Guia Complementar de Rede Principal: Implementação de Certificados de Servidor

 

Aplica-se a: Windows Server 2012

O Guia de Rede Principal do Windows Server 2012 fornece instruções para planear e implementar os componentes principais necessários ao funcionamento integral de uma rede e de um domínio Active Directory® novo numa floresta nova.

Este guia explica como criar a rede principal ao fornecer instruções para implementar certificados de servidor para computadores que executem o servidor de políticas de rede (NPS), encaminhamento e serviço de acesso remoto (RRAS) ou ambas.

Sugestão
Este guia se encontra disponível no formato do Word no Microsoft TechNet Gallery em https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7.

Este guia contém as secções seguintes.

• Pré-requisitos para utilizar este guia

• Acerca deste guia

• O que este guia não fornece

• Descrições gerais da Tecnologia

• Descrição Geral da Implementação de Certificados de Servidores

• Planear a implementação de certificado de servidor

• Implementação de Certificados de Servidor

• Recursos Adicionais

Pré-requisitos para utilizar este guia

Este é um guia complementar para o Guia de Rede Principal Windows Server 2012. Para implementar certificados de servidor com este guia, deve primeiro faça o seguinte.

• Implementar uma rede principal a utilizar o guia de rede principal, ou já tem as tecnologias fornecido no guia de rede principal instalado e a funcionar corretamente na sua rede. Estas tecnologias incluem TCP/IP v4, DHCP, Serviços de Domínio do Active Directory (AD DS), DNS, NPS e Servidor Web (IIS).

  Nota

  O Windows Server 2012 está disponível no guia de rede principal a Windows Server 2012 biblioteca técnica (https://go.microsoft.com/fwlink/?LinkId=154884).

  O guia de rede principal também está disponível no formato do Word no Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).

Acerca deste guia

Este guia fornece instruções para implementar certificados de servidor para servidores a executar NPS, RRAS ou ambas, utilizando em AD CS no Windows Server 2012.

Os certificados de servidor são necessários quando implementa métodos de autenticação baseados em certificados com EAP (Extensible Authentication Protocol) e Protected EAP (PEAP) para a autenticação de acesso de rede.

Implementar certificados de servidor com o serviços de certificados do Active Directory (AD CS) para métodos de autenticação baseada em certificado EAP e PEAP fornece as seguintes vantagens:

• A identidade do servidor a executar o NPS ou servidor RRAS para uma chave privada de enlace

• Um método económico e seguro para inscrever automaticamente os certificados para servidores NPS e RRAS do membro de domínio

• Um método eficiente para gestão de certificados e autoridades de certificação (AC)

• Segurança fornecida pela autenticação baseada em certificados

• Capacidade para expandir a utilização de certificados para fins adicionais

Este guia foi concebido para administradores de rede e sistema que seguiram as instruções no Guia da Rede Principal Windows Server 2012 para implementar uma rede principal ou para aqueles que implementaram anteriormente as tecnologias incluídas no Guia da Rede Principal, incluindo os Serviços de Domínio do Active Directory (AD DS), Serviço de Nomes de Domínio (DNS), Protocolo de Configuração Dinâmica de Anfitrião (DHCP), TCP/IP, Servidor Web (IIS) e Servidor de Políticas de Rede (NPS).

Importante

Este guia, que fornece instruções para a implementação de certificados de servidor através de uma autoridade de certificação de raiz empresarial (AC) online, foi concebido para pequenas organizações com recursos informáticos limitada. Por motivos de segurança - se a sua organização tiver os recursos de computação - é recomendado que irá implementar uma AC de raiz empresarial offline numa dois camada infraestrutura de chaves públicas (PKI). Para obter mais informações, consulte Recursos Adicionais.

É recomendado que reveja os guias de estrutura e implementação para cada uma das tecnologias que são utilizadas neste cenário de implementação. Estes guias podem ajudar a determinar se este cenário de implementação fornece os serviços e configuração que necessita para a rede da sua organização.

Requisitos para implementação de certificados de servidor

Seguem-se os requisitos para utilizar certificados:

• Para implementar certificados de servidor através da utilização de inscrição automática, necessita de AD CS o Windows Server 2012 sistemas de operativos Standard, Enterprise ou Datacenter. AD DS tem de estar instalado antes da instalação do AD CS. Apesar de AD CS pode ser implementado num único servidor, muitas implementações de envolvem vários servidores configurados como CAs.

