Implantar uma PKI para acesso remoto
A Contoso pode usar certificados digitais para verificar e autenticar a identidade de cada parte envolvida em uma transação eletrônica. Os certificados digitais também ajudam a estabelecer confiança entre computadores e os aplicativos correspondentes hospedados em servidores de aplicativos. O acesso remoto usa certificados para verificar a identidade dos servidores e fornecer criptografia. A Contoso também pode usar certificados para verificar a identidade de usuários ou computadores que entram para acesso remoto.
Métodos de obtenção de certificados
Na maioria dos casos, você obtém certificados de uma autoridade de certificação (CA). A consideração mais importante para uma autoridade de certificação é a confiança. Se um certificado for emitido por uma autoridade de certificação confiável, esse certificado será confiável e poderá ser usado para autenticação. Se uma autoridade de certificação não for confiável, os certificados emitidos por essa autoridade de certificação não poderão ser usados para autenticação.
Para obter certificados, você pode:
- Crie sua própria autoridade de certificação privada usando o Windows Server. Os certificados emitidos por uma autoridade de certificação privada são automaticamente confiados por clientes e servidores Windows integrados no domínio. No entanto, os certificados emitidos por uma autoridade de certificação interna não são automaticamente confiáveis por nenhum dispositivo que não tenha ingressado no domínio.
- Compre certificados de uma autoridade de certificação pública. Os certificados emitidos por uma autoridade de certificação pública são confiáveis automaticamente por quase todos os dispositivos, sejam eles associados ao domínio ou não. O Windows não inclui ferramentas para implantar automaticamente certificados de uma autoridade de certificação pública para usuários ou computadores.
- Gere certificados autoassinados em alguns aplicativos. Por padrão, esses certificados são confiáveis apenas pelo servidor emissor e não por outros computadores da organização.
- Gere certificados autoassinados usando o PowerShell. Você pode usar o
New-SelfSignedCertificatecmdlet para gerar um novo certificado autoassinado.
Observação
Você usa certificados autoassinados em organizações de pequeno e médio porte que usam o DirectAccess configurado com o Assistente de Introdução, que fornece fácil instalação e configuração.
Considerações ao planejar a PKI
Para determinar se você deve implementar uma PKI interna para acesso remoto, você precisa planejar como usará os certificados. Se você estiver usando certificados apenas em alguns servidores, o custo de usar uma autoridade de certificação pública será baixo. Os certificados de uma autoridade de certificação pública também são benéficos se você espera que dispositivos que não ingressaram no domínio acessem os servidores.
Uma autoridade de certificação privada é benéfica principalmente para acesso remoto quando você está emitindo certificados para dispositivos cliente e usuários individuais para autenticação. Por exemplo, é comum exigir um certificado de computador válido para permitir o acesso VPN como um segundo nível de autenticação além de um nome de usuário e senha. Se você estiver emitindo certificados para muitos computadores, o registro automático fornecido por uma autoridade de certificação privada é importante. Há também uma economia de custos significativa porque você não precisa pagar por certificados emitidos por uma autoridade de certificação privada.
A tabela a seguir resume as vantagens e desvantagens dos certificados emitidos por autoridades de certificação públicas e privadas.
| Tipo de CA | Vantagens | Desvantagens |
|---|---|---|
| AC privada | Uma autoridade de certificação privada oferece maior controle sobre o gerenciamento de certificados e tem um custo menor quando comparada a uma autoridade de certificação pública. Não há custo por certificado. Você também tem a opção de usar modelos personalizados e inscrição automática. | Por padrão, os certificados de autoridades de certificação privadas não são confiáveis para clientes externos (navegadores da Web e sistemas operacionais) e exigem maior administração. |
| AC pública | Um certificado emitido por uma autoridade de certificação pública é confiável para muitos clientes externos (navegadores da Web e sistemas operacionais) e requer administração mínima. | O custo é maior quando comparado a uma autoridade de certificação privada. O custo é calculado por certificado. A obtenção de certificados também é mais lenta. |