Planejamento da implantação de certificado do servidor

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Antes de implantar certificados do servidor, você deve planejar os seguintes itens:

• Planejar a configuração básica do servidor

• Planejar o acesso ao domínio

• Planejar o local e o nome do diretório virtual em seu servidor Web

• Planejar um registro de alias DNS (CNAME) no servidor Web

• Planejar a configuração de CAPolicy.inf

• Planejar a configuração das extensões CDP e AIA no CA1

• Planejar a operação de cópia entre a AC e o servidor Web

• Planejar a configuração do modelo de certificado do servidor na AC

Planejar a configuração básica do servidor

Depois de instalar o Windows Server 2016 nos computadores que planeja usar como autoridade de certificação e servidor Web, você deve renomear o computador e atribuir e configurar um endereço IP estático para o computador local.

Para obter mais informações, consulte o Guia de Rede Principal do Windows Server 2016.

Planejar o acesso ao domínio

Para fazer logon no domínio, o computador deve ser um computador membro do domínio e a conta de usuário deve ser criada no AD DS antes da tentativa de logon. Além disso, a maioria dos procedimentos neste guia exige que a conta de usuário seja associada aos grupos de administradores corporativos ou administradores de domínio em Usuários e computadores do Active Directory, portanto, você deve fazer logon na AC com uma conta que tenha a associação de grupo adequada.

Para obter mais informações, consulte o Guia de Rede Principal do Windows Server 2016.

Planejar o local e o nome do diretório virtual em seu servidor Web

Para fornecer acesso à CRL e ao Certificado de Autoridade de Certificação a outros computadores, você deve armazenar esses itens em um diretório virtual no seu servidor Web. Neste guia, o diretório virtual está localizado no servidor Web WEB1. Essa pasta está na unidade "C:" e é chamada de "pki". Você pode localizar seu diretório virtual no seu servidor Web em qualquer local de pasta adequado para sua implantação.

Planejar um registro de alias DNS (CNAME) no servidor Web

Os registros de recurso de alias (CNAME) às vezes também são chamados de registros de recurso de nome canônico. Com esses registros, você pode usar mais de um nome para apontar para um único host, facilitando a realização de coisas como hospedar um servidor FTP (Protocolo FTP) e um servidor Web no mesmo computador. Por exemplo, os nomes de servidor conhecidos (FTP, www) são registrados usando registros de recurso alias (CNAME) que são mapeados para o nome do host do DNS (Serviço de Nomes de Domínio), como WEB1, para o computador servidor que hospeda esses serviços.

Este guia fornece instruções para configurar o servidor Web para hospedar a CRL (lista de certificados revogados) para sua AC (autoridade de certificação). É uma boa ideia criar um registro de recurso de alias no DNS para seu servidor Web, pois você também pode querer usar seu servidor Web para outras finalidades, como hospedar um FTP ou site da Web. Neste guia, o registro CNAME é chamado de "pki", mas você pode escolher um nome apropriado para sua implantação.

Planejar a configuração de CAPolicy.inf

Antes de instalar os AD CS, você deve configurar o CAPolicy.inf na AC com informações corretas para sua implantação. O arquivo CAPolicy.inf contém as seguintes informações:

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

Você deve planejar os seguintes itens para este arquivo:

• URL. O arquivo CAPolicy.inf de exemplo tem um valor de URL de https://pki.corp.contoso.com/pki/cps.txt. Isso ocorre porque o servidor Web neste guia é chamado WEB1 e tem um registro de recurso CNAME do DNS de pki. O servidor Web também é adicionado ao domínio corp.contoso.com. Além disso, há um diretório virtual no servidor Web chamado "pki" no qual é armazenada a lista de revogação de certificados. Verifique se o valor que você fornece para a URL no arquivo CAPolicy.inf aponta para um diretório virtual em seu servidor Web no seu domínio.

