Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Política de Grupo

Este processo de inscrição de certificados baseia-se nos XCEP e WSTEP protocolos que todas as versões recentes do Windows suportam nativamente. Em ambientes Active Directory, as definições necessárias podem ser aplicadas por meio de políticas de grupo (GPO), para que computadores associados ao AD inscrevam certificados do SCEPman.

Neste cenário, são necessárias três definições de Política de Grupo para uma implementação de certificados totalmente automatizada.

1

Registo do servidor CEP

O servidor CEP (Certificate Enrollment Policy) (parte do SCEPman) fornecerá a um cliente autenticado uma política contendo todos os modelos de certificado configurados no SCEPman para inscrição no Active Directory. O servidor CEP precisa de ser adicionado nos clientes no registo. O Windows inclui modelos de GPO para configurar as definições necessárias na interface gráfica.

Configuração da política

Para os modelos de certificado Dispositivo e DC, tem de ir para a Configuração do computador ramificação. Para Utilizador, navegue na Configuração do utilizador ramificação. Se utilizar modelos de certificado de ambos os tipos, terá de configurar ambos. Nesse caso, normalmente usará duas GPOs, uma aplicada aos utilizadores com a Configuração do utilizador e outra aplicada aos computadores com a Configuração do computador.

Localização da definição no Editor de Gestão de Política de Grupo (gpmc.msc)
Configuração do computador / Configuração do utilizador
└-Políticas
  └-Definições do Windows
    └-Definições de segurança
      └-Políticas de chaves públicas
        └-Cliente dos Serviços de Certificados - Servidor de Política de Inscrição de Certificados

Na definição, adicione um novo servidor CEP à lista e introduza o URI do servidor de políticas no campo correspondente. Pode copiar este URI da página inicial do SCEPman. Segue o esquema de https://scepman.contoso.com/step/policy. Depois de introduzir e validar o servidor CEP, pode concluir a definição adicionando-o e confirmando a caixa de diálogo.

No processo de configuração, o cliente já efetua uma chamada de validação ao servidor CEP. Portanto, o contexto de conta utilizado para a configuração tem de ter permissão para aceder ao endpoint CEP do SCEPman, ou seja, autenticar com Kerberos, e acesso de rede de saída à porta 443 do SCEPman.

Consulte a secção de Problemas Conhecidos caso receba um erro durante a validação do servidor CEP.

Se estiver a utilizar o servidor CEP do SCEPman em paralelo com o seu ADCS existente, tem de escolher um servidor predefinido e garantir que mantém a política de inscrição existente.

2

Ativar a inscrição automática

Com o servidor CEP registado, os seus utilizadores/computadores podem solicitar certificados ao SCEPman. Normalmente, pretende que o façam automaticamente, sem interação do utilizador, e, para isso, tem de ativar a inscrição automática. Note que isso já pode estar ativado se já utilizava a inscrição automática anteriormente com o Microsoft Active Directory Certificate Services (AD CS).

Localização da definição no Editor de Gestão de Política de Grupo (gpmc.msc)
Configuração do computador / Configuração do utilizador
└-Políticas
  └-Definições do Windows
    └-Definições de segurança
      └-Políticas de chaves públicas
        └-Cliente dos Serviços de Certificados - Inscrição automática

Certifique-se de assinalar Atualizar certificados que usam modelos de certificado para ativar a inscrição automática.

3

Instalar a Autoridade de Certificação raiz de confiança

Com o servidor de política de inscrição e as definições de inscrição automática configurados, só precisa de garantir que os seus dispositivos ou utilizadores de destino confiam no certificado da AC do SCEPman. Para isso, terá de importar o certificado da AC na definição de GPO correspondente.

Localização da definição no Editor de Gestão de Política de Grupo (gpmc.msc)
Configuração do computador / Configuração do utilizador
└-Políticas
  └-Definições do Windows
    └-Definições de segurança
      └-Políticas de chaves públicas
        └-Autoridades de Certificação Raiz Confiáveis
          └- Importar (menu de contexto)

Transfira o certificado da AC do SCEPman da respetiva página inicial e certifique-se de que o importa nesta caixa de diálogo.

Última atualização

Isto foi útil?