Guia de implantação de confiança de certificado local

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

• Tipo de implantação:
• Tipo de
• Tipo de junção:

---

Requisitos

Antes de iniciar a implantação, examine os requisitos descritos no artigo Planejar um Windows Hello para Empresas Implantação.

Verifique se os seguintes requisitos são atendidos antes de começar:

• Infraestrutura de chave pública
• Authentication
• Configuração do dispositivo
• Licenciamento para serviços de nuvem
• Requisitos do Windows
• Requisitos do Windows Server
• Preparar usuários para usar Windows Hello

Etapas de implantação

Depois que os pré-requisitos forem atendidos, a implantação de Windows Hello para Empresas consiste nas seguintes etapas:

• Configurar e validar a Infraestrutura de Chave Pública
• Preparar e implantar o AD FS com o MFA
• Configurar e registrar-se no Windows Hello para Empresas

Configurar e validar a Infraestrutura de Chave Pública

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

• Tipo de implantação:
• Tipo de
• Tipo de junção:

---

Windows Hello para Empresas deve ter uma PKI (Infraestrutura de Chave Pública) ao usar os modelos de confiança de chave ou certificado. Os controladores de domínio devem ter um certificado, que serve como uma raiz de confiança para os clientes. O certificado garante que os clientes não se comuniquem com controladores de domínio desonestos. O modelo de confiança de certificado estende a emissão de certificados para computadores cliente. Durante o provisionamento do Windows Hello para Empresas, o usuário recebe um certificado de entrada.

Implantar uma autoridade de certificação corporativa

Este guia considera que a maioria das empresas tem uma infraestrutura de chave pública existente. Windows Hello para Empresas depende de um PKI corporativo executando a função Serviços de Certificado do Active Directory do Windows Server.
Se você não tiver um PKI existente, examine As Diretrizes da Autoridade de Certificação para projetar corretamente sua infraestrutura. Em seguida, consulte o Guia do Laboratório de Teste: implantando um AD CS Two-Tier hierarquia PKI para obter instruções sobre como configurar seu PKI usando as informações da sessão de design.

PKI baseado em laboratório

As instruções a seguir podem ser usadas para implantar uma infraestrutura de chave pública simples adequada para um ambiente de laboratório.

Entre usando credenciais equivalentes do Administrador Empresarial em um Windows Server em que você deseja que a autoridade de certificação (AC) seja instalada.

Observação

Nunca instale uma autoridade de certificação em um controlador de domínio em um ambiente de produção.

1. Abrir um prompt de Windows PowerShell elevado
2. Use o comando a seguir para instalar a função de Serviços de certificação do Active Directory.

   Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
   

3. Use o comando a seguir para configurar a AC usando uma configuração de autoridade de certificação básica

   Install-AdcsCertificationAuthority
   

Configurar o PKI da empresa

Configurar certificados do controlador de domínio

Os clientes devem confiar nos controladores de domínio e a melhor maneira de habilitar a confiança é garantir que cada controlador de domínio tenha um certificado de Autenticação Kerberos . A instalação de um certificado nos controladores de domínio permite que o Centro de Distribuição de Chaves (KDC) prove sua identidade para outros membros do domínio. Os certificados fornecem aos clientes uma raiz de confiança externa ao domínio, ou seja, a autoridade de certificação corporativa.

Os controladores de domínio solicitam automaticamente um certificado de controlador de domínio (se publicado) quando descobrem que uma AC corporativa é adicionada ao Active Directory. Os certificados baseados nos modelos de certificado de Autenticação do Controlador de Domínio e controlador de domínio não incluem o identificador de objeto de Autenticação KDC (OID), que mais tarde foi adicionado ao KERBEROS RFC. Portanto, os controladores de domínio precisam solicitar um certificado com base no modelo de certificado de Autenticação Kerberos .

Por padrão, a AC do Active Directory fornece e publica o modelo de certificado de Autenticação Kerberos . A configuração de criptografia incluída no modelo baseia-se em APIs de criptografia mais antigas e menos performantes. Para garantir que os controladores de domínio solicitem o certificado adequado com a melhor criptografia disponível, use o modelo de certificado de Autenticação Kerberos como linha de base para criar um modelo de certificado de controlador de domínio atualizado.

