Você deve criar um modelo de certificado que possa ser usado para emitir certificados de curta duração e deve especificar quais computadores no domínio podem solicitar esse tipo de certificado.

Você pode criar mais de um modelo de certificado. Você pode configurar apenas um modelo por domínio, mas pode compartilhar o modelo entre vários domínios. Por exemplo, se você tiver uma floresta Active Directory com três domínios e quiser usar o True SSO para todos os três domínios, poderá optar por configurar um, dois ou três modelos. Todos os domínios podem compartilhar o mesmo modelo ou você pode ter modelos diferentes para cada domínio.

Pré-requisitos

  • Verifique se você tem uma autoridade de certificação corporativa a ser usada para criar o modelo descrito neste procedimento. Consulte Configurar uma autoridade de certificação corporativa.
  • Verifique se você preparou Active Directory para autenticação de cartão inteligente. Para obter mais informações, consulte os tópicos em "Preparando Active Directory" no documento Instalação e upgrade do Horizon 8.
  • Crie um grupo de segurança no domínio e na floresta para os servidores de inscrição e adicione as contas de computador dos servidores de inscrição a esse grupo.

Procedimento

  1. Para configurar o True SSO, na máquina que você está usando para a autoridade de certificação, faça login no sistema operacional como administrador e vá para Ferramentas administrativas (Administrative Tools) > Autoridade de certificação (Certification Authority) }.
    1. Expanda a árvore no painel esquerdo, clique com o botão direito do mouse em Modelos de certificado (Certificate Templates) e selecione Gerenciar (Manage).
    2. Clique com o botão direito do mouse no modelo Smartcard Logon e selecione Duplicar (Duplicate).
    3. Faça as seguintes alterações nas seguintes guias:
      Guia Ação
      Guia Compatibilidade
      • Para Autoridade de certificação (Certificate Authority), selecione o sistema operacional Windows.
      • Para Destinatário do certificado (Certificate Recipient), selecione o sistema operacional Windows.
      Guia Geral
      • Altere o nome de exibição do modelo para um nome de sua escolha. Exemplo: SSO verdadeiro.
      • Altere o período de validade para um período tão longo quanto um dia útil normal; ou seja, enquanto o usuário provavelmente permanecer conectado ao sistema.

        Para que o usuário não perca o acesso aos recursos de rede enquanto estiver conectado, o período de validade deve ser maior que o tempo de renovação do Kerberos TGT no domínio do usuário.

        (A vida útil máxima padrão do tíquete é de 10 horas. Para encontrar a política de domínio padrão, acesse Configuração do computador (Computer Configuration) > Políticas (Policies) > Windows Configurações > Configurações de segurança (Security Settings) > Políticas da conta (Account Policies) > Política Kerberos: Vida útil máxima para o tíquete do usuário (Kerberos Policy:Maximum lifetime for user ticket).)

      • Altere o período de renovação para 50%-75% do período de validade.
      Guia Tratamento de solicitações
      • Em Finalidade (Purpose), selecione Assinatura e logon de cartão inteligente (Signature and smartcard logon).
      • Selecione, Para renovação automática de smart cards, … (For automatic renewal of smart cards, …)
      Guia Criptografia
      • Em Categoria do provedor (Provider Category), selecione Provedor de armazenamento de chaves (Key Storage Provider).
      • Para Nome do algoritmo (Algorithm name), selecione RSA.
      Guia Servidor Selecione Não armazenar certificados e solicitações no banco de dados da autoridade de certificação (Do not store certificates and requests in the CA database).
      Importante: Certifique-se de desmarcar Não incluir informações de revogação nos certificados emitidos (Do not include revocation information in issued certificates). (Esta caixa é selecionada quando você seleciona a primeira, e você precisa desmarcá-la (desmarcá-la).)
      Guia Requisitos de Emissão
      • Selecione Este número de assinaturas autorizadas ( This number of authorized signatures) e digite 1 na caixa.
      • Para Tipo de política ( Policy type), selecione Política de aplicativo (Application Policy) e defina a política como Agente de solicitação de certificado (Certificate Request Agent).
      • Para Exigir o seguinte para reinscrição (Require the following for reenrollment), selecione Certificado existente válido (Valid existing certificate).
      Observação:

      Para a renovação automática de certificados de smart card, use a chave existente se não for possível criar uma nova chave.
      Aba Segurança Para o grupo de segurança que você criou para as contas de computador do servidor de inscrição, conforme descrito nos pré-requisitos, forneça as seguintes permissões: Ler, Inscrever-se
      1. Clique em Adicionar (Add).
      2. Especifique quais computadores permitir a inscrição para certificados.
      3. Para esses computadores, marque as caixas de seleção apropriadas para conceder aos computadores as seguintes permissões: Ler, Inscrever-se.
    4. Clique em OK na caixa de diálogo Propriedades do Novo Modelo.
    5. Feche a janela Console de Modelos de Certificado.
    6. Clique com o botão direito do mouse em Modelos de certificado (Certificate Templates) e selecione Novo (New) > Modelo de certificado a ser emitido (Certificate Template to Issue).
      Observação: Essa etapa é necessária para todas as autoridades de certificação que emitem certificados com base nesse modelo.
    7. Na janela Habilitar modelos de certificado, selecione o modelo que você acabou de criar (por exemplo, True SSO Template) e clique em OK.
  2. Para configurar o computador do Enrollment Agent, na máquina que você está usando para a autoridade de certificação, faça login no sistema operacional como administrador e vá para Ferramentas administrativas (Administrative Tools) > Autoridade de certificação (Certification Authority).
    1. Expanda a árvore no painel esquerdo, clique com o botão direito do mouse em Modelos de certificado (Certificate Templates) e selecione Gerenciar (Manage).
    2. Localize e abra o modelo Computador do Agente de Inscrição e faça a seguinte alteração na guia Segurança (Security):
      Para o grupo de segurança que você criou para as contas de computador do servidor de inscrição, conforme descrito nos pré-requisitos, forneça as seguintes permissões: Ler, Inscrever-se
      1. Clique em Adicionar (Add).
      2. Especifique quais computadores permitir a inscrição para certificados.
      3. Para esses computadores, marque as caixas de seleção apropriadas para conceder aos computadores as seguintes permissões: Ler, Inscrever-se.
    3. Clique com o botão direito do mouse em Modelos de certificado (Certificate Templates) e selecione Novo (New) > Modelo de certificado a ser emitido (Certificate Template to Issue).
      Observação: Essa etapa é necessária para todas as autoridades de certificação que emitem certificados com base nesse modelo.
    4. Na janela Habilitar Modelos de Certificado, selecione Computador do Agente de Inscrição ( Enrollment Agent Computer) e clique em OK.

O que Fazer Depois

Crie um serviço de inscrição.