24/1/2014

Julio Battisti

Tutorial de TCP/IP Parte 19 Certificados Digitais e

Segurana
Introduo:
Esta a dcima nona parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
bsicos do protocolo TCP/IP. Na Parte 2falei sobre clculos binrios, um importante
tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei
sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte
5apresentei mais alguns exemplos e anlises de como funciona o roteamento e
na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma
rede em sub-redes, conceito conhecido como subnetting. NaParte 8 fiz uma
apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name
System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes
TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente.
Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP.
Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS.
Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao.
Na Parte 12, mostrei como so efetuadas as configuraes de portas em diversos
aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para
exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e
a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo
de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro
protocolo de roteamento dinmico, o OSPF. NaParte 16 voc aprendeu sobre um
recurso bem til: O compartilhamento da conexo Internet, oficialmente conhecida
como ICS Internet Connection Sharing. Este recurso til quando voc tem uma
pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o
protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc
pode habilitar o ICS no computador que tem a conexo com a Internet. Com isso os
demais computadores da rede tambm passaro a ter acesso Internet.. Na Parte 17,
voc aprendeu a utilizar o IFC Internet Firewall Connection (Firewall de Conexo com
a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estando
disponvel no Windows 2000.O IFC tem como objetivo proteger o acesso do
usurio contra ataques e perigos vindos da Internet. Na Parte 18 fiz uma
apresentao sobre o protocolo IPSec. O IPSec faz parte do Windows 2000, Windows
XP e Windows Server 2003. O IPSec pode ser utilizado para criar um canal de
comunicao seguro, onde todos os dados que so trocados entre os computaodres
habilitados ao IPSec, so criptografados.
Nesta dcima nona parte, farei uma apresentao sobre o conceito de PKI Public Key
Infrastructure e Certificados Digitais. O Windows 2000 Server e tambm o Windows
Server 2003 disponibilizam servios para a emisso, gerenciamento e revogao de
Certificados Digitais. Voc tambm entender o papel dos Certificados Digitais em
relao segurana das informaes.
Apresentarei o conceito de PKI - Public Key Infrastructure (Infraestrutura de chave
pblica). Voc ver que uma Public Key Infrastructure (Infraestrutura de chave pblica),
abreviada simplesmente como PKI, nada mais do que uma infraestrutura de
segurana baseada em certificados digitais, em autoridades certificadores (CA
Certificate Authorities - que emitem e revogam os certificados) e autoridades de
registro, as quais fazem a verificao da autenticidade de todas as estruturas
envolvidas em uma PKI.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

1/11

24/1/2014

Julio Battisti

Nesta parte do tutorial voc entender o que vem a ser uma PKI, aprender sobre os
conceitos bsicos de uso de um par de chaves para fazer a criptografia e proteo dos
dados. Tambm mostrarei qual o papel do Microsoft Certification Service, que o
servidor da Microsoft para a emisso e controle de certificados digitais, servio este
disponvel no Windows 2000 Server e tambm no Windows Server 2003. Com o uso
do Microsoft Certificate Services, a empresa pode montar a sua prpria infraestrutura
de certificados digitais, sem depender de uma autoridade certificadora externa.
Nota: Para aprender a instalar, configurar e a administrar o Microsoft Certificate
Services, consulte o Captulo 7 do meu livro: Manual de Estudos Para o Exame 70-216,
712 pginas.
O uso de Certificados e uma infra-estrutura de chave pblica uma alternativa de baixo
custo, para ambientes que precisam de nveis de segurana elevados, como por
exemplo departamentos de pesquisa de novos produtos e tecnologias, ou rgos
governamentais estratgicos, como os rgos de defesa e de segurana. Com o uso
do Microsoft Certificate Services possvel criar a administrar uma estrutura de
segurana baseada em Certificados Digitais.

Microsoft Certificate Services e PKI

Neste tpico apresentarei o conceito de PKI e de criptografia baseada em um par de
chaves de criptografia: uma chave pblica e uma chave privada. Voc ver que os
Certificados digitais tem papel fundamental em uma estrutura de PKI. Neste tpico voc
tambm aprender a instalar e a configurar o Microsoft Certificate Services.

