COMO: Instalar um certificado para utilização com a segurança IP

Quando a segurança IP (IPSec, IP Security) está configurada para utilizar uma autoridade de certificação (AC) para autenticação mútua, o utilizador tem de obter um certificado de computador local. Pode obter este certificado a partir de uma AC de outro fabricante ou instalar os serviços de certificados no Windows para criar a sua própria AC. Este artigo descreve como instalar um certificado de computador local para utilização com a IPSec a partir de uma AC do Windows autónoma.

O pedido do certificado de computador local é efectuado utilizando HTTP. Devido ao facto de um certificado de computador local ter de ser utilizado com a IPSec, o utilizador tem de submeter um pedido avançado à AC para especificar esta questão.

Instalar um certificado de computador local a partir de uma autoridade de certificação do Windows autónoma

1. O pedido consiste num endereço Web que contém o endereço IP ou o nome do servidor de certificados, com "/certsrv" anexado. No browser, escreva o seguinte endereço Web
   http://endereço IP da AC/certsrv
   em que endereço IP da AC é o endereço IP ou o nome do servidor de certificados.
   
   
2. No ecrã inicial de boas-vindas do servidor de certificados, clique em Pedir um certificado (Request a certificate) e clique em Seguinte (Next).
3. No ecrã Escolher tipo de pedido (Choose Request Type), clique em Pedido avançado (Advanced request) e clique em Seguinte (Next).
4. No ecrã Pedidos de certificados avançados (Advanced Certificate Requests), clique em Submeter um pedido de certificado para esta CA utilizando um formulário (Submit a certificate request to this CA using a form) e clique em Seguinte (Next).
5. No ecrã Pedido de certificado avançado (Advanced Certificate Request), escreva o seu nome e o endereço de correio electrónico nas caixas adequadas.
6. Em Objectivo pretendido (Intended Purpose), seleccione Certificado de autenticação de cliente (Client Authentication Certificate) ou Certificado IPSec (IPSec Certificate). Se escolher Certificado IPSec (IPSec Certificate), este certificado será apenas utilizado pela IPSec.
7. Em Opções chave (Key Options), clique em Microsoft Base Cryptographic Provider v1.0, Assinatura (Signature) para Utilização de chave (Key Usage) e 1024 para Tamanho da chave (Key Size).
8. Deixe a opção Criar novo conjunto de chaves (Create new key set) activada (pode desmarcar a caixa de verificação Definir o nome do contentor (Container Name) a menos que pretenda indicar um nome específico) e clique em Utilizar armazém de computador local (Use local machine store).
9. Não altere os valores predefinidos das restantes opções excepto se necessitar de efectuar uma alteração específica.
10. Clique em Submeter (Submit).
11. Se a autoridade de certificação estiver configurada para emitir certificados automaticamente, deverá ser apresentado o ecrã Certificado emitido (Certificate Issued). Clique em Instalar este certificado (Install this Certificate). Deverá ser apresentado o ecrã Certificado instalado (Certificate Installed) com a mensagem O novo certificado foi instalado com sucesso (Your new certificate has been successfully installed).
12. Se a autoridade de certificação não estiver configurada para emitir certificados automaticamente, será apresentado um ecrã Certificado pendente (Certificate Pending), pedindo que aguarde a emissão do certificado pedido por um administrador. Para obter um certificado emitido por um administrador, volte ao endereço Web e clique em Verificar um pedido de certificação pendente (Check on a pending certificate). Clique no certificado pedido e, em seguida, clique em Seguinte (Next). Se o certificado ainda não tiver sido emitido, será apresentado o ecrã Certificado pendente (Certificate Pending). Se o certificado tiver sido emitido, será apresentado o ecrã Instalar este certificado (Install this Certificate).

Instalar um certificado de computador local a partir de uma autoridade de certificação do Windows 2000 empresarial

1. O pedido consiste num endereço Web que contém o endereço IP ou o nome do servidor de certificados, com /certsrv anexado. No browser, escreva o seguinte endereço Web: http://endereço IP da AC/certsrv
   
   em que endereço IP da AC é o endereço IP ou o nome do servidor de certificados.
2. Se o computador utilizado ainda não tiver sessão iniciada no domínio, será apresentado um pedido para fornecer as credenciais de domínio.
3. No ecrã inicial de boas-vindas do servidor de certificados, clique em Pedir um certificado (Request a Certificate) e clique em Seguinte (Next).
4. No ecrã Escolher tipo de pedido (Choose Request Type), clique em Pedido avançado (Advanced Request) e clique em Seguinte (Next).
5. No ecrã Pedidos de certificados avançados (Advanced Certificate Requests), clique em Submeter um pedido de certificado para esta CA utilizando um formulário (Submit a certificate request to this CA using a form) e clique em Seguinte (Next).
6. No ecrã Pedido de certificado avançado (Advanced Certificate Request) da opção Modelo de certificado (Modelo de certificado), seleccione Administrador (Administrator).
7. Em Opções chave (Key Options), clique em Microsoft Base Cryptographic Provider v1.0, Assinatura (Signature) para Utilização de chave (Key Usage) e 1024 para Tamanho da chave (Key Size).
8. Deixe a opção Criar novo conjunto de chaves (Create new key set) activada (pode desmarcar a caixa de verificação Definir o nome do contentor (Container Name) a menos que pretenda indicar um nome específico) e clique em Utilizar armazém de computador local (Use local machine store).
9. Não altere os valores predefinidos das restantes opções excepto se necessitar de efectuar uma alteração específica.
10. Clique em Submeter (Submit).
11. O ecrã Certificado emitido (Certificate Issued) deverá ser apresentado. Clique em Instalar este certificado (Install this Certificate). Deverá ser apresentado o ecrã Certificado instalado (Certificate Installed) com a mensagem
    O novo certificado foi instalado com sucesso (Your new certificate has been successfully installed)

Verificar se o certificado de computador local foi instalado

Depois de o certificado ser instalado, verifique a localização do certificado utilizando o snap-in Certificados (computador local) [Certificate (Local Computer)] da consola de gestão da Microsoft (MMC, Microsoft Management Console). O certificado deverá ser apresentado em Pessoal (Personal).

Se o certificado instalado não for apresentado aqui, o certificado foi instalado como Pedido de certificado de utilizador (User certificate request), ou não clicou em Utilizar armazém de computador local (Use local machine store) no pedido avançado.

Para obter informações sobre como instalar serviços de certificados no Windows, consulte o seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Para obter mais informações, consulte o documento "Step-by-Step Guide to End-to-End Security: An Introduction to Internet Protocol" no seguinte Web site da Microsoft: