminho: Configuração do Usuário>Políticas>Configurações do Windows>Configurações de Segurança>Políticas de Chave Pública.

  7. No painel de detalhes, clique duas vezes em Cliente dos Serviços de Certificados - Inscrição Automática. A caixa de diálogo Propriedades é aberta. Configure os seguintes itens:

    1. Para o Modelo de Configuração, selecione Habilitado.
    2. Marque a caixa para renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados.
    3. Marque a caixa para atualizar certificados que usam modelos de certificação.

  8. Selecione OK e feche o console do Editor de Gerenciamento de Política de Grupo.

  9. Atualize as configurações de Política de Grupo em seus servidores NPS para aplicar as configurações de registro automático. Você pode forçar uma atualização imediata executando o seguinte comando em um prompt de comando com privilégios elevados:

    gpupdate /force

Verificar o registro de certificado do servidor para NPS

Depois de configurar o registro automático e a Política de Grupo atualizada, você poderá verificar se o certificado do servidor foi registrado com êxito. Para verificar se um certificado de servidor está configurado corretamente e está registrado no NPS, crie uma política de rede de teste e permita que o NPS verifique se o NPS pode usar o certificado para autenticação. Você não conclui o assistente, portanto, a política de rede de teste não é criada no NPS, mas você pode verificar se o certificado do servidor está registrado.

Para verificar a inscrição NPS de um certificado de servidor:

  1. Abra o console do Servidor de Política de Rede .

  2. Expanda Políticas e selecione Políticas de Rede.

  3. Clique com o botão direito do mouse em Políticas de Rede e selecione Novo. O assistente Nova Política de Rede é exibido.

  4. Para especificar o nome da política de rede e o tipo de conexão, no nome da política, insira um nome, como testar a política de registro automático. Verifique se o tipo de servidor de acesso à rede tem o valor Não Especificado e selecione Avançar.

  5. Para especificar condições, selecione Adicionar. Selecione Grupos do Windows e, em seguida, selecione Adicionar.

  6. Para Grupos do Windows, selecione Adicionar Grupos. Insira um grupo válido, como Usuários de Domínio, e selecione OK. Selecione OK novamente para Grupos do Windows. Verifique se o grupo está listado como uma condição e selecione Avançar.

  7. Para especificar a permissão de acesso, verifique se o Access concedido está selecionado e selecione Avançar.

  8. Para configurar métodos de autenticação, selecioneAdicionar. Para Adicionar EAP, selecione Microsoft: EAP Protegido (PEAP) e, em seguida, selecione OK.

  9. Em Tipos de EAP, selecione Microsoft: EAP Protegido (PEAP) e, em seguida, selecione Editar.

  10. Na caixa de diálogo Editar Propriedades EAP Protegidas , no Certificado emitido, o NPS exibe o nome do certificado do servidor como um FQDN (nome de domínio totalmente qualificado). Por exemplo, se o NPS for nomeado NPS-01 e o domínio for example.com, o NPS exibirá o certificado NPS-01.example.com. Além disso, em Emissor, o nome da autoridade de certificação é exibido e, em Data de validade, a data de validade do certificado do servidor é mostrada.

    Importante

    Se o NPS não exibir um certificado de servidor válido e se ele fornecer a mensagem de que esse certificado não pode ser encontrado no computador local, há dois motivos possíveis:

    1. A Política de Grupo não foi atualizada corretamente e o servidor NPS não registrou um certificado da AC. Nesta circunstância, reinicie o servidor NPS. Quando o servidor é reiniciado, a Política de Grupo é atualizada e você pode tentar novamente verificar se o certificado do servidor está registrado.

    2. O modelo de certificado, o registro automático do certificado ou ambos não estão configurados corretamente. Para resolver esses problemas, verifique se você seguiu todas as etapas neste artigo corretamente para garantir que as configurações fornecidas sejam precisas.

  11. Depois de verificar a presença de um certificado de servidor válido, você pode selecionar OK e Cancelar para sair do assistente. Como você não está concluindo o assistente, a política de rede de teste não é criada no NPS.

Esse processo demonstra que o NPS registrou um certificado de servidor válido que ele pode usar para provar sua identidade para computadores cliente que estão tentando acessar a rede por meio de seus servidores de acesso à rede, como servidores de VPN (rede virtual privada), pontos de acesso sem fio compatíveis com 802.1X, servidores de Gateway de Área de Trabalho Remota e comutadores Ethernet compatíveis com 802.1X.