Uma introduo sobre Certificados e PKI Public Key Infrastructure

Segurana mais do que nunca um assunto sempre em pauta. De tempos em tempos
um novo vrus causa pnico na Internet, novos tipos de ataques so notificados, sites
ficam indisponveis devido a ataques de hackers, problemas com a segurana no acesso
a dados que facilitam a vida de fraudadores e por a vai.
No Windows 2000, Windows XP e no Windows Server 2003 existem diversas maneiras
de proteger seus dados: permisses NTFS, criptografia, uso do NAT para acesso
Internet, uso de Group Policy Objects, uso de diretivas de segurana, direitos de
usurios e por a vai. Neste tpico, abordarei mais um assunto relacionado com
segurana: Certificados Digitais.
Uma pergunta que o amigo leitor poderia fazer a seguinte: Por que existem tantos
ataques de segurana e por que os hackers parecem conhecer to bem os sistemas
das empresas?.
Um dos motivos porque hoje o mundo inteiro (literalmente) utiliza o mesmo
protocolo para comunicao e troca de dados: TCP/IP. Como o TCP/IP amplamente
conhecido e documentado, esta informao tambm utilizada por hackers, para
tentar descobrir falhas no prprio protocolo, falhas estas que permitam quebra de
segurana dos sistemas informatizados das empresas. Evidentemente que, na maioria
das vezes, os ataques so bem sucedidos, porque os programas foram instalados com
as opes padro (out of the Box como saram da caixa (a traduo por minha
conta e risco)), sem se preocupar em ajustar devidamente as configuraes de
segurana.
Nota: Um dos pontos onde o Windows Server 2003 melhorou, e muito, em relao ao
Windows 2000 Server foi nas configuraes de segurana out of the Box. Ou seja, as
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

2/11

24/1/2014

Julio Battisti

configuraes padro de segurana do Windows Server 2003, so bem mais severas,

restringem bem mais o acesso do que as configuraes padro de segurana do
Windows 2000 Server. A idia simples mas muito eficiente. Por padro, o nvel
mnimo de acesso, necessrio ao funcionamento do recurso. Se houver necessidade de
modificaes nas configuraes de segurana, estas podero ser feitas pelo
administrador.
Com o uso do TCP/IP como protocolo de comunicao, os dados no so protegidos
por padro, isto , no so criptografados. Ou seja, se um hacker interceptar uma
transmisso, ter acesso aos dados sem maiores problemas, uma vez que no
usada criptografia, por padro. Claro que para muitas situaes, a criptografia e outros
recursos de segurana so perfeitamente dispensveis. Por exemplo, quando voc
acessa o site de uma empresa para obter informaes gerais sobre a empresa. Estas
informaes so de domnio pblico (afinal esto no site da empresa) e no h
necessidade de criptograf-las. Agora quando voc faz uma compra pela Internet,
usando o seu carto de crdito, ou quando voc faz transaes bancrias usando o site
do seu Banco, a coisa muda completamente de figura. Ou seja, voc quer o mximo de
segurana possvel. De maneira alguma voc gostaria que algum pudesse interceptar o
seu nmero de conta, agncia e senha.
Inicialmente criou-se um mtodo de criptografia, onde os dados eram criptografados
usando uma determinada chave de criptografia. A chave um cdigo com um
determinado nmero de bits. Usa-se este cdigo, juntamente com operaes lgicas,
para embaralhar, ou seja, criptografar os dados. A seqncia de operaes lgicas
que realizada com os dados, usando a chave de criptografia, definida pelo algoritmo
de criptografia. Em seguida os dados e a chave de criptografia so enviados para o
destinatrio. O destinatrio recebe os dados e a chave de criptografia e utiliza esta
chave para descriptografar os dados. Um mtodo bem seguro, no?
No. Este mtodo tem dois problemas principais, os quais so descritos a
seguir:
1.
A chave de criptografia enviada junto com os dados: Com isso, se um
hacker interceptar os dados, ter tambm acesso a chave de criptografia. Usando a
chave (os algoritmos de criptografia so de domnio pblico, a segurana baseada
normalmente no tamanho da chave. Usam-se chaves com um grande nmero de bits,
para que seja difcil descobrir a chave que est sendo utilizada) o hacker poder
descriptografar os dados e ter acesso ao contedo da mensagem. Pior, o hacker
poderia alterar a mensagem e envi-la, alterada, para o destinatrio, o qual no teria
como saber que a mensagem foi alterada.
2.
No final do pargrafo anterior eu descrevo o segundo problema com este
mtodo: ele no permite a verificao da identidade de quem envio a
mensagem. Ou seja, um hacker interceptou a mensagem, usou a chave para
descriptograf-la, alterou a mensagem e a enviou para o destinatrio. O destinatrio
recebe a mensagem e no tem como verificar se a mensagem veio do emissor
verdadeiro ou veio de um hacker. Com este mtodo no possvel verificar e garantir
que o emissor seja quem ele diz ser. No h como verificar a identidade do emissor.
Vejam que somente o uso da criptografia, baseada em uma chave privada (chave
enviada junto com a mensagem), no to seguro como pode parecer. Para
solucionar esta questo que surgiram os Certificados Digitais, com os quais possvel
implementar uma infra-estrutura conhecida como PKI - Public Key Infrastructure
(Infraestrutura de chave pblica). Esta infra-estrutura baseada no uso de certificados
digitais e de um par de chaves: uma chave pblica e uma chave privada. A seguir
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

