Novell Documentation: ZENworks 7 - Configurando o SSL e os certificados em um Servidor de Camada Intermediária do Windows

17.1 Configurando o SSL e os certificados em um Servidor de Camada Intermediária do Windows

Ao configurar o SSL para um Servidor de Camada Intermediária em uma máquina Windows 2000, toda a administração será realizada com o Gerenciador de Serviços de Internet e o ConsoleOne®. Os principais procedimentos da configuração incluem o seguinte:

17.1.1 Gerando uma solicitação de autenticação de certificado

Para gerar uma solicitação de certificado em um Servidor de Camada Intermediária instalado em um servidor Windows 2000:

Na área de trabalho do servidor, clique em Programas > Ferramentas Administrativas > Gerenciador de Serviços de Internet > Internet Information Services para abrir a janela do Internet Information Services.
Clique no sinal + no ícone do Servidor de Camada Intermediária para expandir sua hierarquia.
Clique o botão direito do mouse em Site da Web Padrão > clique em Propriedades para abrir a caixa de diálogo Propriedades do Site da Web Padrão.

Se um certificado do SSL ainda não tiver sido configurado, o campo Porta SSL aparecerá esmaecido.
Clique em Segurança de Diretórios para abrir a página correspondente.
Clique em Certificado de Servidor para iniciar o Assistente de Certificado dos Serviços da Web.
1. Na página Boas-vindas do assistente, clique em Avançar para abrir a página Certificado de Servidor.
2. Na página Certificado de Servidor, selecione Criar um Novo Certificado e clique em Próximo.
3. Na página Atrasado ou Imediato do assistente, selecione Preparar a Solicitação Agora, mas Enviá-la Posteriormente e clique em Próximo.
4. Na página Configurações de Nome e Segurança, especifique um nome de certificado, como Site na Web de DaveMiddleTier, mude o comprimento de bits para 1024 e clique em Próximo.
5. Na página Informações da Organização do assistente, especifique os nomes da Organização e da Unidade Organizacional nos respectivos campos e clique em Próximo.
6. Na página Nome Comum do Site do assistente, especifique seu nome DNS completo, como zztop1.zenworks.provo.novell.com, se estiver nas tabelas do DNS e clique em Próximo.
  
  É possível também especificar seu endereço IP se ele for estático e se todo acesso for realizado por meio de endereços IP.
  
  Se os servidores estiverem protegidos por um firewall, especifique o nome DNS pelo qual o servidor será conhecido externamente.
7. Na página Informações Geográficas do assistente, digite as informações corretas nos campos País, Estado e Cidade e clique em Próximo.
8. Na página Nome de Arquivo da Solicitação de Certificado do assistente, grave a solicitação de certificado em uma localização acessível e clique em Próximo.
  
  Essa solicitação é um arquivo que será submetido a uma CA (Certificate Authority - Autoridade de Certificação) confiável para autenticação.
9. Na página Resumo do Arquivo de Solicitação do assistente, revise todas as informações. Se necessário, você poderá usar o botão Voltar para fazer mudanças nas páginas apropriadas. Clique em Próximo.
10. Na página Concluindo o Assistente de Certificado dos Serviços da Web, do assistente, clique em Concluir.
Submeta a solicitação de certificado a uma CA confiável. Quando a CA confiável emitir o certificado, continue com as etapas descritas em Processando uma solicitação de certificado pendente no IIS.

17.1.2 Usando a CA de raiz do eDirectory para emitir um certificado

A CA de Raiz do eDirectory pode ser usada para emitir um certificado para uma CSR (Certificate Signing Request - Solicitação de Autenticação de Certificado) válida. Se você usar esse método, a raiz não será uma raiz confiável. Para obter mais informações, consulte a Etapa 4.

O Novell Client™ 4.83 ou mais recente, o ConsoleOne 1.3.3 ou mais recente e o NICI (Novell International Cryptographic Infrastructure) Client 2.4.0 ou mais recente devem estar instalados nessa máquina.

