Certificados e NPS
Os certificados são documentos digitais emitidos por CAs (autoridades de certificação), como o AD CS (Serviços de Certificados do Active Directory) ou a autoridade de certificação pública Verisign. Os certificados podem ser usados para muitas finalidades, como a assinatura de código e a proteção da comunicação por email mas, com o NPS (Servidor de Diretivas de Rede), eles são usados para a autenticação do acesso à rede.
Os certificados são usados na autenticação do acesso à rede porque oferecem alta segurança para a autenticação de usuários e computadores e eliminam a necessidade de métodos de autenticação baseados em senha, menos seguros.
Dois métodos de autenticação, quando configurados com tipos de autenticação baseados em certificados, utilizam certificados: EAP e PEAP. Com o EAP, você pode configurar o tipo de autenticação TLS (EAP-TLS) e como PEAP pode configurar os tipos de autenticação TLS (PEAP-TLS) e MS-CHAP v2 (PEAP-MS-CHAP v2). Esses métodos de autenticação sempre utilizam certificados para a autenticação de servidores. Dependendo do tipo de autenticação configurado no método de autenticação, os certificados também poderão ser usados para autenticação de usuários e de computadores clientes.
|
Observação
|
|
O uso de certificados na autenticação de conexões VPN é a forma de autenticação mais forte disponível no Windows Server® 2008. Você deve usar a autenticação baseada em certificado para conexões VPN baseadas em L2TP/IPsec (Protocolo de encapsulamento de camada dois sobre a segurança do protocolo Internet). As conexões PPTP (Protocolo de encapsulamento ponto a ponto) não exigem certificados, embora você possa configurá-las para que usem certificados para autenticação de computadores quando o método de autenticação for EAP-TLS. Para clientes sem fio, o método de autenticação recomendado é PEAP com EAP-TLS e cartões inteligentes ou certificados.
|
Você pode implantar certificados para utilizá-los com NPS ao instalar e configurar a função de servidor Serviços de Certificados do Active Directory. Para obter mais informações, consulte a documentação do AD CS.
Quando você utiliza métodos de autenticação baseados em certificado, é importante que compreenda os seguintes tipos de certificado e como eles são usados.
- Certificado da autoridade de certificação
Quando presente em computadores cliente e servidor, diz ao cliente ou servidor que ele pode confiar em outros certificados, como aqueles usados para autenticação de cliente ou servidor, emitidos por essa autoridade de certificação. Esse certificado é exigido em todas as implantações de métodos de autenticação baseados em certificado.
- Certificado do computador cliente
Emitido para computadores clientes por uma autoridade de certificação quando o computador cliente precisa provar sua identidade para um servidor executando NPS durante o processo de autenticação.
- Certificado do servidor
Emitido para servidores NPS por uma autoridade de certificação quando o servidor NPS precisa provar sua identidade para computadores cliente durante o processo de autenticação.
- Certificado do usuário
Emitido por uma autoridade de autenticação para indivíduos e normalmente distribuído como um certificado incorporado em um cartão inteligente. O certificado do cartão inteligente é usado, junto com um leitor de cartões inteligentes conectado ao computador cliente, quando os indivíduos precisam provar suas identidades aos servidores NPS durante o processo de autenticação.
Métodos de autenticação baseados em certificado
Quando você utiliza o EAP com um tipo EAP forte (como o TLS com cartões inteligentes ou certificados), tanto o cliente quanto o servidor usarão certificados na verificação das identidades um do outro. Esse processo é chamado de autenticação mútua. Os certificados devem atender a certos requisitos para que o servidor e o cliente os utilizem para a autenticação mútua.
