Guia de implantação de confiança de chave híbrida

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

Importante

Windows Hello para Empresas confiança kerberos na nuvem é o modelo de implantação recomendado quando comparado ao modelo de confiança chave. Para obter mais informações, consulte implantação de confiança do Kerberos na nuvem.

Requisitos

Antes de iniciar a implantação, examine os requisitos descritos no artigo Planejar um Windows Hello para Empresas Implantação.

Verifique se os seguintes requisitos são atendidos antes de começar:

Etapas de implantação

Depois que os pré-requisitos forem atendidos, a implantação de Windows Hello para Empresas consiste nas seguintes etapas:

Configurar e validar a Infraestrutura de Chave Pública

Windows Hello para Empresas deve ter uma PKI (Infraestrutura de Chave Pública) ao usar o modelo de confiança de chave. Os controladores de domínio devem ter um certificado, que serve como uma raiz de confiança para os clientes. O certificado garante que os clientes não se comuniquem com controladores de domínio desonestos.

As principais implantações de confiança não precisam de certificados emitidos pelo cliente para autenticação local. Microsoft Entra Connect Sync configura contas de usuário do Active Directory para mapeamento de chave pública, sincronizando a chave pública do Windows Hello para Empresas credencial a um atributo no objeto Active Directory (msDS-KeyCredentialLinkatributo) do usuário.

Uma PKI baseada no Windows Server ou uma autoridade de certificação não Microsoft Enterprise pode ser usada. Para obter mais informações, consulte Requisitos para certificados de controlador de domínio de uma AC que não é da Microsoft.

Implantar uma autoridade de certificação corporativa

Este guia considera que a maioria das empresas tem uma infraestrutura de chave pública existente. Windows Hello para Empresas depende de um PKI corporativo executando a função Serviços de Certificado do Active Directory do Windows Server.
Se você não tiver um PKI existente, examine As Diretrizes da Autoridade de Certificação para projetar corretamente sua infraestrutura. Em seguida, consulte o Guia do Laboratório de Teste: implantando um AD CS Two-Tier hierarquia PKI para obter instruções sobre como configurar seu PKI usando as informações da sessão de design.

PKI baseado em laboratório

As instruções a seguir podem ser usadas para implantar uma infraestrutura de chave pública simples adequada para um ambiente de laboratório.

Entre usando credenciais equivalentes do Administrador Empresarial em um Windows Server em que você deseja que a autoridade de certificação (AC) seja instalada.

Observação

Nunca instale uma autoridade de certificação em um controlador de domínio em um ambiente de produção.

  1. Abrir um prompt de Windows PowerShell elevado
  2. Use o comando a seguir para instalar a função de Serviços de certificação do Active Directory. 
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
  3. Use o comando a seguir para configurar a AC usando uma configuração de autoridade de certificação básica
    Install-AdcsCertificationAuthority

Configurar o PKI da empresa

Configurar certificados do controlador de domínio

Os clientes devem confiar nos controladores de domínio e a melhor maneira de habilitar a confiança é garantir que cada controlador de domínio tenha um certificado de Autenticação Kerberos . A instalação de um certificado nos controladores de domínio permite que o Centro de Distribuição de Chaves (KDC) prove sua identidade para outros membros do domínio. Os certificados fornecem aos clientes uma raiz de confiança externa ao domínio, ou seja, a autoridade de certificação corporativa.

Os controladores de domínio solicitam automaticamente um certificado de controlador de domínio (se publicado) quando descobrem que uma AC corporativa é adicionada ao Active Directory. Os certificados baseados nos modelos de certificado de Autenticação do Controlador de Domínio e controlador de domínio não incluem o identificador de objeto de Autenticação KDC (OID), que mais tarde foi adicionado ao KERBEROS RFC. Portanto, os controladores de domínio precisam solicitar um certificado com base no modelo de certificado de Autenticação Kerberos .

Por padrão, a AC do Active Directory fornece e publica o modelo de certificado de Autenticação Kerberos . A configuração de criptografia incluída no modelo baseia-se em APIs de criptografia mais antigas e menos performantes. Para garantir que os controladores de domínio solicitem o certificado adequado com a melhor criptografia disponível, use o modelo de certificado de Autenticação Kerberos como linha de base para criar um modelo de certificado de controlador de domínio atualizado.