3/11

24/1/2014

Julio Battisti

descrevo os princpios bsicos de um infra-estrutura baseada em chaves pblica e

privada, para que voc possa entender como esta infra-estrutura resolve os dois
problemas apontados no mtodo anterior.
Em uma rede que usa PKI, um Certificado Digital criado para cada usurio. O
Certificado Digital fica associado com a conta do usurio no Active Directory. Para cada
usurio criado um par de chaves: uma chave pblica e uma chave privada. A chave
pblica fica disponvel no Active Directory e a chave privada fica com o usurio. O mais
comum a chave privada ficar gravada no Certificado Digital do usurio, em um
disquete que fica com o usurio ou, mais comum ainda, em um Smart Card. Agora
vamos entender como funciona a criptografia baseada em um par de chaves: uma
pblica e outra privada.
Dados que so criptografados com uma das chaves, somente podero ser
descriptografados com a outra chave. Por exemplo, se voc criptografar dados com a
chave pblica do usurio jsilva, estes dados somente podero ser descriptografados
com a chave privada do usurio jsilva.
Vamos imaginar que o usurio jsilva precisa enviar dados para o usurio maria. Os
dados so criptografados com a chave pblica do usurio Maria chave pblica do
destinatrio. Com a infraestrutura de PKI, as chaves pblicas ficam disponveis para
serem acessadas por quaisquer usurio. A chave pblica fica gravada no Certificado
Digital do usurio e a lista de Certificados Digitais fica publicada para acesso em um
servidor de certificados digitais (este o papel do Microsoft Certificate Services, ou
seja, emitir, publicar, dar acesso a e revogar certificados digitais para os usurios).
A chave pblica do usurio maria utilizada pelo usurio jsilva para criptografar os
dados, antes de envi-los para o usurio maria. Como os dados foram criptografados
com a chave pblica do usurio maria, a pergunta : qual a nica chave que poder
descriptografar estes dados? A chave privada do usurio maria, a qual somente
o usurio maria tem acesso. Com este mtodo, quando o usurio maria recebe os
dados, ele utilizar a sua chave privada para descriptograf-los. Se um hacker
interceptar os dados, ele no conseguir descriptograf-los, pois no tem acesso a
chave privada do usurio maria. Observe que com este mtodo, a chave que ser
utilizada para descriptografar os dados, no enviada junto com a mensagem. Alm
disso, a mensagem criptografada de tal maneira que somente o destinatrio capaz
de descriptograf-la, ou melhor, a chave privada do destinatrio. Como a mensagem
criptografada com a chave pblica do destinatrio, somente o prprio destinatrio (que
quem tem acesso a sua chave privada), ser capaz de descriptografar a mensagem.
Observe que com este mtodo solucionado o problema de ter que enviar a chave de
criptografia junto com a mensagem. O problema de verificao da identidade, de ter
certeza que o remetente quem diz realmente ser, solucionado com o uso de
Certificados digitais. De uma maneira simples, podemos resumir uma PKI como sendo
uma infra-estrutura de segurana, baseada no uso de um par de chaves (uma pblica e
uma privada) e de Certificados Digitais.

Um pouco sobre Certificados Digitais

De uma maneira simples, o Certificado Digital a verso eletrnica da sua identificao
de usurio na rede (usurio e senha). O Certificado Digital como se fosse a
carteira de identidade do usurio na rede. No Windows 2000 Server e no
Windows Server 2003, o certificado digital do usurio tambm conhecido (na
documentao oficial), como um Certificado de chave pblica, uma vez que uma das
informaes gravadas no certificado digital do usurio justamente a sua chave
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

