Certificados de Controlador de Domínio

Você pode usar o SCEPman para emitir certificados de autenticação Kerberos para seus controladores de domínio. Isso permite que seus dispositivos ingressados no AAD ou em modo híbrido autentiquem-se sem interrupções ao acessar recursos locais. Isso pode ser usado para implementar o Confiança de chave híbrida para Windows Hello for Business. O SCEPman substituirá a exigência de uma Infraestrutura de chave pública. Detalhes podem ser encontrados aqui

CA raiz sem a extensão Enhanced Key Usage (EKU)

Este recurso tem novos requisitos para a CA raiz. Se você estiver atualizando de uma versão anterior conforme 1.6 você deve gerar uma nova CA raiz. Para suportar certificados de autenticação Kerberos o certificado da CA deve conter ou nenhuma extensão Enhanced Key Usage (EKU) ou deve incluir Autenticação Kerberos e Logon com cartão inteligente.

Se você está começando com o SCEPman 1.6 e gerando a CA raiz com nosso SCEPman, você pode pular as etapas seguintes. Caso contrário, siga este guia para gerar uma nova CA raiz.

1. Navegue até o seu Key Vault

2. Verifique se sua Conta de Usuário está adicionada às políticas de Acesso com todas as permissões de certificado

3. Vá para Certificados, selecione seu certificado de CA e clique em Excluir

4. Depois de excluir com sucesso o certificado da CA você deve clicar em Gerenciar certificados excluídos

5. Selecione seu certificado de CA, que você excluiu no Passo 3 e clique em Purgar (Tenha em mente que depois de purgar o certificado você não poderá restaurá-lo!)

6. Agora reinicie seus App Services do SCEPman

7. Uma vez que seus App Services sejam reiniciados, abra o Painel do SCEPman navegando até a URL do seu SCEPman

8. Você pode ver a seção Problemas de configuração, por favor siga os passos desta seção.

9. Depois de gerar o novo certificado da CA você pode verificar a adequação da CA no Painel do SCEPman.

Adequação da CA no Painel do SCEPman:

Alterações de configuração no serviço SCEPman

Para habilitar o recurso, você deve adicionar duas configurações de aplicação no seu serviço SCEPman. Na implementação atual, usamos uma chave pré-compartilhada (senha) para solicitações dos DCs. Por favor gere uma nova chave/senha e armazene-a em um local seguro. (você precisará dela nas etapas seguintes e mais tarde, nos Controladores de Domínio)

1. Navegue até App Services

2. Então escolha seu app SCEPman

3. Em seguida, em Configurações clique em Variáveis de ambiente

4. Selecione Adicionar

5. Digite AppConfig:DCValidation:Enabled como Nome (use __ em vez de : para SCEPman em Linux)

6. Digite true como Valor

7. Confirme com OK

8. Selecione Adicionar novamente

9. Digite AppConfig:DCValidation:RequestPassword como Nome (use __ em vez de : para SCEPman em Linux)

10. Digite sua chave/senha, que você gerou anteriormente, como Valor

11. Confirme com OK

12. Salve as configurações da aplicação

Confie no certificado da CA no domínio para autenticação Kerberos

Certificados usados para autenticação Kerberos precisam ser confiáveis dentro do domínio AD como certificados de CA de autenticação. Por favor, faça o download do certificado da CA a partir do Painel do SCEPman. Se você armazenou o arquivo como scepman-root.cer, você pode publicar o certificado da CA do SCEPman (seja ele uma CA raiz ou uma CA intermediária) com o seguinte comando usando uma conta que tenha direitos de Administrador de Empresa:

Analogamente, execute o seguinte comando para enviar o certificado da CA raiz (isto é, o certificado da CA do SCEPman ou, no caso do SCEPman ser uma CA intermediária, a CA raiz da cadeia de certificados da CA do SCEPman) para o repositório Trusted Root para todas as máquinas na Floresta AD:

Depois disso, o certificado da CA geralmente é confiável no AD e especialmente confiável para Autenticação Kerberos. Contudo, leva algum tempo (na configuração padrão até 8 horas) até que todos os dispositivos recebam essa configuração. Você pode acelerar esse processo em qualquer máquina executando gpupdate /force, por exemplo, nos controladores de domínio.

