19 - certificados digitais

8/12/2019 19 - Certificados digitais

1/11

24/1/2014 Julio Battisti

http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp 1/11

Tutorial de TCP/IP Parte 19 Certificados Digitais eSegurana

Introduo:

Esta a dcima nona parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectosbsicos do protocolo TCP/IP. Na Parte 2falei sobre clculos binrios, um importantetpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 faleisobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte5apresentei mais alguns exemplos e anlises de como funciona o roteamento ena Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de umarede em sub-redes, conceito conhecido como subnetting. NaParte 8 fiz umaapresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain NameSystem: DNS . O DNS o servio de resoluo de nomes usado em todas as redesTCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente.Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP.

Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS.Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao.Na Parte 12, mostrei como so efetuadas as configuraes de portas em diversosaplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados paraexibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao ea configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolode roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outroprotocolo de roteamento dinmico, o OSPF. NaParte 16 voc aprendeu sobre umrecurso bem til: O compartilhamento da conexo Internet, oficialmente conhecidacomo ICS Internet Connection Sharing. Este recurso til quando voc tem umapequena rede, no mais do que cinco mquinas, conectadas em rede, todas com oprotocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Vocpode habilitar o ICS no computador que tem a conexo com a Internet. Com isso osdemais computadores da rede tambm passaro a ter acesso Internet.. Na Parte 17,voc aprendeu a utilizar o IFC Internet Firewall Connection (Firewall de Conexo coma Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estandodisponvel no Windows 2000. O IFC tem como objetivo proteger o acesso dousur io con tra ataques e perigos vindos da Internet. Na Parte 18 fiz umaapresentao sobre o protocolo IPSec. O IPSec faz parte do Windows 2 000, WindowsXP e Windows Server 2003. O IPSec pode ser utilizado para cria r um canal decomunicao seguro, onde to dos os dados que so trocados entre os computaodreshabilitados ao IPSec, so criptografados.Nesta dcima nona parte, farei uma apresentao sobre o conceito de PKI Public KeyInfrastructure e Certificados Digitais. O Windows 2000 Server e tambm o WindowsServer 2003 disponibilizam servios para a emisso, gerenciamento e revogao deCertificados Digitais. Voc tambm entender o papel dos Certificados Digitais emrelao segurana das informaes.

Apresentarei o conceito de PKI - Public Key Infrastructure (Infraestrutura de chavepblica). Voc ver que uma Public Key Infrastructure (Infraestrutura de chave pblica),abreviada simplesmente como PKI, nada mais do que uma infraestrutura desegurana baseada em certificados digitais, em autoridades certificadores (CA Certificate Authorities - que emitem e revogam os certificados) e autoridades deregistro, as quais fazem a verificao da autenticidade de todas as estruturasenvolvidas em uma PKI.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p6.asphttp://www.juliobattisti.com.br/artigos/windows/tcpip_p5.asphttp://www.juliobattisti.com.br/artigos/windows/tcpip_p3.asphttp://www.juliobattisti.com.br/artigos/windows/tcpip_p2.asphttp://www.juliobattisti.com.br/artigos/windows/tcpip_p6.asphttp://www.juliobattisti.com.br/artigos/windows/tcpip_p5.asphttp://www.juliobattisti.com.br/artigos/windows/tcpip_p4.asphttp://www.juliobattisti.com.br/artigos/windows/tcpip_p3.asphttp://www.juliobattisti.com.br/artigos/windows/tcpip_p2.asphttp://www.juliobattisti.com.br/artigos/windows/tcpip_p1.asp


2/11


3/11



configuraes padro de segurana do Windows Server 2003, so bem mais severas,restringem bem mais o acesso do que as configuraes padro de segurana doWindows 2000 Server. A idia simples mas muito eficiente. Por padro, o nvelmnimo de acesso, necessrio ao funcionamento do recurso. Se houver necessidade demodificaes nas configuraes de segurana, estas podero ser feitas peloadministrador.

