O que há de novo no AD CS 2012

O AD CS (Serviços de Certificados do Active Directory) no Windows Server® 2012 fornece novos recursos e funcionalidades em relação às versões anteriores. Este documento descreve a nova implantação, gerenciamento e recursos adicionados ao AD CS no Windows Server 2012.

Os Serviços de Certificados do Active Directory (AD CS) fornecem serviços personalizáveis para emissão e gerenciamento de certificados PKI (infraestrutura de chaves públicas) usados em sistemas de segurança de software que empregam tecnologia de chave pública. A função de servidor do AD CS inclui seis serviços de função:

  • CA (Autoridade de certificação)
  • Inscrição na Web
  • Respondente Online
  • Serviço de Inscrição do Dispositivo de Rede
  • Serviço Web de Política de Registro de Certificado
  • Serviço Web de Registro de Certificado

Para obter uma visão geral do AD CS, consulte Serviços de Certificados do Active Directory (AD CS) (http://go.microsoft.com/fwlink/p/?LinkId=242237).

Diversas funcionalidades novas estão disponíveis na versão do Windows Server 2012 do AD CS. Elas incluem:

  • Integração com o Gerenciador do Servidor
  • Funcionalidades de implantação e gerenciamento do Windows PowerShell®
  • Todos os serviços da função do AD CS são executados em qualquer versão do Windows Server 2012
  • Todos os serviços de função do AD RMS podem ser executados no Server Core
  • Suporte para a renovação automática de certificados em computadores associados não pertencentes ao domínio
  • Execução da renovação de certificado com a mesma chave
  • Suporte a nomes de domínio internacionais
  • Melhor segurança habilitada por padrão no serviço de função da Autoridade de Certificação

O Gerenciador do Servidor fornece uma interface gráfica do usuário centralizada para a instalação e o gerenciamento da função de servidor do AD CS e os seis serviços de função dela.

Qual o valor que esta alteração adiciona?

A função de servidor do AD CS e seus serviços de função são integrados no Gerenciador do Servidor, o que permite instalar o serviço de função do AD CS no menu Gerenciar usando Adicionar Funções e Recursos. Assim que a função de servidor é adicionada, o AD CS é exibido no painel do Gerenciador do Servidor como uma das funções que podem ser gerenciadas. Isso fornece um local central do qual você pode implantar e gerenciar o AD CS e os serviços de função. Além disso, o novo Gerenciador do Servidor permite gerenciar vários servidores de um local e você pode ver os serviços de função do AD CS instalados em cada servidor, analisar os eventos relacionados e executar as tarefas de gerenciamento em cada servidor. Para obter mais informações sobre como o novo Gerenciador do Servidor funciona.

O que passou a funcionar de maneira diferente?

Para adicionar a Função de Servidor do AD CS, você pode usar o link Adicionar Funções e Recursos no menu Gerenciar do Gerenciador do Servidor. O fluxo de instalação do AD CS é semelhante ao da versão anterior, exceto para a divisão do processo de instalação binário e do processo de configuração. Anteriormente, a instalação e a configuração estavam em um único assistente. Na nova experiência de instalação, você instala primeiro os arquivos binários e pode iniciar o Assistente de Configuração do AD CS para configurar os serviços de função que já tiveram seus arquivos binários instalados. Para remover a Função de Servidor do AD CS, você pode usar o link Remover Funções e Recursos no menu Gerenciar.

 

É possível configurar ou remover as configurações de todos os serviços de função do AD CS usando os cmdlets do Windows PowerShell® de Implantação do AD CS. O cmdlet de Administração do AD CS permite que você gerencie o serviço de função da Autoridade de Certificação.

Qual o valor que esta alteração adiciona?

Você pode usar o Windows PowerShell para executar scripts de implantações de qualquer serviço de função do AD CS, assim como a capacidade de gerenciar o serviço de função da AC.

O que passou a funcionar de maneira diferente?

Você pode usar os cmdlets do Gerenciador do Servidor ou do Windows PowerShell para implantar os serviços de função do AD CS.

Todas as versões do Windows Server 2012 permitem instalar todos os serviços de função do AD CS.

Qual o valor que esta alteração adiciona?

Diferentemente das versões anteriores, você pode instalar funções do AD CS em qualquer versão do Windows Server 2012.

O que passou a funcionar de maneira diferente?

No Sistema operacional Windows Server® 2008 R2, os diferentes serviços de função (anteriormente chamados de componentes) tinham requisitos de versão do sistema operacional diferentes, conforme descrito em Visão geral dos Serviços de Certificados do Active Directory (http://go.microsoft.com/fwlink/p/?LinkId=242500). No Windows Server 2012, todos os seis serviços de funções funcionam como em qualquer versão do Windows Server 2012. A única diferença é que você encontrará o AD CS com todos os seis serviços de função disponíveis para instalação em qualquer versão do Windows Server 2012.