4/11

24/1/2014

Julio Battisti

pblica.
Um certificado de chave pblica, geralmente chamado somente de certificado, uma
declarao assinada digitalmente que vincula o valor de uma chave pblica identidade
da pessoa (conta do usurio no Active Directory), dispositivo ou servio que contm a
chave privada correspondente.
Os Certificados Digitais podem ser emitidos para uma srie de funes, tais como
autenticao de usurio na Internet, autenticao de um servidor Web, correio
eletrnico seguro (S/MIME), IPSec, para utilizao com o protocolo Transaction Layer
Security (TLS, segurana de camada de transao) e assinatura de cdigos (por
exemplo, todos os programas desenvolvidos pela Microsoft so assinados,
digitalmente, com o Certificado digital da Microsoft. O Windows 2000 Server pode ser
configurado para no instalar drives ou programas que no estejam assinados
digitalmente ou cujos certificados com os quis foram assinados, no possam ser
verificados quanto a sua autenticidade).
Os certificados digitais tem que ser emitidos por uma Autoridade Certificadora (CA
Certificate Authority). Uma opo usar uma autoridade certificadora externa, como
por exemplo a Veri Sign, que uma empresa especializada em segurana e em
certificao digital (www.verisign.com). Com o Windows 2000 Server (e tambm com
o Windows Server 2003), est disponvel o Microsoft Certificate Services, que um
servidor que permite criar uma autoridade certificadora na prpria rede da empresa,
sem ter que fazer uso de uma entidade certificadora externa. Ao utilizar o Certificate
Services para a emisso e gerenciamento de certificados, os certificados digitais
podero ser utilizados pelos usurios, para fazer o logon na rede. Os certificados
tambm so emitidos de uma autoridade de certificao para outra a fim de
estabelecer uma hierarquia de certificao. Usando o Certificate Services voc poder
criar uma hierarquia de certificao na rede da empresa.
A maioria dos certificados em uso hoje em dia so baseados no padro X.509. Esta a
tecnologia fundamental usada na public key infrastructure (PKI) do Windows 2000 e do
Windows Server 2003.
Normalmente, os certificados contm as seguintes informaes:
Chave pblica do usurio
Informaes da identificao do usurio (como o nome e o endereo de correio eletrnico)
Perodo de validade (o perodo de tempo em que o certificado considerado vlido)
Informaes sobre a identificao do emissor do certificado.
A assinatura digital do emissor, que atesta a validade da ligao entre a chave pblica do
usurio e as informaes de identificao do usurio.

Um certificado s vlido pelo perodo de tempo nele especificado, ou seja, o

certificado tem prazo de validade e tem que ser renovado periodicamente. Esta uma
medida importante para aumentar o nvel de segurana, pois a cada renovao, um
novo par de chaves gerado. Cada certificado contm datas Vlido de e Vlido at,
que limitam o perodo de validade. Depois que o perodo de validade de um certificado
terminar, um novo certificado deve ser solicitado pelo usurio do agora expirado
certificado.
Em situaes em que seja necessrio desabilitar um certificado, este pode ser revogado
pelo emissor. Cada emissor mantm uma lista de certificados revogados (CRL
Certification Revocation List), a qual usada pelos programas quando a validade de um
determinado certificado est sendo verificada. Por exemplo, programas que usam
certificados para autenticao, ao receberem uma tentativa de acesso, primeiro entram
em contato com a autoridade certificadora (no caso do Windows 2000 Server um
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

5/11

24/1/2014

Julio Battisti

servidor com o Microsoft Certificate Services) para verificar se o certificado que est
sendo apresentado para logon, no est na lista dos certificados revogados CRL. Se o
certificado estiver na CRL, o logon ser negado.