Na área de trabalho do servidor, inicie o ConsoleOne.
Selecione o container na árvore onde o objeto Servidor reside.
Selecione Ferramentas > Emitir Certificado para iniciar o Assistente para Emissão de Certificado.
1. No campo Nome do Arquivo, especifique o nome do arquivo que contém a solicitação de certificado e clique em Próximo.
2. Na página Autoridade de Certificação Organizacional, clique em Próximo.
3. Na página SSL ou TLS, clique em Próximo.
4. Na página seguinte do assistente, aceite os padrões clicando em Próximo.
5. Na página Gravar Certificado, grave o arquivo como padrão (ou seja, no formato .der).
Exporte o certificado autenticado automaticamente da Autoridade de Certificação.

Como a raiz não é confiável, você precisará importar o certificado autenticado automaticamente da CA Raiz para todas as estações de trabalho que se conectarão com o Servidor de Camada Intermediária. Se esse certificado autenticado automaticamente não for importado, haverá falha na verificação de todos os certificados emitidos por essa CA.
1. No ConsoleOne, procure o container Segurança na árvore. Esse container é identificado por um ícone de cadeado.
2. Clique o botão direito do mouse em CA Organizacional do Nome do Servidor > selecione Propriedades.
3. Clique em Certificados > selecione Certificado Autenticado Automaticamente.
4. Clique em Exportar.
5. Aceite os padrões nas páginas seguintes até precisar gravar em um local.

17.1.3 Instalando a CA de raiz no Servidor de Camada Intermediária

Se uma CA não confiável (por exemplo, a CA Raiz do eDirectory) tiver autenticado a solicitação de certificado, você precisará instalar o certificado autenticado automaticamente da CA no Servidor de Camada Intermediária:

Localize e clique duas vezes no arquivo que contém o certificado autenticado automaticamente da CA.
Na página Certificado, clique em Instalar Certificado para iniciar o assistente.
1. Na primeira página do assistente, clique em Próximo.
2. Na segunda página do assistente, quando a mensagem “Selecionar automaticamente o armazenamento de certificados” for exibida, clique em Próximo.
3. Na terceira página do assistente, clique em Concluir.
4. Na caixa de mensagem Armazenamento de Certificados Raiz, selecione Sim.
5. Na caixa de diálogo Importação com Êxito, clique em OK.
  
  A mensagem “A importação foi efetuada com êxito” será exibida.

17.1.4 Processando uma solicitação de certificado pendente no IIS

Quando uma CA confiável emitir um certificado, você poderá usar o Gerenciador de Serviços de Internet para processar a solicitação.

Na área de trabalho do servidor, clique em Programas > Ferramentas Administrativas > Gerenciador de Serviços de Internet > Internet Information Services para abrir a janela do Internet Information Services.
Clique no sinal + no ícone do Servidor de Camada Intermediária para expandir sua hierarquia.
Clique o botão direito do mouse em Site da Web Padrão e clique em Propriedades para abrir a caixa de diálogo Propriedades do Site da Web Padrão.
Clique em Segurança de Diretórios para abrir a página correspondente.
Clique em Certificado de Servidor para iniciar o Assistente de Certificado dos Serviços da Web.
Use o Assistente de Certificado dos Serviços da Web para processar a Solicitação de Certificado:
1. Na página Boas-vindas, clique em Próximo.
2. Na página Certificado de Servidor, selecione Processar a Solicitação Pendente e Instalar o Certificado e clique em Próximo.
3. Na página seguinte, digite o caminho completo do certificado autenticado recebido da Autoridade de Certificação.
  
  Pode ser um arquivo .der ou .cer ou um arquivo com outra extensão, dependendo da convenção de nomeação usada pela Autoridade de Certificação.
4. Na página seguinte do assistente, clique em Próximo.
5. Na última página do assistente, clique em Concluir.
Feche a página Propriedades.
Clique o botão direito do mouse no ícone do servidor na árvore e selecione Reiniciar IIS.
Quando o IIS for reiniciado, abra as propriedades do site da Web padrão para verificar se a porta SSL está disponível.