Importante

Os certificados emitidos para os controladores de domínio devem atender aos seguintes requisitos:

• A extensão do ponto de distribuição CRL (Lista de Revogação de Certificado) deve apontar para uma CRL válida ou uma extensão do AIA (Acesso às Informações da Autoridade) que aponta para um respondente do Protocolo de Status de Certificado Online (OCSP)
• Opcionalmente, a seção Assunto de certificado pode conter o caminho do diretório do objeto do servidor (o nome distinto)
• A seção Uso da Chave de Certificado deve conter Assinatura Digital e Encipherment de Chave
• Opcionalmente, a seção Restrições Básicas de certificado deve conter: [Subject Type=End Entity, Path Length Constraint=None]
• A seção de uso de chave estendida de certificado deve conter Autenticação do Cliente (1.3.6.1.5.5.7.3.2), Autenticação do Servidor (1.3.6.1.5.5.7.3.1) e Autenticação KDC (1.3.6.1.5.2.3.5)
• A seção Nome Alternativo da Entidade de Certificado deve conter o nome DNS (Sistema de Nomes de Domínio)
• O modelo de certificado deve ter uma extensão que tenha o valor DomainController, codificado como BMPstring. Se você estiver usando o Windows Server Enterprise Certificate Authority, essa extensão já está incluída no modelo de certificado do controlador de domínio
• O certificado do controlador de domínio deve ser instalado no repositório de certificados do computador local

Entre em uma CA ou estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

1. Abra o console de gerenciamento da Autoridade de Certificação

2. Clique com o botão direito do mouse em Gerenciar Modelos > de Certificado

3. No Console de Modelo de Certificado, clique com o botão direito do mouse no modelo de Autenticação Kerberos no painel de detalhes e selecione Modelo duplicado

4. Use a tabela a seguir para configurar o modelo:

   Nome da guia	Configurações
   Compatibilidade	Limpar a caixa Mostrar alterações resultantes marcar Selecione Windows Server 2016 na lista Autoridade de Certificação Selecione Windows 10/Windows Server 2016 na lista Destinatário de Certificação
   Geral	Especifique um nome de exibição de modelo, por exemplo, Autenticação do Controlador de Domínio (Kerberos) Defina o período de validade como o valor desejado Anote o nome do modelo para posterior, que deve ser o mesmo que o nome de exibição de modelo menos espaços
   Nome do assunto	Selecione Compilar nestas informações do Active Directory Selecione Nenhum na lista de formato de nome do assunto Selecione Nome DNS na lista Incluir essas informações na lista de assuntos alternativos Limpar todos os outros itens
   Criptografia	Definir a categoria de provedor como provedor de armazenamento de chaves Definir o nome do algoritmo como RSA Defina o tamanho mínimo da chave como 2048 Definir o hash de solicitação como SHA256

5. Selecione OK para finalizar suas alterações e criar o novo modelo

6. Fechar o console

Substituir certificados de controlador de domínio existentes

Os controladores de domínio podem ter um certificado de controlador de domínio existente. O Active Directory Certificate Services fornece um modelo de certificado padrão para controladores de domínio chamado certificado do controlador de domínio. Versões posteriores do Windows Server forneceram um novo modelo de certificado chamado certificado de autenticação do controlador de domínio. Esses modelos de certificado foram fornecidos antes da atualização da especificação Kerberos que indicava os KDCs (Key Distribution Centers) executando a autenticação de certificado necessária para incluir a extensão de Autenticação KDC .

O modelo de certificado de Autenticação Kerberos é o modelo de certificado mais atual designado para controladores de domínio e deve ser o que você implanta em todos os controladores de domínio.
O recurso de registro automático permite que você substitua os certificados do controlador de domínio. Use a configuração a seguir para substituir certificados de controlador de domínio mais antigos por novos, usando o modelo de certificado de Autenticação Kerberos .

Entre em uma CA ou estações de trabalho de gerenciamento com credenciais equivalentes do Administrador Empresarial .

