As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configure o Windows Server como uma autoridade de certificação (CA) com AWS CloudHSM
<a name="third-ca-toplevel"></a>

AWS CloudHSM oferece suporte para configurar o Windows Server como uma autoridade de certificação (CA) por meio do Client SDK 3 e do Client SDK 5. As etapas para usar essas ferramentas variam de acordo com a versão do Client SDK na qual você baixou atualmente. As seções a seguir fornecem informações sobre cada SDK. 

**Topics**
+ [Client SDK 5 com Windows Server CA](win-ca-overview-sdk5.md)
+ [Client SDK 3 com Windows Server CA](win-ca-overview-sdk3.md)

# Configurar o Windows Server como uma autoridade de certificação (CA) com o Client SDK 5
<a name="win-ca-overview-sdk5"></a>

Em uma infraestrutura de chave pública (PKI), uma autoridade de certificação (CA) é uma entidade confiável que emite certificados digitais. Esses certificados digitais vinculam uma chave pública a uma identidade (uma pessoa ou organização) por meio de criptografia de chave pública e assinaturas digitais. Para operar uma CA, é necessário manter a confiança, protegendo as chaves privadas que assinam os certificados emitidos pela CA. Armazene essas chaves privadas no HSM em seu cluster AWS CloudHSM e use-o para executar as operações de assinatura criptográfica.

Neste tutorial, você usa o Windows Server e AWS CloudHSM configura uma CA. Instale o software cliente do AWS CloudHSM para Windows no Windows Server e adicione a função Active Directory Certificate Services (AD CS) ao Windows Server. Ao configurar essa função, você usa um provedor de armazenamento de AWS CloudHSM chaves (KSP) para criar e armazenar a chave privada da CA em seu AWS CloudHSM cluster. O KSP é a ponte que conecta o servidor Windows ao AWS CloudHSM cluster. Na última etapa, você assina uma solicitação de assinatura de certificado (CSR) com a CA do Windows Server.

Para saber mais, consulte os seguintes tópicos:

**Topics**
+ [Etapa 1: configurar os pré-requisitos](#win-ca-prerequisites-sdk5)
+ [Etapa 2: Criar uma CA do Windows Server com AWS CloudHSM](#win-ca-setup-sdk5)
+ [Etapa 3: Assine uma solicitação de assinatura de certificado (CSR) com sua CA do Windows Server com AWS CloudHSM](#win-ca-sign-csr-sdk5)

## Etapa 1: configurar os pré-requisitos
<a name="win-ca-prerequisites-sdk5"></a>

Para configurar o Windows Server como uma autoridade de certificação (CA) com AWS CloudHSM, você precisa do seguinte:
+ Um AWS CloudHSM cluster ativo com pelo menos um HSM.
+ Uma instância do Amazon EC2 executando um sistema operacional Windows Server com o software AWS CloudHSM cliente para Windows instalado. Este tutorial usa o Microsoft Windows Server 2016.
+ Um usuário de criptografia (CU) para possuir e gerenciar a chave privada da CA no HSM.

**Para configurar os pré-requisitos para uma CA do Windows Server com AWS CloudHSM**

1. Siga as etapas em [Introdução](getting-started.md). Quando você iniciar o cliente do Amazon EC2;, escolha uma AMI do Windows Server. Este tutorial usa o Microsoft Windows Server 2016. Quando você concluir estas etapas, terá um cluster ativo com um HSM, no mínimo. Você também tem uma instância cliente do Amazon EC2 executando o Windows Server com o software AWS CloudHSM cliente para Windows instalado.

1. (Opcional) Adicione mais HSMs ao seu cluster. Para obter mais informações, consulte [Adicionar um HSM a um cluster AWS CloudHSM](add-hsm.md).

1. Conecte-se à instância do cliente. Para obter mais informações, consulte [Conectar-se à sua instância](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) no *Guia do usuário do Amazon EC2*.

1. Crie um usuário de criptografia (CU) usando [Gerenciamento de usuários do HSM com a CloudHSM CLI](manage-hsm-users-chsm-cli.md) ou [Gerenciamento de usuários do HSM com o CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md). Lembre o nome do usuário e a senha do CU. Você precisará deles para concluir a próxima etapa.