Certificados e Autoridades de Certificao

Todo certificado emitido por uma Autoridade de Certificao (CA Certificate
Authority). A autoridade de certificao, a partir de agora denominada apenas CA,
responsvel pela verificao sobre a veracidade dos dados do usurio que est
requisitando o certificado. Por exemplo, qualquer usurio pode solicitar um certificado
para utilizar na Internet. Para obter o certificado ele precisa utilizar os servios de uma
CA, como por exemplo a VeriSign (www.verisign.com).
Uma autoridade de certificao uma entidade encarregada de emitir certificados para
indivduos, computadores ou organizaes, sendo que os certificados que confirmam
a identidade e outros atributos do usurio do certificado, para outras entidades. Uma
autoridade de certificao aceita uma solicitao de certificado, verifica as informaes
do solicitador (incluindo a uma srie de documentos e comprovantes, os quais devem
ser apresentados pelo solicitante do certificado) e, em seguida, usa sua chave privada
para aplicar a assinatura digital no certificado. A autoridade de certificao emite ento
o certificado para que o usurio do certificado o use como uma credencial de segurana
dentro de uma infra-estrutura de chave pblica (PKI). Uma autoridade de certificao
tambm responsvel por revogar certificados e publicar uma lista de certificados
revogados (CRL).
Uma autoridade de certificao pode ser uma empresa que presta o servio de
autoridade certificadora, como o VeriSign, ou pode ser uma autoridade de certificao
que voc cria para ser usada por sua prpria organizao, instalando os Servios de
certificados do Windows 2000 Server ou do Windows Server 2003. Cada autoridade de
certificao pode ter requisitos diferentes de prova de identidade, como uma conta de
domnio do Active Directory, crach de empregado, carteira de motorista, solicitao
autenticada ou endereo fsico. Verificaes de identificao como essa geralmente
asseguram uma autoridade de certificao no local, de tal modo que as organizaes
possam validar seus prprios empregados ou membros.
As autoridades de certificao corporativas do Windows 2000 Server usam as
credenciais da conta de usurio do Active Directory de uma pessoa, como prova de
identidade. Em outras palavras, se voc tiver efetuado logon em um domnio do
Windows 2000 Server e solicitar um certificado de uma autoridade de certificao
corporativa, a autoridade de certificao saber que voc quem o Active Directory
diz que voc .
Todas as autoridades de certificao tm um certificado para confirmar sua prpria
identidade, emitido por outra autoridade de certificao confivel ou, no caso de
autoridades de certificao raiz, emitido por elas mesmas. importante lembrar que
qualquer pessoa pode criar uma autoridade de certificao. A questo real se voc,
como um usurio ou um administrador, confia naquela autoridade de certificao e, por
extenso, nas diretivas e procedimentos que ela emprega para confirmar a identidade
dos certificados emitidos para entidades por essa autoridade de certificao.
Em uma rede baseada no Windows 2000 Server (ou no Windows Server 2003), o
administrador tambm pode utilizar uma CA externa. Porm, com o uso do Microsoft
Certificate Services, o administrador pode criar sua prpria autoridade certificadora. O
Certificate Services da Microsoft permite a criao de sofisticados ambientes de
certificao, com a criao de uma hierarquia de CAs. Com o uso do Certificate
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

6/11

24/1/2014

Julio Battisti

Services podem ser criadas os seguintes tipos de autoridades certificadoras, os quais

sero descritos mais adiante:
Enterprise Root CA.
Enterprise Subordinate CA.
Standalone Root CA.
Standalone Subordinate CA

Ao criar uma estrutura interna para criao e gerenciamento de certificados digitais,

voc deve definir os procedimentos que sero utilizados para verificar a veracidade dos
dados dos usurios que esto solicitando certificados. Por exemplo, voc pode utilizar
as informaes do Active Directory, como sendo as informaes oficiais de cada
funcionrio, porm o funcionrio tem acesso a alterar as informaes da sua conta no
Active Directory. Com isso voc ter que montar uma metodologia formal de
verificao (um pouco de burocracia as vezes se faz necessria). Por exemplo, voc
pode solicitar que o chefe imediato do funcionrio confirme os dados em um formulrio
na Intranet da empresa (formulrio de papel tambm j seria demais).
A existncia de uma autoridade certificadora significa que voc tem confiana de que a
autoridade de certificao possui as diretivas corretas no local correto e ao avaliar as
solicitaes de certificado, ir negar certificados para qualquer entidade que no atender
a essas diretivas. Esta uma questo fundamental para garantir a identidade dos
usurios. Ao fazer uma verificao rigorosa dos dados informados, antes de emitir um
certificado para um usurio, servidor ou computador, a CA garante que quem obtm o
certificado realmente quem diz ser prova de identidade. Por isso a importncia
fundamental de definir uma metodologia clara, simples e de fcil execuo, para a
verificao dos dados, antes de emitir os certificados.
Alm disso, voc confia que a autoridade de certificao ir revogar certificados que no
devem mais ser considerados vlidos, atravs da publicao de uma lista de certificados
revogados, sempre atualizada (CRL Certificate Revocation List). As listas de
certificados revogados so consideradas vlidas at expirarem. Logo, mesmo que a CA
publique uma nova lista de certificados revogados com os certificados recm revogados
listados, todos os clientes que possurem uma lista de revogao de certificados antiga
no iro procurar nem recuperar a lista nova at que a antiga expire ou seja excluda.
Os clientes podem usar uma pgina Web da CA para recuperar manualmente a lista de
certificados revogados mais atual, caso seja necessrio.
Para servios, computadores e usurios do Windows 2000 Server, a confiana em uma
autoridade de certificao estabelecida quando voc possui uma cpia do certificado
raiz no armazenamento das autoridades de certificao raiz confiveis e tem um
caminho de certificao vlido, significando que nenhum dos certificados no caminho de
certificao foi revogado ou que seus perodos de validade expiraram. O caminho de
certificao inclui todos os certificados emitidos para cada CA na hierarquia da
certificao de uma CA subordinada para a CA raiz. Por exemplo, para uma CA raiz, o
caminho de certificao um certificado, seu prprio certificado auto-assinado. Para
uma CA subordinada, abaixo da CA raiz na hierarquia, seu caminho de certificao inclui
2 certificados, seu prprio certificado e o certificado da CA raiz.
Caso sua empresa esteja usando o Active Directory, a confiana nas autoridades de
certificao da organizao ser estabelecida automaticamente, baseada nas decises
e configuraes realizadas pelo administrador do sistema e nas relaes de confiana
criadas automaticamente pelo Active Directory.

