Citrix Virtual Apps and Desktops

Gerenciar certificados

April 27, 2026

Contribuição de:

C C

O TLS usa certificados para estabelecer confiança entre duas partes. Você deve instalar um certificado adequado em cada servidor que fornece um serviço e garantir que as máquinas que se conectam a esse servidor confiem nesse certificado. Existem as seguintes opções para assinar certificados:

Certificados autoassinados. Não são recomendados. São difíceis de gerenciar, pois você deve copiar manualmente esse certificado para qualquer outra máquina que precise confiar nele.
Autoridade de certificação corporativa. Se você já tem uma PKI implementada, esta é normalmente a opção mais simples para assinar certificados para uso entre dispositivos internos.
Autoridade de certificação pública. Isso exige que você comprove a propriedade do domínio para a autoridade de certificação. Tem a vantagem de que os dispositivos cliente não gerenciados normalmente já vêm pré-configurados para confiar em certificados de grandes autoridades de certificação públicas.

Criar um novo certificado

Siga as políticas e os procedimentos da sua organização para criar certificados.

Criar certificado usando a Autoridade de Certificação da Microsoft

Se a Autoridade de Certificação da Microsoft estiver integrada a um domínio do Active Directory ou à floresta confiável à qual os Delivery Controllers estão conectados, você pode adquirir um certificado do assistente de Registro de Certificado do snap-in de Certificados do MMC. A Autoridade de Certificação da Microsoft precisa ter um modelo de certificado publicado adequado para uso por servidores web.

O certificado raiz é implantado automaticamente em outras máquinas no domínio usando a política de grupo. Portanto, todas as outras máquinas no domínio confiam em certificados criados usando a Autoridade de Certificação da Microsoft. Se você tiver máquinas que não estão no domínio, precisará exportar o Certificado da Autoridade de Certificação Raiz e importá-lo para essas máquinas.

No servidor, abra o console do MMC e adicione o snap-in de Certificados. Quando solicitado, selecione “Conta de computador”.
Expanda “Pessoal” > “Certificados” e, em seguida, use o comando do menu de contexto “Todas as Tarefas” > “Solicitar Novo Certificado”.
Clique em “Avançar” para começar e em “Avançar” para confirmar que você está adquirindo o certificado do registro do Active Directory.
Selecione um modelo adequado, como “Servidor Web Exportável”. Se o modelo tiver sido configurado para fornecer automaticamente os valores para Assunto, você pode clicar em “Registrar” sem fornecer mais detalhes. Caso contrário, clique em “Mais informações são necessárias para registrar este certificado. Clique aqui para configurar as configurações.”
Para fornecer mais detalhes para o modelo de certificado, clique no botão de seta “Detalhes” e configure o seguinte:

Nome do assunto: selecione “Nome Comum” e adicione o FQDN do servidor.

Nome alternativo: selecione “DNS” e adicione o FQDN do servidor.
Pressione “OK”.
Pressione “Registrar” para criar o certificado. Ele é exibido na lista de certificados.

Criar uma solicitação de certificado usando o IIS

Se o IIS estiver instalado no servidor, conclua as seguintes etapas:

Abra o “Gerenciador do Internet Information Services (IIS)”
Selecione o nó do servidor na lista “Conexões”.
Abra “Certificados de Servidor”.
No painel “Ações”, selecione “Criar Solicitação de Certificado…“.
Insira as “Propriedades de nome diferenciado”.
Na tela “Propriedades do Provedor de Serviços Criptográficos”, deixe o “Provedor de serviços criptográficos” como padrão. Selecione um tamanho de chave de 2048 ou superior.
Escolha um nome de arquivo e pressione “Concluir”.
Carregue seu CSR para sua autoridade de certificação.
Depois de receber o certificado, no painel “Ações”, selecione “Concluir Solicitação de Certificado…“.
Selecione o certificado, forneça um “Nome amigável” e pressione “OK”.

Não há como definir o nome alternativo do assunto. Portanto, o certificado é limitado ao servidor especificado usando o nome comum.