Com o uso do TCP/IP como protocolo de comunicao, os dados no so protegidospor padro, isto , no so criptografados. Ou seja, se um hacker interceptar umatransmisso, ter acesso aos dados sem maiores problemas, uma vez que no usada criptografia, por padro. Claro que para muitas situaes, a criptografia e outrosrecursos de segurana so perfeitamente dispensveis. Por exemplo, quando vocacessa o site de uma empresa para obter informaes gerais sobre a empresa. Estasinformaes so de domnio pblico (afinal esto no site da empresa) e no hnecessidade de criptograf-las. Agora quando voc faz uma compra pela Internet,usando o seu carto de crdito, ou quando voc faz transaes bancrias usando o sitedo seu Banco, a coisa muda completamente de figura. Ou seja, voc quer o mximo desegurana possvel. De maneira alguma voc gostaria que algum pudesse interceptar o

seu nmero de conta, agncia e senha.Inicialmente criou-se um mtodo de criptografia, onde os dados eram criptografadosusando uma determinada chave de criptografia. A chave um cdigo com umdeterminado nmero de bits. Usa-se este cdigo, juntamente com operaes lgicas,para embaralhar, ou seja, criptografar os dados. A seqncia de operaes lgicasque realizada com os dados, usando a chave de criptografia, definida pelo algoritmode criptografia. Em seguida os dados e a chave de criptografia so enviados para odestinatrio. O destinatrio recebe os dados e a chave de criptografia e utiliza estachave para descriptografar os dados. Um mtodo bem seguro, no?

No . Este mtodo tem dois problemas principais, os quais so descritos aseguir :

1. A chave de criptografia enviada junto com os dados : Com isso, se umhacker interceptar os dados, ter tambm acesso a chave de criptografia. Usando achave (os algoritmos de criptografia so de domnio pblico, a segurana baseadanormalmente no tamanho da chave. Usam-se chaves com um grande nmero de bits,para que seja difcil descobrir a chave que est sendo utilizada) o hacker poderdescriptografar os dados e ter acesso ao contedo da mensagem. Pior, o hackerpoderia alterar a mensagem e envi-la, alterada, para o destinatrio, o qual no teria

como saber que a mensagem foi alterada.2. No final do pargrafo anterior eu descrevo o segundo problema com estemtodo: ele no permite a verificao da identidade de quem envio amensagem . Ou seja, um hacker interceptou a mensagem, usou a chave paradescriptograf-la, alterou a mensagem e a enviou para o destinatrio. O destinatriorecebe a mensagem e no tem como verificar se a mensagem veio do emissorverdadeiro ou veio de um hacker. Com este mtodo no possvel verificar e garantirque o emissor seja quem ele diz ser. No h como verificar a identidade do emissor.

Vejam que somente o uso da criptografia, baseada em uma chave privada (chaveenviada junto com a mensagem), no to seguro como pode parecer. Parasolucionar esta questo que surgiram os Certificados Digitais, com os quais possvelimplementar uma infra-estrutura conhecida como PKI - Public Key Infrastructure(Infraestrutura de chave pblica). Esta infra-estrutura baseada no uso de certificadosdigitais e de um par de chaves: uma chave pblica e uma chave privada. A seguir


4/11



descrevo os princpios bsicos de um infra-estrutura baseada em chaves pblica eprivada, para que voc possa entender como esta infra-estrutura resolve os doisproblemas apontados no mtodo anterior.

Em uma rede que usa PKI, um Certificado Digital criado para cada usurio. OCertificado Digital fica associado com a conta do usurio no Active Directory. Para cadausurio criado um par de chaves: uma chave pblica e uma chave privada. A chavepblica fica disponvel no Active Directory e a chave privada fica com o usurio. O maiscomum a chave privada ficar gravada no Certificado Digital do usurio, em umdisquete que fica com o usurio ou, mais comum ainda, em um Smart Card. Agoravamos entender como funciona a criptografia baseada em um par de chaves: umapblica e outra privada.

Dados que so criptografados com uma das chaves, somente podero serdescriptografados com a outra chave. Por exemplo, se voc criptografar dados com achave pblica do usurio jsilva, estes dados somente podero ser descriptografadoscom a chave privada do usurio jsilva.

Vamos imaginar que o usurio jsilva precisa enviar dados para o usurio maria. Osdados so criptografados com a chave pblica do usurio Maria chave pblica dodestinatrio. Com a infraestrutura de PKI, as chaves pblicas ficam disponveis paraserem acessadas por quaisquer usurio. A chave pblica fica gravada no CertificadoDigital do usurio e a lista de Certificados Digitais fica publicada para acesso em umservidor de certificados digitais (este o papel do Microsoft Certificate Services, ouseja, emitir, publicar, dar acesso a e revogar certificados digitais para os usurios).