Os diferentes tipos de Autoridades Certificadores

http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

7/11

24/1/2014

Julio Battisti

Conforme descrito anteriormente, podem ser criados diferentes tipos de autoridades

certificadoras. Pode ser uma autoridade certificadora corporativa (Enterprise) ou
Autnoma (Standalone). Cada um destes tipos pode ser uma autoridade certificadora
root ou subordinada. Com isso ficamos com os quatro tipos possveis de autoridades
certificadores:
Corporativa root CA
Corporativa subordinada CA
Autnoma root CA
Autnoma subordinada CA

Uma autoridade de certificao raiz, mais conhecida como autoridade root, encarada
como o tipo mais confivel de autoridade de certificao na PKI de uma organizao.
Geralmente, tanto a segurana fsica como a diretiva de emisso de certificados de uma
autoridade de certificao raiz so mais rigorosas do que as de autoridades de
certificao subordinadas.
Se a autoridade de certificao raiz estiver comprometida ou emitir um
certificado para uma entidade no autorizada, toda a segurana baseada em
certificados, da sua organizao, estar vulnervel e no ser mais confivel.
Enquanto as autoridades de certificao raiz podem ser usadas para emitir certificados
para usurios finais em tarefas como enviar correio eletrnico seguro, na maioria das
organizaes elas so usadas apenas para emitir certificados para outras autoridades
de certificao, chamadas de subordinadas.
Uma autoridade de certificao subordinada uma autoridade de certificao
que foi certificada por outra autoridade de certificao de sua organizao, ou
seja, est subordinada a uma outra entidade certificadora. Se a entidade principal
deixar de ser confivel, todas as entidades subordinadas tambm o deixaro de ser.
Geralmente, uma autoridade de certificao subordinada emitir certificados para usos
especficos, como correio eletrnico seguro, autenticao baseada na Web ou
autenticao de cartes inteligentes. Autoridades de certificao subordinadas tambm
podem emitir certificados para outras autoridades de certificao subordinadas em um
nvel abaixo delas. Com isso possvel criar uma hierarquia de entidades certificadores.
Juntas, a autoridade de certificao raiz, as autoridades de certificao subordinadas
certificadas pela raiz e as autoridades de certificao subordinadas que foram
certificadas por outras autoridades de certificao subordinadas formam uma hierarquia
de certificao.

Autoridades de certificao corporativas

Voc pode instalar o Microsoft Certificate Services para criar uma autoridade de
certificao corporativa, na Intranet da empresa. Autoridades de certificao
corporativas podem emitir certificados para vrias finalidades, tais como assinaturas
digitais, correio eletrnico seguro usando S/MIME (extenses multipropsito do Internet
Mail protegidas), autenticao para um servidor Web seguro usando Secure Sockets
Layer (SSL, camada de soquetes de segurana) ou segurana da camada de transporte
(TLS) e logon em um domnio do Windows 2000 Server ou Windows Server 2003,
usando um carto inteligente (smart card).
Uma autoridade de certificao corporativa apresenta as seguintes caractersticas e
exigncias:
Uma autoridade de certificao corporativa exige o Active Directory.
Quando voc instala uma autoridade de certificao corporativa raiz, ela automaticamente
adicionada ao armazenamento de certificados das Autoridades de certificao raiz confiveis,
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

8/11

24/1/2014

Julio Battisti

para todos os usurios e computadores do domnio. Voc precisa ser administrador de domnio
ou administrador com direito de gravao no Active Directory para instalar uma autoridade de
certificao corporativa raiz.
Todas as solicitaes de certificados enviadas para a autoridade de certificao corporativa sero
atendidas ou negadas com base no conjunto de diretivas e permisses de segurana do tipo de
certificado solicitado. Autoridades de certificao corporativas nunca definem uma solicitao de
certificado como pendente. Elas imediatamente emitem o certificado ou negam a solicitao.
Os certificados podem ser emitidos para efetuar logon em um domnio do Windows 2000 Server
ou Windows Server 2003, usando cartes inteligentes (smart cards).
O mdulo de sada corporativo publica certificados de usurios e a lista de certificados revogados
(CRL), no Active Directory. Para publicar certificados no Active Directory, o servidor em que a
autoridade de certificao est instalada deve ser membro do grupo de Certificates Publishers
(Publicadores de certificados). Isso automtico para o domnio em que o servidor est, mas a
autoridade de certificao precisar receber as permisses de segurana corretas para publicar
certificados em outros domnios.