1. Abra o console de gerenciamento da Autoridade de Certificação
2. Clique com o botão direito do mouse em Gerenciar Modelos > de Certificado
3. No Console de Modelo de Certificado, clique com o botão direito do mouse no modelo Kerberos (Autenticação do Controlador de Domínio) (ou o nome do modelo de certificado criado na seção anterior) no painel de detalhes e selecione Propriedades
4. Selecione a guia Modelos Substituídos . Selecione Adicionar
5. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado controlador de domínio e selecione OK > Adicionar
6. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado de Autenticação do Controlador de Domínio e selecione OK
7. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado de Autenticação Kerberos e selecione OK
8. Adicionar outros modelos de certificado empresarial que foram configurados anteriormente para controladores de domínio à guia Modelos Substituídos
9. Selecione OK e feche o console modelos de certificado

O modelo de certificado é configurado para substituir todos os modelos de certificado fornecidos na lista de modelos substituídos .
No entanto, o modelo de certificado e a substituição de modelos de certificado não estão ativos até que o modelo seja publicado em uma ou mais autoridades de certificado.

Observação

O certificado do controlador de domínio deve ser encadeado a uma raiz no repositório NTAuth. Por padrão, o certificado raiz da Autoridade de Certificado do Active Directory é adicionado ao repositório NTAuth. Se você estiver usando uma AC que não seja da Microsoft, isso pode não ser feito por padrão. Se o certificado do controlador de domínio não for encadeado a uma raiz no repositório NTAuth, a autenticação do usuário falhará. Para ver todos os certificados no repositório NTAuth, use o seguinte comando:

Certutil -viewstore -enterprise NTAuth

Configurar um modelo de certificado de servidor Web interno

Os clientes Windows se comunicam com o AD FS por meio de HTTPS. Para atender a essa necessidade, um certificado de autenticação de servidor deve ser emitido para todos os nós no farm do AD FS. Implantações locais podem usar um certificado de autenticação de servidor emitido pelo PKI da empresa. Um modelo de certificado de autenticação de servidor deve ser configurado para que os nós do AD FS possam solicitar um certificado.

Entre em uma CA ou estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

1. Abra o console de gerenciamento da Autoridade de Certificação

2. Clique com o botão direito do mouse em Gerenciar Modelos > de Certificado

3. No Console de Modelo de Certificado, clique com o botão direito do mouse no modelo do Servidor Web no painel de detalhes e selecione Modelo duplicado

4. Use a tabela a seguir para configurar o modelo:

   Nome da guia	Configurações
   Compatibilidade	Limpar a caixa Mostrar alterações resultantes marcar Selecione Windows Server 2016 na lista Autoridade de Certificação Selecione Windows 10/Windows Server 2016 na lista Destinatário de Certificação
   Geral	Especifique um nome de exibição de modelo, por exemplo , Servidor Web Interno Defina o período de validade como o valor desejado Anote o nome do modelo para posterior, que deve ser o mesmo que o nome de exibição de modelo menos espaços
   Tratamento de Solicitações	Selecione Permitir que a chave privada seja exportada
   Nome do assunto	Selecione Fornecimento na solicitação
   Segurança	Adicionar computadores de domínio com acesso de registro
   Criptografia	Definir a categoria de provedor como provedor de armazenamento de chaves Definir o nome do algoritmo como RSA Defina o tamanho mínimo da chave como 2048 Definir o hash de solicitação como SHA256

5. Selecione OK para finalizar suas alterações e criar o novo modelo

6. Fechar o console

Configurar um modelo de certificado do agente de registro

Uma AUTORIDADE de registro de certificado (CRA) é uma autoridade confiável que valida a solicitação de certificado. Depois de validar a solicitação, ele apresenta a solicitação à autoridade de certificação (AC) para emissão. A AC emite o certificado, retorna-o ao CRA, que retorna o certificado ao usuário solicitante. Windows Hello para Empresas implantações de confiança de certificado usam o AD FS como o CRA.

O CRA registra um certificado de agente de registro. Depois que o CRA verifica a solicitação de certificado, ele assina a solicitação de certificado usando seu certificado de agente de registro e o envia para a AC. O modelo de certificado de autenticação do Windows Hello para Empresas é configurado para emitir certificados somente às solicitações de certificado que foram assinadas com um certificado de agente de registro. A AC só emitirá um certificado para esse modelo se a autoridade de registro assinar a solicitação de certificado.