1. [Defina as credenciais de login para o HSM](ksp-library-authentication.md), usando o nome de usuário e a senha do CU que você criou na etapa anterior.

1. Na etapa 5, se você usou o Gerenciador de Credenciais do Windows para definir as credenciais [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)do HSM, faça o download SysInternals para executar o seguinte comando como *NT Authority*\$1 SYSTEM:

   ```
   psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   Substitua *<USERNAME>* e *<PASSWORD>* pelas credenciais do HSM.

Para criar uma CA do Windows Server com AWS CloudHSM, acesse[Criar CA do Windows Server](#win-ca-setup-sdk5).

## Etapa 2: Criar uma CA do Windows Server com AWS CloudHSM
<a name="win-ca-setup-sdk5"></a>

Para criar um CA do Windows Server, adicione a função Active Directory Certificate Services (AD CS) ao Windows Server. Ao adicionar essa função, você usa um provedor de armazenamento de AWS CloudHSM chaves (KSP) para criar e armazenar a chave privada da CA em seu AWS CloudHSM cluster.

**nota**  
Ao criar a CA do Windows Server, você pode optar por criar uma CA raiz ou uma CA subordinada. Você normalmente toma essa decisão com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

**Para adicionar a função AD CS ao Windows Server e criar a chave privada da CA**

1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte [Conectar-se à sua instância](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) no *Guia do usuário do Amazon EC2*.

1. No Windows Server, inicie o **Gerenciador de servidores**.

1. No painel **Server Manager**, escolha **Add roles and features**.

1. Leia as informações de **Before you begin** e escolha **Next**.

1. Em **Installation Type (Tipo de instalação)**, escolha **Role-based or feature-based installation (Instalação com base na função ou no recurso)**. Em seguida, escolha **Next (Próximo)**.

1. Em **Server Selection**, escolha **Select a server from the server pool**. Escolha **Próximo**.

1. Em **Server Roles**, faça o seguinte:

   1. Selecione **Active Directory Certificate Services**.

   1. Em **Add features that are required for Active Directory Certificate Services**, escolha **Add Features**.

   1. Escolha **Next** para terminar de selecionar funções de servidor.

1. Em **Recursos**, aceite os padrões e escolha **Next**.

1. Em **AD CS**, faça o seguinte:

   1. Escolha **Próximo**.

   1. Selecione **Certification Authority** e escolha **Next**.

1. Em **Confirmation**, leia as informações de confirmação e escolha **Install**. Não feche a janela.

1. Escolha o link destacado **Configurar Active Directory Certificate Services no servidor de destino**.

1. Em **Credentials**, verifique ou altere as credenciais exibidas. Escolha **Próximo**.

1. Em **Role Services**, selecione **Certification Authority**. Escolha **Próximo**.

1. Em **Setup Type**, selecione **Standalone CA**. Escolha **Próximo**.

1. Em **CA Type**, selecione **Root CA**. Escolha **Próximo**.
**nota**  
Você pode optar por criar uma CA raiz ou uma CA subordinada com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

1. Em **Private Key**, selecione **Create a new private key**. Escolha **Próximo**.

1. Em **Cryptography**, faça o seguinte:

   1. Em **Selecionar um provedor criptográfico**, escolha uma das opções de **CloudHSM Key Storage Provider** no menu. Esses são os provedores de armazenamento de chaves do AWS CloudHSM . Por exemplo, você pode escolher **RSA\$1CloudHSM Key Storage Provider**.

   1. Em **Key length**, escolha uma das opções de tamanho de chave.

   1. Em **Select the hash algorithm for signing certificates issued by this CA**, escolha uma das opções de algoritmo hash.

   Escolha **Próximo**.

1. Em **CA Name**, faça o seguinte:

   1. (Opcional) Edite o nome comum.

   1. (Opcional) Digite um sufixo de nome distinto.

   Escolha **Próximo**.

1. Em **Validity Period**, especifique um período em anos, meses, semanas ou dias. Escolha **Próximo**.

1. Em **Certificate Database**, aceite os valores padrão ou, se desejar, altere o local do banco de dados e do log do banco de dados. Escolha **Próximo**.

1. Em **Confirmation**, analise as informações sobre a CA e escolha **Configure**.

1. Escolha **Close** e, em seguida, escolha **Close** novamente.

Agora você tem uma CA do Windows Server com AWS CloudHSM. Para saber como assinar uma solicitação de assinatura de certificado (CSR) com a CA, vá para [Assine uma CSR](#win-ca-sign-csr-sdk5).

## Etapa 3: Assine uma solicitação de assinatura de certificado (CSR) com sua CA do Windows Server com AWS CloudHSM
<a name="win-ca-sign-csr-sdk5"></a>

Você pode usar sua CA do Windows Server com AWS CloudHSM para assinar uma solicitação de assinatura de certificado (CSR). Para concluir estas etapas, você precisa de uma CSR válida. Você pode criar uma CSR de várias formas:
+ Usando o OpenSSL
+ Usando o Gerenciador do Serviços de Informações da Internet (IIS) do Windows Server
+ Usando o snap-in de certificados no Microsoft Management Console
+ Usando o utilitário de linha de comando **certreq** no Windows

As etapas de criação de uma CSR estão fora do escopo deste tutorial. Quando você tiver uma CSR, poderá assiná-lo com a CA do Windows Server.

