Esta inscrição de certificado baseia-se no XCEP e WSTEP protocolos que todas as versões recentes do Windows suportam nativamente. Em ambientes do Active Directory, as configurações necessárias podem ser aplicadas via políticas de grupo (GPO), para permitir que computadores ingressados no AD inscrevam certificados a partir do SCEPman.
Neste cenário, três configurações de política de grupo são necessárias para uma implementação de certificado totalmente automatizada.
1
Registro do servidor CEP
O servidor CEP (Certificate Enrollment Policy) (parte do SCEPman) fornecerá a um cliente autenticado uma política contendo todos os modelos de certificado configurados no SCEPman para inscrição no Active Directory. O servidor CEP precisa ser adicionado nos clientes no registro. O Windows inclui modelos de GPO para configurar as definições necessárias na interface gráfica.
Configuração da Política
Para os modelos de certificado Dispositivo e DC, você precisa ir para a Configuração do Computador seção. Para Usuário, navegue na Configuração do Usuário seção. Se você usar modelos de certificado de ambos os tipos, terá que configurar ambos. Nesse caso, normalmente você usará duas GPOs, uma aplicada aos usuários com a Configuração do Usuário e outra aplicada aos computadores com a Configuração do Computador.
Localização da definição no Editor de Gerenciamento de Política de Grupo (gpmc.msc)
Configuração do Computador / Configuração do Usuário
└-Políticas
└-Configurações do Windows
└-Configurações de Segurança
└-Políticas de Chave Pública
└-Cliente de Serviços de Certificado - Servidor de Política de Inscrição de Certificado
Na definição, adicione um novo servidor CEP na lista e insira o URI do servidor de política no campo correspondente. Você pode copiar este URI da página inicial do seu SCEPman. Ele segue o esquema de https://scepman.contoso.com/step/policy. Após inserir e validar o servidor CEP, você pode concluir a configuração adicionando-o e confirmando o diálogo.
No processo de configuração, o cliente já faz uma chamada de validação ao servidor CEP. Portanto, o contexto da conta usado para a configuração deve ter permissão para acessar o endpoint CEP do SCEPman, ou seja, autenticar-se com Kerberos, e acesso de saída na rede para o SCEPman na porta 443.
Por favor, veja a Problemas Conhecidos seção caso você receba um erro durante a validação do servidor CEP.
Se você estiver usando o servidor CEP do SCEPman em paralelo com seu ADCS existente, precisa escolher um servidor padrão e certificar-se de manter a política de inscrição existente.
2
Ativar Inscrição Automática
Com o servidor CEP registrado, seus usuários/computadores podem solicitar certificados ao SCEPman. Geralmente, você quer que isso ocorra automaticamente sem interação do usuário e, para isso, deve ativar a Inscrição Automática. Observe que pode já estar ativada se você já usava Inscrição Automática antes com o Microsoft Active Directory Certificate Services (AD CS).
Localização da definição no Editor de Gerenciamento de Política de Grupo (gpmc.msc)
Configuração do Computador / Configuração do Usuário
└-Políticas
└-Configurações do Windows
└-Configurações de Segurança
└-Políticas de Chave Pública
└-Cliente de Serviços de Certificado - Inscrição Automática
Certifique-se de marcar Atualizar certificados que usam modelos de certificado para habilitar a inscrição automática.
3
Instalar Autoridade de Certificação Raiz Confiável
Com o servidor de política de inscrição e as configurações de inscrição automática em vigor, você só precisa garantir que seus dispositivos alvo ou usuários confiem no certificado CA do seu SCEPman. Para isso, será necessário importar o certificado da CA na configuração correspondente da GPO.
Localização da definição no Editor de Gerenciamento de Política de Grupo (gpmc.msc)
Configuração do Computador / Configuração do Usuário
└-Políticas
└-Configurações do Windows
└-Configurações de Segurança
└-Políticas de Chave Pública
└-Autoridades de Certificados Raiz Confiáveis
└- Importar (Menu de Contexto)
Baixe o certificado CA do seu SCEPman na sua página inicial e certifique-se de importá-lo neste diálogo.