Importante

Siga os procedimentos abaixo com base na conta de serviço do AD FS usada em seu ambiente.

Criar um certificado de agente de registro para GMSA (Contas de Serviço Gerenciado de Grupo)

Entre em uma CA ou estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

1. Abra o console de gerenciamento da Autoridade de Certificação

2. Clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar

3. No Console de Modelo de Certificado, clique com o botão direito do mouse no painel detalhes do modelo do Agente de Registro do Exchange (solicitação offline) e selecione Modelo duplicado

4. Use a tabela a seguir para configurar o modelo:

   Nome da guia	Configurações
   Compatibilidade	Limpar a caixa Mostrar alterações resultantes marcar Selecione Windows Server 2016 na lista Autoridade de Certificação Selecione Windows 10/Windows Server 2016 na lista Destinatário de Certificação
   Geral	Especifique um nome de exibição de modelo, por exemplo, agente de registro WHFB Defina o período de validade como o valor desejado
   Nome do assunto	Selecione Fornecimento na solicitação Nota: O GMSA (Group Managed Service Accounts) não dá suporte à opção Compilar a partir dessa opção de informações do Active Directory e resultará na falha do servidor do AD FS em registrar o certificado do agente de registro. Você deve configurar o modelo de certificado com o Supply na solicitação para garantir que os servidores do AD FS possam executar o registro automático e a renovação do certificado do agente de registro.
   Criptografia	Definir a categoria de provedor como provedor de armazenamento de chaves Definir o nome do algoritmo como RSA Defina o tamanho mínimo da chave como 2048 Definir o hash de solicitação como SHA256
   Segurança	Selecione Adicionar Selecione Tipos de Objeto e selecione a caixa Contas de Serviço marcar Selecione OK Digite adfssvc o enter the object names to select text box and select OK Selecione o adfssvc na lista Nomes de grupo ou usuários . Na seção Permissões para adfssvc : Na seção Permissões para adfssvc, selecione a caixa Permitir marcar para a permissão Registrar Excluindo o usuário do adfssvc, desmarque a caixa Permitir marcar para as permissões Registrar e Autoenroll para todos os outros itens na lista De nomes de grupo ou usuários Selecione OK

5. Selecione OK para finalizar suas alterações e criar o novo modelo

6. Fechar o console

Criar um certificado de agente de registro para uma conta de serviço padrão

Entre em uma CA ou estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

1. Abra o console de gerenciamento da Autoridade de Certificação

2. Clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar

3. No Console de Modelo de Certificado, clique com o botão direito do mouse no painel detalhes do modelo do Agente de Registro do Exchange (solicitação offline) e selecione Modelo duplicado

4. Use a tabela a seguir para configurar o modelo:

   Nome da guia	Configurações
   Compatibilidade	Limpar a caixa Mostrar alterações resultantes marcar Selecione Windows Server 2016 na lista Autoridade de Certificação Selecione Windows 10/Windows Server 2016 na lista destinatário do certificado
   Geral	Especifique um nome de exibição de modelo, por exemplo, agente de registro WHFB Defina o período de validade como o valor desejado
   Nome do assunto	Selecione Compilar nestas informações do Active Directory Selecione Nome totalmente diferenciado na lista Formato de nome do assunto Selecione a caixa de marcar UPN (Nome da Entidade de Usuário)em Incluir essas informações no nome do assunto alternativo
   Criptografia	Definir a categoria de provedor como provedor de armazenamento de chaves Definir o nome do algoritmo como RSA Defina o tamanho mínimo da chave como 2048 Definir o hash de solicitação como SHA256
   Segurança	Selecione Adicionar Selecione Tipos de Objeto e selecione a caixa Contas de Serviço marcar Selecione OK Digite adfssvc o enter the object names to select text box and select OK Selecione o adfssvc na lista Nomes de grupo ou usuários . Na seção Permissões para adfssvc : Na seção Permissões para adfssvc, selecione a caixa Permitir marcar para a permissão Registrar Excluindo o usuário do adfssvc, desmarque a caixa Permitir marcar para as permissões Registrar e Autoenroll para todos os outros itens na lista De nomes de grupo ou usuários Selecione OK