• Para fornecer aos computadores acesso para o acesso de informações da autoridade (AIA) e a lista de revogação de certificados (CRL) que é gerada pela sua autoridade de certificação, tem de ter um servidor Web que está corretamente configurado em conformidade com as instruções neste guia.

• Para implementar PEAP ou EAP para redes privadas virtuais (VPNs), tem de implementar o RRAS configurado como um servidor VPN. A utilização de NPS é opcional; No entanto, se tiver vários servidores VPN, NPS é recomendado utilizar para facilidade de administração e para os serviços de gestão de contas RADIUS que NPS fornece.

• Para implementar PEAP ou EAP para Gateway de ambiente de trabalho remoto (Gateway de RD), tem de implementar o Gateway de RD e NPS.

  Nota

  Em versões anteriores do Windows Server, dos serviços de ambiente de trabalho remoto foi denominado os serviços de Terminal.

• Para implementar PEAP ou EAP para redes 802.1 X segura com ou sem fios, terá de implementar NPS e hardware adicional, tais como comutadores 802.1 X com e pontos de acesso sem fios.

• Para implementar os métodos de autenticação baseada em certificados que exigem certificados para autenticação de utilizador e do computador além dos que requerem certificados para autenticação de servidor, tais como EAP com segurança de camada de transporte (EAP-TLS) ou PEAP-TLS, também tem de implementar certificados de utilizador ou do computador através de inscrição automática, ou através da utilização de smart cards.

O que este guia não fornece

Este guia fornece instruções abrangente para conceber e implementar uma infraestrutura de chaves públicas (PKI) através da utilização de AD CS. É recomendado que reveja a documentação de AD CS e documentação de estrutura PKI antes de implementar as tecnologias neste guia. Para obter mais informações, consulte o Recursos Adicionais secção mais à frente neste documento.

Este guia fornece instruções sobre como instalar o servidor Web (IIS) ou tecnologias do servidor de políticas de rede nos computadores de servidor; ver as instruções fornecidas no guia de rede de núcleo.

Este guia não fornece também instruções detalhadas para implementar as tecnologias de acesso de rede para o qual podem ser utilizados certificados de servidor.

Descrições gerais da Tecnologia

Seguem-se descrições gerais de tecnologia de EAP, PEAP e AD CS.

EAP

O Protocolo de Autenticação Extensível (EAP) expande o protocolo PPP (Point-to-Point Protocol) ao permitir os métodos de autenticação arbitrários que utilizam trocas de informações e credenciais de tamanhos arbitrários. EAP foi desenvolvido em resposta a um pedido aumentar para métodos de autenticação que utilizam dispositivos de segurança, tais como smart cards, cartões de token e calculadoras de criptografia. O EAP fornece uma arquitetura norma da indústria para suportar métodos de autenticação adicionais dentro de PPP.

Com EAP, um mecanismo de autenticação arbitrário é utilizado para verificar as identidades de cliente e servidor que estiverem a estabelecer uma ligação de acesso de rede. O esquema de autenticação exata a ser utilizada é negociou pelo cliente do access e do autenticador - o servidor de acesso de rede ou o servidor RADIUS Remote Authentication Dial-In utilizador Service ().

Com a autenticação EAP, o cliente de acesso de rede e a autenticação (por exemplo, o servidor que executa NPS) tem de suportar o mesmo tipo EAP para ocorrer uma autenticação com êxito.

Importante

Tipos de EAP forte, tais como os que se baseiam em certificados, oferecem uma maior segurança contra ataques de força bruta, ataques de dicionário e ataques de deteção da palavra-passe de protocolos de autenticação baseada em palavra-passe, tais como CHAP ou MS-CHAP, versão 1.

EAP no Windows Server 2012

Windows Server 2012 inclui uma infraestrutura EAP, tipos de EAP e a capacidade para passar a mensagens EAP para um servidor RADIUS (EAP-RADIUS) como NPS.

Ao utilizar EAP, pode suportar esquemas de autenticação adicional, conhecidas como tipos de EAP. Os tipos EAP que são suportados pelo Windows Server 2012 são:

• Camada de segurança (TLS) de transporte. EAP-TLS requer a utilização de certificados de computador ou utilizador, para além de certificados de servidor que são inscritos para computadores que executam NPS.

• Microsoft Challenge Handshake Authentication Protocol, versão 2 (MS-CHAP v2). Este tipo EAP é um protocolo de autenticação baseada em palavra-passe. Quando utilizada dentro de EAP como o método de autenticação EAP-MS-CHAP v2, servidores NPS e RRAS fornecem um certificado de servidor como prova de identidade em computadores cliente, enquanto os utilizadores provar a sua identidade com um nome de utilizador e palavra-passe.

