Table of Contents

Em um ambiente de domínio onde você instalou e configurou uma autoridade certificadora é uma boa pratica usar o recurso de inscrição automática (autoenrollment). Isso faz com que os clientes de sua rede recebem automaticamente os certificados que você criar.
Neste exemplo foi usado o padrão e deixamos com permissão de autoenroll para todos os usuários autenticados, mas você pode criar templates específicos para seus grupos.

Caso você já tenha uma CA na sua rede, verifique se o certificado foi criado usando um template que tenha a opção ”Publish certificate in Active Directory” selecionada.
Para consultar adicione o Snap-In Certificate Templates em um console do MMC,  e consulte a opção ”Publish certificate in Active Directory” nas propriedades do seu template, na guia “General” e verifique se o grupo “Authenticated Users” possui permissão de autoenroll na guia "Security"

image

Configurando o autoenrollment

Para configurar uma politica de autoenrollment no seu domínio abra o GPMC (Start \ Administrative Tools\Group Policy Management).
Expanda a Floresta > Domínio > e edite a politica padrão domínio (Default Domain Policy).

image

Expanda User Configuration > Policies > Windows Settings  > Security Settings > Public Key Policies.
Edite Certificate Services Client – Auto Enrollment

image

Em Configuration Model escolha a opção Enable
Selecione as opções:

  • Renew expired certificates, update pending certificates and remove revoked certificates.
  • Update certificates that user certificate templates.
  • Expiration Notification (deixando o valor padrão em 10% que é uma boa pratica).

image

Edit Certificate Services Client – Certificate Enrollment Policy

Selecione a opção Enable.

image

Feche todas as janelas.

Verificando o autoenrollment

Para testar se o autoenrollment funcionou, faça logon com um usuário do domínio.
Use o MMC e adicione o console certificates – Verifique se ele recebeu o certificado,

image

 

Outra maneira de consultar os certificados emitidos é através do console “Certificate Authority > Issued Certificates

image

 

Artigos Relacionados:

Troubleshooting Certificate Autoenrollment in Active Directory Certificate Services (AD CS)

 

Este artigo foi originalmente escrito por:
Daniel Donda
MVP Windows Expert-IT Pro
MCP,MCT,MCITP-EA, MCSA+Security, MCSE+Security, MCSE+Messaging
EC-Council C|EH, C|HFI, C|EI
Donda's site: http://www.mcsesolution.com  
Twitter: http://twitter.com/danieldonda