Escolar Documentos
Profissional Documentos
Cultura Documentos
19 - Certificados Digitais
19 - Certificados Digitais
Julio Battisti
1/11
24/1/2014
Julio Battisti
Nesta parte do tutorial voc entender o que vem a ser uma PKI, aprender sobre os
conceitos bsicos de uso de um par de chaves para fazer a criptografia e proteo dos
dados. Tambm mostrarei qual o papel do Microsoft Certification Service, que o
servidor da Microsoft para a emisso e controle de certificados digitais, servio este
disponvel no Windows 2000 Server e tambm no Windows Server 2003. Com o uso
do Microsoft Certificate Services, a empresa pode montar a sua prpria infraestrutura
de certificados digitais, sem depender de uma autoridade certificadora externa.
Nota: Para aprender a instalar, configurar e a administrar o Microsoft Certificate
Services, consulte o Captulo 7 do meu livro: Manual de Estudos Para o Exame 70-216,
712 pginas.
O uso de Certificados e uma infra-estrutura de chave pblica uma alternativa de baixo
custo, para ambientes que precisam de nveis de segurana elevados, como por
exemplo departamentos de pesquisa de novos produtos e tecnologias, ou rgos
governamentais estratgicos, como os rgos de defesa e de segurana. Com o uso
do Microsoft Certificate Services possvel criar a administrar uma estrutura de
segurana baseada em Certificados Digitais.
2/11
24/1/2014
Julio Battisti
3/11
24/1/2014
Julio Battisti
4/11
24/1/2014
Julio Battisti
pblica.
Um certificado de chave pblica, geralmente chamado somente de certificado, uma
declarao assinada digitalmente que vincula o valor de uma chave pblica identidade
da pessoa (conta do usurio no Active Directory), dispositivo ou servio que contm a
chave privada correspondente.
Os Certificados Digitais podem ser emitidos para uma srie de funes, tais como
autenticao de usurio na Internet, autenticao de um servidor Web, correio
eletrnico seguro (S/MIME), IPSec, para utilizao com o protocolo Transaction Layer
Security (TLS, segurana de camada de transao) e assinatura de cdigos (por
exemplo, todos os programas desenvolvidos pela Microsoft so assinados,
digitalmente, com o Certificado digital da Microsoft. O Windows 2000 Server pode ser
configurado para no instalar drives ou programas que no estejam assinados
digitalmente ou cujos certificados com os quis foram assinados, no possam ser
verificados quanto a sua autenticidade).
Os certificados digitais tem que ser emitidos por uma Autoridade Certificadora (CA
Certificate Authority). Uma opo usar uma autoridade certificadora externa, como
por exemplo a Veri Sign, que uma empresa especializada em segurana e em
certificao digital (www.verisign.com). Com o Windows 2000 Server (e tambm com
o Windows Server 2003), est disponvel o Microsoft Certificate Services, que um
servidor que permite criar uma autoridade certificadora na prpria rede da empresa,
sem ter que fazer uso de uma entidade certificadora externa. Ao utilizar o Certificate
Services para a emisso e gerenciamento de certificados, os certificados digitais
podero ser utilizados pelos usurios, para fazer o logon na rede. Os certificados
tambm so emitidos de uma autoridade de certificao para outra a fim de
estabelecer uma hierarquia de certificao. Usando o Certificate Services voc poder
criar uma hierarquia de certificao na rede da empresa.
A maioria dos certificados em uso hoje em dia so baseados no padro X.509. Esta a
tecnologia fundamental usada na public key infrastructure (PKI) do Windows 2000 e do
Windows Server 2003.
Normalmente, os certificados contm as seguintes informaes:
Chave pblica do usurio
Informaes da identificao do usurio (como o nome e o endereo de correio eletrnico)
Perodo de validade (o perodo de tempo em que o certificado considerado vlido)
Informaes sobre a identificao do emissor do certificado.
A assinatura digital do emissor, que atesta a validade da ligao entre a chave pblica do
usurio e as informaes de identificao do usurio.
5/11
24/1/2014
Julio Battisti
servidor com o Microsoft Certificate Services) para verificar se o certificado que est
sendo apresentado para logon, no est na lista dos certificados revogados CRL. Se o
certificado estiver na CRL, o logon ser negado.
6/11
24/1/2014
Julio Battisti
7/11
24/1/2014
Julio Battisti
Uma autoridade de certificao raiz, mais conhecida como autoridade root, encarada
como o tipo mais confivel de autoridade de certificao na PKI de uma organizao.
Geralmente, tanto a segurana fsica como a diretiva de emisso de certificados de uma
autoridade de certificao raiz so mais rigorosas do que as de autoridades de
certificao subordinadas.
Se a autoridade de certificao raiz estiver comprometida ou emitir um
certificado para uma entidade no autorizada, toda a segurana baseada em
certificados, da sua organizao, estar vulnervel e no ser mais confivel.
Enquanto as autoridades de certificao raiz podem ser usadas para emitir certificados
para usurios finais em tarefas como enviar correio eletrnico seguro, na maioria das
organizaes elas so usadas apenas para emitir certificados para outras autoridades
de certificao, chamadas de subordinadas.
Uma autoridade de certificao subordinada uma autoridade de certificao
que foi certificada por outra autoridade de certificao de sua organizao, ou
seja, est subordinada a uma outra entidade certificadora. Se a entidade principal
deixar de ser confivel, todas as entidades subordinadas tambm o deixaro de ser.