5. Selecione OK para finalizar suas alterações e criar o novo modelo

6. Fechar o console

Configurar um modelo de certificado de autenticação Windows Hello para Empresas

Durante Windows Hello para Empresas provisionamento, os clientes windows solicitam um certificado de autenticação do AD FS, que solicita o certificado de autenticação em nome do usuário. Essa tarefa configura o modelo de certificado de autenticação do Windows Hello para Empresas.

Entre em uma CA ou estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

1. Abra o console de gerenciamento da Autoridade de Certificação

2. Clique com o botão direito do mouse em Modelos de Certificado e selecione Gerenciar

3. No Console de Modelo de Certificado, clique com o botão direito do mouse no modelo do Logon do Smartcard e selecione Modelo duplicado

4. Use a tabela a seguir para configurar o modelo:

   Nome da guia	Configurações
   Compatibilidade	Limpar a caixa Mostrar alterações resultantes marcar Selecione Windows Server 2016 na lista Autoridade de Certificação Selecione Windows 10/Windows Server 2016 na lista Destinatário de Certificação
   Geral	Especifique um nome de exibição de modelo, por exemplo, Autenticação WHFB Defina o período de validade como o valor desejado Anote o nome do modelo para posterior, que deve ser o mesmo que o nome de exibição de modelo menos espaços
   Nome do assunto	Selecione Compilar nestas informações do Active Directory Selecione Nome totalmente diferenciado na lista Formato de nome do assunto Selecione a caixa de marcar UPN (Nome da Entidade de Usuário)em Incluir essas informações no nome do assunto alternativo
   Criptografia	Definir a categoria de provedor como provedor de armazenamento de chaves Definir o nome do algoritmo como RSA Defina o tamanho mínimo da chave como 2048 Definir o hash de solicitação como SHA256
   Extensões	Verificar se a extensão Políticas de Aplicativo inclui Logon de Cartão Inteligente
   Requisitos de emissão	Selecione a caixa Esse número de assinaturas autorizadas marcar. Tipo 1 na caixa de texto Selecione Política de aplicativo no tipo de política necessário na assinatura Selecione Agente de Solicitação de Certificado na lista de políticas de aplicativo Selecione a opção Certificado existente válido
   Tratamento de Solicitações	Selecione a caixa Renovar com a mesma chave marcar
   Segurança	Selecione Adicionar Direcione um grupo de segurança do Active Directory que contém os usuários que você deseja registrar em Windows Hello para Empresas. Por exemplo, se você tiver um grupo chamado Windows Hello for Business Users, digite-o na caixa Inserir os nomes do objeto para selecionar a caixa de texto e selecione OK Selecione o Windows Hello para Empresas Usuários na lista Nomes de Grupo ou usuários. Na seção Permissões para usuários de Windows Hello para Empresas: Selecione a caixa Permitir marcar para a permissão Registrar Excluindo o grupo acima (por exemplo, Windows Hello for Business Users), desmarque a caixa Permitir marcar para as permissões Registrar e Autoenroll para todas as outras entradas na seção Nomes de Grupo ou usuários se as caixas de marcar ainda não estiverem limpas Selecione OK

5. Selecione OK para finalizar suas alterações e criar o novo modelo

6. Fechar o console

Marcar o modelo como o modelo de conexão do Windows Hello

Entre em uma CA ou estações de trabalho de gerenciamento com credenciais equivalentes do Administrador Empresarial

Abrir um prompt end de comando elevado execute o comando a seguir

certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY

Se o modelo foi alterado com êxito, a saída do comando conterá valores antigos e novos dos parâmetros de modelo. O novo valor deve conter o CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY parâmetro. Exemplo:

CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication

Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)

New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."

