Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.
Ctrlk

Renovação do Certificado do Servidor

Esta página descreve o processo de renovação do certificado do servidor RADIUSaaS.

Um certificado de servidor é essencial para proteger tanto o túnel interno EAP-TLS quanto o túnel externo TLS RadSec no RADIUSaaS. Para evitar falhas de autenticação, certifique-se de renovar o seu certificado antes que ele expire.

O seu certificado de servidor pode ser de um dos dois tipos seguintes:

  1. Customer-CA. Isto vem com o seu RADIUSaaS e oferece uma validade longa de 20 anos. Atualmente, não há forma de criar uma nova Customer-CA em paralelo com a existente. Isto significa que a Customer-CA existente, que está a expirar, terá de ser eliminada antes de se poder criar uma nova. Criar uma nova Customer-CA também irá gerar um novo certificado raiz que terá de ser novamente implementado nos seus clientes. Siga, por favor, este artigo para implementar a sua nova Customer-CA e referenciá-la através da política WiFi do seu MDM.

  2. Certificado Bring Your Own (BYO) usando a sua própria PKI, por exemplo, Certificado de Servidor emitido pela SCEPman. Os certificados de servidor SCEPman expiram de dois em dois anos, por isso não se esqueça de definir um lembrete para evitar indisponibilidade. Ao usar um certificado BYO, assume-se que o certificado raiz da CA e o FQDN (Subject e SAN) permanecerão inalterados em relação ao certificado expirado. Portanto, a reimplementação do certificado não é necessária.

Criando um novo certificado

Customer-CA integrada

Este tipo de certificado é válido por 20 anos e não pode ser renovado antes de expirar. No entanto, pode ser eliminado e um novo pode ser criado seguindo este guia.

Certificado BYO

Se quiser usar o seu próprio certificado, por exemplo: um certificado de servidor emitido pela SCEPman, então siga este link para criar um certificado de servidor antes do prazo de expiração no SCEPman ou na sua PKI preferida.

Implementando o novo certificado de servidor

Perfis do Intune

Se estiver a renovar a Customer-CA ou uma CA BYO com um root e um FQDN diferentes dos anteriores, siga os passos abaixo para voltar a implementar este certificado nos seus clientes; caso contrário, se estiver a usar um certificado BYO sem alterações ao certificado raiz da CA e ao FQDN (Subject e SAN), pode ignorar este passo!

  1. Implemente o novo certificado de servidor/certificado raiz de confiança nos seus clientes, conforme descrito aqui criando um novo perfil.

  2. Atualize os seus existentes perfis WiFi ou com fios

    • Se utilizou o assistente do Intune para a criação dos seus perfis de rede, edite todos os perfis relevantes adicionando um segundo certificado de servidor de confiança. Não se esqueça de adicionar um segundo nome de servidor em Nomes de servidor do certificado caso o novo certificado tenha um domínio diferente.

    • Se utilizou um perfil personalizado para a criação dos seus perfis de rede, volte a descarregar o XML gerado pelo RADIUSaaS a partir de aqui, e substitua-o no seu perfil existente. Ambas as impressões digitais dos certificados de servidor são incluídas automaticamente no XML.

  3. Espere até que todos os seus clientes tenham recebido os perfis atualizados.

Exemplo: Perfil WiFi do Windows 10 atualizado com dois certificados de servidor RADIUS de confiança e domínios diferentes.

Infraestrutura WiFi e LAN

Se estiver a usar RadSec, carregue o novo certificado de servidor para os seus pontos de acesso ou dispositivo de switch de rede.

Ativando o novo certificado de servidor

Por fim, quando estiver pronto para mudar para o novo certificado, ative-o conforme descrito aqui.

Última atualização

Isto foi útil?