• RenewalKeyLength. O comprimento padrão da chave de renovação do AD CS é 2048 no Windows Server 2012. O comprimento da chave selecionado deve ser o maior possível, enquanto ainda fornece compatibilidade com os aplicativos que você pretende usar.

• RenewalValidityPeriodUnits. O arquivo CAPolicy.inf de exemplo tem um valor RenewalValidityPeriodUnits de 5 anos. Isso ocorre porque o tempo de vida esperado da AC é de cerca de dez anos. O valor de RenewalValidityPeriodUnits deve refletir o período de validade geral da AC ou o maior número de anos para os quais você deseja fornecer registro.

• CRLPeriodUnits. O arquivo CAPolicy.inf de exemplo tem um valor CRLPeriodUnits de 1. Isso ocorre porque o intervalo de atualização de exemplo para a lista de revogação de certificados neste guia é de uma semana. No valor de intervalo especificado com essa configuração, você deve publicar a CRL na AC no diretório virtual do servidor Web em que você armazena a CRL e fornece acesso a ela para computadores que estão no processo de autenticação.

• AlternateSignatureAlgorithm. Este CAPolicy.inf implementa um mecanismo de segurança aprimorado aplicando formatos de assinatura alternativos. Você não deve implementar essa configuração se ainda tiver clientes do Windows XP que exigem certificados dessa AC.

Se você não planeja adicionar nenhuma AC subordinada à sua infraestrutura de chave pública no futuro, e se deseja impedir a adição de quaisquer ACs subordinadas, é possível adicionar a chave PathLength ao arquivo CAPolicy.inf com um valor de 0. Para adicionar essa chave, copie e cole o seguinte código em seu arquivo:

[BasicConstraintsExtension]
PathLength=0
Critical=Yes

Importante

Não é recomendável alterar outras configurações no arquivo CAPolicy.inf, a menos que você tenha um motivo específico para fazer isso.

Planejar a configuração das extensões CDP e AIA no CA1

Após definir as configurações da CDP e do AIA (acesso às informações da autoridade) no CA1, você precisa do nome do servidor Web e do nome do domínio. Você também precisa do nome do diretório virtual criado no servidor Web no qual são armazenados a CRL e o Certificado de Autoridade de Certificação.

O local do CDP que você deve inserir durante esta etapa de implantação tem o formato :

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.

Por exemplo, se o servidor Web for denominado WEB1 e o registro CNAME do alias DNS para o servidor Web for "pki", o seu domínio for corp.contoso.com e o seu diretório virtual for nomeado pki, o local do CDP será:

http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

O local do AIA que você deve inserir tem o formato :

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.

Por exemplo, se o servidor Web for denominado WEB1 e o registro CNAME do alias DNS para o servidor Web for "pki", o seu domínio for corp.contoso.com e o seu diretório virtual for nomeado pki, o local do AIA será:

http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt

Planejar a operação de cópia entre a AC e o servidor Web

Para publicar o Certificado de Autoridade de Certificação da CRL e da AC no diretório virtual do servidor Web, você pode executar o comando certutil -crl depois de configurar os locais do CPD e do AIA na AC. Verifique se você configurou os caminhos corretos na guia Extensões de propriedades da AC antes de executar este comando usando as instruções neste guia. Além disso, para copiar o Certificado de Autoridade de Certificação Corporativo para o servidor Web, você já deve ter criado o diretório virtual no servidor Web e configurado a pasta como uma pasta compartilhada.

Planejar a configuração do modelo de certificado do servidor na AC

Para implantar certificados de servidor registrados automaticamente, você deve copiar o modelo de certificado chamado Servidor do RAS e IAS. Por padrão, essa cópia é chamada de Cópia de servidor do RAS e IAS. Se desejar renomear essa cópia de modelo, planeje o nome que quer usar durante esta etapa de implantação.

Observação

As últimas três seções de implantação neste guia, permitem configurar o registro automático do certificado do servidor, atualizar a Política de Grupo em servidores e verificar se os servidores receberam um certificado de servidor válido da AC, e além disso, não exigem etapas de planejamento adicionais.