Criar uma solicitação de assinatura de certificado a partir do snap-in de certificados

No snap-in de Certificados do MMC, você pode criar uma solicitação de assinatura de certificado. Isso gera um arquivo que você pode enviar para uma autoridade de certificação que fornecerá o certificado. Você deve então importar o certificado para combiná-lo com a chave privada local.

No servidor, abra o console do MMC e adicione o snap-in de Certificados. Quando solicitado, selecione “Conta de computador”.
Expanda “Pessoal” > “Certificados”
Selecione “Todas as Tarefas” > “Operações Avançadas” > “Criar Solicitação Personalizada”.
Em “Antes de Começar”, selecione “Avançar”.
Na tela “Selecionar Política de Registro de Certificado”, selecione uma política existente adequada ou “Prosseguir sem política de registro”.
Na tela “Solicitação personalizada”, se estiver usando uma política de registro, escolha um modelo apropriado, se disponível, como “Servidor Web Exportável”.
Na tela “Informações do Certificado”, expanda “Detalhes” e selecione “Propriedades”.
Na janela “Propriedades do Certificado”, na guia “Geral”, insira um nome amigável adequado.
Na guia “Assunto”:
1. Em “Nome do assunto”, selecione “Nome comum” e insira o FQDN do servidor. Você pode inserir um curinga. Selecione “Adicionar”.
2. Em “Nome do assunto”, adicione valores apropriados para Organização, Unidade Organizacional, Localidade, Estado, País.
3. Em “Nome alternativo”, selecione “DNS”. Adicione o FQDN do servidor. Você pode adicionar vários FQDNs de servidor ou um FQDN curinga.
Na guia “Extensões”:
- Em “Uso da chave”, adicione “Assinatura digital” e “Criptografia de chave”.
- Em “Uso de Chave Estendido (políticas de aplicativo)”, adicione “Autenticação de Servidor” e “Autenticação de Cliente”.
Na guia “Chave Privada”.
- Em “Selecionar Provedor de Serviços Criptográficos (CSP)”, escolha um provedor adequado.
- Em “Opções de chave”, selecione um tamanho de chave adequado. Para provedores RSA, use no mínimo um tamanho de chave de 2048. Para maior segurança, você pode querer escolher 4096, mas isso terá um leve impacto no desempenho.
- Em “Opções de chave”, selecione “Tornar chave privada exportável”.
Selecione “OK”.
Selecione “Avançar”.
Selecione “Procurar” e salve sua solicitação.
Selecione “Concluir”.
Carregue seu CSR para sua autoridade de certificação.
Depois de receber o certificado, importe-o no mesmo servidor para que ele seja vinculado à chave privada.

Criar um novo certificado autoassinado

Um certificado autoassinado é criado durante a instalação de um delivery controller™ e do web studio. Você pode gerar um novo certificado autoassinado e usá-lo para substituir o existente.

Usando o Gerenciador do IIS

Se o IIS estiver instalado no servidor, você pode executar as seguintes etapas:

Faça logon no servidor como administrador.
Abra o Gerenciador do IIS.
Abra “Certificados de Servidor”
No painel “Ações”, selecione “Criar Certificado Autoassinado”.
Em “Criar Certificado Autoassinado”, insira um nome para o certificado e clique em “OK”. O certificado autoassinado é então criado.

Usando o PowerShell

Você pode usar o PowerShell para criar um certificado autoassinado:

$certSubject = "CN=myddc.example.com" # O FQDN do servidor.
$friendlyName = "Self-Signed-3"
$expireYears = 5

## Criar novo certificado autoassinado em LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Adicionar aos certificados raiz confiáveis
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

Importar certificado existente

Você pode importar um certificado existente para o servidor usando qualquer um dos seguintes métodos.

Assistente de importação de certificado

Clique duas vezes no arquivo PFX ou clique com o botão direito do mouse no arquivo e selecione “Instalar PFX”. Isso abre o “Assistente para Importação de Certificados”.
Para “Local do Repositório”, selecione “Computador Local”.
Insira a senha, se necessário.
Selecione o “Repositório de Certificados”. Para certificados de servidor, escolha “Pessoal”. Se este for um certificado raiz ou autoassinado no qual você deseja confiar a partir desta máquina, escolha “Autoridades de Certificação Raiz Confiáveis”.