Importante

Os certificados emitidos para os controladores de domínio devem atender aos seguintes requisitos:

  • A extensão do ponto de distribuição CRL (Lista de Revogação de Certificado) deve apontar para uma CRL válida ou uma extensão do AIA (Acesso às Informações da Autoridade) que aponta para um respondente do Protocolo de Status de Certificado Online (OCSP)
  • Opcionalmente, a seção Assunto de certificado pode conter o caminho do diretório do objeto do servidor (o nome distinto)
  • A seção Uso da Chave de Certificado deve conter Assinatura Digital e Encipherment de Chave
  • Opcionalmente, a seção Restrições Básicas de certificado deve conter: [Subject Type=End Entity, Path Length Constraint=None]
  • A seção de uso de chave estendida de certificado deve conter Autenticação do Cliente (1.3.6.1.5.5.7.3.2), Autenticação do Servidor (1.3.6.1.5.5.7.3.1) e Autenticação KDC (1.3.6.1.5.2.3.5)
  • A seção Nome Alternativo da Entidade de Certificado deve conter o nome DNS (Sistema de Nomes de Domínio)
  • O modelo de certificado deve ter uma extensão que tenha o valor DomainController, codificado como BMPstring. Se você estiver usando o Windows Server Enterprise Certificate Authority, essa extensão já está incluída no modelo de certificado do controlador de domínio
  • O certificado do controlador de domínio deve ser instalado no repositório de certificados do computador local

Entre em uma CA ou estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

  1. Abra o console de gerenciamento da Autoridade de Certificação

  2. Clique com o botão direito do mouse em Gerenciar Modelos > de Certificado

  3. No Console de Modelo de Certificado, clique com o botão direito do mouse no modelo de Autenticação Kerberos no painel de detalhes e selecione Modelo duplicado

  4. Use a tabela a seguir para configurar o modelo:

    Nome da guia Configurações
    Compatibilidade
    • Limpar a caixa Mostrar alterações resultantes marcar
    • Selecione Windows Server 2016 na lista Autoridade de Certificação
    • Selecione Windows 10/Windows Server 2016 na lista Destinatário de Certificação
    Geral
    • Especifique um nome de exibição de modelo, por exemplo, Autenticação do Controlador de Domínio (Kerberos)
    • Defina o período de validade como o valor desejado
    • Anote o nome do modelo para posterior, que deve ser o mesmo que o nome de exibição de modelo menos espaços
    Nome do assunto
    • Selecione Compilar nestas informações do Active Directory
    • Selecione Nenhum na lista de formato de nome do assunto
    • Selecione Nome DNS na lista Incluir essas informações na lista de assuntos alternativos
    • Limpar todos os outros itens
    Criptografia
    • Definir a categoria de provedor como provedor de armazenamento de chaves
    • Definir o nome do algoritmo como RSA
    • Defina o tamanho mínimo da chave como 2048
    • Definir o hash de solicitação como SHA256

  5. Selecione OK para finalizar suas alterações e criar o novo modelo

  6. Fechar o console

Observação

A inclusão do OID de Autenticação KDC no certificado do controlador de domínio não é necessária para Microsoft Entra dispositivos híbridos ingressados. O OID é necessário para habilitar a autenticação com Windows Hello para Empresas para recursos locais Microsoft Entra dispositivos ingressados.

Importante

Para Microsoft Entra dispositivos ingressados para se autenticar em recursos locais, certifique-se de:

  • Instale o certificado de AC raiz no repositório de certificados raiz confiável do dispositivo. Confira como implantar um perfil de certificado confiável por meio de Intune
  • Publique sua lista de revogação de certificados em um local disponível para Microsoft Entra dispositivos ingressados, como uma URL baseada na Web

Substituir certificados de controlador de domínio existentes

Os controladores de domínio podem ter um certificado de controlador de domínio existente. O Active Directory Certificate Services fornece um modelo de certificado padrão para controladores de domínio chamado certificado do controlador de domínio. Versões posteriores do Windows Server forneceram um novo modelo de certificado chamado certificado de autenticação do controlador de domínio. Esses modelos de certificado foram fornecidos antes da atualização da especificação Kerberos que indicava os KDCs (Key Distribution Centers) executando a autenticação de certificado necessária para incluir a extensão de Autenticação KDC .

O modelo de certificado de Autenticação Kerberos é o modelo de certificado mais atual designado para controladores de domínio e deve ser o que você implanta em todos os controladores de domínio.
O recurso de registro automático permite que você substitua os certificados do controlador de domínio. Use a configuração a seguir para substituir certificados de controlador de domínio mais antigos por novos, usando o modelo de certificado de Autenticação Kerberos .

Entre em uma CA ou estações de trabalho de gerenciamento com credenciais equivalentes do Administrador Empresarial .

