# Política de Grupo

Este registo de certificados baseia-se nos [XCEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-xcep) e [WSTEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wstep/) protocolos que todas as versões recentes do Windows suportam nativamente. Em ambientes de Active Directory, as definições necessárias podem ser aplicadas através de políticas de grupo (GPO), para fazer com que computadores ligados ao AD registem certificados do SCEPman.

Neste cenário, são necessárias três definições de política de grupo para uma implementação de certificados totalmente automatizada.

{% stepper %}
{% step %}

### Registo do servidor CEP

O servidor CEP (Certificate Enrollment Policy) (parte do SCEPman) fornecerá a um cliente autenticado uma política contendo todos os modelos de certificado configurados no SCEPman para registo em Active Directory. O servidor CEP precisa de ser adicionado nos clientes no registo. O Windows inclui modelos de GPO para configurar as definições necessárias na interface gráfica.

#### Configuração da política

Para os modelos de certificado `Dispositivo` e `DC`, tem de ir para a *Configuração do computador* hive. Para `Utilizador`, navegue no *Configuração do utilizador* hive. Se usar modelos de certificado de ambos os tipos, terá de configurar ambos. Nesse caso, normalmente usará duas GPOs, uma aplicada aos utilizadores com a Configuração do utilizador e outra aplicada aos computadores com a Configuração do computador.

<pre data-title="Localização da definição no Editor de Gestão de Política de Grupo (gpmc.msc)"><code>Configuração do computador / Configuração do utilizador
└-Políticas
  └-Definições do Windows
    └-Definições de segurança
      └-Políticas de chaves públicas
<strong>        └-Client de Serviços de Certificados - Servidor de política de registo de certificados
</strong></code></pre>

Na definição, adicione um novo servidor CEP à lista e introduza o URI do servidor de política no respetivo campo. Pode copiar este URI da página inicial do seu SCEPman. Segue o esquema de `https://scepman.contoso.com/step/policy`. Depois de introduzir e validar o servidor CEP, pode concluir a definição adicionando-o e confirmando a caixa de diálogo.

{% hint style="warning" %}
No processo de configuração, o cliente já efetua uma chamada de validação ao servidor CEP. Por isso, o contexto da conta usado para a configuração tem de ter permissão para aceder ao ponto final CEP do SCEPman, ou seja, autenticar com Kerberos, e acesso de rede de saída à porta 443 do SCEPman.
{% endhint %}

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FX84wWn0ykjjnIqAoZC8a%2Fimage.png?alt=media&#x26;token=c8a6049d-2864-4dea-9692-f72718244bfd" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Consulte a [Problemas Conhecidos](https://docs.scepman.com/pt/gerenciamento-de-certificados/general-configuration#known-issues) secção caso receba um erro durante a validação do servidor CEP.
{% endhint %}

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FxR6zCRYX2tIgRQz0eb80%2Fimage.png?alt=media&#x26;token=9f994ff2-7ea6-4361-b8c7-ae615627769e" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Se estiver a usar o servidor CEP do SCEPman em paralelo com o seu ADCS existente, tem de escolher um servidor predefinido e certificar-se de que mantém a política de registo existente.
{% endhint %}
{% endstep %}

{% step %}

### Ativar o registo automático

Com o servidor CEP registado, os seus utilizadores/computadores podem pedir certificados ao SCEPman. Normalmente, pretende-se que o façam automaticamente, sem intervenção do utilizador, e para isso tem de ativar o Registo automático. Note que isso já pode estar ativado se já estivesse a usar o registo automático anteriormente com o Microsoft Active Directory Certificate Services (AD CS).

<pre data-title="Localização da definição no Editor de Gestão de Política de Grupo (gpmc.msc)"><code>Configuração do computador / Configuração do utilizador
└-Políticas
  └-Definições do Windows
    └-Definições de segurança
      └-Políticas de chaves públicas
<strong>        └-Client de Serviços de Certificados - Registo automático
</strong></code></pre>

Certifique-se de selecionar `Atualizar certificados que usam modelos de certificado` para ativar o registo automático.

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F46F7m4Xtc7YI1Z3h2Khl%2Fimage.png?alt=media&#x26;token=4432b827-4bb5-42a1-9232-03bac576e0ab" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Instalar a CA raiz fidedigna

Com o servidor de política de registo e as definições de registo automático em vigor, só precisa de se certificar de que os seus dispositivos ou utilizadores de destino confiam no certificado da sua CA SCEPman. Para que isso aconteça, terá de importar o certificado da CA na definição GPO correspondente.

<pre data-title="Localização da definição no Editor de Gestão de Política de Grupo (gpmc.msc)"><code>Configuração do computador / Configuração do utilizador
└-Políticas
  └-Definições do Windows
    └-Definições de segurança
      └-Políticas de chaves públicas
        └-Autoridades de certificação raiz fidedignas
<strong>          └- Importar (menu de contexto)
</strong></code></pre>

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fpm2U64nuLU0ZWpU9Cs7B%2Fimage.png?alt=media&#x26;token=4f0169cc-4ef8-419d-88f8-37f4140cfc6f" alt=""><figcaption></figcaption></figure>

Transfira o certificado da CA do seu SCEPman a partir da sua página inicial e certifique-se de que o importa nesta caixa de diálogo.
{% endstep %}
{% endstepper %}