Um dos requisitos é que o certificado seja configurado com uma ou mais finalidades nas extensões EKU relacionadas à utilização do certificado. Por exemplo, um certificado usado na autenticação de um cliente em um servidor deve ser configurado com a finalidade de Autenticação de Cliente. De maneira similar, um certificado usado para a autenticação de um servidor deve ser configurado com a finalidade de Autenticação de Servidor. Quando os certificados são usados para autenticação, o autenticador examina o certificado do cliente, procurando pelo identificador de objeto de finalidade correto nas extensões EKU. Por exemplo, o identificador de objeto para a finalidade de Autenticação de Cliente é 1.3.6.1.5.5.7.3.2. Quando um certificado é usado para a autenticação de computadores clientes, esse identificador de objeto deve estar presente nas extensões EKU do certificado ou a autenticação falhará.
Modelos de Certificados é um snap-in do MMC (Console de Gerenciamento Microsoft) que permite a personalização dos certificados emitidos pelo AD CS. As opções de personalização incluem a forma como os certificados são emitidos e o que eles contêm, incluindo suas finalidades. Em Modelos de Certificados, é possível usar um modelo padrão, como o modelo Computador, na definição do modelo utilizado pela autoridade de certificação para atribuir certificados a computadores. Você também pode criar um modelo de certificado e atribuir finalidades nas extensões EKU para o certificado. Por padrão, o modelo Computador inclui a finalidade de Autenticação de Cliente e a finalidade de Autenticação de Servidor nas extensões EKU.
O modelo de certificado criado poderá incluir qualquer finalidade para a qual o certificado será usado. Por exemplo, se você utiliza cartões inteligentes para autenticação, poderá incluir a finalidade Logon do Cartão Inteligente além de Autenticação de Cliente. É possível configurar o NPS para que ele verifique finalidades de certificados antes de conceder a autorização de rede. O NPS pode verificar EKUs adicionais e finalidades de Diretiva de Emissão (também conhecidas como diretivas de certificado).
|
Observação
|
|
Alguns programas de autoridade de certificação não Microsoft contêm uma finalidade chamada Todas, que representa todas as finalidades possíveis. Isso é indicado por uma extensão EKU em branco (ou nula). Embora Todas tenha sido criada para significar "todas as finalidades possíveis", ela não pode ser substituída pela finalidade Autenticação de Cliente, pela finalidade Autenticação de Servidor ou por qualquer outra finalidade relacionada à autenticação de acesso à rede.
|
Noções básicas sobre a autenticação com certificados
Quando um certificado é fornecido a um computador cliente ou servidor como prova de identidade, o autenticador deve examinar o certificado para determinar sua validade, se ele foi configurado com a finalidade para a qual está sendo usado e descobrir se o certificado foi emitido por uma autoridade de certificação em quem ele confia.
Supondo que um certificado foi configurado adequadamente e que é válido, o aspecto mais importante do processo de autenticação é a verificação feita pelo autenticador para mostrar que ele confia na autoridade de certificação que emitiu o certificado.
Se o autenticador confiar na autoridade de certificação e se o certificado for válido e estiver configurado adequadamente de acordo com os requisitos mínimos do certificado do servidor e do cliente, a autenticação terá êxito. Caso o identificador não confie na autoridade de certificação, a autenticação falhará.
Como a confiança é estabelecida
Os computadores com Windows mantêm certificados em um armazenamento de certificados no computador local. Existe um armazenamento de certificados para o Computador Local, para o Usuário Atual e para os Serviços individuais, como Conexões de Rede, Atualizações Automáticas e Pesquisador de Computadores. Em cada armazenamento de certificados existe uma pasta chamada Autoridades de Certificação Raiz Confiáveis, que contém certificados de todas as autoridades de certificação confiáveis, sejam elas públicas ou privadas.
Para determinar o nível de confiança, o autenticador verifica Usuário Atual ou Computador Local no armazenamento de certificados Autoridades de Certificação Raiz Confiáveis.
