Citrix Virtual Apps and Desktops

Gerenciar certificados

April 17, 2025

Contribuição de:

O TLS usa certificados para estabelecer confiança entre duas partes. Você deve instalar um certificado adequado em cada servidor que fornece um serviço e garantir que as máquinas conectadas a esse servidor confiem nesse certificado. Existem as seguintes opções para assinar certificados:

Certificados autoassinados. Elas não são recomendadas. Elas são difíceis de gerenciar, pois você deve copiar manualmente esse certificado para qualquer outra máquina que deva confiar naquele certificado.
Autoridade de certificação empresarial. Se você já tiver uma PKI em vigor, essa normalmente é a opção mais simples para assinar um certificado para uso entre dispositivos internos.
Autoridade de certificação pública. Isso requer que você comprove a propriedade do domínio à autoridade de certificação. Ele tem a vantagem de que dispositivos clientes não gerenciados normalmente são pré-configurados para confiar em certificados das principais autoridades de certificação públicas.

Criar um novo certificado

Siga as políticas e procedimentos da sua organização para criar certificados.

Criar certificado usando a Autoridade de Certificação da Microsoft

Se a Autoridade de Certificação Microsoft estiver integrada a um domínio do Active Directory ou à floresta confiável à qual os Controladores de Entrega estão associados, você poderá adquirir um certificado no assistente de Registro de Certificado do snap-in Certificados do MMC. A Autoridade de Certificação da Microsoft precisa ter um modelo de certificado publicado adequado para uso por servidores web.

O certificado raiz é implantado automaticamente em outra máquina no domínio usando a política de grupo. Portanto, todas as outras máquinas no domínio confiam em certificados criados usando a Autoridade de Certificação da Microsoft. Se você tiver máquinas fora do domínio, será necessário exportar o Certificado da Autoridade de Certificação Raiz e importá-lo para essas máquinas.

No servidor, abra o console do MMC e adicione o snap-in Certificados. Quando solicitado, selecione Conta de computador.
Expanda Pessoal > Certificadose use o comando de menu de contexto Todas as Tarefas > Solicitar Novo Certificado .
Clique em Avançar para começar e em Avançar para confirmar que você está adquirindo o certificado do registro no Active Directory.
Selecione um modelo adequado, como Web Server Exportable. Se o modelo tiver sido configurado para fornecer automaticamente os valores para Assunto, você pode clicar em Inscrever-se sem fornecer mais detalhes. Caso contrário, clique em Mais informações são necessárias para se inscrever para este certificado. Clique aqui para configurar as configurações.
Para fornecer mais detalhes sobre o modelo de certificado, clique no botão de seta Detalhes e configure o seguinte:

Nome do assunto: selecione Nome comum e adicione o FQDN do servidor.

Nome alternativo: selecione DNS e adicione o FQDN do servidor.
Pressione OK.
Pressione Registrar para criar o certificado. Ele é exibido na lista de certificados.

Criar uma solicitação de certificado usando o IIS

Se o IIS estiver instalado no servidor, conclua as seguintes etapas:

Abra o Gerenciador do Serviço de Informações da Internet (IIS) **
Selecione o nó do servidor na lista Conexões.
Abra Certificados do Servidor.
No painel Ações , selecione Criar solicitação de certificado….
Insira as propriedades do nome distinto **.
Na tela Propriedades do Provedor de Serviços Criptográficos , deixe o Provedor de serviços criptográficos como padrão. Selecione um tamanho de chave de 2048 ou superior.
Escolha um nome de arquivo e pressione Concluir.
Envie seu CSR para sua autoridade de certificação.
Depois de receber o certificado, no painel Ações , selecione Concluir solicitação de certificado….
Selecione o certificado, forneça um Nome amigável e pressione OK.

Não há como definir o nome alternativo do assunto. Portanto, o certificado é limitado ao servidor especificado usando o nome comum.

