Este registo de certificados baseia-se nos XCEP e WSTEP protocolos que todas as versões recentes do Windows suportam nativamente. Em ambientes de Active Directory, as definições necessárias podem ser aplicadas através de políticas de grupo (GPO), para fazer com que computadores ligados ao AD registem certificados do SCEPman.
Neste cenário, são necessárias três definições de política de grupo para uma implementação de certificados totalmente automatizada.
1
Registo do servidor CEP
O servidor CEP (Certificate Enrollment Policy) (parte do SCEPman) fornecerá a um cliente autenticado uma política contendo todos os modelos de certificado configurados no SCEPman para registo em Active Directory. O servidor CEP precisa de ser adicionado nos clientes no registo. O Windows inclui modelos de GPO para configurar as definições necessárias na interface gráfica.
Configuração da política
Para os modelos de certificado Dispositivo e DC, tem de ir para a Configuração do computador hive. Para Utilizador, navegue no Configuração do utilizador hive. Se usar modelos de certificado de ambos os tipos, terá de configurar ambos. Nesse caso, normalmente usará duas GPOs, uma aplicada aos utilizadores com a Configuração do utilizador e outra aplicada aos computadores com a Configuração do computador.
Localização da definição no Editor de Gestão de Política de Grupo (gpmc.msc)
Configuração do computador / Configuração do utilizador
└-Políticas
└-Definições do Windows
└-Definições de segurança
└-Políticas de chaves públicas
└-Client de Serviços de Certificados - Servidor de política de registo de certificados
Na definição, adicione um novo servidor CEP à lista e introduza o URI do servidor de política no respetivo campo. Pode copiar este URI da página inicial do seu SCEPman. Segue o esquema de https://scepman.contoso.com/step/policy. Depois de introduzir e validar o servidor CEP, pode concluir a definição adicionando-o e confirmando a caixa de diálogo.
No processo de configuração, o cliente já efetua uma chamada de validação ao servidor CEP. Por isso, o contexto da conta usado para a configuração tem de ter permissão para aceder ao ponto final CEP do SCEPman, ou seja, autenticar com Kerberos, e acesso de rede de saída à porta 443 do SCEPman.
Consulte a Problemas Conhecidos secção caso receba um erro durante a validação do servidor CEP.
Se estiver a usar o servidor CEP do SCEPman em paralelo com o seu ADCS existente, tem de escolher um servidor predefinido e certificar-se de que mantém a política de registo existente.
2
Ativar o registo automático
Com o servidor CEP registado, os seus utilizadores/computadores podem pedir certificados ao SCEPman. Normalmente, pretende-se que o façam automaticamente, sem intervenção do utilizador, e para isso tem de ativar o Registo automático. Note que isso já pode estar ativado se já estivesse a usar o registo automático anteriormente com o Microsoft Active Directory Certificate Services (AD CS).
Localização da definição no Editor de Gestão de Política de Grupo (gpmc.msc)
Configuração do computador / Configuração do utilizador
└-Políticas
└-Definições do Windows
└-Definições de segurança
└-Políticas de chaves públicas
└-Client de Serviços de Certificados - Registo automático
Certifique-se de selecionar Atualizar certificados que usam modelos de certificado para ativar o registo automático.
3
Instalar a CA raiz fidedigna
Com o servidor de política de registo e as definições de registo automático em vigor, só precisa de se certificar de que os seus dispositivos ou utilizadores de destino confiam no certificado da sua CA SCEPman. Para que isso aconteça, terá de importar o certificado da CA na definição GPO correspondente.
Localização da definição no Editor de Gestão de Política de Grupo (gpmc.msc)
Configuração do computador / Configuração do utilizador
└-Políticas
└-Definições do Windows
└-Definições de segurança
└-Políticas de chaves públicas
└-Autoridades de certificação raiz fidedignas
└- Importar (menu de contexto)
Transfira o certificado da CA do seu SCEPman a partir da sua página inicial e certifique-se de que o importa nesta caixa de diálogo.
