Instalando e configurando o Active Directory Certificate Services no Windows 2008 R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

 

image_png

 

Nesse artigo vou mostrar o simples procedimento para instalação e configuração do Active Directory Certificate Services, conhecido como ADCS na família de servidores 2008.

O ADCS em resumo serve para criação e gerenciamento de certificados digitais dentro de sua infraestrutura, alguns artigos que publicarei posteriormente (Ex.: Exchange / RMS / etc …) exigem certificados digitais, para isso é bom planejarmos a nossa infraestrutura.

Alguns pontos importantes sobre a Autoridade Certificadora, popularmente conhecida como CA.

  • Não é recomendado que o computador que será uma Autoridade  Certificadora seja Domain Controller.
  • CA de domínio só terá validade nos equipamentos pertencentes ao domínio.
  • A máquina CA não poderá ser renomeada após a instalação.

Não irei detalhar muito pois pela internet e no próprio site da Microsoft temos uma quantidade muito boa de artigos detalhando tecnicamente os detalhes do ADCS.

Nesse cenário instalarei o ADCS em um servidor com Windows 2008 R2, exemplificarei 2 modos de enrollment (registro/aplicação do certificado). Um modo manual e outro através de GPO.

INSTALAÇÃO DO ADCS 1- Abra o Server Manager, botão direito em “Roles” e depois em “Add Roles“.

2- O assistente será iniciado, selecione a opção “Active Directory Certificate Services” e avance.

3- Uma pequena introdução sobre a role será apresentada, avance em seguida.

4- Para o cenário, marque apenas a opção “Certification Authority” e avance.

5- Em Specify Setup Type, temos 2 opções, a Enterprise que requer uma máquina e infraestrutura de domínio, ou a opção Standalone que é o oposto da acima, não exigindo uma infra de domínio. Selecione a opção “Enterprise” e avance.

6- Como é a nossa primeira CA a ser criada, devemos usar a opção “Root CA“, podemos posteriormente criar outras CA que serão subordinadas ao root, porém ainda não é o objetivo do artigo.

7- Selecione a opção “Create a new private key” para que seja criada uma nova chave e avance.

8- Em Configure Cryptography for CA definimos os algorítimos e tamanho de nossa chave privada, somente alterar o campo “Key character lenght” para 4096, as outras opções podemos deixar nos padrões e avançar.

9- Defina um nome comum (de fácil identificação) para a sua CA e digite no campo “Common name for this CA”.

10- Selecione a validade do certificado da CA. Podemos deixar o default de 5 anos.

11- Será apresentado os locais onde a base de dados e logs do ADCS será armazenado, caso não tenham problemas pode manter o default.

12- Verifique as seleções de instalação e clique em “Install“.

13- Após a instalação será apresentado os resultados, verifique caso haja algum erro, no contrário clique em “Close“.

CONFIGURANDO OS TEMPLATES DE CERTIFICADOS Vamos agora definir os certificados a serem distribuídos posteriormente.

14- Após o término da instalação vá em Start Menu / Administrative Tools / Certification Authority, navegue até a opção “Certificate Templates” e depois botão direito do mouse e clique em “Manage“.

15- A console dos templates será aberta, procure a opção “User”, clique com o botão direito e depois em “Duplicate Template“.

16- Caso tenha servidores de versão anterior ao Windows 2008, selecione a primeira opção. Como no nosso cenário só temos equipamentos com Windows Server 2008, vamos marcar a 2ª opção e confirmar.

17- As propriedades do template será aberta, digite um nome para o mesmo, selecione a validade e período de renovação caso queira (pode deixar os padrões). E marque a opção “Publish certificate in Active Directory”. Clique em “Apply” e navegue para a aba “Subject Name”.

18- Agora, verifique se as opções “E-mail name” e “UPN” estão marcadas. Em especial a opção de e-mail pois é necessário para o exchange. Verifique nas propriedades da conta de usuário dentro do active directory se o mesmo está com o e-mail está definido, caso não esteja você poderá ter problemas com o certificado, devido a essa opção “E-mail”. Clique em “Apply” e navegue para a aba “Security”.

19- Todos os usuários dentro de meu ambiente fazem parte de um grupo global chamado “SUPORTE DE REDE” (para o cenário você pode usar também o “Authenticated Users” ou um outro grupo restrito para aplicação do certificado). Dê as permissões de Read / Enroll / Autoenroll. Confirme clicando em OK.

20- Após fechar o Console de templates, clique novamente com o botão direito em Certificate Templates, depois em New e em seguida em “Certificate Template to Issue“.

21- Selecione o modelo criado anteriormente e depois em OK.

FAZENDO O ENROLL DO CERTIFICADO MANUALMENTE Vamos fazer a aplicação de certificado manualmente através da console de certificados.

22- Abra a console (Start Menu / mmc.exe), clique em File e depois em “Add/Remove Snap-in”.

23- Selecione a opção Certificates e clique em Add. Confirme em OK.

24- A console de certificados locais será apresentado, naveque até a opção Personal e verifique que não há certificados, clique com o botão direito e vá em “Request New Certificate“.

25- O assistente será iniciado, clique em Next.

26- As regras de certificados publicadas são apresentadas, selecione e clique em Next.

27- As políticas compatíveis ao padrão do usuário serão publicadas, inclusive a que criamos. Selecione as mesmas e depois em Enroll.

28- Verifique que os certificados foram aplicados ao usuário do domínio.

CRIANDO UMA GPO PARA O AUTO-ENROLLMENT Vamos agora definir uma GPO para a auto aplicação dos certificados aos usuários.

29- Abra o GPMC e crie uma nova GPO (Nesse cenário vamos chamar de “Certificados”).

30- Agora vamos editar essa GPO, clique com o botão direito sobre a mesma e depois em “Edit”.

31- Com o editor aberto, navegue até: User Configuration / Security Settings / Public Key Policies. Clique em “Certificate Enrollment Policy” e Habilite a configuração.

32- Agora em “Auto-Enrollment” habilite também a configuração e marque as 3 opções.

33- Abra o prompt e force a atualização das políticas pelo GPUPDATE /FORCE, será necessário fazer o logoff após o comando.

34- Repita os procedimento 22 e 23 para abrir o Snap-In dos certificados, e verifique se o certificado do usuário logado estará lá. Com isso tivemos êxito em nosso processo de auto-enrollment.

35- Outra forma de ver os certificados aplicados é através do servidor (Start Menu / Administrative Templates / Certification Authority / Issued Certificates.

[ ]’s 🙂

 

 

 

 

 

Uma resposta em “Instalando e configurando o Active Directory Certificate Services no Windows 2008 R2

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s