Crie uma solicitação de assinatura de certificado a partir do snap-in de certificados

No snap-in Certificados mmc, você pode criar uma solicitação de assinatura de certificado. Isso gera um arquivo que você pode enviar para uma autoridade de certificação que fornecerá o certificado. Você deve então importar o certificado para combiná-lo com a chave privada local.

No servidor, abra o console do MMC e adicione o snap-in Certificados. Quando solicitado, selecione Conta de computador.
Expandir Pessoal > Certificados
Selecione Todas as tarefas > Operações avançadas > Criar solicitação personalizada.
Em Antes de começar, selecione Próximo.
Na tela Selecionar política de registro de certificado , selecione uma política existente adequada ou Prosseguir sem política de registro.
Na tela Solicitação personalizada , se estiver usando uma política de inscrição, escolha um modelo apropriado, se disponível, como Exportável por servidor Web.
Na tela Informações do certificado , expanda Detalhes e selecione Propriedades.
Na janela Propriedades do Certificado , na aba Geral , insira um nome amigável adequado.
Na aba Assunto **:
1. Em Nome do assunto, selecione Nome comum e insira o FQDN do servidor. Você pode inserir um curinga. Selecione Adicionar.
2. Em Nome do assunto, adicione valores apropriados para Organização, Unidade organizacional, Localidade, Estado, País.
3. Em Nome alternativo, selecione DNS. Adicione o FQDN do servidor. Você pode adicionar vários FQDNs de servidor ou um FQDN curinga.
Na aba Extensões :
- Em Uso da chave adicione Assinatura digital e Criptografia da chave.
- Em Uso estendido de chave (políticas de aplicativo), adicione Autenticação do servidor e Autenticação do cliente.
Na aba Chave Privada .
- Em Selecione Provedor de Serviços Criptográficos (CSP) escolha um provedor adequado.
- Em Opções de chave, selecione um tamanho de chave adequado. Para provedores RSA, use no mínimo um tamanho de chave de 2048. Para maior segurança, você pode escolher 4096, mas isso terá um pequeno impacto no desempenho.
- Em Opções de chave, selecione Tornar chave privada exportável.
Selecione OK.
Selecione Próximo.
Selecione Procurar e salve sua solicitação.
Selecione Concluir.
Envie seu CSR para sua autoridade de certificação.
Depois de receber o certificado, importe-o no mesmo servidor para que ele seja vinculado à chave privada.

Criar um novo certificado autoassinado

Um certificado autoassinado é criado durante a instalação de um controlador de entrega e de um estúdio web. Você pode gerar um novo certificado autoassinado e usá-lo para substituir o existente.

Usando o gerenciador do IIS

Se o IIS estiver instalado no servidor, você poderá executar as seguintes etapas:

Efetue logon no servidor como administrador.
Abra o Gerenciador do IIS
Abrir Certificados de Servidor
No painel Ações , selecione Criar certificado autoassinado.
Em Criar certificado autoassinado, insira um nome para o certificado e clique em OK. O certificado autoassinado é então criado.

Usando o PowerShell

Você pode usar o PowerShell para criar um certificado autoassinado:

  $certSubject = "CN=myddc.example.com" # The FQDN of the server.
  $friendlyName = "Self-Signed-3"
  $expireYears = 5

  ## Create new self-signed certificate under LocalMachine\My
  $certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

  # Add to trusted root certificates
  $rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
  $rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
  $rootCertStore.Add($certificate)
<!--NeedCopy-->

Importar certificado existente

Você pode importar um certificado existente para o servidor usando qualquer um dos seguintes métodos.

Assistente de importação de certificados

Clique duas vezes no arquivo PFX ou clique com o botão direito do mouse no arquivo e selecione Instalar PFX. Isso abre o Assistente de importação de certificados.
Para Local da Loja, selecione Máquina Local.
Digite a senha, se necessário.
Selecione o Armazenamento de Certificados. Para certificados de servidor, escolha Pessoal. Se este for um certificado raiz ou um certificado autoassinado que você deseja confiar nesta máquina, escolha Autoridades de Certificação Raiz Confiáveis.

