Questa sezione fornisce istruzioni sui seguenti argomenti:
Configurazione dell'autorità di certificazione (CA) Microsoft Enterprise con il servizio Registrazione dispositivi di rete (NDES)
Creazione di un server CA radice
Il server CA radice è il server CA principale in qualsiasi organizzazione ed è al vertice dell'infrastruttura PKI. La CA radice autentica il server CA subordinata. Questo server viene generalmente mantenuto in modalità offline per evitare eventuali intrusioni e per proteggere la chiave privata.
Per configurare il server CA radice, procedere come segue:
Verificare che il server CA radice sia installato. Per ulteriori informazioni, vedere Installazione del server CA radice.
Configurare le impostazioni Punto di distribuzione CRL e Accesso alle informazioni dell'autorità. Per ulteriori informazioni, vedere Configurazione delle impostazioni Punto di distribuzione CRL e Accesso alle informazioni dell'autorità.
Configurare l'accessibilità al CRL. Per ulteriori informazioni, vedere Configurazione dell'accessibilità al CRL.
In Server Manager, fare clic su Gestisci > Aggiungi ruoli e funzionalità.
Fare clic su Ruoli server, selezionare Servizi certificati Active Directory e tutte le relative funzioni, quindi fare clic su Avanti.
Nella sezione Servizi del ruolo Servizi certificati Active Directory selezionare Autorità di certificazione, quindi fare clic su Avanti > Installa.
Dopo l'installazione, fare clic su Configurare Servizi certificati Active Directory nel server di destinazione.
Nella sezione Servizi ruolo selezionare Autorità di certificazione > Avanti.
Nella sezione Tipo di installazione selezionare CA autonoma, quindi fare clic su Avanti.
Nella sezione Tipo CA selezionare CA radice, quindi fare clic su Avanti.
Selezionare Crea una nuova chiave privata, quindi fare clic su Avanti.
Nel menu Selezionare un provider di crittografia selezionare RSA#Microsoft Software Key Storage Provider.
Nel menu Lunghezza chiave selezionare 4096.
Nell'elenco degli algoritmi hash selezionare SHA512, quindi fare clic su Avanti.
Nel campo Nome comune per questo CA immettere il nome del server di hosting.
Nel campo Suffisso nome distinto digitare il componente del dominio.
Nome di dominio completo (FQDN) del computer:
Nome comune (CN):
Suffisso nome distinto:
Fare clic su Avanti.
Specificare il periodo di validità, quindi fare clic su Avanti.
Non modificare nulla nella finestra delle posizioni di database.
Completare l'installazione.
Nel seguente scenario di distribuzione, tutte le autorizzazioni si basano sulle autorizzazioni impostate nei modelli di certificato pubblicati nel controller di dominio. Le richieste di certificato inviate alla CA si basano sui modelli di certificato.
Per questa impostazione, assicurarsi di disporre di quanto segue:
Un computer che ospita la CA subordinata (può anche essere la CA radice)
Un computer che ospita il servizio NDES
Un controller di dominio
Creare i seguenti utenti nel controller di dominio:
Amministratore del servizio
Denominato SCEPAdmin
Deve essere un membro dei gruppi local admin ed Enterprise Admin
Deve aver effettuato l'accesso localmente quando si attiva il ruolo NDES
Dispone di autorizzazione alla registrazione per i modelli di certificato
Dispone di autorizzazione all'aggiunta di modelli per la CA
Account di servizio
Denominato SCEPSvc
Deve essere un membro del gruppo IIS_IUSRS
Deve essere un utente di dominio e disporre di autorizzazioni alla lettura e alla registrazione per i modelli configurati
Dispone di autorizzazione alla richiesta per la CA
Amministratore periferica
Denominato DeviceAdmin
Dispone di autorizzazione alla registrazione per tutti i modelli configurati nel registro di sistema
Il server CA subordinata è il server CA intermedia ed è sempre online. Si occupa in generale della gestione dei certificati.
Per configurare il server CA subordinata, procedere come segue:
Verificare che il server CA subordinata sia installato. Per ulteriori informazioni, vedere Installazione del server CA subordinata.
Configurare le impostazioni Punto di distribuzione CRL e Accesso alle informazioni dell'autorità. Per ulteriori informazioni, vedere Configurazione delle impostazioni Punto di distribuzione CRL e Accesso alle informazioni dell'autorità.
Configurare l'accessibilità al CRL. Per ulteriori informazioni, vedere Configurazione dell'accessibilità al CRL.
