Testes de autenticação com base em certificados
Conteúdo
casso128figsbrbr
Conteúdo
2
A Ferramenta de teste simula a autenticação e a autorização de usuários. Os esquemas de autenticação com base em certificados exigem configuração adicional.
Diferentes ferramentas de geração de certificados às vezes afetam o formato do DN do emissor e de outros atributos de um certificado.
Por exemplo, o DN do emissor de um certificado gerado com o certutil.exe em um servidor web IIS poderia usar ST= para representar o estado. No entanto, o DN do emissor de um certificado gerado com ferramentas OpenSSL em um servidor web Oracle iPlanet poderia, possivelmente, usar S= para representar o estado.
casso128figsbrbr
Observação
para obter mais informações sobre os valores reais usados por uma ferramenta de geração de certificados específica, consulte a documentação fornecida pelo fornecedor de sua ferramenta de geração de certificados.Para testar esquemas de autenticação com base em certificados, configure mapeamentos de certificados no servidor de políticas para acomodar os certificados criados com diferentes ferramentas de geração de certificados.
Atributos de certificado que exigem mapeamentos personalizados
Alguns atributos de certificado comuns variam um pouco, de acordo com a ferramenta de terceiros (como o certutil.exe ou o OpenSSL) usada para gerar o certificado. Diferenças entre os atributos a seguir poderiam causar erros na Ferramenta de teste:
- Endereço de emailRepresentado por E ou Email, de acordo com o fornecedor da ferramenta de geração de certificados.
- Estado dos EUARepresentado por S ou ST, de acordo com o fornecedor da ferramenta de geração de certificados.
- Número da ID do usuárioRepresentado por UID ou UserID, de acordo com o fornecedor da ferramenta de geração de certificados.
casso128figsbrbr
Observação
para obter mais informações sobre os valores reais usados por uma ferramenta de geração de certificados específica, consulte a documentação fornecida pelo fornecedor de sua ferramenta de geração de certificados.Mapeamentos de atributos personalizados para a realização de testes
A utilização da Ferramenta de teste para um esquema de autenticação de certificados às vezes falha, mesmo que normalmente ela funcione (por meio de um navegador e do servidor web). O log de autenticação mostra que a Ferramenta de teste espera um formato diferente de DN do emissor do que o formato de DN do emissor usado no certificado.
Essa situação ocorre quando o DN do emissor e outros atributos variam de acordo com o tipo de ferramenta de geração de certificados utilizado. Por exemplo, o programa certutil.exe em um servidor web IIS poderia, possivelmente, usar ST= para abreviar o nome do estado no DN do emissor. As ferramentas OpenSSL em um servidor web Oracle iPlanet, entretanto, poderiam, possivelmente, usar S= para abreviar o nome do estado.
casso128figsbrbr
Observação
para obter mais informações sobre os valores reais usados por uma ferramenta de geração de certificados específica, consulte a documentação fornecida pelo fornecedor de sua ferramenta de geração de certificados.A situação é semelhante para os outros atributos listados em Atributos de certificado que exigem mapeamentos personalizados.
Para resolver esse problema, solicite que um administrador crie mapeamentos para cada formato de DN do emissor no servidor de políticas. Dessa maneira, o servidor de políticas poderá aceitar os formatos de DN do emissor criados por diferentes ferramentas de geração de certificados.
Mapeamento de DN do emissor
Diferentes ferramentas de geração de certificados (como certutil.exe e OpenSSL) criam o DN do emissor de maneiras um pouco diferentes. Por exemplo, uma ferramenta poderia criar um DN do emissor conforme exibido a seguir:
CN=Personal Freemail RSA 2000.8.30, OU=Certificate Services, O=Thawte, L=Cape Town, S=Western Cape, C=ZA
Outra ferramenta poderia criar um DN do emissor conforme exibido a seguir:
CN=Personal Freemail RSA 2000.8.30, OU=Certificate Services, O=Thawte, L=Cape Town, ST=Western Cape, C=ZA
Para oferecer suporte às duas possibilidades, solicite ao administrador para criar mapeamentos no servidor de políticas para todos os formatos de DN do emissor no seu ambiente.
casso128figsbrbr
Observação
para obter mais informações sobre os valores reais usados por uma ferramenta de geração de certificados específica, consulte a documentação fornecida pelo fornecedor de sua ferramenta de geração de certificados.Criar mapeamentos de certificados personalizados
Você pode usar o recurso de mapeamento de certificados do servidor de políticas para fornecer mapeamentos personalizados de certificados.
casso128figsbrbr
Observação
o procedimento a seguir pressupõe que você está criando um objeto. Também é possível copiar as propriedades de um objeto existente para criar um objeto. Para obter mais informações, consulte Duplicar objetos do servidor de políticas.Para criar e usar um atributo personalizado em um mapeamento de certificado
- Clique em Infraestrutura, Diretório.
- Clique em Mapeamento de certificação, Criar mapeamento de certificados.O painel Criar mapeamento de certificação é exibido.
- Verifique se a opção Criar um novo objeto está selecionada e clique em OK.As configurações de mapeamento de são abertas.Clique em Ajuda para obter descrições detalhadas dos campos.
- Insira o DN do emissor completo no campo DN do emissor.
- Selecione o botão de opção Personalizado na caixa de grupo Mapeamento.O campo Expressões de mapeamento é exibido.
- Insira uma expressão de mapeamento personalizado.Essa notação é usada para especificar dois atributos diferentes que são aceitáveis para um mapeamento de certificados.
- Para Email:%{E/Email}
- Para ST:%{S/ST}
- Para ID de usuário:%{UID/UserID}
Para obter mais informações sobre expressões de mapeamento personalizado, consulte Atributos de certificado que exigem mapeamentos personalizados. - Clique em Submit.O mapeamento personalizado é salvo. Agora, o servidor de políticas lida com solicitações de diferentes tipos de ferramentas de geração de certificados (como certutil.exe e OpenSSL) e da Ferramenta de teste, em que o atributo Email é representado de forma diferente no DN do emissor. É possível usar esse processo para qualquer um dos outros atributos mencionados em Atributos de certificado que exigem mapeamentos personalizados.