Observação

Se você deu ao seu modelo de certificado de autenticação Windows Hello para Empresas um nome diferente, substitua WHFBAuthentication no comando acima pelo nome do modelo de certificado. É importante que você use o nome do modelo em vez do nome de exibição do modelo. É possível exibir o nome do modelo na guia Geral do modelo de certificado utilizando o console de gerenciamento de Modelos de certificado (certtmpl.msc). Ou você pode exibir o nome do modelo usando o cmdlet Windows PowerShell administração do Get-CATemplate ADCS em sua autoridade de certificação.

Cancelar a publicação de modelos de certificado obsoletos

A autoridade de certificação emite apenas certificados com base em modelos de certificado publicados. Para segurança, é uma boa prática desmarque modelos de certificado que a AC não está configurada para emitir, incluindo os modelos pré-publicados da instalação de função e todos os modelos substituídos.

O modelo de certificado de autenticação do controlador de domínio recém-criado substitui modelos de certificado do controlador de domínio anteriores. Portanto, você deve cancelar esses modelos de certificado de todas as autoridades de certificação emissoras.

Entre na CA ou na estação de trabalho de gerenciamento com credenciais equivalentes do Administrador Empresarial .

1. Abra o console de gerenciamento da Autoridade de Certificação
2. Expandir o nó pai do painel > de navegação Modelos de Certificado
3. Clique com o botão direito do mouse no modelo de certificado do Controlador de Domínio e selecione Excluir. Selecione Sim na janela Desabilitar modelos de certificado
4. Repita a etapa 3 para os modelos de certificado de Autenticação do Controlador de Domínio e Autenticação Kerberos

Publicar modelos de certificado na AC

Uma autoridade de certificação só pode emitir certificados para modelos de certificado que são publicados nele. Se você tiver mais de uma AC e quiser que mais CAs emitam certificados com base no modelo de certificado, você deve publicar o modelo de certificado para eles.

Entre nas estações de trabalho de ac ou gerenciamento com credenciais equivalentes do Enterprise Administração.

1. Abra o console de gerenciamento da Autoridade de Certificação
2. Expandir o nó pai do painel de navegação
3. Selecione Modelos de Certificado no painel de navegação
4. Clique com botão direito do mouse no nó de Modelos de certificado. Selecione Novo > Modelo de Certificado para emitir
5. Na janela Habilitar Modelos de Certificados , selecione os modelos de Autenticação do Controlador de Domínio (Kerberos),Servidor Web Interno, Agente de Registro WHFB e Autenticação WHFB que você criou nas etapas anteriores. Selecione OK para publicar os modelos de certificado selecionados na autoridade de certificação
6. Se você publicou o modelo de certificado Kerberos (Autenticação do Controlador de Domínio), desmarque os modelos de certificado incluídos na lista de modelos substituídos
   • Para desmarcar um modelo de certificado, clique com o botão direito do mouse no modelo de certificado que você deseja desmarcar e selecione Excluir. Selecione Sim para confirmar a operação
7. Fechar o console

Configurar e implantar certificados em controladores de domínio

Configurar o registro automático de certificado para os controladores de domínio

Os controladores de domínio solicitam automaticamente um certificado do modelo de certificado do controlador de domínio. No entanto, os controladores de domínio não estão cientes de modelos de certificado mais recentes ou configurações substituídas em modelos de certificado. Para que os controladores de domínio registrem e renovem automaticamente os certificados, configure um GPO para registro automático de certificado e vincule-o à UO controladores de domínio .

1. Abra o console de gerenciamento de Política de Grupo (gpmc.msc)
2. Expanda o domínio e selecione o nó objeto Política de Grupo no painel de navegação
3. Clique com o botão direito do mouse no Objeto de política de grupo e selecione Novo
4. Digite Registro de Certificado Automático do Controlador de Domínio na caixa de nome e selecione OK
5. Clique com o botão direito do mouse no objeto Registro automático do Certificado do Controlador de Domínio Política de Grupo objeto e selecione Editar
6. No painel de navegação, expanda Políticas em Configuração de Computador
7. Expandir as configurações de segurança de configurações > do Windows políticas > de chave pública
8. No painel de detalhes, clique com o botão direito do mouse em Cliente dos Serviços de Certificado – Registro Automático e selecione Propriedades
9. Selecione Habilitado na lista Modelo de Configuração
10. Selecione a caixa Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados marcar caixa
11. Selecione a caixa Atualizar certificados que usam modelos de certificado marcar
12. Selecione OK
13. Fechar o Política de Grupo de Gerenciamento Editor de Política de Grupo