Se a autoridade de certificação que emitiu o certificado de cliente, de usuário ou de servidor em uso para autenticação possuir um certificado no armazenamento Autoridades de Certificação Raiz Confiáveis no computador local, o autenticador confiará no certificado. Se a autoridade de autenticação que estiver emitindo não possuir um certificado de autoridade de certificação em Autoridades de Certificação Raiz Confiáveis no computador local, o autenticador não confiará no certificado.
|
Importante
|
|
O certificado da autoridade de autenticação deve estar presente no armazenamento de certificados Autoridades de Certificação Raiz Confiáveis no computador local, seja o computador um servidor ou um cliente, para que outros certificados emitidos pela autoridade de certificação sejam considerados como confiáveis.
|
Autoridades de certificação públicas
Alguns desses certificados, emitidos por autoridades de certificação raiz confiáveis públicas, são incluídos por padrão em todas as instalações do Windows; eles estão no CD de instalação do produto ou nos computadores vendidos por OEMs, que fornecem computadores com o Windows já instalado.
Por exemplo, no armazenamento de certificados em computadores com o Windows XP, na pasta Autoridades de Certificação Raiz Confiáveis, existem certificados de autoridades de certificação da Verisign Trust Network, da Thawte Premium Server e da autoridade de certificação raiz da Microsoft. Se um computador com o Windows XP receber um certificado emitido por uma dessas autoridades de certificação e se o certificado tiver sido configurado apropriadamente e for válido, ele será confiável para o Windows XP.
Você pode adquirir certificados adicionais de muitas empresas, como a Verisign e a Thawte, para usá-los em sua infra-estrutura de autenticação. Por exemplo, quando você implementa PEAP-MS-CHAP v2 e a configuração Validar certificado do servidor está habilitada no cliente, o computador cliente autenticará o servidor NPS usando o certificado desse servidor. Se você não quiser implantar a sua própria autoridade de certificação e emitir seus próprios certificados de servidor para servidores NPS, poderá adquirir um certificado de servidor de uma empresa cuja autoridade de certificação já seja confiável para os computadores clientes.
Autoridades de certificação privadas
Quando as empresas implantam suas próprias PKIs (infra-estruturas de chave pública) e instalam uma autoridade de certificação raiz confiável privada, essa autoridade envia automaticamente seu certificado a todos os computadores membros do domínio da organização. Os computadores clientes e servidores membros do domínio armazenam o certificado da autoridade de certificação no armazenamento de certificados Autoridades de Certificação Raiz Confiáveis. Depois disso, os computadores membros do domínio confiarão nos certificados emitidos pela autoridade de certificação raiz confiável da organização.
Por exemplo, se você instalar o AD CS, a autoridade de certificação enviará seu certificado aos computadores membros do domínio de sua organização e eles armazenarão seu certificado no armazenamento de certificados Autoridades de Certificação Raiz Confiáveis local. Se, além disso, você configurar e registrar automaticamente um certificado de servidor para seus servidores NPS e implantar PEAP-MS-CHAP v2 para conexões sem fio, todos os computadores cliente sem fio membros do domínio poderão se autenticar com êxito em seus servidores NPS usando o certificado desse servidor, já que eles confiam na autoridade de certificação que emitiu o certificado do servidor NPS.
|
Observação
|
|
O certificado da autoridade de certificação privada deve ser instalado manualmente nos computadores que não são membros do domínio no armazenamento de certificados Autoridades de Certificação Raiz Confiáveis para que os computadores confiem em certificados, como os certificados do servidor NPS, emitidos pela autoridade de certificação privada.
|
A tabela a seguir identifica os certificados necessários para a implantação de cada um dos métodos de autenticação baseados em certificados.
|
Certificado
|
Necessário para EAP-TLS e PEAP-TLS?
|
Necessário para PEAP-MS-CHAP v2?
|
Detalhes
|
|
Certificado da autoridade de certificação no armazenamento de certificados Autoridades de Certificação Raiz Confiáveis para o Computador Local e Usuário Atual.
|
Sim. O certificado da autoridade de certificação é automaticamente registrado para computadores membros do domínio. Para computadores que não são membros do domínio, o certificado deve ser importado manualmente para o armazenamento de certificados.
|
Sim. O certificado é automaticamente registrado para computadores membros do domínio. Para computadores que não são membros do domínio, o certificado deve ser importado manualmente para o armazenamento de certificados.