Todos os seis serviços de função do AD CS do Windows Server 2012 podem ser instalados e executados em instalações Server Core do Windows Server 2012 ou com as opções de instalação de Interface de Servidor Mínima.

Qual o valor que esta alteração adiciona?

Diferentemente das versões anteriores, agora você pode executar todos os serviços de função do AD CS nas opções de instalação Server Core ou Interface de Servidor Mínima no Windows Server 2012

O que passou a funcionar de maneira diferente?

Agora você pode implantar facilmente os serviços de função do AD CS usando o Gerenciador do Servidor ou cmdlets do Windows PowerShell trabalhando localmente no computador ou remotamente pela rede. Além disso, o Windows Server 2012 fornece várias opções de instalação que permitem até a instalação com uma interface gráfica do usuário e posterior alternância para uma instalação Server Core ou de Interface de Servidor Mínima.

O recurso Serviços Web de Registro de Certificado foi adicionado no Windows® 7 e no Windows Server 2008 R2. Esse recurso permite as solicitações de certificados online de domínios não confiáveis do AD DS (Serviços de Domínio Active Directory) ou mesmo de computadores que não ingressaram em um domínio. O AD CS no Windows Server 2012 complementa os Serviços Web de Registro de Certificado adicionando a capacidade de renovar automaticamente certificados de computadores que fazem parte de domínios do AD DS não confiáveis ou que não ingressaram em um domínio.

Qual o valor que esta alteração adiciona?

Os administradores não precisam renovar manualmente os certificados de computadores que são membros de grupos de trabalho ou que possivelmente fazem parte de um domínio ou floresta diferente do AD DS.

O que passou a funcionar de maneira diferente?

Os Serviços Web de Registro de Certificado continuam funcionando da mesma forma que antes, mas agora os computadores fora de um domínio podem renovar os certificados usando seu certificado existente para autenticação.

O AD CS no Windows Server 2012 introduz modelos de certificado da versão 4. Esses modelos têm várias diferenças das versões de modelo anteriores. Os modelos de certificado da versão 4:

  • oferecem suporte aos CSPs (provedores de serviços de criptografia) e aos KSPs (provedores de serviço de chave).
  • podem ser definidos para exigir renovação com a mesma chave.
  • estão disponíveis apenas para uso pelo Windows® 8 e pelo Windows Server 2012.
  • especificam os sistemas operacionais mínimos de autoridade de certificação de cliente de certificado que podem usar o modelo.

Para ajudar os administradores a separar os recursos que têm suporte em quais versões do sistema operacional, a guia Compatibilidade foi adicionada à guia de propriedades do modelo de certificado.

Qual o valor que esta alteração adiciona?

Os novos modelos de certificado da versão 4 fornecem funcionalidades adicionais, como a imposição da renovação com a mesma chave (disponível apenas para o clientes de certificados do Windows 8 e do Windows Server 2012). A nova guia Compatibilidade permite que os administradores definam combinações diferentes de versões do sistema operacional para a autoridade de certificação e os clientes de certificados e vejam apenas as configurações que funcionarão com essas versões de clientes.

O que passou a funcionar de maneira diferente?

A guia Compatibilidade é exibida na interface do usuário de propriedades Modelo de Certificado. Essa guia permite que você selecione as versões mínimas de sistema operacional de autoridade de certificação e de cliente de certificado. A configuração da guia Compatibilidade tem algumas funções:

  • Ela marca as opções como indisponíveis nas propriedades de modelo de certificado, dependendo das versões de sistemas operacionais selecionadas do cliente de certificado e da autoridade de certificação.
  • Para os modelos da versão 4, ela determina as versões do sistema operacional que podem usar o modelo.

Os clientes anteriores ao Windows 8 e ao Windows Server 2012 não poderão tirar proveito dos novos modelos da versão 4.

noteObservação
Há uma declaração na guia Compatibilidade que informa que Essas configurações talvez não impeçam que sistemas operacionais anteriores utilizem esse modelo. Essa declaração significa que as configurações de compatibilidade não têm efeito restritivo nos modelos da versão 1, 2 ou 3 e as inscrições podem continuar como antes. Por exemplo, na guia Compatibilidade, se a versão mínima do sistema operacional cliente estiver definida como Windows® Vista em um modelo da versão 2, um cliente de certificado do Windows® XP ainda poderá se registrar para um certificado usando modelo da versão 2. 