  1. Abra o console de gerenciamento da Autoridade de Certificação
  2. Clique com o botão direito do mouse em Gerenciar Modelos > de Certificado
  3. No Console de Modelo de Certificado, clique com o botão direito do mouse no modelo Kerberos (Autenticação do Controlador de Domínio) (ou o nome do modelo de certificado criado na seção anterior) no painel de detalhes e selecione Propriedades
  4. Selecione a guia Modelos Substituídos . Selecione Adicionar
  5. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado controlador de domínio e selecione OK > Adicionar
  6. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado de Autenticação do Controlador de Domínio e selecione OK
  7. Na caixa de diálogo Adicionar Modelo Substituído , selecione o modelo de certificado de Autenticação Kerberos e selecione OK
  8. Adicionar outros modelos de certificado empresarial que foram configurados anteriormente para controladores de domínio à guia Modelos Substituídos
  9. Selecione OK e feche o console modelos de certificado

O modelo de certificado é configurado para substituir todos os modelos de certificado fornecidos na lista de modelos substituídos .
No entanto, o modelo de certificado e a substituição de modelos de certificado não estão ativos até que o modelo seja publicado em uma ou mais autoridades de certificado.

Observação

O certificado do controlador de domínio deve ser encadeado a uma raiz no repositório NTAuth. Por padrão, o certificado raiz da Autoridade de Certificado do Active Directory é adicionado ao repositório NTAuth. Se você estiver usando uma AC que não seja da Microsoft, isso pode não ser feito por padrão. Se o certificado do controlador de domínio não for encadeado a uma raiz no repositório NTAuth, a autenticação do usuário falhará. Para ver todos os certificados no repositório NTAuth, use o seguinte comando:

Certutil -viewstore -enterprise NTAuth

Cancelar a publicação de modelos de certificado obsoletos

A autoridade de certificação emite apenas certificados com base em modelos de certificado publicados. Para segurança, é uma boa prática desmarque modelos de certificado que a AC não está configurada para emitir, incluindo os modelos pré-publicados da instalação de função e todos os modelos substituídos.

O modelo de certificado de autenticação do controlador de domínio recém-criado substitui modelos de certificado do controlador de domínio anteriores. Portanto, você deve cancelar esses modelos de certificado de todas as autoridades de certificação emissoras.

Entre na CA ou na estação de trabalho de gerenciamento com credenciais equivalentes do Administrador Empresarial .

  1. Abra o console de gerenciamento da Autoridade de Certificação
  2. Expandir o nó pai do painel > de navegação Modelos de Certificado
  3. Clique com o botão direito do mouse no modelo de certificado do Controlador de Domínio e selecione Excluir. Selecione Sim na janela Desabilitar modelos de certificado
  4. Repita a etapa 3 para os modelos de certificado de Autenticação do Controlador de Domínio e Autenticação Kerberos

Publicar o modelo de certificado na AC

Uma autoridade de certificação só pode emitir certificados para modelos de certificado que são publicados nele. Se você tiver mais de uma AC e quiser que mais CAs emitam certificados com base no modelo de certificado, você deve publicar o modelo de certificado para eles.

Entre nas estações de trabalho de ac ou gerenciamento com credenciais equivalentes do Enterprise Administração.

  1. Abra o console de gerenciamento da Autoridade de Certificação
  2. Expandir o nó pai do painel de navegação
  3. Selecione Modelos de Certificado no painel de navegação
  4. Clique com botão direito do mouse no nó de Modelos de certificado. Selecione Novo > Modelo de Certificado para emitir
  5. Na janela Habilitar Modelos de Certificados , selecione o modelo Kerberos (Autenticação do Controlador de Domínio) que você criou nas etapas > anteriores, selecione OK
  6. Fechar o console

Importante

Se você planeja implantar Microsoft Entra dispositivos ingressados e exigir o SSO (logon único) para recursos locais ao entrar com Windows Hello para Empresas, siga os procedimentos para atualizar sua AC para incluir um ponto de distribuição CRL baseado em http.

Configurar e implantar certificados em controladores de domínio

Configurar o registro automático de certificado para os controladores de domínio

Os controladores de domínio solicitam automaticamente um certificado do modelo de certificado do controlador de domínio. No entanto, os controladores de domínio não estão cientes de modelos de certificado mais recentes ou configurações substituídas em modelos de certificado. Para que os controladores de domínio registrem e renovem automaticamente os certificados, configure um GPO para registro automático de certificado e vincule-o à UO controladores de domínio .