Use o console Gerenciar certificados do computador

Abra o console Gerenciar Certificados do Computador e navegue até o armazenamento de certificados apropriado. Para certificados de servidor isso é normal. Pessoal > Certificados. Para confiar em um certificado raiz ou autoassinado, escolha Autoridades de Certificação Raiz Confiáveis > Certificados.
Clique com o botão direito do mouse no certificado e selecione > Todas as tarefas > Importar….
Selecione Navegar… e selecione o arquivo.
Digite a senha, se necessário.

Usar o PowerShell

Para importar um certificado, use o cmdlet do PowerShell Import-PfxCertificate. Por exemplo, para importar o certificado certificate.pfx com a senha 123456 para o armazenamento de certificados pessoais, execute o seguinte comando:

  Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Para importar um certificado raiz confiável, defina CertStoreLocation como Cert:\LocalMachine\Root\.

Certificado de exportação sem chave privada

Para exportar um certificado para que você possa importá-lo em outros dispositivos para confiar no certificado, você deve excluir a chave privada.

Abra Gerenciar Certificados do Computador. Navegue até Pessoal > Certificados e selecione o certificado que deseja exportar.
No menu Ação , selecione Todas as Tarefas e depois Exportar.
Selecione Não, não exporte a chave privadae pressione Próximo.
Selecione o formato binário codificado DER X.509 (.CER) (o padrão) e pressione Próximo.
Digite um nome de arquivo e pressione Próximo.
Selecione Concluir.

Certificado de exportação com chave privada

Para exportar um certificado para que você possa usá-lo em outros servidores, você deve incluir a chave privada.

Abra Gerenciar Certificados do Computador. Navegue até Pessoal > Certificados e selecione o certificado que deseja exportar.
No menu Ação , selecione Todas as Tarefas e depois Exportar.
Escolha Sim, exporte a chave privadae selecione Próximo.
Na aba Segurança , digite uma senha e selecione Avançar.
Digite um nome de arquivo e selecione Próximo.
Selecione Concluir.

Converter certificado para o formato PEM

Por padrão, o Windows exporta certificados no formato PKCS#12 como um arquivo .pfx que inclui a chave privada. Para usar o certificado em um NetScaler Gateway ou servidor de licença, você deve extrair o certificado e as chaves privadas em arquivos separados no formato PEM. Você pode fazer isso usando o openssl.

Para exportar o certificado no formato PEM, execute:

  openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Ele solicitará a senha existente e uma nova frase-senha

Para exportar a chave no formato PEM, execute:

  openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Certificados confiáveis

Se você usar um certificado de uma autoridade de certificação pública, os dispositivos normalmente serão pré-configurados com os certificados raiz.
Se você usar uma autoridade de certificação corporativa, deverá implantar o certificado raiz em todos os dispositivos que devem confiar nesse certificado. Se estiver usando os Serviços de Certificação do Active Directory, os certificados raiz também serão implantados em todas as máquinas no domínio usando a Política de Grupo. Você deve importar manualmente o certificado raiz para máquinas não associadas ao domínio, como seus gateways NetScaler ou máquinas em outros domínios.
Se você estiver usando um certificado autoassinado, ele deverá ser instalado manualmente em qualquer máquina que precise confiar no certificado.

Para exportar um certificado raiz autoassinado ou confiável do Windows, consulte exportar certificado sem chave privada.

Para que o Windows confie no certificado, você deve importar o certificado para o armazenamento Autoridades de Certificação Raiz Confiáveis . Se estiver usando o PowerShell, insira o repositório Cert:\LocalMachine\Root\.

Para que o NetScaler confie no certificado, primeiro converta o certificado para o formato PEM, depois instale o certificado raiz.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Gerenciar certificados

April 17, 2025

Contribuição de:

April 17, 2025

Contribuição de:

Neste artigo

Criar um novo certificado
Importar certificado existente
Certificado de exportação sem chave privada
Certificado de exportação com chave privada
Converter certificado para o formato PEM
Certificados confiáveis

Isso foi útil?