**Para assinar uma CSR com a CA do Windows Server**

1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte [Conectar-se à sua instância](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) no *Guia do usuário do Amazon EC2*.

1. No Windows Server, inicie o **Gerenciador de servidores**.

1. No painel **Server Manager**, no canto superior direito, escolha **Tools**, **Certification Authority**.

1. Na janela **Autoridade de Certificação**, escolha o nome do computador.

1. No menu **Action**, escolha **All Tasks**, **Submit new request**.

1. Selecione o arquivo CSR e escolha **Open**.

1. Na janela **Certification Authority**, clique duas vezes em **Pending Requests**.

1. Selecione a solicitação pendente. No menu **Action**, escolha **All Tasks**, **Issue**.

1. Na janela **Certification Authority**, clique duas vezes em **Issued Requests** para visualizar o certificado assinado.

1. (Opcional) Para exportar o certificado assinado para um arquivo, execute as seguintes etapas:

   1. Na janela **Certification Authority**, clique duas vezes no certificado.

   1. Escolha a guia **Details** e escolha **Copy to File**.

   1. Siga as instruções no **Certificate Export Wizard**.

Agora você tem uma CA do Windows Server com AWS CloudHSM, e um certificado válido assinado pela CA do Windows Server.

# Configurar o Windows Server como uma autoridade de certificação (CA) com o Client SDK 3
<a name="win-ca-overview-sdk3"></a>

Em uma infraestrutura de chave pública (PKI), uma autoridade de certificação (CA) é uma entidade confiável que emite certificados digitais. Esses certificados digitais vinculam uma chave pública a uma identidade (uma pessoa ou organização) por meio de criptografia de chave pública e assinaturas digitais. Para operar uma CA, é necessário manter a confiança, protegendo as chaves privadas que assinam os certificados emitidos pela CA. Armazene essas chaves privadas no HSM em seu cluster AWS CloudHSM e use-o para executar as operações de assinatura criptográfica.

Neste tutorial, você usa o Windows Server e AWS CloudHSM configura uma CA. Instale o software cliente do AWS CloudHSM para Windows no Windows Server e adicione a função Active Directory Certificate Services (AD CS) ao Windows Server. Ao configurar essa função, você usa um provedor de armazenamento de AWS CloudHSM chaves (KSP) para criar e armazenar a chave privada da CA em seu AWS CloudHSM cluster. O KSP é a ponte que conecta o servidor Windows ao AWS CloudHSM cluster. Na última etapa, você assina uma solicitação de assinatura de certificado (CSR) com a CA do Windows Server.

Para saber mais, consulte os seguintes tópicos:

**Topics**
+ [Etapa 1: configurar os pré-requisitos](#win-ca-prerequisites-sdk3)
+ [Etapa 2: Criar uma CA do Windows Server com AWS CloudHSM](#win-ca-setup-sdk3)
+ [Etapa 3: Assine uma solicitação de assinatura de certificado (CSR) com sua CA do Windows Server com AWS CloudHSM](#win-ca-sign-csr-sdk3)

## Etapa 1: configurar os pré-requisitos
<a name="win-ca-prerequisites-sdk3"></a>

Para configurar o Windows Server como uma autoridade de certificação (CA) com AWS CloudHSM, você precisa do seguinte:
+ Um AWS CloudHSM cluster ativo com pelo menos um HSM.
+ Uma instância do Amazon EC2 executando um sistema operacional Windows Server com o software AWS CloudHSM cliente para Windows instalado. Este tutorial usa o Microsoft Windows Server 2016.
+ Um usuário de criptografia (CU) para possuir e gerenciar a chave privada da CA no HSM.

**Para configurar os pré-requisitos para uma CA do Windows Server com AWS CloudHSM**

1. Siga as etapas em [Introdução](getting-started.md). Quando você iniciar o cliente do Amazon EC2;, escolha uma AMI do Windows Server. Este tutorial usa o Microsoft Windows Server 2016. Quando você concluir estas etapas, terá um cluster ativo com um HSM, no mínimo. Você também tem uma instância cliente do Amazon EC2 executando o Windows Server com o software AWS CloudHSM cliente para Windows instalado.

1. (Opcional) Adicione mais HSMs ao seu cluster. Para obter mais informações, consulte [Adicionar um HSM a um cluster AWS CloudHSM](add-hsm.md).

1. Conecte-se à instância do cliente. Para obter mais informações, consulte [Conectar-se à sua instância](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) no *Guia do usuário do Amazon EC2*.

1. Crie um usuário de criptografia (CU) usando [Gerenciamento de usuários do HSM com a CloudHSM CLI](manage-hsm-users-chsm-cli.md) ou [Gerenciamento de usuários do HSM com o CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md). Lembre o nome do usuário e a senha do CU. Você precisará deles para concluir a próxima etapa.

1. [Defina as credenciais de login para o HSM](ksp-library-prereq.md), usando o nome de usuário e a senha do CU que você criou na etapa anterior.

1. Na etapa 5, se você usou o Gerenciador de Credenciais do Windows para definir as credenciais [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)do HSM, faça o download SysInternals para executar o seguinte comando como *NT Authority*\$1 SYSTEM:

   ```
   	  psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   Substitua *<USERNAME>* e *<PASSWORD>* pelas credenciais do HSM.

