Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Registro na Web da Autoridade de Certificação (CA) nos Serviços de Certificados do Ative Directory (AD CS) simplifica o gerenciamento de certificados fornecendo uma interface baseada em navegador para solicitar e renovar certificados, recuperar listas de revogação de certificados (CRLs) e se inscrever para certificados de cartão inteligente. Esse serviço de função é útil para organizações que precisam de um método flexível e interativo para registro de certificado sem exigir configurações específicas de cliente. Neste texto, você aprenderá sobre as características, os recursos e as opções de configuração do CA Web Enrollment, e como ele se compara ao Serviço Web de Registro de Certificado.
Capacidades e tarefas comuns
A Inscrição na Web da CA permite que os utilizadores enviem PKCS #10
solicitações à autoridade de certificação interativamente por meio de um navegador da Web e de um site do IIS (Serviços de Informações da Internet). A Inscrição na Web da CA é diferente do serviço de função Serviço Web de Inscrição de Certificados relacionado. Embora o CA Web Enrollment e o Certificate Enrollment Web Service usem HTTPS, eles são tecnologias fundamentalmente diferentes.
O registo na Web da autoridade de certificação é útil quando o utilizador interage com uma autoridade de certificação autónoma, pois o snap-in de Certificados do Console de Gestão da Microsoft (MMC) não pode ser usado para interagir com uma autoridade de certificação autónoma. As autoridades de certificação corporativas podem aceitar solicitações de certificado por meio do snap-in Certificados ou das páginas do serviço de função Registro na Web da CA.
**
O serviço de função CA Web Enrollment inclui exemplos atualizados de páginas da web para operações de inscrição de certificados baseadas na web. Essas páginas da Web funcionam em conjunto com o CertEnroll
componente. Para obter mais informações sobre CertEnroll
, consulte a API de Inscrição de Certificados.
A tabela a seguir resume as principais diferenças entre o CA Web Enrollment e o Certificate Enrollment Web Service:
Recurso / Capacidade | Inscrição na Web da CA | Serviço Web de Registro de Certificado |
---|---|---|
Request Method | Solicitações de certificado interativas e criadas manualmente pelo solicitante, carregadas através do site. | Registro e renovação automatizados, adequados para implantações em larga escala. |
Certificate Provisioning | Método interativo baseado em navegador para certificados individuais. | Provisionamento automatizado para certificados extras. |
Client Requirements | Nenhum componente de cliente específico ou configuração necessária. | Cliente integrado com Windows e Windows Server. |
Forest Consolidation | Not supported. | Suportado; permite a consolidação de PKI em várias florestas, eliminando implantações de CA por floresta. |
Inscrição na rede perimetral | Not supported. | Suportado; Permite o registro de certificados de fora da rede corporativa. |
Para obter mais informações sobre consolidação de floresta e uso de redes de perímetro, consulte Serviço Web de Registro de Certificado nos Serviços de Certificados do Ative Directory.
Deployment topology
Você pode instalar o CA Web Enrollment num servidor que não funciona como uma CA, para separar o tráfego da Web da CA. A instalação do CA Web Enrollment configura o computador como uma autoridade de registro. Você deve selecionar uma autoridade de certificação para usar com as páginas de registro na Web da autoridade de certificação. The CA that CA Web Enrollment uses is the Target CA in the user interface. Você pode selecionar a autoridade de certificação de destino que deseja usar usando o nome da autoridade de certificação ou o nome do computador associado à autoridade de certificação.
Se você instalar as páginas de Registro na Web da autoridade de certificação em um computador que não seja a autoridade de certificação de destino, a conta do computador em que você instalou as páginas de registro na Web da autoridade de certificação deverá ser confiável para delegação. Para obter mais informações, consulte Instalar o suporte ao registro na Web em outro computador (opcional) e Como configurar o proxy de registro na Web da autoridade de certificação do Windows Server 2008.
Note
Se as páginas de Registro na Web da CA não forem instaladas com êxito em uma CA migrada, é possível que o status da instalação no Registro não esteja configurado corretamente. Para obter mais informações, consulte Falha na configuração do registro na Web da autoridade de certificação 0x80070057 (WIN32: 87).
As páginas do serviço de função CA Web Enrollment exigem que você as proteja com SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). Se não o fizer, verá a seguinte mensagem de erro: Para concluir o registro do certificado, o site da autoridade de certificação deve ser configurado para usar a autenticação HTTPS. Para saber mais sobre como configurar a autenticação HTTPS, consulte Serviços de Certificados do Ative Directory (AD CS): Erro: "Para concluir o registro de certificado, o site da autoridade de certificação deve ser configurado para usar a autenticação HTTPS.
Usar as páginas de Inscrição na Web da CA
Se você tiver permissões de acesso, poderá executar as seguintes tarefas nas páginas de Registro na Web da CA:
Solicite um certificado básico.
Solicite um certificado com opções avançadas. Solicitar com opções avançadas oferece maior controle sobre a solicitação de certificado. As opções disponíveis em uma solicitação de certificado avançado incluem:
Nas opções CSP (provedor de serviços de criptografia), você pode configurar o nome do provedor de serviços de criptografia, o tamanho da chave (1024, 2048 e assim por diante), o algoritmo de hash (como SHA/RSA, SHA/DSA, MD2 ou MD5) e a especificação da chave (troca ou assinatura).
As opções de geração de chaves permitem criar um novo conjunto de chaves ou usar um conjunto de chaves existente, marcar as chaves como exportáveis, habilitar a proteção forte de chaves e usar o armazenamento do computador local para gerar a chave.
Additional options. Salve a solicitação em um arquivo PKCS #10 ou adicione atributos específicos ao certificado.
Verifique uma solicitação de certificado pendente. Se você enviar uma solicitação de certificado para uma autoridade de certificação autônoma, precisará verificar o status da solicitação pendente para garantir que a autoridade de certificação emitiu o certificado. Se a autoridade emitiu o certificado, ele fica disponível na página da Web para você instalar.
Recupere o certificado da autoridade de certificação para colocar no seu armazenamento raiz confiável ou instale toda a cadeia de certificação no seu armazenamento de certificados.
Recupere as CRLs base e delta atuais.
Envie uma solicitação de certificado usando um arquivo PKCS #10 ou um arquivo PKCS #7. Em geral, você usa um arquivo PKCS #10 para enviar uma solicitação para um novo certificado e um arquivo PKCS #7 para enviar uma solicitação para renovar um certificado existente. O envio de solicitações com arquivos é útil quando o solicitante do certificado não consegue enviar uma solicitação on-line à autoridade de certificação.
Essas páginas da Web estão localizadas em https://<servername>/certsrv
, onde <servername>
é o nome do servidor que hospeda as páginas de registro na Web da autoridade de certificação. A certsrv
parte do URL deve estar sempre em letras minúsculas, caso contrário, os usuários podem ter problemas para verificar e recuperar certificados pendentes.
Next steps
Para obter mais informações sobre registro na Web e solução de problemas comuns, consulte os seguintes artigos: