Configuração do MVE para gerenciamento automatizado de certificados

Clique em no canto superior direito da página.

Clique em Autoridade de certificações > Usar o servidor de autoridade de certificações.

Nota:  O botão Usar o servidor da autoridade de certificações aparece apenas ao configurar a autoridade de certificações pela primeira vez ou quando o certificado é excluído.

Configure os parâmetros do servidor.

• Servidor CA: o servidor CA (autoridade de certificações) que gera os certificados da impressora. Você pode selecionar um dos seguintes:
• OpenXPKI CA
• Microsoft CA- Enterprise

Nota:  O usuário também pode configurar um servidor de AC que suporte o protocolo de EST (Enrollment over Secure Transport, inscrição sobre transporte seguro).

• O servidor de AC deve implementar o protocolo EST conforme definido na RFC 7030.

Nota:  Qualquer desvio da especificação pode resultar em uma configuração inválida.

• EST é o protocolo recomendado para se conectar ao servidor de AC OpenXPKI.

Nota:  O servidor Microsoft CA Enterprise não suporta o protocolo EST.

• Endereço do servidor CA: o endereço IP ou o nome do host do seu servidor CA. Este campo é aplicável somente aos protocolos SCEP e EST.

Nota:  Digite qualquer um dos seguintes:

• Para servidor MSCA (usando SCEP): <Server IP Address or Hostname>/certsrv/mscep/mscep.dll
• Para servidor OpenXPKI (usando SCEP): <Server IP Address or Hostname>/scep/scep
• Para EST, digite qualquer um dos seguintes:
• https://172.87.95.240
• https://estserver.com
• estserver.com
• Etiqueta do servidor de AC (Opcional) — se o usuário criar um novo realm, o mesmo nome de realm deverá ser colocado neste campo.
• Endereço do servidor de CEP — este campo é aplicável somente ao protocolo MSCEWS.

Nota:  Digite qualquer um dos seguintes:

• Para Autenticação de nome de usuário e senha: https://democep.com/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP
• Para Autenticação integrada do Windows: https://democep.com/ADPolicyProvider_CEP_Kerberos/service.svc/CEP
• Para Autenticação do certificado do cliente: https://democep.com/ADPolicyProvider_CEP_Certificate/service.svc/CEP
• Nome do host do servidor de AC— o nome do host do servidor de AC.

Nota:  Por exemplo, para o protocolo MSCEWS, o usuário pode selecionar democa.lexmark.com

• Nome do host do servidor de CES— o nome do host do servidor de CES.

Nota:  Por exemplo, para o protocolo MSCEWS, o usuário pode selecionar democes.lexmark.com

• Senha de desafio — A senha necessária para validar a identidade do MVE no servidor de AC. Essa senha é necessária somente para a AC do OpenXPKI. Ela não é suportada na AC corporativa da Microsoft.

Nota:  Dependendo do seu servidor de AC, você deve configurar o modo de autenticação do servidor. Execute um dos seguintes procedimentos:

• Se você selecionar o protocolo EST, no menu Modo de autenticação do servidor de AC, selecione qualquer um dos seguintes:
• Autenticação de nome de usuário e senha
• Autenticação do certificado do cliente
• Se você selecionar o protocolo MSCEWS, no menu Modo de autenticação do servidor de AC, selecione qualquer um dos seguintes:
• Autenticação de nome de usuário e senha
• Autenticação do certificado do cliente
• Autenticação integrada do Windows
• O protocolo SCEP suporta apenas o modo de autenticação Senha de desafio.

Nota:  Dependendo do servidor de AC, consulte qualquer uma das seções:

• Gerenciamento de certificados usando a autoridade de certificações da OpenXPKI pelo SCEP
• Gerenciamento de certificados usando a autoridade de certificações da Microsoft pelo SCEP
• Gerenciando certificados usando a autoridade de certificações da Microsoft pelo MSCEWS
• Gerenciamento de certificados usando a autoridade de certificações da OpenXPKI pelo EST

Clique em Salvar alterações e validar > OK.

Notas:

• A opção Descartar alterações só funciona se as alterações ainda não foram salvas ou salvas e validadas.
• O usuário não pode recuperar dados de uma configuração inválida, pois o MVE não armazena o último estado válido de nenhuma configuração. O MVE armazena apenas uma única configuração de certificado por vez, que pode ou não ser válida.

Notas:

• A conexão entre o MVE e os servidores CA deve ser validada. Durante a validação, o MVE comunica-se com o servidor CA para baixar a cadeia de certificados e a CRL (Certificate Revocation List, lista de revogação de certificados). O certificado do agente de registro ou o certificado de teste também é gerado. Esse certificado permite que o servidor CA confie no MVE.
• Você pode selecionar um ou vários modelos CEP ao usar o protocolo MSCEWS. Faça o seguinte:

1. Após clicar em Salvar alterações e validar, a janela Seleção de modelo CEP é exibida.



2. Selecione um ou mais dos modelos disponíveis.

   • A caixa de diálogo usar servidor da autoridade de certificação busca a lista de revogação de certificados.
   • Uma caixa de diálogo confirma que a validação do certificado foi bem-sucedida.


3. Você pode ver os modelos CEP selecionados na página de configuração do servidor de AC.

Nota:  Quando você aplica essa configuração a qualquer dispositivo, um certificado é criado de acordo com o modelo selecionado.

Navegue de volta para a página Configuração do sistema e depois analise o certificado CA.

Nota:  É possível também fazer download ou excluir um certificado CA.