|
Para PEAP-MS-CHAP v2, esse certificado é necessário para a autenticação mútua entre cliente e servidor.
|
|
Certificado de computador cliente no armazenamento de certificados do cliente.
|
Sim. Os certificados de computador cliente são necessários, a menos que os certificados de usuário sejam distribuídos em cartões inteligentes. Os certificados de cliente são automaticamente registrados para computadores membros do domínio. Para computadores que não são membros do domínio, o certificado deve ser importado manualmente ou obtido por meio da ferramenta de registro na Web.
|
Não. A autenticação do usuário é executada com credenciais baseadas em senha e não em certificados.
|
Se você implantar certificados de usuário em cartões inteligentes, os computadores cliente não precisarão de certificados de cliente.
|
|
O certificado de servidor do armazenamento de certificados do servidor NPS.
|
Sim. Você pode configurar o AD CS para registrar automaticamente certificados de servidor para membros dos servidores RAS e IAS nos Serviços de Domínio do Active Directory.
|
Sim. Além de usar o AD CS para certificados de servidor, você pode comprar certificados de servidor de outras autoridades de certificação nas quais os computadores clientes já confiam.
|
O servidor NPS envia o certificado de servidor para o computador cliente; o computador cliente utiliza o certificado para autenticar o servidor NPS.
|
|
Certificado de usuário em um cartão inteligente.
|
Não. Esse certificado só é necessário se você optar por implantar cartões inteligentes em vez de registrar automaticamente certificados de computadores clientes.
|
Não. A autenticação do usuário é executada com credenciais baseadas em senha e não em certificados.
|
Para EAP-TLS e PEAP-TLS, se você não registrar automaticamente certificados de computador cliente, os certificados de usuário em cartões inteligentes serão necessários.
|
|
Importante
|
|
A autenticação IEEE 802.1X fornece acesso autenticado a redes sem fio 802.11 e a redes Ethernet que utilizam cabo. O 802.1X fornece suporte para tipos EAP seguros, como o TLS com cartões inteligentes ou certificados. Voc6e pode configurar 802.1X com EAP-TLS de várias maneiras. Se a opção Validar certificado do certificado estiver configurada no cliente, ele autenticará o servidor usando seu certificado. A autenticação de usuário pode ser feita no computador cliente por meio de certificados do armazenamento de certificados do cliente ou de cartão inteligente, oferecendo autenticação mútua. Com clientes sem fio, o PEAP-MS-CHAP v2 pode ser usado como método de autenticação. O PEAP-MS-CHAP v2 é um método de autenticação de usuário baseado em senha que utiliza o TLS com certificados de servidor. Durante a autenticação do PEAP-MS-CHAP v2, o servidor IAS ou RADIUS fornece um certificado para validar sua identidade ao cliente (se a opção Validar certificado de servidor estiver configurada no cliente Windows Vista® e Windows XP Professional). A autenticação do usuário é feita no computador cliente com senhas, eliminando algumas das dificuldades de implantação de certificados em computadores cliente sem fio.
|
Registrando certificados em computadores membros e não membros do domínio
A associação de computadores ao domínio para o qual você deseja registrar certificados afeta o método de registro que poderá ser escolhido. Os certificados para computadores membros do domínio podem ser registrados de forma automática, enquanto que um administrador precisa registrar certificados para computadores não membros do domínio usando a ferramenta de registro na Web do AD CS ou um disquete ou CD.
Registro de certificados de membros do domínio
Se o seu servidor VPN, servidor NPS ou cliente com o Windows 2000, Windows XP ou Windows Vista for membro de um domínio do Windows Server 2008 ou do Windows Server 2003 com AD DS, será possível configurar o registro automático de certificados de computador e de usuário. Após a configuração e habilitação do registro automático, todos os computadores membros do domínio receberão certificados de computador na próxima atualização da Diretiva de Grupo, seja ela disparada manualmente por meio do comando gpupdate ou pelo logon no domínio.
