Como integrar com uma CA Microsoft

Prev Next

Este documento fornece informações sobre como integrar com uma CA Microsoft sem a necessidade de permissão de administrador de domínio ou local. Para mais informações sobre os campos da CA Microsoft, veja Autoridades certificadoras.

Requisitos

Info
  • Se você não deseja fornecer acesso não administrativo detalhado conforme as permissões acima, pode conceder permissão de administrador local à autoridade certificadora Microsoft. No entanto, essa prática não é recomendada, pois concede privilégios excessivos, aumentando a superfície de ataque e potencialmente comprometendo a segurança do sistema. É crucial minimizar os privilégios para garantir o princípio de menor privilégio e proteger informações sensíveis.
  • Os passos a seguir foram realizados e validados no Windows Server 2019.

Habilitar permissões na CA

  1. No objeto da CA, clique em Propriedades > Segurança.
  2. Habilite a permissão Solicitar certificado.
  3. Forneça permissão para o usuário de serviço no template do certificado que será utilizado pelo CLM para assinar certificados.
    1. Abra o console da CA.
    2. Clique em Templates de certificados > Gerenciamento.
    3. No console, encontre o template e clique em Propriedades.
    4. Vá até a aba Segurança e adicione o usuário de serviço que deseja fornecer permissão ao clicar na caixa de seleção Enroll.
    5. Clique em OK para salvar as alterações.

Fornecer acesso aos recursos WinRM

  1. Abra o prompt de comando.
  2. Execute os seguintes comandos:
    1. winrm configSDDL default
      1. Após executar os comandos, selecione a permissão Executar na coluna Permitir.
    2. Set-PSSessionConfiguration -Name Microsoft.PowerShell -ShowSecurityDescriptorUI
      1. Após executar os comandos, selecione a permissão Controle total na coluna Permitir.

Fornecer acesso ao namespace WMI

  1. Abra o comando Executar do Windows, digite wmimgmt.msc e aperte Enter.
  2. No console WmiMgmt, e clique em Propriedades em WMIControl (Local).
  3. Na aba Segurança, selecione Root, e clique em Security para configurar permissões.
  4. Adicione o grupo Remote Management Users na seção de grupos ou nomes de usuário.
  5. Selecione o grupo adicionado e clique em Avançadas para acessar as configurações avançadas de segurança.
  6. Edite as permissões e altere os valores da coluna Aplicável a para Esta pasta e subpastas.
  7. Marque as seguintes permissões:
    1. Executar métodos
    2. Ativar conta
    3. Ativação remota

Integrar com uma CA Microsoft

  1. No Segura, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Certificate Manager.
  2. No menu lateral, selecione Gerenciamento > Autoridades > Autoridades certificadoras.
  3. No canto superior direito, clique em Adicionar, e selecione Microsoft CA.
  4. No campo Nome *, insira um nome para identificar a CA.
  5. Selecione o botão Status para ativar ou desativar a CA.
  6. No campo IP para conexão com a CA *, insira o IP de conexão com a CA.
  7. No campo Nome do host da CA *, insira o nome do host da CA.
    1. Para obter o nome completo do host da CA, execute o comando certutil no servidor da Microsoft CA e copie o valor da linha Config.
  8. No campo Plugin para conexão *, selecione o plugin para conexão.
  9. No campo Porta, insira a porta para conexão.
  10. No campo Credencial de acesso *, selecione a credencial de acesso.
  11. Clique em Salvar.