Requisiti di sistema

In questa sezione, per tutte le impostazioni viene utilizzato il sistema operativo Windows Server 2012 R2 e versioni successive. I seguenti requisiti e funzionalità di installazione si applicano sia al server CEP che al server CES, a meno che non sia specificato diversamente.

Creare i seguenti tipi di account nel controller di dominio:

• Amministratore del servizio: denominato CEPAdmin e CESAdmin

  • Questo utente deve far parte del gruppo di amministrazione locale nei rispettivi server CEP e CES.

  • Questo utente deve essere un membro del gruppo Enterprise Admin.

• Account di servizio: denominato CEPSvc e CESSvc

  • Questo utente deve far parte del gruppo IIS_IUSRS locale.

  • Richiede l'autorizzazione Richiedi certificati nella CA per i rispettivi CEPSvc e CESSvc.

Requisiti di connettività di rete

• I requisiti di connettività di rete sono una parte fondamentale della pianificazione della distribuzione, in particolare nei casi in cui i server CEP e CES siano ospitati in una rete perimetrale.

• La connettività di tutti i client a entrambi i servizi avviene all'interno di una sessione HTTPS, pertanto è consentito solo il traffico HTTPS tra il client e i servizi Web.

• Il server CEP comunica con Servizi di dominio Active Directory (AD DS), utilizzando le porte standard LDAP (Lightweight Directory Access Protocol) e LDAPS (Secure LDAP) (TCP 389 e 636 rispettivamente).

• Il server CES comunica con l'autorità di certificazione tramite DCOM (Distributed Component Object Model).

  Note:

  • Per impostazione predefinita, DCOM utilizza porte temporanee casuali.
  • L'autorità di certificazione può essere configurata in modo da riservare un intervallo di porte specifico per semplificare la configurazione del firewall.

Creazione di certificati SSL per i server CEP e CES

I server CES e CEP devono utilizzare il protocollo SSL (Secure Sockets Layer) per la comunicazione con i client (tramite HTTPS). Ogni servizio deve disporre di un certificato valido dotato di un criterio EKU (Enhanced Key Usage) per l'autenticazione del server nell'archivio certificati del computer locale.

1. Installare il servizio IIS nel server.

2. Accedere al server CEP, quindi aggiungere il Certificato CA radice nell'archivio Autorità di certificazione radice attendibile.

3. Avviare IIS Manager Console, quindi selezionare Server Home.

4. Nella sezione Visualizzazione principale, aprire Certificati server.

5. Fare clic su Azioni > Crea richiesta certificato.

6. Nella finestra Proprietà nome distinto, specificare le informazioni necessarie, quindi fare clic su Avanti.

7. Nella finestra Proprietà provider di servizi crittografici, selezionare la lunghezza in bit, quindi fare clic su Avanti.

8. Salvare il file.

9. Ottenere il file firmato dall'autorità di certificazione che si intende utilizzare per i server CEP e CES.

   Nota: Assicurarsi che EKU autenticazione server sia abilitato nel certificato firmato.

10. Copiare nuovamente il file firmato nel server CEP.

11. In IIS Manager Console, selezionare Server Home.

12. Nella sezione Visualizzazione principale, aprire Certificati server.

13. Fare clic su Azioni > Completa richiesta certificato.

14. Nella finestra Specifica risposta autorità di certificazione, selezionare il file firmato.

15. Digitare un nome, quindi nel menu Archivio certificati selezionare Personale.

16. Completare l'installazione del certificato.

17. In IIS Manager Console, selezionare il sito Web predefinito.

18. Fare clic su Azioni > Associazioni.

19. Nella finestra di dialogo Associazioni del sito, fare clic su Aggiungi.

20. Nella finestra di dialogo Aggiungi associazione del sito, impostare Tipo su https, quindi, dal certificato SSL, cercare il certificato appena creato.

21. In IIS Manager Console, selezionare Sito Web predefinito, quindi aprire le impostazioni SSL.

22. Abilitare Richiedi SSL e impostare Certificati client su Ignora.

23. Riavviare IIS.

Creazione di modelli di certificato

L'utente deve creare un modello di certificato per la registrazione del certificato. Effettuare le seguenti operazioni per copiare da un modello di certificato esistente:

1. Accedere alla CA Enterprise con le credenziali di amministratore CA.

2. Espandere la CA, fare clic con il pulsante destro del mouse su Modelli di certificato, quindi scegliere Gestisci.

3. In Console dei modelli di certificato, fare clic con il pulsante destro del mouse su Modello di certificato del server Web, quindi fare clic su Duplica modello.