Se o seu computador for membro de um domínio onde o AD DS não foi instalado, você poderá instalar certificados de computador manualmente, solicitando-os por meio do snap-in Certificados do MMC.
|
Observação
|
|
Computadores com o Windows 2000 só podem registrar automaticamente os certificados de computador.
|
Registro de certificados de não membros do domínio
O registro de certificados para computadores que não são membros do domínio não pode ser executado automaticamente. Quando um computador ingressa em um domínio, é estabelecida uma confiança que permite a ocorrência do registro automático sem a intervenção do administrador. Quando um computador não faz parte do dominio, a confiança não é estabelecida e um certificado não é emitido. A confiança deve ser estabelecida por um dos métodos a seguir:
- Um administrador (que é, por definição, confiável) deve solicitar um certificado de computador ou de usuário usando a ferramenta de registro na Web da autoridade de certificação.
- Um administrador deve salvar um certificado de computador ou de usuário em um disquete para instalá-lo no computador que não é membro do domínio. Ou, quando o administrador não puder acessar o computador (por exemplo, um computador caseiro se conectando a uma rede corporativa por meio de uma VPN L2TP/IPsec), um usuário do domínio em quem ele confia poderá instalar o certificado.
- Um administrador pode distribuir um certificado de usuário em um cartão inteligente (os certificados de computador não são distribuídos em cartões inteligentes).
Muitas infra-estruturas de rede contêm servidores VPN e NPS que não são membros do domínio. Por exemplo, um servidor VPN em uma rede de perímetro pode não ser membro do domínio por motivo de segurança. Nesse caso, um certificado de computador com a finalidade Autenticação de Servidor contida nas extensões EKU deve ser instalado no sevidor VPN que não é membro do domínio antes que ele possa negociar conexões VPN baseadas em L2TP/IPsec com os clientes. Se o servidor VPN que não é membro do domínio for usado como um ponto de extremidade de uma conexão VPN com outro servidor VPN, as extensões EKU deverão conter as finalidades Autenticação de Servidor e Autenticação de Cliente.
Se você estiver executando uma autoridade de certificação corporativa em um computador com o Windows Server 2008 ou com o Windows Server 2003, Standard Edition, poderá usar a tabela a seguir para determinar o melhor método de registro de certificado para o seu caso:
|
Objeto e associação ao domínio
|
Modelo de certificado
|
Finalidades do certificado
|
Método de registro de certificado preferencial
|
Método de registro de certificado alternativo
|
|
Servidor VPN, IAS ou NPS, membro do domínio
|
Computador
|
Autenticação do servidor
|
Registro automático
|
Solicitar um certificado por meio do snap-in Certificados
|
|
Servidor VPN com conexão site a site, membro do domínio
|
Computador
|
Autenticação do Servidor e Autenticação do Cliente
|
Registro automático
|
Solicitar um certificado por meio do snap-in Certificados
|
|
Cliente Windows Vista ou Windows XP, membro do domínio
|
Computador
|
Autenticação do Cliente
|
Registro automático
|
Solicitar um certificado por meio do snap-in Certificados
|
|
Servidor VPN, IAS ou NPS, não membro do domínio
|
Computador
|
Autenticação do servidor
|
Ferramenta de registro na Web da autoridade de certificação
|
Instalar a partir de um disquete
|
|
Servidor VPN com conexão site a site, não membro do domínio
|
Computador
|
Autenticação do Servidor e Autenticação do Cliente
|
Ferramenta de registro na Web da autoridade de certificação
|
Instalar a partir de um disquete
|
|
Cliente Windows Vista ou Windows XP, não membro do domínio
|
Computador
|
Autenticação do Cliente
|
Ferramenta de registro na Web da autoridade de certificação
|
Instalar a partir de um disquete
|
|
Usuário, usuário do domínio
|
Usuário
|
Autenticação do Cliente
|
Registro automático
|
Usar um cartão inteligente ou a ferramenta de registro na Web da autoridade de certificação
|
Se a sua autoridade de certificação estiver em um computador que esteja executando um dos sistemas operacionais a seguir, os servidores RAS e IAS e os modelos de Autenticação de Estação de Trabalho estarão disponíveis:
- Windows Server 2003 Enterprise Edition
- Windows Server 2003 Datacenter Edition
- Windows Server 2003 Enterprise Edition para sistemas baseados em Itanium
- Windows Server 2003 Datacenter Edition para sistemas baseados em Itanium
- Windows Server 2003 Enterprise x64 Edition
- Windows Server 2003 Datacenter x64 Edition
- Windows Server 2008
Use a tabela a seguir para determinar quando estes modelos devem ser usados.
