GlobalSign Blog

O que são serviços de certificados do Active Directory e por que devo usá-los

O que são serviços de certificados do Active Directory e por que devo usá-los

Nota do editor: esta postagem foi publicada originalmente em setembro de 2016 e foi atualizada pelo gerente de produto regional da GlobalSign, Sebastian Schulz, para fornecer detalhes adicionais sobre os benefícios do AD CS.

Inúmeras organizações usam o Windows Server como base de sua infraestrutura de TI. Inúmeras organizações também usam PKI para várias necessidades de segurança (como; proteger servidores da web [SSL], autenticação baseada em certificado, assinaturas digitais para documentos, criptografar e-mails [S / MIME]). No entanto, muitas vezes ficamos surpresos ao saber quantas pessoas não sabem que os dois podem estar conectados. Entre nos Serviços de Certificados do diretório ativo (AD CS).

O que são os Serviços de Certificados do diretório ativo (AD CS)?

De acordo com a Microsoft, AD CS é a “Função de servidor que permite construir uma infraestrutura de chave pública (PKI) e fornecer criptografia de chave pública, certificados digitais e recursos de assinatura digital para sua organização.”

Há um pouco para desempacotar aqui. Se você já se envolveu com infraestrutura de chave pública (PKI) antes, é provável que perceba que não precisa do AD CS para construir uma AC. E os certificados para assinaturas, assim como muitos outros casos de uso, também estão disponíveis online. Então, por que se preocupar com o AD CS? A pista aqui é a palavra "fornecer". A verdade é que é relativamente simples criar sua própria CA e assinar vários certificados com ferramentas como OpenSSL. Você também pode comprar alguns certificados de uma AC como a GlobalSign e instalá-los manualmente. Mas o AD CS faz mais do que isso. Ele permite que sua organização distribua certificados de uma AC em grande escala, para empresas com milhares de funcionários e possivelmente ainda mais máquinas. Como isso é feito?

Como o próprio nome indica, o diretório ativo é um serviço de diretório para redes de domínio do Windows. Portanto, a base de cada implementação do diretório ativo são os Serviços de Domínio diretório ativo (AD DS). O AD DS armazenará informações sobre usuários, computadores e grupos em um domínio (como globalsign.com), mas também verificará suas credenciais e definirá direitos de acesso. Como todo funcionário de uma empresa é registrado no RH e tem um arquivo detalhando todas as suas informações relevantes, o AD DS mantém essas informações para membros do domínio. Sendo o AD DS o diretório fundamental, as informações registradas nesse diretório podem ser aproveitadas por outros serviços do diretório ativo - como o AD CS

Benefícios de usar AD CS

Usar o AD CS oferece vários benefícios, principalmente em relação à administração de certificados.

  • Confirmar com o diretório ativo - você pode usar as informações de identidade dos endpoints existentes no AD para se registrar para certificados (e evitar um novo registro). Isso significa que usuários e computadores registrados em seu AD podem ter suas informações inseridas automaticamente nos certificados. Ninguém gostaria de se inscrever manualmente para todos eles, certo?
  • Alavancar Política de Grupo Existente - Você pode configurar Políticas de Grupo AD (regras para grupos de usuários específicos definidos no AD, por exemplo, todos os funcionários que trabalham em Contabilidade) para ditar quais usuários e máquinas têm permissão para quais tipos de certificados. Isso é ótimo para implementar o controle de acesso baseado em função ou atributo.
  • Automatizar o provisionamento de certificados e o gerenciamento do ciclo de vida - Assim que um endpoint fica online pela primeira vez, uma solicitação é enviada ao AD para verificar a quais tipos de certificado (chamados de modelos) o endpoint tem acesso com base na Política de Grupo. Com base nos resultados dessa solicitação, o terminal solicita os certificados apropriados, que são então enviados de volta ao terminal e instalados. Os certificados podem ser configurados para renovar automaticamente, quantas vezes você quiser. Isso permite que você use certificados de curta duração enquanto elimina a preocupação com expiração inesperada e lacunas na cobertura.
  • Instalação silenciosa - Como sugerido acima, o processo de instalação é automático e não requer nenhuma intervenção do usuário final (ou TI). A PKI pode ser um pesadelo em escala, a menos que você realmente tenha sua automação em dia. AD pode ajudar muito!

A desvantagem dos Serviços de Certificados do diretório ativo (AD CS) - executando sua própria AC

Agora, após os benefícios descritos acima, você pode pensar:

“Inscreva-me!” Mas não podemos realmente falar sobre o AD CS sem discutir o outro elemento crítico para este tipo de configuração de PKI - a CA interna (ou seja, a CA da Microsoft) que provisiona os certificados. O AD CS é uma espécie de garçom no cenário discutido acima, recebendo solicitações de terminais e entregando os certificados apropriados - e é um excelente garçom! É a "cozinha" (ou seja, Microsoft CA) que pode ser um pouco difícil de gerenciar.

Já cobrimos as desvantagens de executar uma CA interna no passado, mas geralmente se resumem aos mesmos argumentos que você sempre enfrenta ao tentar decidir entre terceirizar ou lidar internamente. Pense nisso. Você dedicaria tempo, dinheiro e recursos no desenvolvimento de um CRM interno? Ou você usaria uma das muitas opções de SaaS disponíveis, projetadas por especialistas?

E, como é muito mais complexo do que um CRM, a PKI também traz considerações adicionais para a discussão. Aqui estão alguns exemplos:

  • Custos de hardware - você precisa proteger e armazenar sua raiz e chaves privadas de assinatura em hardware seguro (por exemplo, Módulo de segurança de hardware ou HSM).
  • Manutenção de serviços de validação - você precisa garantir que tem uma maneira de verificar a validade do certificado, como atualizar CRLs, manter CRLs e executar serviços OCSP. Isso pode representar um desafio ainda maior do que a distribuição e o gerenciamento do ciclo de vida de certificados. Se outra parte quiser verificar a validade de seus certificados, os CRLs e os respondentes OCSP precisam estar disponíveis 24 horas por dia, 7 dias por semana, em todo o mundo.
  • Experiência interna em PKI - PKI é complexa e as melhores práticas estão em constante evolução. É difícil encontrar profissionais de PKI seniores e podem não sair baratos. Como você se certifica de que sua PKI é segura? Como você garantirá a conformidade? Como você se adapta às mudanças nos padrões criptográficos?

O melhor de ambos os mundos: uma integração do diretório ativo de uma AC de terceiros

Agora, por muito tempo (algumas pessoas ainda podem pensar isso), a única maneira de aproveitar o diretório ativo para PKI e obter todos esses benefícios incríveis era usar o AD CS e executar sua própria AC - mas os tempos mudaram! Algumas ACs públicas, como GlobalSign, agora oferecem integrações com AD que fornecem os mesmos benefícios de administração e automação sem a necessidade de gerenciar uma AC internamente.

Com essas integrações, você ainda pode aproveitar o AD e a Política de Grupo para registro e atribuições de certificados, mas as solicitações de certificado são enviadas e respondidas pelas AC pública baseada em SaaS. Os certificados ainda podem ser provisionados, renovados e instalados silenciosamente também.

Algumas organizações desejam manter o controle total e ter os recursos internos para oferecer suporte a uma AC da Microsoft. Alguns não. Nesse caso, é importante saber que esses tipos de integrações públicas de AC existem. A principal lição aqui é que o diretório ativo pode ser uma ferramenta muito poderosa para implantar PKI, independentemente de como você o fizer.

Visite nosso site para saber mais sobre como aproveitar o diretório ativo para automatizar a PKI e facilitar implantações de alto volume.

Share this Post

Blogs mais recentes