Sul server, accedere come utente di dominio SCEPAdmin.
In Server Manager, fare clic su Gestisci > Aggiungi ruoli e funzionalità.
Fare clic su Ruoli server, selezionare Servizi certificati Active Directory e tutte le relative funzioni, quindi fare clic su Avanti.
Nella sezione Servizi del ruolo Servizi certificati Active Directory selezionare Autorità di certificazione e Registrazione Web autorità di certificazione, quindi fare clic su Avanti.
Nella sezione Servizi ruolo server Web (IIS) conservare le impostazioni predefinite.
Dopo l'installazione, fare clic su Configurare Servizi certificati Active Directory nel server di destinazione.
Nella sezione Servizi ruolo selezionare Autorità di certificazione e Registrazione Web autorità di certificazione, quindi fare clic su Avanti.
Nella sezione Tipo di installazione selezionare CA Enterprise, quindi fare clic su Avanti.
Nella sezione Tipo CA selezionare CA subordinata, quindi fare clic su Avanti.
Selezionare Crea una nuova chiave privata, quindi fare clic su Avanti.
Nel menu Selezionare un provider di crittografia selezionare RSA#Microsoft Software Key Storage Provider.
Nel menu Lunghezza chiave selezionare 4096.
Nell'elenco degli algoritmi hash selezionare SHA512, quindi fare clic su Avanti.
Nel campo Nome comune per questo CA immettere il nome del server host.
Nel campo Suffisso nome distinto digitare il componente del dominio.
Nome di dominio completo (FQDN) del computer:
Nome comune (CN):
Suffisso nome distinto:
Nella finestra di dialogo Richiesta certificato salvare il file di richiesta, quindi fare clic su Avanti.
Non modificare nulla nella finestra delle posizioni di database.
Completare l'installazione.
Firmare la richiesta CA della CA radice, quindi esportare il certificato autofirmato in formato PKCS7.
Sul server CA subordinata, aprire Autorità di certificazione.
Nel pannello di sinistra, fare clic con il pulsante destro del mouse sulla CA, quindi scegliere Tutte le attività > Installa certificato CA.
Selezionare il certificato autofirmato, quindi avviare il servizio CA.
In Server Manager fare clic su Strumenti > Autorità di certificazione.
Nel pannello di sinistra, fare clic con il pulsante destro del mouse sulla CA, quindi scegliere Proprietà > Estensioni.
Nel menu Seleziona estensione selezionare Punto di distribuzione CRL).
Nell'elenco di revoche di certificati, selezionare la voce C:\Windows\system32\, quindi effettuare le seguenti operazioni:
Selezionare Pubblica CRL nel percorso specificato.
Deselezionare Pubblica Delta CRL in questa posizione.
Eliminare tutte le altre voci tranne C:\Windows\system32\.
Fare clic su Aggiungi.
Nel campo Posizione aggiungere , dove è l'indirizzo IP del server.
Fare clic su OK.
Selezionare Includi nell'estensione dei punti di distribuzione dei certificati emessi per la voce creata.
Nel menu Seleziona estensione selezionare Accesso alle informazioni dell'autorità (AIA).
Eliminare tutte le altre voci tranne C:\Windows\system32\.
Fare clic su Aggiungi.
Nel campo Posizione aggiungere , dove è l'indirizzo IP del server.
Fare clic su OK.
Selezionare Includi nell'estensione AIA dei certificati emessi per la voce creata.
Fare clic su Applica > OK.
Nel pannello di sinistra, espandere la CA, fare clic con il pulsante destro del mouse su Certificati revocati, quindi scegliere Proprietà.
Specificare il valore per l'intervallo di pubblicazione CRL e per Pubblica l'intervallo di pubblicazione Delta CRL, quindi fare clic su Applica > OK.
Nel pannello di sinistra, fare clic con il pulsante destro del mouse su Certificati revocati, scegliere Tutte le attività, quindi pubblicare il CRL Nuovo.
In Gestione IIS, espandere la CA, quindi espandere Siti.
Fare clic con il pulsante destro del mouse su Sito Web predefinito, quindi scegliere Aggiungi directory virtuale.
Nel campo Alias digitare .
Nel campo Percorso fisico digitare .
Fare clic su OK.
Fare clic con il pulsante destro del mouse su CertEnroll, quindi scegliere Modifica autorizzazioni.
Nella scheda Protezione rimuovere tutti gli accessi in scrittura, tranne che per il sistema.
Fare clic su OK.