A chave pblica do usurio maria utilizada pelo usurio jsilva para criptografar osdados, antes de envi-los para o usurio maria. Como os dados foram criptografadoscom a chave pblica do usurio maria, a pergunta : qual a nica chave que poderdescriptografar estes dados? A chave privada do usurio maria, a qual somenteo usurio maria tem acesso . Com este mtodo, quando o usurio maria recebe osdados, ele utilizar a sua chave privada para descriptograf-los. Se um hackerinterceptar os dados, ele no conseguir descriptograf-los, pois no tem acesso achave privada do usurio maria. Observe que com este mtodo, a chave que serutilizada para descriptografar os dados, no enviada junto com a mensagem. Almdisso, a mensagem criptografada de tal maneira que somente o destinatrio capazde descriptograf-la, ou melhor, a chave privada do destinatrio. Como a mensagem criptografada com a chave pblica do destinatrio, somente o prprio destinatrio (que quem tem acesso a sua chave privada), ser capaz de descriptografar a mensagem.

Observe que com este mtodo solucionado o problema de ter que enviar a chave decriptografia junto com a mensagem. O problema de verificao da identidade, de tercerteza que o remetente quem diz realmente ser, solucionado com o uso deCertificados digitais. De uma maneira simples, podemos resumir uma PKI como sendouma infra-estrutura de segurana, baseada no uso de um par de chaves (uma pblica euma privada) e de Certificados Digitais.

Um pouco sobre Certificados Digitais

De uma maneira simples, o Certificado Digital a verso eletrnica da sua identificaode usurio na rede (usurio e senha). O Certificado Digital como se fosse acarteira de identidade do usurio na rede . No Windows 2000 Server e noWindows Server 2003, o certificado digital do usurio tambm conhecido (nadocumentao oficial), como um Certificado de chave pblica, uma vez que uma dasinformaes gravadas no certificado digital do usurio justamente a sua chave


5/11


6/11



servidor com o Microsoft Certificate Services) para verificar se o certificado que estsendo apresentado para logon, no est na lista dos certificados revogados CRL. Se ocertificado estiver na CRL, o logon ser negado.

Certificados e Autoridades de Certificao

Todo certificado emitido por uma Autoridade de Certificao (CA CertificateAuthority). A autoridade de certificao, a partir de agora denominada apenas CA, responsvel pela verificao sobre a veracidade dos dados do usurio que estrequisitando o certificado. Por exemplo, qualquer usurio pode solicitar um certificadopara utilizar na Internet. Para obter o certificado ele precisa utilizar os servios de umaCA, como por exemplo a VeriSign (www.verisign.com).

Uma autoridade de certificao uma entidade encarregada de emitir certificados paraindivduos, computadores ou organizaes, sendo que os certificados que confirmama identidade e outros atributos do usurio do certificado, para outras entidades. Umaautoridade de certificao aceita uma solicitao de certificado, verifica as informaesdo solicitador (incluindo a uma srie de documentos e comprovantes, os quais devem

ser apresentados pelo solicitante do certificado) e, em seguida, usa sua chave privadapara aplicar a assinatura digital no certificado. A autoridade de certificao emite entoo certificado para que o usurio do certificado o use como uma credencial de seguranadentro de uma infra-estrutura de chave pblica (PKI). Uma autoridade de certificaotambm responsvel por revogar certificados e publicar uma lista de certificadosrevogados (CRL).

Uma autoridade de certificao pode ser uma empresa que presta o servio deautoridade certificadora, como o VeriSign, ou pode ser uma autoridade de certificaoque voc cria para ser usada por sua prpria organizao, instalando os Servios decertificados do Windows 2000 Server ou do Windows Server 2003. Cada autoridade decertificao pode ter requisitos diferentes de prova de identidade, como uma conta dedomnio do Active Directory, crach de empregado, carteira de motorista, solicitaoautenticada ou endereo fsico. Verificaes de identificao como essa geralmenteasseguram uma autoridade de certificao no local, de tal modo que as organizaespossam validar seus prprios empregados ou membros.

