Gerenciar certificados

O TLS usa certificados para estabelecer confiança entre duas partes. Você deve instalar um certificado adequado em cada servidor que fornece um serviço e garantir que as máquinas que se conectam a esse servidor confiem nesse certificado. Existem as seguintes opções para assinar certificados:

• Certificados autoassinados. Não são recomendados. São difíceis de gerenciar, pois você deve copiar manualmente este certificado para qualquer outra máquina que precise confiar nele.
• Autoridade de certificação corporativa. Se você já possui uma PKI existente, esta é normalmente a opção mais simples para assinar certificados para uso entre dispositivos internos.
• Autoridade de certificação pública. Isso exige que você comprove a propriedade do domínio à autoridade de certificação. Tem a vantagem de que os dispositivos cliente não gerenciados são normalmente pré-configurados para confiar em certificados de grandes autoridades de certificação públicas.

Criar um novo certificado

Siga as políticas e procedimentos da sua organização para criar certificados.

Criar certificado usando a Autoridade de Certificação Microsoft

Se a Autoridade de Certificação Microsoft estiver integrada a um domínio do Active Directory ou à floresta confiável à qual os Delivery Controllers estão unidos, você poderá adquirir um certificado do assistente de Registro de Certificado do snap-in Certificados do MMC. A Autoridade de Certificação Microsoft precisa ter um modelo de certificado publicado adequado para uso por servidores web.

O certificado raiz é implantado automaticamente em outras máquinas no domínio usando a política de grupo. Portanto, todas as outras máquinas no domínio confiam nos certificados criados usando a Autoridade de Certificação Microsoft. Se você tiver máquinas fora do domínio, precisará exportar o Certificado da Autoridade de Certificação Raiz e importá-lo para essas máquinas.

1. No servidor, abra o console MMC e adicione o snap-in Certificados. Quando solicitado, selecione Conta de computador.

2. Expanda Pessoal > Certificados e, em seguida, use o comando do menu de contexto Todas as Tarefas > Solicitar Novo Certificado.

   

3. Clique em Avançar para começar e em Avançar para confirmar que você está adquirindo o certificado do registro do Active Directory.

4. Selecione um modelo adequado, como Servidor Web Exportável. Se o modelo tiver sido configurado para fornecer automaticamente os valores para Assunto, você pode clicar em Registrar sem fornecer mais detalhes. Caso contrário, clique em Mais informações são necessárias para registrar este certificado. Clique aqui para configurar as configurações.

   

5. Para fornecer mais detalhes para o modelo de certificado, clique no botão de seta Detalhes e configure o seguinte:

   Nome do assunto: selecione Nome Comum e adicione o FQDN do servidor.

   Nome alternativo: selecione DNS e adicione o FQDN do servidor.

   

6. Pressione OK.

7. Pressione Registrar para criar o certificado. Ele é exibido na lista de certificados.

   

Criar uma solicitação de certificado usando o IIS

Se o IIS estiver instalado no servidor, conclua as seguintes etapas:

1. Abra o Gerenciador de Serviços de Informações da Internet (IIS)
2. Selecione o nó do servidor na lista Conexões.
3. Abra Certificados de Servidor.
4. No painel Ações, selecione Criar Solicitação de Certificado….
5. Insira as Propriedades de nome diferenciado.
6. Na tela Propriedades do Provedor de Serviços Criptográficos, deixe o Provedor de serviços criptográficos como padrão. Selecione um tamanho de chave de 2048 ou superior.
7. Escolha um nome de arquivo e pressione Concluir.
8. Carregue seu CSR para sua autoridade de certificação.
9. Depois de receber o certificado, no painel Ações, selecione Concluir Solicitação de Certificado….
10. Selecione o certificado, forneça um Nome amigável e pressione OK.

Não há como definir o nome alternativo do assunto. Portanto, o certificado é limitado ao servidor especificado usando o nome comum.

Criar uma solicitação de assinatura de certificado a partir do snap-in de certificados

Dentro do snap-in MMC de Certificados, você pode criar uma solicitação de assinatura de certificado. Isso gera um arquivo que você pode enviar para uma autoridade de certificação que fornecerá o certificado. Você deve então importar o certificado para combiná-lo com a chave privada local.

1. No servidor, abra o console MMC e adicione o snap-in Certificados. Quando solicitado, selecione Conta de computador.

2. Expanda Pessoal > Certificados
3. Selecione Todas as Tarefas > Operações Avançadas > Criar Solicitação Personalizada.
4. Em Antes de Começar, selecione Avançar.
5. Na tela Selecionar Política de Registro de Certificado, selecione uma política existente adequada ou Prosseguir sem política de registro.
6. Na tela Solicitação personalizada, se estiver usando uma política de registro, escolha um modelo apropriado, se disponível, como Servidor Web Exportável.
7. Na tela Informações do Certificado, expanda Detalhes e selecione Propriedades.
8. Na janela Propriedades do Certificado, na guia Geral, insira um nome amigável adequado.

9. Na guia Assunto:

   1. Em Nome do assunto, selecione Nome comum e insira o FQDN do servidor. Você pode inserir um curinga. Selecione Adicionar.
   2. Em Nome do assunto, adicione valores apropriados para Organização, Unidade Organizacional, Localidade, Estado, País.
   3. Em Nome alternativo, selecione DNS. Adicione o FQDN do servidor. Você pode adicionar vários FQDNs de servidor ou um FQDN curinga.

10. Na guia Extensões:

    • Em Uso da chave, adicione Assinatura digital e Criptografia de chave.
    • Em Uso estendido da chave (políticas de aplicativo), adicione Autenticação de Servidor e Autenticação de Cliente.

11. Na guia Chave Privada.

    • Em Selecionar Provedor de Serviço Criptográfico (CSP), escolha um provedor adequado.
    • Em Opções de chave, selecione um tamanho de chave adequado. Para provedores RSA, use no mínimo um tamanho de chave de 2048. Para maior segurança, você pode desejar escolher 4096, mas isso terá um leve impacto no desempenho.
    • Em Opções de chave, selecione Tornar chave privada exportável.
12. Selecione OK.
13. Selecione Avançar.
14. Selecione Procurar e salve sua solicitação.
15. Selecione Concluir.
16. Carregue seu CSR para sua autoridade de certificação.
17. Depois de receber o certificado, importe-o no mesmo servidor para que ele seja vinculado à chave privada.

Criar um novo certificado autoassinado

Um certificado autoassinado é criado durante a instalação de um delivery controller™ e do web studio. Você pode gerar um novo certificado autoassinado e usá-lo para substituir o existente.

Usando o Gerenciador do IIS

Se o IIS estiver instalado no servidor, você pode executar as seguintes etapas:

1. Faça logon no servidor como administrador.

2. Abra o Gerenciador do IIS
3. Abra Certificados de Servidor

4. No painel Ações, selecione Criar Certificado Autoassinado.

   

5. Em Criar Certificado Autoassinado, insira um nome para o certificado e clique em OK. O certificado autoassinado é então criado.

   

Usando o PowerShell

Você pode usar o PowerShell para criar um certificado autoassinado:

$certSubject = "CN=myddc.example.com" # The FQDN of the server.
$friendlyName = "Self-Signed-3"
$expireYears = 5

## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

Importar certificado existente

Você pode importar um certificado existente para o servidor usando qualquer um dos seguintes métodos.

Assistente de importação de certificado

1. Clique duas vezes no arquivo PFX ou clique com o botão direito do mouse no arquivo e selecione Instalar PFX. Isso abre o Assistente de Importação de Certificado.

2. Para Local do Repositório, selecione Máquina Local.

   

3. Insira a senha, se necessário.

   

4. Selecione o Repositório de Certificados. Para certificados de servidor, escolha Pessoal. Se for um certificado raiz ou autoassinado que você deseja confiar nesta máquina, escolha Autoridades de Certificação Raiz Confiáveis.

   

Use o console Gerenciar Certificados do Computador

1. Abra o console Gerenciar Certificados do Computador e navegue até o repositório de certificados apropriado. Para certificados de servidor, isso é normalmente. Pessoal > Certificados. Para confiar em um certificado raiz ou autoassinado, escolha Autoridades de Certificação Raiz Confiáveis > Certificados.

2. Clique com o botão direito do mouse no certificado e selecione > Todas as Tarefas > Importar….

   

3. Selecione Procurar… e selecione o arquivo.

4. Insira a senha, se necessário.

Usar PowerShell

Para importar um certificado, use o cmdlet do PowerShell Import-PfxCertificate. Por exemplo, para importar o certificado certificate.pfx com a senha 123456 para o armazenamento de certificados pessoal, execute o seguinte comando:

Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Para importar um certificado raiz confiável, defina o CertStoreLocation como Cert:\LocalMachine\Root\.

Exportar certificado sem chave privada

Para exportar um certificado para que você possa importá-lo para outros dispositivos para confiar no certificado, você deve excluir a chave privada.

1. Abra o Gerenciar Certificados do Computador. Navegue até Pessoal > Certificados e selecione o certificado que deseja exportar.

2. No menu Ação, selecione Todas as Tarefas e depois Exportar.

   

3. Escolha Não, não exportar a chave privada, em seguida, pressione Avançar.

   

4. Selecione o formato DER encoded binary X.509 (.CER) (o padrão) e pressione Avançar.

5. Insira um nome de arquivo e pressione Avançar.

   

6. Selecione Concluir.

   

Exportar certificado com chave privada

Para exportar um certificado para que você possa usá-lo em outros servidores, você deve incluir a chave privada.

1. Abra o Gerenciar Certificados do Computador. Navegue até Pessoal > Certificados e selecione o certificado que deseja exportar.

2. No menu Ação, selecione Todas as Tarefas e depois Exportar.

   

3. Escolha Sim, exportar a chave privada, e depois selecione Avançar.

   

4. Na guia Segurança, insira uma senha e depois selecione Avançar.

   

5. Insira um nome de arquivo e selecione Avançar.

   

6. Selecione Concluir.

   

Converter certificado para o formato PEM

Por padrão, o Windows exporta certificados no formato PKCS#12 como um arquivo .pfx que inclui a chave privada. Para usar o certificado em um NetScaler® Gateway ou servidor de licenças, você deve extrair o certificado e as chaves privadas em arquivos separados no formato PEM. Você pode fazer isso usando o openssl.

Para exportar o certificado no formato PEM, execute:

openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Ele solicitará a senha existente e uma nova frase secreta.

Para exportar a chave no formato PEM, execute:

openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Confiando em certificados

• Se você usar um certificado de uma autoridade de certificação pública, os dispositivos são normalmente pré-configurados com os certificados raiz.
• Se você usar uma autoridade de certificação corporativa, deverá implantar o certificado raiz em quaisquer dispositivos que devam confiar nesse certificado. Se estiver usando os Serviços de Certificação do Active Directory, os certificados raiz também são implantados em todas as máquinas no domínio usando a Política de Grupo. Você deve importar manualmente o certificado raiz para máquinas não ingressadas no domínio, como seus gateways NetScaler, ou máquinas em outros domínios.
• Se você estiver usando um certificado autoassinado, ele deve ser instalado manualmente em qualquer máquina que precise confiar no certificado.

Para exportar um certificado raiz autoassinado ou confiável do Windows, consulte exportar certificado sem chave privada.

Para que o Windows confie no certificado, você deve importar o certificado para o armazenamento Autoridades de Certificação Raiz Confiáveis. Se estiver usando o PowerShell, insira o armazenamento Cert:\LocalMachine\Root\.

Para que o NetScaler confie no certificado, primeiro converta o certificado para o formato PEM, depois instale o certificado raiz.