Sul server, accedere come utente di dominio SCEPAdmin.
In Server Manager, fare clic su Gestisci > Aggiungi ruoli e funzionalità.
Fare clic su Ruoli server, selezionare Servizi certificati Active Directory e tutte le relative funzioni, quindi fare clic su Avanti.
Nella sezione Servizi del ruolo Servizi certificati Active Directory deselezionare Autorità di certificazione.
Selezionare Servizio Registrazione dispositivi di rete e tutte le relative funzioni, quindi fare clic su Avanti.
Nella sezione Servizi ruolo server Web (IIS) conservare le impostazioni predefinite.
Dopo l'installazione, fare clic su Configurare Servizi certificati Active Directory nel server di destinazione.
Nella sezione Servizi ruolo selezionare Servizio Registrazione dispositivi di rete, quindi fare clic su Avanti.
Selezionare l'account di servizio SCEPSvc.
Nella sezione CA per NDES selezionare Nome CA o Nome computer, quindi fare clic su Avanti.
Nella sezione Informazioni RA specificare le informazioni, quindi fare clic su Avanti.
Nella sezione Crittografia per NDES effettuare le seguenti operazioni:
Selezionare i provider di firma e chiave di crittografia appropriati.
Nel menu Lunghezza chiave selezionare la stessa lunghezza chiave del server CA.
Fare clic su Avanti.
Completare l'installazione.
È ora possibile accedere al server NDES da un browser Web come utente SCEPSvc. Sul server NDES, è possibile visualizzare l'identificazione personale del certificato CA, la password di verifica di registrazione e il periodo di validità di tale password.
Aprire un browser Web e digitare , dove è l'indirizzo IP del server NDES.
Sul server CA subordinata (certserv), aprire Autorità di certificazione.
Nel pannello di sinistra, espandere la CA, fare clic con il pulsante destro del mouse su Modelli di certificato, quindi scegliere Gestisci.
In Console dei modelli di certificato, creare una copia del Server Web.
Nella scheda Impostazioni generali digitare come nome del modello.
Nella scheda Protezione assegnare agli utenti SCEPAdmin e SCEPSvc le autorizzazioni appropriate.
Nella scheda Nome oggetto selezionare Inserisci nella richiesta.
Sul server CA subordinata (certserv), aprire Autorità di certificazione.
Nella scheda Estensioni selezionare Criteri di applicazione > Modifica.
Fare clic su Aggiungi >Autenticazione client > OK.
Nel pannello di sinistra, espandere la CA, fare clic con il pulsante destro del mouse su Modelli di certificato, quindi scegliere Nuovo > Modello di certificato da rilasciare.
Selezionare i certificati appena creati, quindi fare clic su OK.
È ora possibile accedere ai modelli utilizzando il portale di registrazione Web della CA.
Aprire un browser Web e digitare , dove è l'indirizzo IP del server CA.
Nel menu Modello certificato visualizzare i modelli.
Sul computer avviare l'editor del Registro di sistema.
Accedere a HKEY_LOCAL_MACHINE >SOFTWARE >Microsoft >Crittografia > MSCEP.
Configurare le seguenti chiavi, quindi impostarle su MVEWebServer:
EncryptionTemplate
GeneralPurposeTemplate
SignatureTemplate
Assegnare all'utente SCEPSvc le autorizzazioni complete per MSCEP.
In Gestione IIS, espandere la CA, quindi fare clic su Pool di applicazioni.
Nel pannello di destra, fare clic su Ricicla per riavviare il pool di applicazioni SCEP.
In Gestione IIS, espandere la CA, quindi espandere Siti > Sito Web predefinito.
Nel pannello di destra, fare clic su Riavvia.
Sul computer avviare l'editor del Registro di sistema.
Accedere a HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Crittografia > MSCEP.
Impostare EnforcePassword su .
In Gestione IIS, espandere la CA, fare clic su Pool di applicazioni, quindi selezionare SCEP.
Nel pannello di destra, fare clic su Impostazioni avanzate.
Impostare Carica profilo utente su True, quindi fare clic su OK.
Nel pannello di destra, fare clic su Ricicla per riavviare il pool di applicazioni SCEP.
In Gestione IIS, espandere la CA, quindi espandere Siti > Sito Web predefinito.
Nel pannello di destra, fare clic su Riavvia.
Quando si apre il servizio Registrazione dispositivi di rete (NDES) dal browser Web, ora è possibile visualizzare solo l'identificazione personale della CA.