As autoridades de certificao corporativas do Windows 2000 Server usam ascredenciais da conta de usurio do Active Directory de uma pessoa, como prova deidentidade. Em outras palavras, se voc tiver efetuado logon em um domnio doWindows 2000 Server e solicitar um certificado de uma autoridade de certificao

corporativa, a autoridade de certificao saber que voc quem o Active Directory diz que voc .

Todas as autoridades de certificao tm um certificado para confirmar sua prpriaidentidade, emitido por outra autoridade de certificao confivel ou, no caso deautoridades de certificao raiz, emitido por elas mesmas. importante lembrar quequalquer pessoa pode criar uma autoridade de certificao. A questo real se voc,como um usurio ou um administrador, confia naquela autoridade de certificao e, porextenso, nas diretivas e procedimentos que ela emprega para confirmar a identidadedos certificados emitidos para entidades por essa autoridade de certificao.

Em uma rede baseada no Windows 2000 Server (ou no Windows Server 2003), oadministrador tambm pode utilizar uma CA externa. Porm, com o uso do MicrosoftCertificate Services, o administrador pode criar sua prpria autoridade certificadora. OCertificate Services da Microsoft permite a criao de sofisticados ambientes decertificao, com a criao de uma hierarquia de CAs. Com o uso do Certificate


7/11



Services podem ser criadas os seguintes tipos de autoridades certificadoras, os quaissero descritos mais adiante:

Enterprise Root CA.Enterprise Subordinate CA.Standalone Root CA.Standalone Subordinate CA

Ao criar uma estrutura interna para criao e gerenciamento de certificados digitais,voc deve definir os procedimentos que sero utilizados para verificar a veracidade dosdados dos usurios que esto solicitando certificados. Por exemplo, voc pode utilizaras informaes do Active Directory, como sendo as informaes oficiais de cadafuncionrio, porm o funcionrio tem acesso a alterar as informaes da sua conta noActive Directory. Com isso voc ter que montar uma metodologia formal deverificao (um pouco de burocracia as vezes se faz necessria). Por exemplo, vocpode solicitar que o chefe imediato do funcionrio confirme os dados em um formulriona Intranet da empresa (formulrio de papel tambm j seria demais).

A existncia de uma autoridade certificadora significa que voc tem confiana de que aautoridade de certificao possui as diretivas corretas no local correto e ao avaliar assolicitaes de certificado, ir negar certificados para qualquer entidade que no atendera essas diretivas. Esta uma questo fundamental para garantir a identidade dosusurios. Ao fazer uma verificao rigorosa dos dados informados, antes de emitir umcertificado para um usurio, servidor ou computador, a CA garante que quem obtm ocertificado realmente quem diz ser prova de identidade. Por isso a importnciafundamental de definir uma metodologia clara, simples e de fcil execuo, para averificao dos dados, antes de emitir os certificados.

Alm disso, voc confia que a autoridade de certificao ir revogar certificados que nodevem mais ser considerados vlidos, atravs da publicao de uma lista de certificadosrevogados, sempre atualizada (CRL Certificate Revocation List). As listas decertificados revogados so consideradas vlidas at expirarem. Logo, mesmo que a CApublique uma nova lista de certificados revogados com os certificados recm revogadoslistados, todos os clientes que possurem uma lista de revogao de certificados antigano iro procurar nem recuperar a lista nova at que a antiga expire ou seja excluda.Os clientes podem usar uma pgina Web da CA para recuperar manualmente a lista decertificados revogados mais atual, caso seja necessrio.

Para servios, computadores e usurios do Windows 2000 Server, a confiana em umaautoridade de certificao estabelecida quando voc possui uma cpia do certificado

raiz no armazenamento das autoridades de certificao raiz confiveis e tem umcaminho de certificao vlido, significando que nenhum dos certificados no caminho decertificao foi revogado ou que seus perodos de validade expiraram. O caminho decertificao inclui todos os certificados emitidos para cada CA na hierarquia dacertificao de uma CA subordinada para a CA raiz. Por exemplo, para uma CA raiz, ocaminho de certificao um certificado, seu prprio certificado auto-assinado. Parauma CA subordinada, abaixo da CA raiz na hierarquia, seu caminho de certificao inclui2 certificados, seu prprio certificado e o certificado da CA raiz.

Caso sua empresa esteja usando o Active Directory, a confiana nas autoridades decertificao da organizao ser estabelecida automaticamente, baseada nas decisese configuraes realizadas pelo administrador do sistema e nas relaes de confianacriadas automaticamente pelo Active Directory.