|
Objeto e associação ao domínio
|
Modelo de certificado
|
Finalidade de certificado
|
Método de registro de certificado preferencial
|
Método de registro de certificado alternativo
|
|
Servidor VPN, IAS ou NPS, membro do domínio
|
Servidor RAS e IAS
|
Autenticação do servidor
|
Registro automático
|
Solicitar um certificado por meio do snap-in Certificados
|
|
Cliente Windows Vista ou Windows XP, membro do domínio
|
Autenticação de estação de trabalho
|
Autenticação do Cliente
|
Registro automático
|
Solicitar um certificado por meio do snap-in Certificados
|
|
Servidor VPN, IAS ou NPS, não membro do domínio
|
Servidor RAS e IAS
|
Autenticação do servidor
|
Ferramenta de registro na Web da autoridade de certificação
|
Instalar a partir de um disquete
|
|
Cliente Windows Vista ou Windows XP, não membro do domínio
|
Autenticação de estação de trabalho
|
Autenticação do Cliente
|
Ferramenta de registro na Web da autoridade de certificação
|
Instalar a partir de um disquete
|
|
Importante
|
|
Se o seu servidor NPS não for um controlador de domínio, mas se for membro de um domínio com o nível funcional misto do Windows 2000, será preciso adicioná-lo à ACL (lista de controle de acesso) do modelo de certificado do servidor RAS e IAS. Você precisa configurar também as permissões corretas para o registro automático. Existem procedimentos diferentes para a adição de servidores e de grupos de servidores à ACL.
|
|
Para adicionar um servidor individual à ACL para o modelo de certificado de servidor RAS e IAS
|
- Em Modelos de certificado, selecione o modelo Servidor RAS e IAS e adicione o servidor NPS às propriedades de Segurança do modelo.
- Depois de adicionar o seu servidor NPS server à ACL, conceda as permissões Leitura, Registrar e Registrar automaticamente.
|
Para gerenciar um grupo de servidores, adicione-os a um grupo global ou universal novo e adicione o grupo à ACL do modelo de certificado
|
- Em Usuários e Computadores do Active Directory, crie um novo grupo global ou universal para servidores NPS.
- Adicione ao grupo todos os computadores que forem servidores NPS, não controladores do domínio e membros de um domínio com um nível funcional misto do Windows 2000.
- Em Modelos de Certificado, selecione o modelo Servidor RAS e IAS e adicione o grupo criado às propriedades de Segurança do modelo.
- Conceda as permissões Leitura, Registrar e Registrar automaticamente.
Links Relacionados
http://www.microsoft.com/windowsserver2008/default.mspx
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
http://forums.microsoft.com/technet-br
Conclusão
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Espero que essas informações sejam úteis no dia-dia e aguarde o próximo artigo.
Vitor Nakano atua a 10 anos na área de infra-estrutura e segurança voltada à plataforma Microsoft e mentor do site www.winsec.org.
Atualmente é o coordenador do Setor de Segurança da Informação e Arquitetura do Grupo EcoRodovias, responsável pela implantação de importantes projetos de infra-estrutura e segurança e possui certificações Microsoft deste 2002. Em 2008 foi nomeado MVP na categoria Windows Security.
Você pode entrar em contato através do e-mail vitor@winsec.org