Uma autoridade de certificao corporativa usa tipos de certificados, que so baseados

em um modelo de certificado. A seguinte funcionalidade possvel devido ao uso de
modelos de certificado:
As autoridades de certificao corporativas aplicam verificaes de credenciais aos usurios
durante o registro de certificados. Cada modelo de certificado tem uma permisso de segurana
definida no Active Directory que determina se quem est solicitando o certificado est autorizado
a receber o tipo de certificado solicitado.
O nome do usurio do certificado automaticamente gerado.
O mdulo de diretiva adiciona uma lista predefinida de extenses de certificados ao certificado
emitido a partir do modelo do certificado. Isso reduz a quantidade de informaes que a pessoa
que solicita o certificado precisa fornecer sobre o certificado e sobre o uso pretendido.

Os servidores que desempenham o papel de autoridades certificadoras corporativas,

desempenham um papel fundamental na estrutura de segurana da empresa. Por isso
importante que voc implemente polticas de backup e de segurana bem rigorosas em
relao a estes servidores.
Alm da segurana lgica, no acesso aos dados, muito importante cuidar tambm da
segurana fsica, controlando quem tem acesso ao servidor configurado como servidor
corporativo root.

Autoridades de certificao autnomas

Voc pode instalar os servios de certificados para criar uma autoridade de certificao
autnoma. Autoridades de certificao autnomas podem emitir certificados para
finalidades diversas, tais como assinaturas digitais, correio eletrnico seguro usando
S/MIME (extenses multipropsito do Internet Mail protegidas) e autenticao para um
servidor Web seguro usando camada de soquetes de segurana (SSL) ou segurana da
camada de transporte (TLS).
Uma autoridade de certificao autnoma tem as seguintes caractersticas:
Diferentemente de uma autoridade de certificao corporativa, uma autoridade de certificao
autnoma no exige o uso do Active Directory. Autoridades de certificao autnomas se
destinam principalmente a serem usadas quando extranets e a Internet esto envolvidas. Por
exemplo, se parceiros de negcios precisam se conectar a rede da empresa para acessar
determinados sistemas, voc pode criar uma autoridade certificadora autnoma, para emitir
certificados para os parceiros de negcio. Estes, por sua vez, usaro estes certificados para se
identificar e ter acesso a rede da empresa. Alm disso, se desejar usar um mdulo de diretiva
personalizado para uma autoridade de certificao, voc deve, primeiramente, instalar os
servios de certificados usando diretiva autnoma e, em seguida, substituir a diretiva autnoma
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

9/11

24/1/2014

Julio Battisti

pela sua diretiva personalizada.

Ao submeter uma solicitao de certificado a uma autoridade de certificao autnoma, o
solicitador do certificado deve fornecer, explicitamente, todas as informaes de identificao
sobre si mesmo e sobre o tipo de certificado desejado na solicitao do certificado. (No
necessrio fazer isso ao submeter uma solicitao a uma autoridade de certificao corporativa,
uma vez que as informaes do usurio corporativo j esto no Active Directory e o tipo do
certificado descrito por um modelo de certificado).

Por padro, todas as solicitaes de certificados enviadas para a autoridade de

certificao autnoma so definidas como pendentes at que o administrador da
autoridade de certificao autnoma verifique a identidade do solicitador e d OK para a
solicitao. Isso feito por razes de segurana, porque as credenciais do solicitador
do certificado no so verificadas pela autoridade de certificao autnoma.
No so usados modelos de certificados, a exemplo do que acontece com as autoridades
certificadores corporativas.
Nenhum certificado pode ser emitido para efetuar logon em um domnio do Windows 2000 Server
ou do Windows Server 2003 usando cartes inteligentes, mas outros tipos de certificados podem
ser emitidos e armazenados em um carto inteligente.
O administrador tem que distribuir, explicitamente, o certificado da autoridade de certificao
autnoma para o armazenamento de raiz confivel dos usurios do domnio, ou os usurios
devem executar essa tarefa sozinhos.