Os diferentes tipos de Autoridades Certificadores


8/11



Conforme descrito anteriormente, podem ser criados diferentes tipos de autoridadescertificadoras. Pode ser uma autoridade certificadora corporativa (Enterprise) ouAutnoma (Standalone). Cada um destes tipos pode ser uma autoridade certificadoraroot ou subordinada. Com isso ficamos com os quatro tipos possveis de autoridadescertificadores:

Corporativa root CACorporativa subordinada CAAutnoma root CAAutnoma subordinada CA

Uma autoridade de certificao raiz, mais conhecida como autoridade root, encaradacomo o tipo mais confivel de autoridade de certificao na PKI de uma organizao.Geralmente, tanto a segurana fsica como a diretiva de emisso de certificados de umaautoridade de certificao raiz so mais rigorosas do que as de autoridades decertificao subordinadas.

Se a autoridade de certificao raiz estiver comprometida ou emitir umcertificado para uma entidade no autorizada, toda a segurana baseada emcertificados, da sua organizao, estar vulnervel e no ser mais confivel .Enquanto as autoridades de certificao raiz podem ser usadas para emitir certificadospara usurios finais em tarefas como enviar correio eletrnico seguro, na maioria dasorganizaes elas so usadas apenas para emitir certificados para outras autoridadesde certificao, chamadas de subordinadas.

Uma autoridade de certificao subordinada uma autoridade de certificaoque foi certificada por outra autoridade de certificao de sua organizao, ouseja, est subordinada a uma outra entidade certificadora . Se a entidade principaldeixar de ser confivel, todas as entidades subordinadas tambm o deixaro de ser.Geralmente, uma autoridade de certificao subordinada emitir certificados para usosespecficos, como correio eletrnico seguro, autenticao baseada na Web ouautenticao de cartes inteligentes. Autoridades de certificao subordinadas tambmpodem emitir certificados para outras autoridades de certificao subordinadas em umnvel abaixo delas. Com isso possvel criar uma hierarquia de entidades certificadores.Juntas, a autoridade de certificao raiz, as autoridades de certificao subordinadascertificadas pela raiz e as autoridades de certificao subordinadas que foramcertificadas por outras autoridades de certificao subordinadas formam uma hierarquiade certificao.

Autoridades de certificao corporativas

Voc pode instalar o Microsoft Certificate Services para criar uma autoridade decertificao corporativa, na Intranet da empresa. Autoridades de certificaocorporativas podem emitir certificados para vrias finalidades, tais como assinaturasdigitais, correio eletrnico seguro usando S/MIME (extenses multipropsito do InternetMail protegidas), autenticao para um servidor Web seguro usando Secure SocketsLayer (SSL, camada de soquetes de segurana) ou segurana da camada de transporte(TLS) e logon em um domnio do Windows 2000 Server ou Windows Server 2003,usando um carto inteligente (smart card).

Uma autoridade de certificao corporativa apresenta as seguintes caractersticas eexigncias:

Uma autoridade de certificao corporativa exige o Active Directory.

Quando voc instala uma autoridade de certificao corporativa raiz, ela automaticamenteadicionada ao armazenamento de certificados das Autoridades de certificao raiz confiveis,


9/11



para todos os usurios e computadores do domnio. Voc precisa ser administrador de domnioou administrador com direito de gravao no Active Directory para instalar uma autoridade decertificao corporativa raiz.

Todas as solicitaes de certificados enviadas para a autoridade de certificao corporativa seroatendidas ou negadas com base no conjunto de diretivas e pe rmisses de segurana do tipo decertificado solicitado. Autoridades de certificao corporativas nunca definem uma solicitao decertificado como pendente . Elas imediatamente emitem o certificado ou negam a solicitao.

Os certificados podem ser emitidos para e fetuar logon em um domnio do Window s 2000 Serverou Windows Server 2003, usando cartes inteligentes (smart cards).O mdulo de sada corporativo publica certificados de usurios e a lista de certificados revogados(CRL), no Active Directory. Para publicar certificados no Active Directory, o servidor em que aautoridade de certificao est instalada deve ser membro do grupo de Certificates Publishers(Publicadores de certificados). Isso automtico para o domnio em que o servidor est, mas aautoridade de certificao precisar receber as permisses de segurana corretas para publicarcertificados em outros domnios.