Isso garante que os certificados dos DCs sejam confiáveis dentro do domínio. Eles também são confiáveis em todos os dispositivos gerenciados pelo Intune dentro do escopo de um perfil de Certificado Confiável que distribui o certificado da CA raiz. Pode ser necessário distribuir manualmente a CA raiz para outros serviços como appliances ou serviços em nuvem para tornar os certificados dos DCs confiáveis para todos os sistemas.

Instalação no cliente

Então você deve baixar nosso software cliente SCEP Open Source SCEPClient. Releases com o sufixo -framework usam .NET Framework 4.6.2, que vem pré-instalado no Windows Server 2016 e é compatível com versões mais novas. Outras releases requerem que o .NET Core Runtime seja instalado nos sistemas de destino.

Execute o seguinte comando em um prompt de comando elevado em um controlador de domínio para receber um certificado de Controlador de Domínio do SCEPman:

Você deve adicionar a URL do SCEPman no comando anterior, mas mantenha o caminho /dc. Substitua RequestPassword pela chave/senha segura que você gerou anteriormente.

A senha de solicitação é criptografada com o certificado da CA do SCEPman, então somente o SCEPman pode lê-la. Certificados de Controlador de Domínio são emitidos somente com a senha de solicitação correta.

Renovação automática de certificados

Para uma renovação totalmente automatizada de certificados, você deve distribuir o ScepClient para todos seus controladores de domínio, juntamente com o script PowerShell enroll-dc-certificate.ps1. Adicione uma Tarefa Agendada que execute o seguinte comando em um contexto SYSTEM (adapte a URL e a senha de solicitação):

Por favor, certifique-se de que o script PowerShell resida no mesmo diretório que o SCEPClient.exe e suas dependências adicionais.

Isto verifica a existência de certificados de DC no armazenamento da máquina. Somente se não houver certificados adequados com pelo menos 30 dias de validade, ele usa o ScepClient.exe para solicitar um novo certificado de DC do SCEPman. Se você quiser modificar o limite de 30 dias, use o parâmetro -ValidityThresholdDays do script PowerShell.

O script grava um arquivo de log contínuo no diretório onde está armazenado. Se você não quiser esse arquivo de log, omita o -LogToFile parâmetro. Você pode, em vez disso, redirecionar os fluxos Information, Error e/ou Debug para arquivos (por exemplo, 6>logfile.txt 2>&1).

Para WHfB, todos os DCs com versão 2016 ou mais recentes precisam de um certificado de Autenticação Kerberos. DCs mais antigos encaminham solicitações de autenticação para DCs mais novos, portanto não necessitam necessariamente de um certificado de Autenticação Kerberos. Ainda assim, é uma boa prática fornecê-los também com certificados.

Descontinuação de uma PKI interna existente

Por favor, assegure-se de que PKIs internas não inscrevam certificados de DC (Modelos de Certificado "Domain Controller", "Domain Controller Authentication" e "Kerberos Authentication") em paralelo com o SCEPman. Caso contrário, os DCs podem usar o certificado de DC da PKI interna, que é considerado não confiável se, por exemplo, o CDP estiver inacessível. O certificado de DC do SCEPman pode ser usado para todos os propósitos para os quais os certificados dos modelos mencionados acima podem ser usados, por exemplo autenticação Kerberos e LDAPS.

A maneira mais fácil de conseguir isso é impedir que as CAs internas emitam certificados para os modelos "Domain Controller", "Domain Controller Authentication" e "Kerberos Authentication". No snap-in MMC da Certification Authority, exclua esses modelos da lista de modelos emitidos de cada CA interna. Em seguida, exclua os certificados já emitidos pela CA interna das Stores "MEU" dos seus Controladores de Domínio (certlm.msc e navegue para Pessoal). Mesmo após uma gpupdate /force, nenhum novo certificado de DC da PKI interna deve aparecer na store Pessoal do DC.