Para criar uma CA do Windows Server com AWS CloudHSM, acesse[Criar CA do Windows Server](#win-ca-setup-sdk3).

## Etapa 2: Criar uma CA do Windows Server com AWS CloudHSM
<a name="win-ca-setup-sdk3"></a>

Para criar um CA do Windows Server, adicione a função Active Directory Certificate Services (AD CS) ao Windows Server. Ao adicionar essa função, você usa um provedor de armazenamento de AWS CloudHSM chaves (KSP) para criar e armazenar a chave privada da CA em seu AWS CloudHSM cluster.

**nota**  
Ao criar a CA do Windows Server, você pode optar por criar uma CA raiz ou uma CA subordinada. Você normalmente toma essa decisão com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

**Para adicionar a função AD CS ao Windows Server e criar a chave privada da CA**

1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte [Conectar-se à sua instância](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) no *Guia do usuário do Amazon EC2*.

1. No Windows Server, inicie o **Gerenciador de servidores**.

1. No painel **Server Manager**, escolha **Add roles and features**.

1. Leia as informações de **Before you begin** e escolha **Next**.

1. Em **Installation Type (Tipo de instalação)**, escolha **Role-based or feature-based installation (Instalação com base na função ou no recurso)**. Em seguida, escolha **Next (Próximo)**.

1. Em **Server Selection**, escolha **Select a server from the server pool**. Escolha **Próximo**.

1. Em **Server Roles**, faça o seguinte:

   1. Selecione **Active Directory Certificate Services**.

   1. Em **Add features that are required for Active Directory Certificate Services**, escolha **Add Features**.

   1. Escolha **Next** para terminar de selecionar funções de servidor.

1. Em **Recursos**, aceite os padrões e escolha **Next**.

1. Em **AD CS**, faça o seguinte:

   1. Escolha **Próximo**.

   1. Selecione **Certification Authority** e escolha **Next**.

1. Em **Confirmation**, leia as informações de confirmação e escolha **Install**. Não feche a janela.

1. Escolha o link destacado **Configurar Active Directory Certificate Services no servidor de destino**.

1. Em **Credentials**, verifique ou altere as credenciais exibidas. Escolha **Próximo**.

1. Em **Role Services**, selecione **Certification Authority**. Escolha **Próximo**.

1. Em **Setup Type**, selecione **Standalone CA**. Escolha **Próximo**.

1. Em **CA Type**, selecione **Root CA**. Escolha **Próximo**.
**nota**  
Você pode optar por criar uma CA raiz ou uma CA subordinada com base no design da sua infraestrutura de chave pública e nas políticas de segurança da sua organização. Este tutorial explica como criar uma CA raiz para simplificar.