Quando uma autoridade de certificao autnoma usa o Active Directory, ela tem esses
recursos adicionais:
Se um membro do grupo de administradores de domnio ou um administrador com direito de
gravao no Active Directory instalar uma autoridade de certificao raiz autnoma, ela ser
automaticamente adicionada ao armazenamento de certificados das autoridades de certificao
raiz confiveis, para todos os usurios e computadores do domnio. Por essa razo, ao instalar
uma autoridade de certificao raiz autnoma em um domnio do Active Directory, voc no
dever alterar a ao padro da autoridade de certificao at receber solicitaes de
certificados (o que marca as solicitaes como pendentes). Caso contrrio, voc ter uma
autoridade de certificao raiz confivel que automaticamente emite certificados sem verificar a
identidade do solicitador.
Se uma autoridade de certificao autnoma for instalada por um membro do grupo de
administradores de domnio do domnio pai de uma rvore na empresa, ou por um administrador
com direito de gravao no Active Directory, a autoridade de certificao autnoma publicar os
certificados e a lista de certificados revogados (CRL) no Active Directory.

No esquea: Conhea bem as diferenas entre os diferentes tipos de autoridades

certificadores. Lembre-se que autoridades certificadoras corporativas so integradas
com o Active Directory, utilizam modelos de certificados para a criao de novos
certificados. J as autoridades certificadoras autnomas no dependem do Active
Directory e no utilizam modelos de certificados. A seguir um pequeno resumo sobre
cada um dos quatro tipos, para voc fixar bem sobre a funo e as caractersticas de
cada um dos tipos de autoridades certificadores:
1.
Enterprise root CA Autoridade certificadora corporativa root: Um nico
servidor pode ser configurado como Enterprise root CA em uma floresta de domnios
de uma empresa. Este servidor ocupa o topo da hierarquia de autoridades
certificadoras. Normalmente no utilizado para emitir certificados para usurios ou
computadores, mas sim para autoridades certificadores corporativas subordinadas. Os
certificados para usurios e computadores so emitidos pelas autoridades
subordinadas. Com isso voc pode criar uma hierarquia de autoridades certificadoras,
de tal maneira que a emisso de certificados seja efetuada por um servidor do prprio
domnio do usurio. Outro detalhe importante que a autoridade certificadora root
responsvel por assinar o seu prprio certificado (afinal no h nenhuma autoridade
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

10/11

24/1/2014

Julio Battisti

acima dela). Isso que caracteriza esta autoridade como uma autoridade certificadora
root.
2.
Enterprise subordinate CA Autoridade certificadora Corporativa
subordinada: Para instalar uma autoridade certificadora corporativa subordinada, voc
deve ter acesso ao certificado da autoridade certificadora corporativa root. O uso deste
certificado que liga a autoridade certificadora que est sendo instalada, como um
autoridade subordinada a autoridade certificadora root, formando uma hierarquia de
entidades certificadoras. Este tipo de autoridade pode emitir certificados para usurios e
computadores do Active Directory ou para outras autoridades certificadores
subordinadas de nveis mais baixo, aumentando desta maneira, o nmero de nveis da
hierarquia de autoridades certificadoras.
3.
Stand-alone root CA Autoridade certificadora autnoma root: Este tipo
de autoridade certificadora no depende do Active Directory. Pode ser utilizado, por
exemplo, para emitir certificados para parceiros de negcio e prestadores de servio,
que precisam de certificados digitais para acessar determinadas reas da Intranet ou da
Extranet da empresa. Uma vantagem adicional que um servidor configurado como
autoridade certificadora autnoma root, pode ser desconectado da rede, como uma
garantia adicional de segurana. Este tipo de autoridade certificadora tambm
responsvel por emitir os certificados de registro das autoridades certificadoras
autnomas subordinadas.
4.
Stand-alone subordinate CA - Autoridade Certificadora Autnoma
Subordinada: Este tipo de autoridade certificadora est subordinada a uma autoridade
certificadora autnoma root. O processo normalmente o mesmo utilizado para o
caso das autoridades certificadoras corporativas, ou seja, a autoridade certificadora
autnoma root no utilizada para emisso de certificados para usurios e
computadores, mas sim para a emisso de certificados para as autoridades
certificadoras autnomas subordinadas. As autoridades certificadoras autnomas
subordinadas que so responsveis pela emisso dos certificados para usurios e
computadores.

Concluso
Nesta parte do tutorial fiz uma breve apresentao sobre PKI, Certificados Digitais e
Autoridades Certificadores. Voc tambm aprendeu sobre a criptografia baseada no uso
de um par de chaves: pblica e privada e como utilizar o Microsoft Certificate Services
para criar uma autoridade certificadora na prpria rede da empresa.

http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp

11/11