# Certificados Confiáveis

## Tipos de certificados de confiança

### ACs de confiança para autenticação do cliente

As ACs de confiança para autenticação do cliente estabelecem a confiança entre as ACs que emitem certificados de autenticação do cliente para os seus dispositivos finais e o RADIUSaaS.

### Certificados de ligação RadSec de confiança

O RadSec funciona com autenticação mútua por certificado (mTLS). Isto significa que, por um lado, os seus autenticadores devem [confiar no RADIUSaaS](/pt/portal-de-administracao/settings/settings-server.md#server-certificates) e, por outro lado, o RADIUSaaS tem de saber em quais autenticadores confiar, para que possa ser estabelecida uma ligação RadSec válida. Os certificados de ligação RadSec de confiança garantem que o RADIUSaaS confia apenas nos autenticadores que especificar.

## **Certificado RadSec de confiança pré-instalado**

Devido ao [acima](/pt/portal-de-administracao/settings/trusted-roots.md#trusted-radsec-connection-certificates), verá sempre pelo menos um certificado de confiança RadSec que estabelece a confiança com os seus [Os proxies RADIUS](https://docs-preview.radiusaas.com/admin-portal/settings/settings-proxy) (atuando efetivamente como clientes RadSec). Para garantir que os seus proxies conseguem iniciar corretamente e estabelecer uma ligação à sua instância, não o pode eliminar.

## Adicionar&#x20;

{% hint style="warning" %}
Se tiver uma infraestrutura PKI em camadas (por exemplo, uma **Microsoft legacy PKI**), considere [este](#tiered-pki-hierarchy).
{% endhint %}

Para adicionar um novo certificado de confiança, siga estes passos:

1. Clique em **Adicionar**
2. Selecione se pretende importar o certificado de confiança&#x20;
   * do SCEPman (fornecendo o URL da sua instância SCEPman), ou
   * de qualquer outra AC (carregando um ficheiro de certificado codificado em PEM ou DER)
3. Selecione o [tipo](#types-of-trusted-certificates) de certificado de confiança em **Usar para**:
   * [**Autenticação do cliente**](#trusted-cas-for-client-authentication)
   * [**RadSec**](#trusted-radsec-connection-certificates)
   * **Ambos** (útil se a mesma AC estiver a emitir os seus certificados de autenticação do cliente e também os seus certificados de cliente RadSec)
4. Carregue o ficheiro de certificado por arrastar e largar (em alternativa, pode clicar na área azul e selecionar o seu ficheiro)
5. Selecione a opção de verificação do certificado:
   * **OCSP Autodetect**: o RADIUSaaS tentará inferir o URL do respondedor OCSP a partir da extensão Authority Information Access (AIA) do certificado do cliente utilizada para a autenticação de rede. Caso não seja encontrado nenhum URL do respondedor OCSP ou o respondedor OCSP esteja indisponível, o RADIUSaaS considerará a [**falha suave** ](#ocsp-soft-fail)configuração.
   * **OCSP**: especifique manualmente qual URL do respondedor OCSP será usado para qualquer certificado que tenha sido emitido pela AC de confiança. Se o respondedor OCSP estiver indisponível, o RADIUSaaS considerará a [**falha suave** ](#ocsp-soft-fail)configuração.
   * **CRL**: se selecionado, o RADIUSaaS usará uma CRL em vez de OCSP para verificar o certificado emitido pela AC. Especifique a codificação da CRL (**DER** ou **PEM**) e os **pontos de distribuição da CRL**.
   * **Nenhum:** Se a sua AC não suportar nem OCSP nem CRL, selecione **Nenhum** para ignorar a verificação.
6. Clique em **Guardar**

## Eliminar

Para eliminar um certificado, expanda a linha correspondente, clique em **Eliminar** e confirme a sua escolha.&#x20;

<figure><img src="/files/4be40b807d94d63ac5d5eb38e368a11b155cca33" alt=""><figcaption><p>Demonstração da eliminação de um certificado de confiança</p></figcaption></figure>

## Falha suave do OCSP

Esta definição determina como o RADIUSaaS se comporta quando não é possível contactar o respondedor OCSP da sua AC de confiança.&#x20;

{% hint style="danger" %}
Se **desativar** esta definição, os pedidos de autenticação serão **rejeitados** quando não for possível contactar o respondedor OCSP da sua AC.