Geralmente, uma autoridade de certificao subordinada emitir certificados para usos
especficos, como correio eletrnico seguro, autenticao baseada na Web ou
autenticao de cartes inteligentes. Autoridades de certificao subordinadas tambm
podem emitir certificados para outras autoridades de certificao subordinadas em um
nvel abaixo delas. Com isso possvel criar uma hierarquia de entidades certificadores.
Juntas, a autoridade de certificao raiz, as autoridades de certificao subordinadas
certificadas pela raiz e as autoridades de certificao subordinadas que foram
certificadas por outras autoridades de certificao subordinadas formam uma hierarquia
de certificao.
8/11
24/1/2014
Julio Battisti
para todos os usurios e computadores do domnio. Voc precisa ser administrador de domnio
ou administrador com direito de gravao no Active Directory para instalar uma autoridade de
certificao corporativa raiz.
Todas as solicitaes de certificados enviadas para a autoridade de certificao corporativa sero
atendidas ou negadas com base no conjunto de diretivas e permisses de segurana do tipo de
certificado solicitado. Autoridades de certificao corporativas nunca definem uma solicitao de
certificado como pendente. Elas imediatamente emitem o certificado ou negam a solicitao.
Os certificados podem ser emitidos para efetuar logon em um domnio do Windows 2000 Server
ou Windows Server 2003, usando cartes inteligentes (smart cards).
O mdulo de sada corporativo publica certificados de usurios e a lista de certificados revogados
(CRL), no Active Directory. Para publicar certificados no Active Directory, o servidor em que a
autoridade de certificao est instalada deve ser membro do grupo de Certificates Publishers
(Publicadores de certificados). Isso automtico para o domnio em que o servidor est, mas a
autoridade de certificao precisar receber as permisses de segurana corretas para publicar
certificados em outros domnios.
9/11
24/1/2014
Julio Battisti
Quando uma autoridade de certificao autnoma usa o Active Directory, ela tem esses
recursos adicionais:
Se um membro do grupo de administradores de domnio ou um administrador com direito de
gravao no Active Directory instalar uma autoridade de certificao raiz autnoma, ela ser
automaticamente adicionada ao armazenamento de certificados das autoridades de certificao
raiz confiveis, para todos os usurios e computadores do domnio. Por essa razo, ao instalar
uma autoridade de certificao raiz autnoma em um domnio do Active Directory, voc no
dever alterar a ao padro da autoridade de certificao at receber solicitaes de
certificados (o que marca as solicitaes como pendentes). Caso contrrio, voc ter uma
autoridade de certificao raiz confivel que automaticamente emite certificados sem verificar a
identidade do solicitador.
Se uma autoridade de certificao autnoma for instalada por um membro do grupo de
administradores de domnio do domnio pai de uma rvore na empresa, ou por um administrador
com direito de gravao no Active Directory, a autoridade de certificao autnoma publicar os
certificados e a lista de certificados revogados (CRL) no Active Directory.
10/11
24/1/2014
Julio Battisti
acima dela). Isso que caracteriza esta autoridade como uma autoridade certificadora
root.
2.
Enterprise subordinate CA Autoridade certificadora Corporativa
subordinada: Para instalar uma autoridade certificadora corporativa subordinada, voc
deve ter acesso ao certificado da autoridade certificadora corporativa root. O uso deste
certificado que liga a autoridade certificadora que est sendo instalada, como um
autoridade subordinada a autoridade certificadora root, formando uma hierarquia de
entidades certificadoras. Este tipo de autoridade pode emitir certificados para usurios e
computadores do Active Directory ou para outras autoridades certificadores
subordinadas de nveis mais baixo, aumentando desta maneira, o nmero de nveis da
hierarquia de autoridades certificadoras.
3.
Stand-alone root CA Autoridade certificadora autnoma root: Este tipo
de autoridade certificadora no depende do Active Directory. Pode ser utilizado, por
exemplo, para emitir certificados para parceiros de negcio e prestadores de servio,
que precisam de certificados digitais para acessar determinadas reas da Intranet ou da
Extranet da empresa. Uma vantagem adicional que um servidor configurado como
autoridade certificadora autnoma root, pode ser desconectado da rede, como uma
garantia adicional de segurana. Este tipo de autoridade certificadora tambm
responsvel por emitir os certificados de registro das autoridades certificadoras
autnomas subordinadas.
4.
Stand-alone subordinate CA - Autoridade Certificadora Autnoma
Subordinada: Este tipo de autoridade certificadora est subordinada a uma autoridade
certificadora autnoma root. O processo normalmente o mesmo utilizado para o
caso das autoridades certificadoras corporativas, ou seja, a autoridade certificadora
autnoma root no utilizada para emisso de certificados para usurios e
computadores, mas sim para a emisso de certificados para as autoridades
certificadoras autnomas subordinadas. As autoridades certificadoras autnomas
subordinadas que so responsveis pela emisso dos certificados para usurios e
computadores.
Concluso
Nesta parte do tutorial fiz uma breve apresentao sobre PKI, Certificados Digitais e
Autoridades Certificadores. Voc tambm aprendeu sobre a criptografia baseada no uso
de um par de chaves: pblica e privada e como utilizar o Microsoft Certificate Services
para criar uma autoridade certificadora na prpria rede da empresa.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p19.asp
11/11