Este documento fornece informações sobre como integrar com uma CA Microsoft sem a necessidade de permissão de administrador de domínio ou local. Para mais informações sobre os campos da CA Microsoft, veja Autoridades certificadoras.
Requisitos
- Os seguintes grupos de acesso no Active Directory (AD):
- Domain Users
- Remote Management Users
- Permissões na Autoridade certificadora (CA). Veja Habilitar permissões na CA para mais informações.
- Permissões para fornecer acesso no recursos WinRM. Veja Fornecer acesso aos recursos WinRM para mais informações.
- Permissão para fornecer acesso ao namespace WMI. Veja Fornecer acesso ao namespace WMI para mais informações.
Info
- Se você não deseja fornecer acesso não administrativo detalhado conforme as permissões acima, pode conceder permissão de administrador local à autoridade certificadora Microsoft. No entanto, essa prática não é recomendada, pois concede privilégios excessivos, aumentando a superfície de ataque e potencialmente comprometendo a segurança do sistema. É crucial minimizar os privilégios para garantir o princípio de menor privilégio e proteger informações sensíveis.
- Os passos a seguir foram realizados e validados no Windows Server 2019.
Habilitar permissões na CA
- No objeto da CA, clique em Propriedades > Segurança.
- Habilite a permissão Solicitar certificado.
- Forneça permissão para o usuário de serviço no template do certificado que será utilizado pelo CLM para assinar certificados.
- Abra o console da CA.
- Clique em Templates de certificados > Gerenciamento.
- No console, encontre o template e clique em Propriedades.
- Vá até a aba Segurança e adicione o usuário de serviço que deseja fornecer permissão ao clicar na caixa de seleção Enroll.
- Clique em OK para salvar as alterações.
Fornecer acesso aos recursos WinRM
- Abra o prompt de comando.
- Execute os seguintes comandos:
winrm configSDDL default
- Após executar os comandos, selecione a permissão Executar na coluna Permitir.
Set-PSSessionConfiguration -Name Microsoft.PowerShell -ShowSecurityDescriptorUI
- Após executar os comandos, selecione a permissão Controle total na coluna Permitir.
Fornecer acesso ao namespace WMI
- Abra o comando Executar do Windows, digite
wmimgmt.msc
e aperte Enter. - No console WmiMgmt, e clique em Propriedades em WMIControl (Local).
- Na aba Segurança, selecione Root, e clique em Security para configurar permissões.
- Adicione o grupo Remote Management Users na seção de grupos ou nomes de usuário.
- Selecione o grupo adicionado e clique em Avançadas para acessar as configurações avançadas de segurança.
- Edite as permissões e altere os valores da coluna Aplicável a para Esta pasta e subpastas.
- Marque as seguintes permissões:
- Executar métodos
- Ativar conta
- Ativação remota
Integrar com uma CA Microsoft
- No Segura, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Certificate Manager.
- No menu lateral, selecione Gerenciamento > Autoridades > Autoridades certificadoras.
- No canto superior direito, clique em Adicionar, e selecione Microsoft CA.
- No campo Nome *, insira um nome para identificar a CA.
- Selecione o botão Status para ativar ou desativar a CA.
- No campo IP para conexão com a CA *, insira o IP de conexão com a CA.
- No campo Nome do host da CA *, insira o nome do host da CA.
- Para obter o nome completo do host da CA, execute o comando
certutil
no servidor da Microsoft CA e copie o valor da linha Config.
- Para obter o nome completo do host da CA, execute o comando
- No campo Plugin para conexão *, selecione o plugin para conexão.
- No campo Porta, insira a porta para conexão.
- No campo Credencial de acesso *, selecione a credencial de acesso.
- Clique em Salvar.