Certificados digitais para o ISA Server e servidores publicados by ksw12253

VIEWS: 75 PAGES: 9

									Certificados digitais para o ISA Server e servidores publicados
Microsoft ISA Server 2000 Feature Pack 1, versão 1

Este documento descreve os cenários nos quais são necessários certificados digitais (também chamados de
certificados SSL) no computador do ISA Server e/ou em servidores publicados no ISA Server. São fornecidos
procedimentos para obter e instalar os certificados digitais.


Onde instalar um certificado digital
Existem três cenários de publicação nos quais pode ser necessário fazer uma instalação de certificado digital:

    •    Publicando utilizando as regras de publicação na Web
    •    Publicando utilizando as regras de publicação de servidor
    •    Publicando utilizando os filtros de pacote


Publicando utilizando as regras de publicação na Web
Ao utilizar as regras de publicação na Web para publicar um servidor e se a comunicação SSL de clientes
externos for necessária, no mínimo, um certificado de servidor deve ser instalado no computador do ISA
Server. Além disso, você pode ter um certificado instalado em um servidor Web interno. Da mesma forma,
você terá que configurar a ponte SSL na regra de publicação da Web. Para obter mais informações, consulte
“Ponte SSL” posteriormente neste documento.

Estas são as etapas gerais que você precisa seguir para instalar os certificados SSL em um cenário de
publicação da Web. O procedimento detalhado para cada uma destas etapas será fornecido posteriormente
neste documento.

    1.   Instale um certificado raiz confiável nos computadores que serão clientes SSL do certificado do
         servidor seguindo o procedimento 1 do certificado, “Suporte ao certificado raiz”. Se você estiver
         utilizando um certificado de uma autoridade de certificação (CA) comercial que está incluída no
         banco de dados do Internet Explorer de CAs, esta etapa não precisa ser executada.
    2.   Gere uma solicitação de certificado para o computador do ISA Server seguindo o procedimento 2 do
         certificado, “Gerando um arquivo de solicitação de certificado”.
              • Na etapa 11 do procedimento "Gerando um arquivo de solicitação de certificado", onde
                   você deve fornecer um nome comum para o certificado, digite o nome do host (nome do
                   host FQDN) ou a URL que os clientes externos vão digitar em seus navegadores da Web
                   para acessar o site, por exemplo: news.adatum.com. Seria o mesmo nome utilizado no
                   destino definido para a regra de publicação da Web.
    3.   Processe um Arquivo de solicitação de certificado seguindo o procedimento 3 do Certificado,
         “Processando um arquivo de solicitação de certificado”.
    4.   Instale o certificado seguindo o procedimento 4 do certificado, “Instalando um certificado”. Não
         execute outras etapas até que o tenha instalado.
    5.   Exporte o certificado para um arquivo e copie-o para o computador do ISA Server seguindo o
         procedimento 5 do certificado, “Exportando um certificado do servidor Web para ISA”.
    6.   Instale o certificado no computador do ISA Server seguindo o procedimento 6 do certificado,
         “Instalando o certificado no ISA Server”.
    7.   Remova o certificado do computador Web Server seguindo o procedimento 7 do certificado,
         “Removendo o certificado do servidor Web”.
Essas etapas permitiram a instalação de um certificado no computador do ISA Server. As demais etapas
permitirão que você instale um certificado adicional no computador do servidor Web.

    1.   Gere um arquivo de solicitação de certificado para o computador do servidor Web seguindo o
         procedimento 2 do certificado, “Gerando um arquivo de solicitação de certificado”.
              • Na etapa 11 do procedimento "Gerando um arquivo de solicitação de certificado", onde é
                   necessário fornecer um nome comum para o certificado, digite o nome do host (nome do
                   host FQDN) do servidor Web, por exemplo: webserver.adatum.com.
    2.   Processe um Arquivo de solicitação de certificado seguindo o procedimento 3 do Certificado,
         “Processando um arquivo de solicitação de certificado”.
    3.   Instale o certificado seguindo o procedimento 4 do certificado, “Instalando um certificado”.


Publicando utilizando as regras de publicação do
servidor
Ao publicar um servidor utilizando as regras de publicação do servidor, instale um certificado digital no
servidor publicado, não no computador do ISA Server. Selecione HTTPS Server como o protocolo mapeado
na sua regra de publicação do servidor.

Essas são as etapas gerais que você precisa seguir para instalar um certificado SSL em um cenário de
publicação do servidor. O procedimento detalhado para cada uma destas etapas será fornecido posteriormente
neste documento.

    1.   Instale um certificado raiz confiável nos computadores que serão clientes SSL do certificado do
         servidor seguindo o procedimento 1 do certificado, “Suporte ao certificado raiz”. Se você estiver
         utilizando um certificado de uma autoridade de certificação (CA) comercial que está incluída no
         banco de dados do Internet Explorer de CAs, esta etapa não precisa ser executada.
    2.   Gere um arquivo de solicitação de certificado seguindo o procedimento 2 do certificado, “Gerando
         um arquivo de solicitação de certificado”.
              • Na etapa 11 do procedimento "Gerando um arquivo de solicitação de certificado", onde é
                   necessário fornecer um nome comum para o certificado, digite o endereço (nome do host
                   FQDN) do site que o usuário vai inserir ao solicitar seu servidor publicado, por exemplo:
                   news.adatum.com.
    3.   Processe um Arquivo de solicitação de certificado seguindo o procedimento 3 do Certificado,
         “Processando um arquivo de solicitação de certificado”.
    4.   Instale o certificado seguindo o procedimento 4 do certificado, “Instalando um certificado”.


Publicando utilizando os filtros de pacote
Em geral, recomenda-se de que publique os servidores utilizando regras de publicação. Entretanto, existem
cenários, como em DMZs, em que você utiliza o filtro de pacotes para permitir o tráfego em um servidor.
Nesse cenário, o certificado digital seria instalado apenas no servidor publicado, seguindo as mesmas etapas
no cenário de publicação do servidor.


Procedimento do certificado
Os seguintes procedimentos descrevem em detalhes como instalar os certificados digitais.

1. Suporte ao certificado raiz
Estabelecer conexões SSL entre um cliente e um servidor requer a instalação de um certificado CA raiz que
validará o certificado do servidor. Geralmente, se você estiver utilizando um certificado a partir de um CA
comercial que esteja incluído no banco de dados do computador de CAs, não será necessário executar esta
etapa uma vez que o certificado raiz já estará instalado. Para ver uma lista dos certificados raiz instalados, no
menu do Internet Explorer escolha Ferramentas -> Opções da Internet. Selecione a guia Conteúdo, clique em
Certificados e selecione Autoridades de Certificação Raiz Confiáveis. Se você optar por instalar o
Microsoft Certificate Server para que seja o CA em sua organização para emitir os certificados, será
necessário tratar da instalação dos certificados raiz.

Um certificado raiz deve ser instalado em cada cliente que acessará um servidor utilizando o SSL. Por
exemplo, em um cenário em que o Certificado do servidor Nº 1 está instalado no computador do ISA Server e
o Certificado do servidor Nº 2 está instalado em um computador interno do servidor Web (além do
computador do ISA Server), serão necessárias as seguintes instalações de certificado raiz:

    •    Os clientes externos precisarão de certificados raiz que validem o Certificado do Servidor Nº 1, por
         serem clientes do computador do ISA Server
    •    O computador do ISA Server, como um cliente do computador do servidor Web, precisará de um
         certificado raiz que valide o Certificado de servidor Nº 2.

Em geral, recomenda-se que os certificados instalados no computador do ISA Server e o servidor publicado
em um cenário de publicação do servidor sejam emitidos por uma autoridade de certificação comercial, de
modo que sejam facilmente confiados por clientes que tentam estabelecer uma conexão. Entretanto, em um
cenário de publicação da Web o certificado em um servidor Web poderia ser emitido por um servidor de
certificados Microsoft interno, uma vez que só deve ser confiado pelo computador ISA quando estiver
tentando estabelecer uma conexão SSL ao servidor interno da Web.