Usar o console Gerenciar Certificados do Computador

Abra o console Gerenciar Certificados do Computador e navegue até o repositório de certificados apropriado. Para certificados de servidor, isso é normalmente “Pessoal” > “Certificados”. Para confiar em um certificado raiz ou autoassinado, escolha “Autoridades de Certificação Raiz Confiáveis” > “Certificados”.
Clique com o botão direito do mouse no certificado e selecione > “Todas as Tarefas” > “Importar…“.
Selecione “Procurar…“ e selecione o arquivo.
Insira a senha, se necessário.

Usar o PowerShell

Para importar um certificado, use o cmdlet do PowerShell Import-PfxCertificate. Por exemplo, para importar o certificado certificate.pfx com a senha 123456 para o repositório de certificados pessoal, execute o seguinte comando:

Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Para importar um certificado raiz confiável, defina o CertStoreLocation como Cert:\LocalMachine\Root\ .

Exportar certificado sem chave privada

Para exportar um certificado para que você possa importá-lo para outros dispositivos para confiar no certificado, você deve excluir a chave privada.

Abra o Gerenciar Certificados do Computador. Navegue até “Pessoal” > “Certificados” e selecione o certificado que deseja exportar.
No menu “Ação”, selecione “Todas as Tarefas” e, em seguida, “Exportar”.
Escolha “Não, não exportar a chave privada” e, em seguida, pressione “Avançar”.
Selecione o formato “X.509 binário codificado em DER (.CER)” (o padrão) e pressione “Avançar”.
Insira um nome de arquivo e pressione “Avançar”.
Selecione “Concluir”.

Exportar certificado com chave privada

Para exportar um certificado para que você possa usá-lo em outros servidores, você deve incluir a chave privada.

Abra o Gerenciar Certificados do Computador. Navegue até “Pessoal” > “Certificados” e selecione o certificado que deseja exportar.
No menu “Ação”, selecione “Todas as Tarefas” e, em seguida, “Exportar”.
Escolha “Sim, exportar a chave privada” e, em seguida, selecione “Avançar”.
Na guia “Segurança”, insira uma senha e, em seguida, selecione “Avançar”.
Insira um nome de arquivo e selecione “Avançar”.
Selecione “Concluir”.

Converter certificado para o formato PEM

Por padrão, o Windows exporta certificados no formato PKCS#12 como um arquivo .pfx que inclui a chave privada. Para usar o certificado em um NetScaler® Gateway ou servidor de licenças, você deve extrair o certificado e as chaves privadas em arquivos separados no formato PEM. Você pode fazer isso usando o openssl.

Para exportar o certificado no formato PEM, execute:

openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Ele solicitará a senha existente e uma nova frase secreta.

Para exportar a chave no formato PEM, execute:

openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Confiando em certificados

Se você usa um certificado de uma autoridade de certificação pública, os dispositivos normalmente já vêm pré-configurados com os certificados raiz.
Se você usa uma autoridade de certificação corporativa, deve implantar o certificado raiz em todos os dispositivos que precisam confiar nesse certificado. Se estiver usando os Serviços de Certificação do Active Directory, os certificados raiz também são implantados em todas as máquinas no domínio usando a Política de Grupo. Você deve importar manualmente o certificado raiz para máquinas não ingressadas no domínio, como seus gateways NetScaler, ou máquinas em outros domínios.
Se você estiver usando um certificado autoassinado, ele deve ser instalado manualmente em qualquer máquina que precise confiar no certificado.

Para exportar um certificado autoassinado ou raiz confiável do Windows, consulte exportar certificado sem chave privada.

Para que o Windows confie no certificado, você deve importar o certificado para o repositório “Autoridades de Certificação Raiz Confiáveis”. Se estiver usando o PowerShell, insira o repositório Cert:\LocalMachine\Root\.

Para que o NetScaler confie no certificado, primeiro converta o certificado para o formato PEM e, em seguida, instale o certificado raiz.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Gerenciar certificados

April 27, 2026

Contribuição de:

C C

April 27, 2026

Contribuição de:

C C

Isso foi útil?