Implantar certificados de servidor para implantações com e sem fio do 802.1X

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

É possível usar esse guia para implantar certificados de servidor em servidores de infraestrutura de acesso remoto e NPS (Servidor de Políticas de Rede).

Este guia contém as seções a seguir.

• Pré-requisitos para usar este guia

• O que este guia não contém

• Visões gerais da tecnologia

• Visão geral da implantação de certificado do servidor

• Planejamento da implantação de certificado do servidor

• Implantação de certificado do servidor

Certificados do servidor digital

Este guia fornece instruções para usar o AD CS (Serviços de Certificados do Active Directory) para registrar automaticamente certificados em servidores de infraestrutura de Acesso Remoto e NPS. O AD CS permite construir uma infraestrutura de chave pública (PKI) e fornecer recursos de criptografia de chave pública, certificados digitais e assinaturas digitais para a sua organização.

Quando você usa certificados de servidor digital para autenticação entre computadores em sua rede, os certificados fornecem:

1. Confidencialidade por meio de criptografia.
2. Integridade por meio de assinaturas digitais.
3. Autenticação pela associação de chaves de certificado a contas de computador, usuário ou dispositivo em uma rede de computadores.

Tipos de servidores

Usando este guia, você pode implantar certificados de servidor nos seguintes tipos de servidores.

• Servidores que estão executando o serviço de Acesso Remoto, que são servidores DirectAccess ou de VPN (rede virtual privada) padrão e que são membros do grupo Servidores RAS e IAS.
• Servidores que estão executando o serviço NPS que são membros do grupo Servidores RAS e IAS.

Vantagens do registro automático de certificado

O registro automático de certificados do servidor, também chamado de inscrição automática, fornece as vantagens a seguir.

• A AC (autoridade de certificação) do AD CS registra automaticamente um certificado de servidor em todos os servidores de NPS e de Acesso Remoto.
• Todos os computadores no domínio recebem automaticamente seu Certificado de Autoridade de Certificação, que é instalado no repositório de Autoridades de Certificação Raiz Confiáveis em cada computador membro do domínio. Por isso, todos os computadores no domínio confiam nos certificados emitidos pela AC. Essa confiança permite que seus servidores de autenticação provem suas identidades entre si e tenham comunicações seguras.
• Exceto ao atualizar a Política de Grupo, a reconfiguração manual de cada servidor não é necessária.
• Cada certificado de servidor inclui a finalidade de Autenticação do Servidor e a de Autenticação do Cliente em extensões de EKU (Uso avançado de chave).
• Escalabilidade. Depois de implantar sua AC Raiz corporativa com este guia, você pode expandir sua PKI (infraestrutura de chave pública) adicionando ACs subordinadas corporativas.
• Capacidade de gerenciamento. Você pode gerenciar os AD CS usando o próprio console dele ou usando os comandos e scripts do Windows PowerShell.
• Simplicidade. Especifique os servidores que registram certificados do servidor usando contas de grupo e associação de grupo do Active Directory.
• Quando você implanta certificados do servidor, os certificados são baseados em um modelo que você configura com as instruções neste guia. Isso significa que você pode personalizar modelos de certificado diferentes para tipos de servidor específicos ou usar o mesmo modelo para todos os certificados do servidor que deseja emitir.

Pré-requisitos para usar este guia

Este guia fornece instruções sobre como implantar certificados do servidor usando os AD CS e a função de servidor do Servidor Web (IIS) no Windows Server 2016. A seguir estão os pré-requisitos para executar os procedimentos neste guia.

• Você deve implantar uma rede principal usando o Guia da Rede Principal do Windows Server 2016, ou já ter as tecnologias fornecidas no Guia da Rede Principal instaladas e funcionando corretamente em sua rede. Essas tecnologias incluem o TCP/IP v4, DHCP, AD DS, DNS e NPS.

  Observação

  O Guia da Rede Principal do Windows Server 2016 está disponível na Biblioteca Técnica do Windows Server 2016. Para obter mais informações, consulte Guia da Rede Principal.

• Você deve ler a seção de planejamento deste guia para garantir que esteja preparado para essa implantação antes de executar a implantação.

• Você deve executar as etapas neste guia na ordem em que elas são apresentadas. Não avance e implante sua AC sem executar as etapas que levam à implantação do servidor ou sua implantação falhará.

• Você deve estar preparado para implantar dois novos servidores em sua rede: um servidor no qual você instalará os AD CS como uma AC Raiz corporativa e um servidor no qual você instalará o Servidor Web (IIS) para que assim sua AC possa publicar a CRL (lista de revogação de certificados) no servidor Web.

Observação

Você está preparado para atribuir um endereço IP estático aos servidores Web e AD CS implantados com este guia, bem como para nomear os computadores de acordo com as convenções de nomenclatura da sua organização. Além disso, você deve adicionar os computadores ao seu domínio.

O que este guia não contém

Este guia não fornece instruções abrangentes para a criação e implantação de uma infraestrutura de chave pública (PKI) usando os AD CS. É recomendável que você examine a documentação de criação dos AD CS e da PKI antes de implantar as tecnologias neste guia.

Visões gerais da tecnologia

A seguir estão as visões gerais de tecnologia para os AD CS e o Servidor Web (IIS).

Serviços de Certificados do Active Directory

Os AD CS no Windows Server 2016 fornecem serviços personalizáveis para criar e gerenciar os certificados X.509 que são usados em sistemas de segurança de software que empregam tecnologias de chave pública. As organizações podem usar o AD CS para aumentar a segurança associando a identidade de uma pessoa, um dispositivo ou serviço a uma chave pública correspondente. Os AD CS também incluem recursos que permitem gerenciar o registro e a revogação de certificados em uma variedade de ambientes escalonáveis.

Para obter mais informações, consulte Visão geral dos Serviços de Certificados do Active Directory e Diretrizes de criação da infraestrutura de chave pública.

Servidor Web (IIS)

A função do Servidor Web (IIS) no Windows Server 2016 fornece uma plataforma segura, fácil de gerenciar, modular e extensível para a hospedagem confiável de sites, serviços e aplicativos. O IIS permite compartilhar informações com usuários na Internet, em uma intranet ou extranet. O IIS é uma plataforma Web unificada que integra IIS, ASP.NET, serviços de FTP, PHP e Windows Communication Foundation (WCF).

Para obter mais informações, confira Visão geral do Servidor Web (IIS).