         Observação: para obter mais informações sobre o Microsoft Certificate Server, consulte
         Criando hierarquias de certificado com o MS Certificate Server versão 1.0
         (http://go.microsoft.com/fwlink?linkid=12107)

Para obter um certificado raiz do Microsoft Certificate Server

         Observação: As seguintes etapas não assumem nenhuma conectividade direta ao Servidor
         de certificados; toda troca de informações deve ser feita por meio de um disquete.

    1.   No computador do Microsoft Certificate Server, abra o Internet Explorer e digite
         http://localhost/certsrv no campo do Endereço.
    2.   Selecione Recuperar o Certificado CA ou a Lista de Revogação de Certificados e clique em
         Avançar.
    3.   Clique no link Fazer Download do Caminho de Certificação CA e salve o arquivo em um
         disquete.

Para instalar um certificado raiz do Microsoft Certificate Server

    1.   Copie o certificado raiz do disquete para computadores apropriados.
    2.   Acesse cada um dos computadores apropriados e abra o snap-in do Certificado MMC. Clique em
         Iniciar, Executar, MMC
    3.   Clique em Console, Adicionar ou Remover Snap-in. Clique no botão Adicionar
    4.   Selecione Certificados, clique em Adicionar e escolha Conta do Computador, clique em Avançar
    5.   Selecione Computador Local, clique em Concluir, clique em Fechar e em OK
    6.   Clique na pasta Autoridades de Certificação Raiz Confiável.
    7.   Clique com o botão direito em Todas as Tarefas e clique em Importar.
    8.   No Assistente de Importação, clique em Avançar.
    9.   Verifique se seu arquivo de certificado raiz está listado e selecione-o. Clique em Avançar.
    10. Clique em Avançar.
    11. Clique em Concluir.
    12. Em Autoridades de Certificação Raiz Confiável, verifique se você está vendo o certificado raiz.

2. Gerando um arquivo de solicitação de certificado
Este procedimento detalha como gerar um arquivo de solicitação de certificado. Execute este procedimento
em um computador que possua o IIS instalado. Como o IIS geralmente não está instalado no computador do
ISA Server, esse procedimento deve ocorrer no servidor publicado.

         Observação: A solicitação de certificado falhará se contiver caracteres não-alfabéticos.

         Entre a criação do arquivo (ou seja, conclusão das seguintes etapas) e a instalação do
         certificado, não execute nenhuma das seguintes ações:

    •    Alterar o nome do computador ou ligações de site da Web.
    •    Aplicar Service Packs ou correções de segurança.
    •    Alterar os níveis de criptografia (ou seja, aplicar o pacote de criptografia alta).
    •    Excluir a solicitação de certificado pendente.
    •    Alterar alguma das propriedades de Comunicações Seguras do site da Web.

Para gerar um arquivo de solicitação de certificado

Siga este procedimento para gerar uma nova solicitação de certificado a ser enviada a um CA para
processamento:

    1.   Abra o Internet Services Manager (ou seu MMC personalizado que contém o snap-in IIS).
    2.   Selecione o site da Web padrão. Clique com o botão direito e selecione Propriedades.
    3.   Clique na guia Segurança de Diretório.
    4.   Na seção Comunicações Seguras, clique em Certificado do Servidor. Isso inicia o novo Assistente
         de Certificado de Site.
    5.   Clique em Avançar.
    6.   Escolha a opção Criar um Novo Certificado e clique em Avançar. (Pode ocorrer uma pequena
         pausa antes que a próxima tela apareça.)
    7.   Escolha a opção Preparar uma nova solicitação mas enviá-la posteriormente e clique em
         Avançar.

                  Observação O envio da solicitação imediatamente para uma opção de autoridade
                  de certificação online não está disponível, a menos que IIS tenha acesso a um
                  Enterprise CA, que requer que o Certificate Server 2.0 seja instalado no Microsoft
                  Windows 2000 com Active Directory.