Uma autoridade de certificao corporativa usa tipos de certificados, que so baseadosem um modelo de certificado. A seguinte funcionalidade possvel devido ao uso demodelos de certificado:

As autoridades de certificao corporativas aplicam verificaes de credenciais aos usuriosdurante o registro de certificados. Cada modelo de certificado tem uma permisso de seguranadefinida no Active Directory que determina se quem est solicitando o certificado est autorizadoa receber o tipo de certificado solicitado.

O nome do usurio do certificado automaticamente gerado.

O mdulo de diretiva adiciona uma lista predefinida de extenses de certificados ao certificadoemitido a partir do modelo do certificado. Isso reduz a quantidade de informaes que a pessoaque solicita o certificado precisa fornecer sobre o certificado e sobre o uso pretendido.

Os servidores que desempenham o papel de autoridades certificadoras corporativas,desempenham um papel fundamental na estrutura de segurana da empresa. Por isso importante que voc implemente polticas de backup e de segurana bem rigorosas emrelao a estes servidores.

Alm da segurana lgica, no acesso aos dados, muito importante cuidar tambm dasegurana fsica, controlando quem tem acesso ao servidor configurado como servidorcorporativo root.

Autoridades de certificao autnomas

Voc pode instalar os servios de certificados para criar uma autoridade de certificaoautnoma. Autoridades de certificao autnomas podem emitir certificados parafinalidades diversas, tais como assinaturas digitais, correio eletrnico seguro usandoS/MIME (extenses multipropsito do Internet Mail protegidas) e autenticao para umservidor Web seguro usando camada de soquetes de segurana (SSL) ou segurana dacamada de transporte (TLS).

Uma autoridade de certificao autnoma tem as seguintes caractersticas:

Diferentemente de uma autoridade de certificao corporativa, uma autoridade de certificaoautnoma no exige o uso do Active Directory. Autoridades de certificao autnomas sedestinam principalmente a serem usadas quando extranets e a Internet esto envolvidas. Porexemplo, se parceiros de negcios precisam se conectar a rede da empresa para acessa rdete rminados sistemas, voc pode criar uma autoridade certificadora autnoma, para emitircertificados para os parceiros de negcio. Estes, por sua vez, usaro estes certificados para seidentificar e ter acesso a rede da empresa . Alm disso, se desejar usar um mdulo de diretivapersonalizado para uma autoridade de certificao, voc deve, primeiramente , instalar osservios de certificados usando diretiva autnoma e , em seguida, subs tituir a diretiva autnoma


10/11



pela sua diretiva personalizada.

Ao submeter uma solicitao de certificado a uma autoridade de certificao autnoma, osolicitador do certificado deve fornecer, explicitamente, todas as informaes de identificaosobre si mesmo e sobre o tipo de certificado desejado na solicitao do certificado. (No necessrio fazer isso ao submeter uma solicitao a uma autoridade de certificao corporativa,uma vez que as informaes do usurio corporativo j esto no Active Directory e o tipo docertificado descrito por um modelo de certificado).

Por padro, todas as solicitaes de certificados enviadas para a autoridade decertificao autnoma so definidas como pendentes at que o administrador daautoridade de certificao autnoma verifique a identidade do solicitador e d OK para asolicitao. Isso feito por razes de segurana, porque as credenciais do solicitadordo certificado no so verificadas pela autoridade de certificao autnoma.

No so usados modelos de certificados, a exemplo do que acontece com as autoridadescertificadores corporativas.

Nenhum certificado pode ser emitido para efetuar logon em um domnio do Windows 2000 Serverou do Windows Server 2003 usando cartes inteligentes, mas outros tipos de certificados podemser emitidos e armazenados em um carto inteligente.

O administrador tem que distribuir, explicitamente, o certificado da autoridade de certificaoautnoma para o armazenamento de raiz confivel dos usurios do domnio, ou os usuriosdevem executar essa tarefa sozinhos.