• Em túnel de segurança de camada de transporte (TTLS). EAP-TTLS é novo no Windows Server 2012 e não está disponível em outras versões do Windows Server. O EAP-TTLS é um método de criação de túnel EAP baseado em padrões que suporta a autenticação mútua. O EAP-TTLS fornece um túnel seguro para a autenticação de cliente com métodos EAP e outros protocolos legados. O EAP-TTLS também fornece a capacidade de configurar o EAP-TTLS em computadores cliente para soluções de acesso de rede em que sejam utilizados para a autenticação servidores RADIUS (Remote Authentication Dial In User Service) não pertencentes à Microsoft.

Além disso, pode instalar outros módulos não Microsoft EAP do servidor que executa NPS ou encaminhamento e acesso remoto para fornecer outros tipos de autenticação EAP. Na maioria dos casos, se instalar tipos EAP adicionais em servidores, tem também de instalar componentes de autenticação de cliente EAP correspondentes nos computadores cliente para que o cliente e o servidor com êxito possam negociar um método de autenticação a utilizar para pedidos de ligação.

PEAP

PEAP utiliza TLS para criar um canal encriptado entre um cliente PEAP autenticar, tais como um computador sem fios e uma autenticação PEAP, tal como um servidor com NPS ou outro servidor RADIUS.

PEAP não especificar um método de autenticação, mas disponibiliza adicional de segurança para outros protocolos de autenticação EAP (por exemplo, EAP-MSCHAP v2) que podem operar através do canal encriptado TLS fornecido pelo PEAP. PEAP é utilizada como um método de autenticação para clientes de acesso que estão a ligar à rede da sua organização através dos seguintes tipos de servidores de acesso de rede:

• Pontos de acesso sem fios 802.1 X com capacidade

• Comutadores de autenticar 802.1 X com capacidade

• Computadores com Windows Server 2012 ou Windows Server 2008 R2 e RRAS que estão configuradas como servidores VPN

• Computadores com Windows Server 2012 ou Windows Server 2008 R2 e o Gateway de RD

Funcionalidades de PEAP

Para melhorar a segurança de rede e protocolos EAP, PEAP fornece:

• Um canal do TLS que fornece proteção para a negociação de método EAP que ocorre entre o cliente e servidor. Este canal do TLS ajuda a impedir que um atacante injecting pacotes entre o cliente e o servidor de acesso de rede para fazer com que a negociação de um tipo EAP menos segura. O canal do TLS encriptado também ajuda a impedir ataques denial of service contra servidor NPS a ser executado.

• Suporte para a fragmentação e reassembly das mensagens, que permite a utilização de tipos de EAP não fornecem esta funcionalidade.

• Clientes com a capacidade para autenticar o NPS ou outro servidor RADIUS. Uma vez que o servidor também autentica o cliente, ocorre a autenticação mútua.

• Proteção contra a implementação de um ponto de acesso sem fios não autorizado no momento em que quando o cliente EAP autentica o certificado fornecido pelo servidor NPS a ser executado. Além disso, o segredo mestra TLS que é criado pela autenticação PEAP e o cliente não é partilhado com o ponto de acesso. Por este motivo, o ponto de acesso não é possível desencriptar as mensagens que estão protegidas pelo PEAP.

• PEAP rápida restabelecer a ligação, que reduz o atraso entre um pedido de autenticação por um cliente e a resposta de NPS ou outro servidor RADIUS. Voltar rapidamente também permite que os clientes sem fios mover entre os pontos de acesso que estão configurados como clientes RADIUS ao mesmo servidor RADIUS sem repetido pedidos de autenticação. Isto reduz os requisitos de recursos para o cliente e o servidor e minimiza o número de vezes que os utilizadores são avisados de credenciais.

Serviços de Certificados do Active Directory

AD CS no Windows Server 2012 fornece serviços personalizáveis para criar e gerir os certificados de x. 509 que são utilizados nos sistemas de segurança do software que utilizem tecnologias de chave públicas. As organizações podem utilizar o AD CS para melhorar a segurança, a identidade de uma pessoa, o dispositivo ou o serviço de enlace a uma chave pública correspondente. AD CS também inclui funcionalidades que permitem-lhe gerir a inscrição do certificado e revogação numa variedade de ambientes escaláveis.