    8.   Escolha um nome amigável para o site (pode ser qualquer nome, por exemplo, o nome amigável do
         site no MMC ou o nome do proprietário do site da Web).
    9.   Escolha o comprimento do bit da chave que você deseja utilizar e se deseja utilizar o SGC (Server
         Gated Cryptography ) e, em seguida, clique em Avançar.

                  Observação: Para obter mais informações sobre o comprimento do bit e o SGC,
                  consulte a Ajuda do IIS localizada no servido no seguinte endereço:

                  http://<servername>/iishelp/iis/htm/core/iistesc.htm, em que <servername> é o
                  nome do servidor IIS
                  Insira a Organização (O) e a Unidade Organizacional (OU). Por exemplo, se sua
                  empresa se chamar Fabrikam e você estiver configurando um servidor Web para o
                  departamento de Vendas, terá que digitar Fabrikam para a Organização e Vendas
                  para a Unidade Organizacional. Clique em Avançar ao concluir

    10. Insira o nome comum (CN) de seu site. Ele deve combinar com o endereço na Web que você deseja
        certificar. No caso da publicação do servidor, isso seria o nome que os usuários colocariam ao
        solicitar seu site da Web. Na publicação da Web, deve ser o FQDN do computador do servidor Web.
        Quando concluído, clique em Avançar.
    11. Insira seu País/Região, Cidade e Estado. É muito importante que não abrevie os nomes da cidade ou
        do estado. Quando concluído, clique em Avançar.
    12. Escolha um nome para o arquivo de solicitação de certificado que você pretende criar. Esse arquivo
        conterá todas as informações criadas aqui, bem como sua chave pública para o site. Você pode
        pesquisar o nome do arquivo, se desejar. Isso criará um arquivo .txt quando as etapas forem
        concluídas. O nome padrão para o arquivo será Certreq.txt. Quando essa etapa estiver concluída,
        clique no botão Concluir.
    13. Agora será apresentada uma tela de resumo com todas as informações inseridas. Verifique se todas
        essas informações estão corretas e clique em Concluir.

3. Processando um arquivo de solicitação de certificado
Para que o certificado seja utilizado na Internet, envie o arquivo de solicitação a um CA (autoridade online).
Será gerado um arquivo de resposta do certificado, contendo sua chave pública e que será assinada
digitalmente pelo CA comercial.

Para fins de uso interno, como implantação de um certificado no computador do servidor Web interno em um
cenário de publicação da Web, você talvez queira instalar sua própria autoridade de certificação privada
utilizando o Microsoft Certificate Server.

Para processar uma solicitação de certificados utilizando o Microsoft Certificate Server

As seguintes etapas não assumem nenhuma conectividade direta ao Servidor de certificados; toda troca de
informações deve ser feita por meio de um disquete.

    1.  Copie o arquivo de solicitação de certificado para um disquete, leve o disco para o Servidor de
        Certificados e copie o arquivo do disco para a unidade de disco rígido do Servidor de Certificados,
        lembrando-se da sua localização. Como alternativa, é possível trabalhar no próprio disquete.
    2. No computador do Microsoft Certificate Server, abra o Internet Explorer e digite
        http://localhost/certsrv.
    3. Clique em Solicitar um Certificado e clique em Avançar.
    4. Clique em Solicitação Avançada e clique em Avançar.
    5. Escolha a segunda opção, Enviar uma solicitação de certificado utilizando um arquivo base64
        codificado PKCS Nº10… e clique em Avançar.
    6. No título do modelo do certificado, selecione Servidor Web.
    7. Utilizando o Bloco de Notas, abra o arquivo de solicitação de certificado e copie todo o seu conteúdo
        para a Área de Transferência, digitando CTRL+A e CTRL+C.
    8. Cole o conteúdo do arquivo na caixa de edição Solicitação Salva na página do navegador e clique
        em Enviar.
    9. Clique no link Fazer Download do Certificado CA para salvar o arquivo de resposta no disquete.
    10. Leve o disquete até o computador do servidor publicado e copie o arquivo de resposta na sua unidade
        de disco rígido, lembrando-se da localização.