Quando uma autoridade de certificao autnoma usa o Active Directory, ela tem essesrecursos adicionais:

Se um membro do grupo de administradores de domnio ou um administrador com direito degravao no Active Directory instalar uma autoridade de certificao raiz autnoma, ela serautomaticamente adicionada ao a rmazenamento de certificados das autoridades de certificaoraiz confiveis, para todos os usurios e computadores do domnio. Por essa razo , ao instalaruma autoridade de certificao raiz autnoma em um domnio do Active Directory, voc no

dever alterar a ao padro da autoridade de certificao at receber solicitaes decertificados (o que marca as solicitaes como pendentes). Caso contrrio, voc ter umaautoridade de certificao raiz confivel que automaticamente emite certificados sem verificar aidentidade do solicitador.

Se uma autoridade de certificao autnoma for instalada por um membro do grupo deadministradores de domnio do domnio pai de uma rvore na empresa , ou por um administradorcom direito de gravao no Active Directory, a autoridade de certificao autnoma publicar oscertificados e a lista de certificados revogados (CRL) no Active Directory.

No esquea : Conhea bem as diferenas entre os diferentes tipos de autoridadescertificadores. Lembre-se que autoridades certificadoras corporativas so integradas

com o Active Directory, utilizam modelos de certificados para a criao de novoscertificados. J as autoridades certificadoras autnomas no dependem do ActiveDirectory e no utilizam modelos de certificados. A seguir um pequeno resumo sobrecada um dos quatro tipos, para voc fixar bem sobre a funo e as caractersticas decada um dos tipos de autoridades certificadores:

1. Enterprise root CA Autoridade certificadora corporativa root : Um nicoservidor pode ser configurado como Enterprise root CA em uma floresta de domniosde uma empresa. Este servidor ocupa o topo da hierarquia de autoridadescertificadoras. Normalmente no utilizado para emitir certificados para usurios oucomputadores, mas sim para autoridades certificadores corporativas subordinadas. Oscertificados para usurios e computadores so emitidos pelas autoridadessubordinadas. Com isso voc pode criar uma hierarquia de autoridades certificadoras,de tal maneira que a emisso de certificados seja efetuada por um servidor do prpriodomnio do usurio. Outro detalhe importante que a autoridade certificadora root responsvel por assinar o seu prprio certificado (afinal no h nenhuma autoridade


11/11


acima dela). Isso que caracteriza esta autoridade como uma autoridade certificadoraroot.

2. Enterprise subordinate CA Autoridade certificadora Corporativasubordinada : Para instalar uma autoridade certificadora corporativa subordinada, vocdeve ter acesso ao certificado da autoridade certificadora corporativa root. O uso destecertificado que liga a autoridade certificadora que est sendo instalada, como umautoridade subordinada a autoridade certificadora root, formando uma hierarquia deentidades certificadoras. Este tipo de autoridade pode emitir certificados para usurios ecomputadores do Active Directory ou para outras autoridades certificadoressubordinadas de nveis mais baixo, aumentando desta maneira, o nmero de nveis dahierarquia de autoridades certificadoras.

3. Stand-alone root CA Autoridade certificadora autnoma root : Este tipode autoridade certificadora no depende do Active Directory. Pode ser utilizado, porexemplo, para emitir certificados para parceiros de negcio e prestadores de servio,que precisam de certificados digitais para acessar determinadas reas da Intranet ou daExtranet da empresa. Uma vantagem adicional que um servidor configurado como

autoridade certificadora autnoma root, pode ser desconectado da rede, como umagarantia adicional de segurana. Este tipo de autoridade certificadora tambm responsvel por emitir os certificados de registro das autoridades certificadorasautnomas subordinadas.

4. Stand-alone subordinate CA - Autoridade Certificadora AutnomaSubordinada : Este tipo de autoridade certificadora est subordinada a uma autoridadecertificadora autnoma root. O processo normalmente o mesmo utilizado para ocaso das autoridades certificadoras corporativas, ou seja, a autoridade certificadoraautnoma root no utilizada para emisso de certificados para usurios ecomputadores, mas sim para a emisso de certificados para as autoridadescertificadoras autnomas subordinadas. As autoridades certificadoras autnomassubordinadas que so responsveis pela emisso dos certificados para usurios ecomputadores.

Concluso

Nesta parte do tutorial fiz uma breve apresentao sobre PKI, Certificados Digitais eAutoridades Certificadores. Voc tambm aprendeu sobre a criptografia baseada no usode um par de chaves: pblica e privada e como utilizar o Microsoft Certificate Servicespara criar uma autoridade certificadora na prpria rede da empresa.

19 - certificados digitais

Documents