Verifique [Consequências do Soft-fail do OCSP](/pt/outro/faqs/consequencias-do-soft-fail-do-ocsp.md) para garantir que compreende as implicações desta definição.
{% endhint %}

{% hint style="info" %}
Tenha em atenção que esta definição só está disponível quando **OCSP Autodetect** ou **OCSP** está selecionado para verificação do certificado.&#x20;
{% endhint %}

Por predefinição, **recomendamos ativar a falha suave do OCSP** para aumentar a disponibilidade do serviço, permitindo que os pedidos de autenticação sejam aceites mesmo que não seja possível contactar o respondedor OCSP. Com este **mecanismo de falha suave** e, caso o OCSP não esteja acessível, o RADIUSaaS irá apenas verificar se o certificado recebido foi assinado por uma das [ACs de confiança](/pt/portal-de-administracao/settings/trusted-roots.md) e processará quaisquer [Regras](/pt/portal-de-administracao/settings/rules.md).

<figure><img src="/files/90dcdf32f373b4e0423c4ff47784dc488b578a2e" alt=""><figcaption></figcaption></figure>

## Hierarquia PKI em camadas

Num ambiente de AC em camadas com várias ACs emissoras configuradas, os certificados emitidos pela AC raiz ou por qualquer AC emissora terão acesso, independentemente de o certificado ter sido emitido pela AC raiz ou por uma AC emissora. Isto significa que confiar na raiz irá confiar automaticamente nos certificados emitidos por qualquer uma das ACs emissoras. \
\
Se o acesso precisar de ser controlado com base nas ACs emissoras, isso pode ser conseguido configurando [as regras respetivas](/pt/portal-de-administracao/settings/rules.md#certificate-based-authentication).

### Considerações

Ao carregar ACs raiz e emissoras de uma PKI em camadas, tenha em atenção o seguinte:

* O **a AC raiz deve ser carregada primeiro**, antes de carregar quaisquer ACs emissoras derivadas desta AC raiz.
* As ACs raiz e emissoras devem ser carregadas em ficheiros separados. Carregar cadeias de certificados num único ficheiro pode resultar num comportamento inesperado.

## Definições opcionais

### ID do Intune

É possível utilizar o certificado que cada máquina Windows 10 recebe do Intune ao aderir ao Microsoft Entra ID (Azure AD).

{% hint style="danger" %}
Esta definição é opcional. Caso não esteja familiarizado com certificados do Intune, não os configure!
{% endhint %}

#### Porque não recomendamos utilizar certificados do Intune para fins de autenticação?

* Os certificados do Intune não são suportados pela Microsoft para outros fins além da gestão com o Intune.
* O tempo de validade dos certificados do Intune é de 1 ano.
* Não existe nenhum mecanismo para revogar certificados (como o OCSP).

Em vez de utilizar certificados do Intune, recomendamos utilizar certificados de uma PKI como [SCEPman](https://scepman.com/).

#### Configurar IDs do Intune

{% hint style="danger" %}
Utilize esta definição com cuidado. Um dos seguintes IDs **deve** existir na extensão de certificado 1.2.840.113556.5.14. Todos os outros certificados serão **rejeitados**.
{% endhint %}

Para obter o seu ID do inquilino do Intune, siga estes passos:&#x20;

* Prima **Windows + R** e introduza **certlm.msc**
* Vá para os seus certificados pessoais. Haverá um certificado de um dos seguintes emissores
  * SC Online Issuing
  * MDM Device Authority&#x20;
* Abra este certificado, vá para **Detalhes** e procure a extensão&#x20;

  1.2.840.113556.5.14
* O valor HEX apresentado é o seu ID do inquilino do Intune.&#x20;

**Exemplo:**

O ID do inquilino do seguinte certificado é: **bb4397cb6891c64db17f766487518a6a**

![A mostrar certificado](/files/19504362120d5d990008056e3a732651e5e0bd99)

## XML

{% hint style="info" %}
O perfil XML gerado pelo RADIUSaaS irá permitir [armazenamento em cache de PMK](/pt/implementacao-de-perfil/microsoft-intune/wifi-profile/windows.md#fast-roaming).
{% endhint %}

Hoje em dia, a maioria das plataformas MDM fornece um método baseado em assistente para implementar perfis de rede (WiFi e LAN). Se isso não for possível, ou se o assistente fornecer apenas opções de configuração limitadas, pode gerar um perfil XML bruto diretamente na plataforma RADIUSaaS.

* Para gerar o seu **WiFi** perfil XML:&#x20;
  1. Expanda o **XML** menu,&#x20;
  2. selecione o protocolo de segurança pretendido (WPA2 ou WPA3),&#x20;
  3. introduza o seu **SSID,**
  4. e clique em **Transferir**.
* Para gerar o seu **Com fios** perfil XML, clique **Transferir**.

<figure><img src="/files/0444160f2546fc15860e54b1ef2062d797fe275a" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/pt/portal-de-administracao/settings/trusted-roots.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.