4. Instalando um certificado
Ao receber seu arquivo de resposta do CA você precisa instalá-lo no servidor Web. Um certificado que será
exportado para o computador do ISA Server deve ser instalado primeiro no servidor Web para o qual o
certificado foi solicitado.

Para instalar o arquivo de resposta

    1.  Abra o Internet Services Manager.
    2.  Expanda Internet Information Services. Selecione o Site da Web Padrão que possui uma solicitação
        de certificado pendente.
    3. Clique com o botão direito no Site da Web Padrão e clique em Propriedades.
    4. Clique na guia Segurança de Diretório.
    5. Na seção Comunicações Seguras, clique em Certificado do Servidor.
    6. No Assistente de Certificado do Site da Web, clique em Avançar.
    7. Escolha Processar a Solicitação Pendente e Instalar o Certificado. Clique em Avançar.
    8. Digite a localização do arquivo de resposta do certificado (você também pode procurar o arquivo) e
        depois clicar em Avançar.
    9. Leia a tela de resumo para certificar-se de que está processando o certificado correto e então clique
        em Avançar.
    10. Você verá uma tela de confirmação. Após ler essas informações, clique em Avançar.
    11. Clique em Sim no aviso da caixa de mensagens e clique em Concluir.

5. Exportando um certificado do computador do servidor Web para o
computador do servidor ISA
Siga este procedimento para exportar um certificado do computador do servidor Web para o computador do
ISA Server.

    1.    Clique em Iniciar, Executar. No campo Abrir , digite MMC e clique em OK.
    2.    Clique em Console, Adicionar ou Remover Snap-in. Clique no botão Adicionar.
    3.    Selecione Certificados, clique em Adicionar, escolha Conta do computador e clique em Avançar.
    4.    Selecione Computador Local, clique em Concluir, Fechar e em OK.
    5.    Expanda a pasta Pessoal e expanda Certificados. Um certificado com o nome do seu site aparece na
          coluna Emitido para no painel direito.
    6.    Clique com o botão direito do mouse em seu certificado, clique em Todas as Tarefas e, em seguida,
          em Exportar.
    7.    Na janela Exportar, clique em Avançar.
    8.    Clique em Sim, exportar a chave particular e clique em Avançar.

                  Observação Se você não tiver a opção de clicar em Sim na janela Exportar Chaves
                  Privadas, ou a chave privada já foi exportada para outro computador ou a chave
                  nunca existiu neste computador. Não é possível utilizar este certificado no ISA
                  Server. Você deve solicitar um novo certificado para este site para o ISA Server.

    9.    Selecione Troca de Informações Pessoais. Manter a configuração padrão para todas as três caixas
          de seleção.
    10.   Atribua uma senha para proteger o arquivo exportado e confirme-a.
    11.   Atribua um nome de arquivo e local.
    12.   Clique em Concluir. Certifique-se de guardar o arquivo que acabou de ser criado uma vez que sua
          capacidade de usar o protocolo SSL depende dele.
    13.   Copie o arquivo criado para o computador do ISA Server.

6. Instalando o certificado no computador do ISA Server
Siga este procedimento para instalar o certificado no computador do ISA Server.

    1.    Clique em Iniciar, Executar. No campo Abrir , digite MMC e clique em OK.
    2.    Clique em Console, Adicionar ou Remover Snap-in. Clique no botão Adicionar.
    3.    Selecione Certificados, clique em Adicionar, escolha Conta do computador e clique em Avançar.
    4.    Selecione Computador Local, clique em Concluir, Fechar e em OK.
    5.    Clique na pasta Pessoal.
    6.    Clique com o botão direito em Todas as Tarefas e clique em Importar.
    7.    No Assistente de Importação, clique em Avançar.
    8.    Certifique-se de que o arquivo está listado e clique em Avançar.
    9.    Digite a senha para este arquivo.
    10.   Clique para marcar a caixa de seleção Marcar a chave privada como exportável.
    11.   Clique em Avançar.
    12.   Clique em Concluir.
    13.   Na pasta Pessoal, quando você vir uma subpasta denominada Certificados, clique na pasta
          Certificados e verifique se você vê um certificado com o nome do endereço do site, por exemplo,
          news.adatum.com.