  1. Abra o console de gerenciamento de Política de Grupo (gpmc.msc)
  2. Expanda o domínio e selecione o nó objeto Política de Grupo no painel de navegação
  3. Clique com o botão direito do mouse no Objeto de política de grupo e selecione Novo
  4. Digite Registro de Certificado Automático do Controlador de Domínio na caixa de nome e selecione OK
  5. Clique com o botão direito do mouse no objeto Registro automático do Certificado do Controlador de Domínio Política de Grupo objeto e selecione Editar
  6. No painel de navegação, expanda Políticas em Configuração de Computador
  7. Expandir as configurações de segurança de configurações > do Windows políticas > de chave pública
  8. No painel de detalhes, clique com o botão direito do mouse em Cliente dos Serviços de Certificado – Registro Automático e selecione Propriedades
  9. Selecione Habilitado na lista Modelo de Configuração
  10. Selecione a caixa Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados marcar caixa
  11. Selecione a caixa Atualizar certificados que usam modelos de certificado marcar
  12. Selecione OK
  13. Fechar o Política de Grupo de Gerenciamento Editor de Política de Grupo

Implantar o GPO de registro de certificado automático do controlador de domínio

Entre no controlador de domínio ou nas estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
  2. No painel de navegação, expanda o domínio e expanda o nó com o nome de domínio do Active Directory. Clique com o botão direito do mouse na unidade organizacional controladores de domínio e selecione Vincular um GPO existente...
  3. Na caixa de diálogo Selecionar GPO, selecioneRegistro de Certificado Automático do Controlador de Domínio ou o nome do registro de certificado do controlador de domínio Política de Grupo objeto que você criou anteriormente
  4. Selecione OK

Validar a configuração

O Windows Hello para Empresas é um sistema distribuído que, na superfície, aparenta ser complexo e difícil de usar. A chave para uma implantação bem-sucedida é validar fases do trabalho antes de passar para a próxima fase.

Confirme se os controladores de domínio registram os certificados corretos e não os modelos de certificado substituídos. Verifique se cada controlador de domínio concluiu o registro automático do certificado.

Usar os logs de eventos

Entre no controlador de domínio ou nas estações de trabalho de gerenciamento com credenciais equivalentes do Administrador de Domínio .

  1. Usando o Visualizador de Eventos, navegue até o log de eventos Application and Services>Microsoft>Windows>CertificateServices-Lifecycles-System
  2. Procure um evento que indica um novo registro de certificado (registro automático):
    • Os detalhes do evento incluem o modelo de certificado no qual o certificado foi emitido
    • O nome do modelo de certificado usado para emitir o certificado deve corresponder ao nome do modelo de certificado incluído no evento
    • A impressão digital do certificado e as EKUs para o certificado também estão incluídas no evento
    • O EKU necessário para a autenticação adequada Windows Hello para Empresas é a Autenticação Kerberos, além de outras EKUs fornecidas pelo modelo de certificado

Certificados substituídos pelo novo certificado do controlador de domínio geram um evento de arquivo no Log de Eventos. O evento de arquivo contém o nome de modelo de certificado e a impressão digital do certificado substituído pelo novo certificado.

Gerenciador de certificados

Você pode usar o console do Gerenciador de certificados para validar se o controlador de domínio tem o certificado devidamente registrado com base no modelo de certificado correto com as EKUs adequadas. Use certlm.msc para exibir o certificado no armazenamento de certificados dos computadores locais. Expanda o armazenamento Pessoal e visualize os certificados registrados para o computador. Certificados arquivados não aparecem no Gerenciador de Certificados.

Certutil.exe

Você pode usar o certutil.exe comando para exibir certificados registrados no computador local. O Certutil mostra certificados registrados e arquivados do computador local. Em um prompt de comando elevado, execute o seguinte comando:

certutil.exe -q -store my

Para exibir informações detalhadas sobre cada certificado no repositório e validar o registro automático de certificados registrados os certificados adequados, use o seguinte comando:

certutil.exe -q -v -store my

Solução de problemas

O Windows ativa o registro automático de certificado do computador durante a inicialização e quando a Política de grupo é atualizada. Você pode atualizar a Política de grupo de um prompt de comando com privilégios elevados usando gpupdate.exe /force.

Como alternativa, você pode acionar o registro automático de certificado usando certreq.exe -autoenroll -q em um prompt de comando com privilégios elevados.

Use os logs de eventos para monitorar o registro e o arquivamento de certificado. Examine a configuração, como publicar modelos de certificado para emitir autoridade de certificação e permitir permissões de registro automático.

Revisão de seção e próximas etapas

Antes de passar para a próxima seção, verifique se as seguintes etapas estão concluídas:

  • Configurar o modelo de certificado do controlador de domínio
  • Substituir certificados de controlador de domínio existentes
  • Cancelar a publicação de modelos de certificado obsoletos
  • Publicar o modelo de certificado na AC
  • Implantar certificados nos controladores de domínio
  • Validar a configuração dos controladores de domínio

Próximo: configurar e registrar-se no Windows Hello para Empresas >