 

Para obter mais informações sobre essas alterações, consulte Versões e opções de modelo de certificado (http://go.microsoft.com/fwlink/p/?LinkId=242425)

O AD CS no Windows Server 2012 melhora a segurança exigindo a renovação de um certificado com a mesma chave. Isso permite que o mesmo nível de garantia da chave original seja mantido durante todo seu ciclo de vida. O Windows Server 2012 dá suporte à geração de chaves protegidas por TPM (Trusted Platform Module) usando KSPs (Provedores de Armazenamento de Chaves) baseados em TPM. O benefício em usar o KSP baseado em TPM é a não exportabilidade verdadeira das chaves com suporte pelo mecanismo anti-hammering de TPMs. Os administradores podem configurar modelos de certificado de forma que o Windows 8 e o Windows Server 2012 deem mais prioridade aos KSPs baseados em TPM para a geração de chaves. Além disso, usando a renovação com a mesma chave, os administradores podem garantir que a chave ainda permanece no TPM após a renovação.

noteObservação
Inserir o PIN (número de identificação pessoal) incorretamente muitas vezes ativa a lógica anti-hammering do TPM. A lógica anti-hammering são métodos de software ou hardware que aumentam a dificuldade e o custo de um ataque de força bruta em um PIN ao não aceitar as entradas PIN até um determinado período de tempo ter decorrido. 

 

Qual o valor que esta alteração adiciona?

Este recurso permite que um administrador imponha a renovação com a mesma chave, o que pode reduzir os custos administrativos (quando as chaves são renovadas automaticamente) e aumentar a segurança da chave (quando as chaves são armazenadas usando KSPs baseados em TPM).

O que passou a funcionar de maneira diferente?

Os clientes que recebem certificados de modelos que foram configurados para a renovação com a mesma chave devem renovar os certificados usando a mesma chave ou a renovação falhará. Além disso, essa opção está disponível somente para clientes de certificado do Windows 8 e do Windows Server 2012.

Os nomes internacionalizados são nomes que contêm caracteres que não podem ser representados em ASCII. O AD CS no Windows Server 2012 dá suporte a IDNs (Nomes de Domínio Internacionalizados) em diversos cenários.

Qual o valor que esta alteração adiciona?

Há suporte para os seguintes cenários de IDN:

  • Registro de certificado para computadores que usam IDNs
  • Geração e envio uma solicitação de certificado com um IDN usando a ferramenta de linha de comando certreq.exe
  • Publicação de CRLs (Listas de Certificados Revogados) e do protocolo OCSP em servidores usando IDNs
  • A interface do usuário Certificado dá suporte a IDNs
  • O snap-in do MMC de Certificados também permite IDNs em Propriedades do Certificado

O que passou a funcionar de maneira diferente?

Há suporte limitado aos IDNs, conforme descrito anteriormente.

Quando uma solicitação de certificado é recebida por uma AC (autoridade de certificação), a criptografia da solicitação pode ser imposta pela AC via RPC_C_AUTHN_LEVEL_PKT. No Windows Server 2008 R2 e em versões anteriores, essa configuração não é habilitada por padrão na AC. Em uma AC do Windows Server 2012, essa configuração de segurança avançada está habilitada por padrão.

Qual o valor que esta alteração adiciona?

A autoridade de certificação impõe a segurança aprimorada nas solicitações que são enviadas a ela. Esse maior nível de segurança exige que os pacotes que solicitam um certificado sejam criptografados, de modo que não possam ser interceptados e lidos. Sem essa configuração habilitada, qualquer um com acesso à rede pode ler os pacotes enviados para a autoridade de certificação e dela usando um analisador de rede. Isso significa que as informações que poderiam ser expostas podem ser consideradas uma violação de privacidade, como nomes dos usuários ou máquinas que solicitam, os tipos de certificados nos quais eles estão se registrando, as chaves públicas envolvidas, etc. Em uma floresta ou um domínio, o vazamento desses dados poderia não ser uma preocupação para a maioria das organizações. No entanto, se os invasores obterem acesso ao tráfego de rede, a estrutura interna e a atividade da empresa poderiam ser obtidas, o que poderia ser usado em mais ataques de engenharia social ou de phishing.

Os comandos para habilitar o nível de segurança avançado de RPC_C_AUTHN_LEVEL_PKT em autoridades de certificação do Windows Server® 2003, Windows Server® 2003 R2, Windows Server® 2008 ou do Windows Server 2008 R2 são os seguintes:

certutil -setreg CAInterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Reiniciar a autoridade de certificação
net stop certsvc
net start certsvc

Se você ainda tiver computadores cliente Windows XP que precisam solicitar certificados de uma autoridade de certificação com a configuração habilitada, você tem duas opções:

  1. Atualizar os clientes Windows XP para um sistema operacional mais recente.
  2. Reduzindo a segurança da autoridade de certificação executando os seguintes comandos:
    1. certutil -setreg CAInterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST
    2. net stop certsvc
    3. net start certsvc

O que passou a funcionar de maneira diferente?

Os clientes do Windows XP não serão compatíveis com essa configuração de alta segurança habilitada por padrão em uma AC do Windows Server 2012. Se necessário, você pode diminuir a configuração de segurança, conforme descrito anteriormente.

Fonte: http://technet.microsoft.com/pt-br/library/hh831373.aspx

Deixe um comentário