7. Removendo o certificado do computador do servidor Web
Siga este procedimento para remover o certificado do computador do servidor Web

    1.    No computdor do servidor Web, abra o Internet Services Manager.
    2.    Expanda o nó do servidor e selecione o nó Site Padrão. Clique em Propriedades.
    3.    Clique na guia Segurança do diretório. Na seção Comunicações Seguras, clique em Certificado do
          Servidor. Isso inicia o novo Assistente de Certificado de Site.
    4.    Clique em Avançar.
    5.    Selecione "remover o certificado atual" e clique em Avançar.
    6.    Clique em B>Avançar e em Concluir.
    7.    Feche o Internet Services Manager.


Ponte SSL
Se você está publicando um servidor que exige a comunicação SSL, você deverá ter um certificado digital
instalado no computador do ISA Server. Além disso, você pode ter um certificado digital instalado no
servidor Web. Em ambos os casos, para ter certeza de que as solicitações SSL sejam enviadas do computador
do ISA Server para o servidor Web usando o protocolo adequado, você tem que configurar a ponte SSL de
acordo.

A ponte SSL é uma propriedade para cada regra de publicação na Web. A ponte SSL determina se as
solicitações SSL recebidas pelo computador do ISA Server são passadas para o servidor Web como
solicitações SSL ou como solicitações HTTP, como segue:

    •     Se não houver nenhum certificado digital instalado no servidor Web, passe as solicitações SSL e
          HTTP para o servidor Web como solicitações HTTP. A comunicação segura do SSL é tratada pelo
          ISA Server e continua internamente como HTTP.
    •     Se houver um certificado digital instalado no servidor Web, passe as solicitações SSL para o servidor
          Web interno como solicitações SSL e as solicitações HTTP como solicitações HTTP. Neste caso, a
          comunicação segura por SSL ocorre nos níveis de servidor Web, servidor ISA e cliente ISA.

Se seu servidor Web tiver um certificado digital e você quiser que o ISA Server atenda às solicitações SSL
sem comprar um certificado adicional, você terá que exportar o certificado do servidor Web e importá-lo para
o computador do ISA Server. Para obter mais informações, consulte COMO FAZER: Exportar, instalar e
configurar certificados para Internet Security e Acceleration Server
(http://go.microsoft.com/fwlink/?LinkID=10713)

    •   Para modificar a configuração da ponte SSL
    •   Clique no nó Regras de Publicação da Web.
    •   Clique duas vezes na regra de publicação da Web aplicável.
    •   Selecione a guia Ponte.
    •   Para as duas primeiras opções de redirecionamento, selecione o redirecionamento adequado:
            • Se estiver usando o certificado digital do ISA Server para tratar as solicitações SSL, em
                 Redirecionar solicitações HTTP como: e Redirecionar solicitações SSL como: selecione as
                 solicitações HTTP e clique em OK. Esta configuração é mostrada na figura.




                Se desejar continuar usando um certificado digital existente no servidor Web, bem como o
                certificado no ISA Server, em Redirecionar solicitações HTTP como: selecione
                solicitações HTTP e em Redirecionar solicitações SSL como: selecione as solicitações
                SSL e, em seguida, clique em OK.

            •   Observação Existem duas outras opções disponíveis na guia Ponte SSL:
            •   Exigir canal seguro (SSL) para site publicado rejeitará as solicitações HTTP recebidas pelo
                ISA Server. Esta opção também oferece a possibilidade de retornar a criptografia de 128
                bits para solicitações HTTPS.
            •   Usar um certificado para autenticar o servidor Web SSL permite que você especifique o
                certificado cliente que o ISA Server usará para fazer autenticação no servidor Web.
As empresas, organizações, produtos, nomes de domínio, endereços de email, logotipos, pessoas, lugares e
eventos de exemplo mostrados aqui são fictícios. Nenhuma associação a empresa, organização, produto,
nome de domínio, endereço de email, logotipo, pessoa, lugar ou evento é intencional ou deva ser feita.

								
To top