1. Em **Private Key**, selecione **Create a new private key**. Escolha **Próximo**.

1. Em **Cryptography**, faça o seguinte:

   1. Em **Select a cryptographic provider**, escolha uma das opções de **Cavium Key Storage Provider** no menu. Esses são os provedores de armazenamento de chaves do AWS CloudHSM . Por exemplo, você pode escolher **RSA\$1Cavium Key Storage Provider**.

   1. Em **Key length**, escolha uma das opções de tamanho de chave.

   1. Em **Select the hash algorithm for signing certificates issued by this CA**, escolha uma das opções de algoritmo hash.

   Escolha **Próximo**.

1. Em **CA Name**, faça o seguinte:

   1. (Opcional) Edite o nome comum.

   1. (Opcional) Digite um sufixo de nome distinto.

   Escolha **Próximo**.

1. Em **Validity Period**, especifique um período em anos, meses, semanas ou dias. Escolha **Próximo**.

1. Em **Certificate Database**, aceite os valores padrão ou, se desejar, altere o local do banco de dados e do log do banco de dados. Escolha **Próximo**.

1. Em **Confirmation**, analise as informações sobre a CA e escolha **Configure**.

1. Escolha **Close** e, em seguida, escolha **Close** novamente.

Agora você tem uma CA do Windows Server com AWS CloudHSM. Para saber como assinar uma solicitação de assinatura de certificado (CSR) com a CA, vá para [Assine uma CSR](#win-ca-sign-csr-sdk3).

## Etapa 3: Assine uma solicitação de assinatura de certificado (CSR) com sua CA do Windows Server com AWS CloudHSM
<a name="win-ca-sign-csr-sdk3"></a>

Você pode usar sua CA do Windows Server com AWS CloudHSM para assinar uma solicitação de assinatura de certificado (CSR). Para concluir estas etapas, você precisa de uma CSR válida. Você pode criar uma CSR de várias formas:
+ Usando o OpenSSL
+ Usando o Gerenciador do Serviços de Informações da Internet (IIS) do Windows Server
+ Usando o snap-in de certificados no Microsoft Management Console
+ Usando o utilitário de linha de comando **certreq** no Windows

As etapas de criação de uma CSR estão fora do escopo deste tutorial. Quando você tiver uma CSR, poderá assiná-lo com a CA do Windows Server.

**Para assinar uma CSR com a CA do Windows Server**

1. Se você ainda não tiver feito isso, conecte-se ao Windows Server. Para obter mais informações, consulte [Conectar-se à sua instância](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) no *Guia do usuário do Amazon EC2*.

1. No Windows Server, inicie o **Gerenciador de servidores**.

1. No painel **Server Manager**, no canto superior direito, escolha **Tools**, **Certification Authority**.

1. Na janela **Autoridade de Certificação**, escolha o nome do computador.

1. No menu **Action**, escolha **All Tasks**, **Submit new request**.

1. Selecione o arquivo CSR e escolha **Open**.

1. Na janela **Certification Authority**, clique duas vezes em **Pending Requests**.

1. Selecione a solicitação pendente. No menu **Action**, escolha **All Tasks**, **Issue**.

1. Na janela **Certification Authority**, clique duas vezes em **Issued Requests** para visualizar o certificado assinado.

1. (Opcional) Para exportar o certificado assinado para um arquivo, execute as seguintes etapas:

   1. Na janela **Certification Authority**, clique duas vezes no certificado.

   1. Escolha a guia **Details** e escolha **Copy to File**.

   1. Siga as instruções no **Certificate Export Wizard**.

Agora você tem uma CA do Windows Server com AWS CloudHSM, e um certificado válido assinado pela CA do Windows Server.