Implantar o GPO de registro de certificado automático do controlador de domínio

Entre no controlador de domínio ou nas estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
2. No painel de navegação, expanda o domínio e expanda o nó com o nome de domínio do Active Directory. Clique com o botão direito do mouse na unidade organizacional controladores de domínio e selecione Vincular um GPO existente...
3. Na caixa de diálogo Selecionar GPO, selecioneRegistro de Certificado Automático do Controlador de Domínio ou o nome do registro de certificado do controlador de domínio Política de Grupo objeto que você criou anteriormente
4. Selecione OK

Validar a configuração

O Windows Hello para Empresas é um sistema distribuído que, na superfície, aparenta ser complexo e difícil de usar. A chave para uma implantação bem-sucedida é validar fases do trabalho antes de passar para a próxima fase.

Confirme se os controladores de domínio registram os certificados corretos e não os modelos de certificado substituídos. Verifique se cada controlador de domínio concluiu o registro automático do certificado.

Usar os logs de eventos

Entre no controlador de domínio ou nas estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

1. Usando o Visualizador de Eventos, navegue até o log de eventos Application and Services>Microsoft>Windows>CertificateServices-Lifecycles-System
2. Procure um evento que indica um novo registro de certificado (registro automático):
   • Os detalhes do evento incluem o modelo de certificado no qual o certificado foi emitido
   • O nome do modelo de certificado usado para emitir o certificado deve corresponder ao nome do modelo de certificado incluído no evento
   • A impressão digital do certificado e as EKUs para o certificado também estão incluídas no evento
   • O EKU necessário para a autenticação adequada Windows Hello para Empresas é a Autenticação Kerberos, além de outras EKUs fornecidas pelo modelo de certificado

Certificados substituídos pelo novo certificado do controlador de domínio geram um evento de arquivo no Log de Eventos. O evento de arquivo contém o nome de modelo de certificado e a impressão digital do certificado substituído pelo novo certificado.

Gerenciador de certificados

Você pode usar o console do Gerenciador de certificados para validar se o controlador de domínio tem o certificado devidamente registrado com base no modelo de certificado correto com as EKUs adequadas. Use certlm.msc para exibir o certificado no armazenamento de certificados dos computadores locais. Expanda o armazenamento Pessoal e visualize os certificados registrados para o computador. Certificados arquivados não aparecem no Gerenciador de Certificados.

Certutil.exe

Você pode usar o certutil.exe comando para exibir certificados registrados no computador local. O Certutil mostra certificados registrados e arquivados do computador local. Em um prompt de comando elevado, execute o seguinte comando:

certutil.exe -q -store my

Para exibir informações detalhadas sobre cada certificado no repositório e validar o registro automático de certificados registrados os certificados adequados, use o seguinte comando:

certutil.exe -q -v -store my

Solução de problemas

O Windows ativa o registro automático de certificado do computador durante a inicialização e quando a Política de grupo é atualizada. Você pode atualizar a Política de grupo de um prompt de comando com privilégios elevados usando gpupdate.exe /force.

Como alternativa, você pode acionar o registro automático de certificado usando certreq.exe -autoenroll -q em um prompt de comando com privilégios elevados.

Use os logs de eventos para monitorar o registro e o arquivamento de certificado. Examine a configuração, como publicar modelos de certificado para emitir autoridade de certificação e permitir permissões de registro automático.

Revisão de seção e próximas etapas

Antes de passar para a próxima seção, verifique se as seguintes etapas estão concluídas:

• Configurar modelos de certificado do controlador de domínio e do servidor Web
• Substituir certificados de controlador de domínio existentes
• Cancelar a publicação de modelos de certificado obsoletos
• Configurar um modelo de certificado do agente de registro
• Publicar os modelos de certificado na AC
• Implantar certificados nos controladores de domínio
• Validar a configuração dos controladores de domínio

Próximo: preparar e implantar o AD FS >