O que são os Serviços de Certificados do Active Directory?

  • Artigo

O AD CS (Serviços de Certificados do Active Directory) é uma função do Windows Server para emitir e gerenciar certificados PKI (infraestrutura de chave pública) usados em protocolos de autenticação e comunicação segura.

Emitir e gerenciar certificados

Certificados digitais podem ser usados para criptografar e assinar digitalmente documentos e mensagens eletrônicas, bem como para autenticação de contas de computador, usuário ou dispositivo em uma rede. Por exemplo, os certificados digitais são usados para fornecer:

  • Confidencialidade por meio de criptografia.
  • Integridade por meio de assinaturas digitais.
  • Autenticação pela associação de chaves de certificado a contas de computador, usuário ou dispositivo em uma rede de computadores.

Principais recursos

O AD CS fornece os seguintes recursos importantes:

  • Autoridades de certificação: ACs (autoridades de certificação) raiz e subordinada são usadas para emitir certificados para usuários, computadores e serviços, bem como para gerenciar a validade do certificado.

  • Registro via Web: o registro via Web permite que os usuários se conectem a uma AC com um navegador da Web para solicitar certificados e recuperar CRLs (listas de certificados revogados).

  • Respondente Online: o serviço Respondente Online decodifica solicitações de status de revogação de certificados específicos, avalia o status desses certificados e envia uma resposta assinada contendo as informações solicitadas sobre o status do certificado.

  • Serviço de Registro de Dispositivo de Rede: o Serviço de Registro do Dispositivo de Rede permite que roteadores e outros dispositivos de rede que não tenham contas de domínio obtenham certificados.

  • Atestado de chave do TPM: permite que a autoridade de certificação verifique se a chave privada é protegida por um TPM baseado em hardware e se a AC confia no TPM. O atestado de chave do TPM impede que o certificado seja exportado para um dispositivo não autorizado e possa associar a identidade do usuário ao dispositivo.

  • Serviço Web de Política de Registro de Certificado: o Serviço Web de Política de Registro de Certificado permite a usuários e computadores obter informações da política de registro de certificado.

  • Serviço Web de Registro de Certificado: o Serviço Web de Registro de Certificado permite que usuários e computadores executem o registro de certificado por meio de um serviço Web. Em conjunto com o Serviço Web de Política de Registro de Certificado, permite o registro de certificados com base em políticas quando o computador cliente não é membro de um domínio ou quando o membro do domínio não está conectado ao domínio.

Benefícios

Você pode usar o AD CS para aumentar a segurança associando a identidade de uma pessoa, computador ou serviço a uma chave privada correspondente. O AD CS é uma maneira segura, eficiente e econômica de gerenciar a distribuição e o uso de certificados. Além da associação de identidades e chaves privadas, o AD CS também inclui recursos que permitem gerenciar o registro e a revogação de certificados.

Você pode usar informações de identidade do ponto de extremidade existentes no Active Directory para registrar certificados, ou seja, você pode inserir informações automaticamente em certificados. O AD CS também pode ser usado para configurar políticas de grupo do Active Directory para designar quais usuários e computadores têm permissão para quais tipos de certificados. A configuração de políticas de grupo permite o controle de acesso baseado em função ou atributo.

Os aplicativos com suporte do AD CS incluem S/MIME (Secure/Multipurpose Internet Mail Extensions), redes sem fio protegidas, VPNs (redes virtuais privadas), IPsec (Internet Protocol security), EFS (Encrypting File System), entrada com cartão inteligente, SSL/TLS (Secure Socket Layer/Transport Layer Security) e assinaturas digitais.

Próximas etapas