4. Nella scheda Generale del modello, assegnare un nome al modello MVEWebServer.

5. Nella scheda Protezione, concedere all'amministratore CA le autorizzazioni di lettura, scrittura e registrazione.

6. Assegnare le autorizzazioni di lettura e registrazione agli utenti autenticati.

7. Nella scheda Nome oggetto selezionare Inserisci nella richiesta.

8. Nella scheda Generale, impostare il periodo di validità del certificato.

9. Se si prevede di utilizzare questo modello di certificato per l'emissione di un certificato 802.1X per le stampanti, procedere come segue:

   1. Nella scheda Estensioni, selezionare Criteri di applicazione dall'elenco delle estensioni incluse in questo modello.

   2. Fare clic su Modifica > Aggiungi.

   3. Nella finestra di dialogo Aggiungi criterio applicazione, selezionare Autenticazione client.

   4. Fare clic su OK.

10. Nella finestra di dialogo Proprietà modello certificato, fare clic su OK.

11. Nella finestra CA, fare clic con il pulsante destro del mouse su Modelli di certificato, quindi fare clic su Nuovo > modello di certificato.

12. Selezionare MVEWebServer, quindi fare clic su OK.

I server CEP e CES supportano i seguenti metodi di autenticazione:

• Autenticazione integrata di Windows, nota anche come autenticazione Kerberos

• Autenticazione certificato client, nota anche come autenticazione del certificato X.509

• Autenticazione tramite nome utente e password

Autenticazione integrata di Windows

L'autenticazione integrata di Windows utilizza Kerberos per fornire un flusso di autenticazione ininterrotto per i dispositivi connessi alla rete interna. Questo è il metodo preferito per le distribuzioni interne perché utilizza l'infrastruttura Kerberos esistente all'interno di AD DS. Richiede inoltre modifiche minime ai computer client dei certificati.

Autenticazione certificato client

Questo è il metodo preferito rispetto all'autenticazione con nome utente e password perché è più sicuro. Non richiede una connessione diretta alla rete aziendale.

Note:

• Utilizzare questo metodo di autenticazione se si intende fornire certificati X.509 digitali per l'autenticazione ai client.
• Questo metodo consente di abilitare i servizi Web disponibili su Internet.

Autenticazione nome utente e password

Il metodo nome utente e password è la forma di autenticazione più semplice. Questo metodo viene in genere utilizzato per la manutenzione dei client che non direttamente connessi alla rete interna. Si tratta di un'opzione di autenticazione meno sicura rispetto all'autenticazione del certificato client, ma non richiede il provisioning di un certificato.

La delega consente a un servizio di impersonare l'account di un utente o un computer per accedere alle risorse in tutta la rete.

La delega è necessaria per il server CES in tutti i seguenti casi:

• CA e CES non risiedono nello stesso computer.

• Il server CES è in grado di elaborare le richieste di registrazione iniziale anziché elaborare solo le richieste di rinnovo del certificato.

• Il tipo di autenticazione è impostato su Autenticazione integrata di Windows o Autenticazione certificato client.

La delega non è necessaria per il server CES nei seguenti casi:

• CA e CES risiedono nello stesso computer.

• Il nome utente e la password sono il metodo di autenticazione.

Note:

• Microsoft consiglia di eseguire CEP e CES come account utente di dominio.
• Gli utenti devono creare un nome principale servizio (SPN) appropriato prima di configurare la delega nell'account utente di dominio.

Abilitazione della delega

1. Per creare un SPN per un account utente di dominio, utilizzare il comando setspn come segue:

   setspn -s http/ces.msca.com msca\CESSvc

   Note:

   • Il nome dell'account è CESSvc.
   • Il server CES viene eseguito in un computer con un nome di dominio completo (FQDN) di ces.msca.com nel dominio msca.com.

2. Dopo aver eseguito il comando setspn, aprire l'account utente di dominio CESSvc nel controller di dominio.

3. Nella scheda Delega, selezionare Utente attendibile per la delega solo ai servizi specificati.

4. Selezionare la delega appropriata in base al metodo di autenticazione.

   Note:

   • Se si seleziona l'autenticazione integrata di Windows, configurare la delega in modo da utilizzare solo Kerberos.
   • Se il servizio utilizza l'autenticazione del certificato client, configurare la delega in modo da utilizzare qualsiasi protocollo di autenticazione.
   • Se si prevede di configurare più metodi di autenticazione, configurare la delega in modo da utilizzare qualsiasi protocollo di autenticazione.

5. Fare clic su Aggiungi.

6. Nella finestra di dialogo Aggiungi servizi, selezionare Utenti o Computer.

7. Digitare il nome host del server CA, quindi fare clic su Controlla nomi.

8. Nella finestra di dialogo Aggiungi servizi, selezionare uno dei seguenti servizi da delegare:

   • Servizio host (HOST) per il server CA specificato

   • RPCSS (Remote procedure Call System Service) per il server CA specificato

9. Chiudere la finestra di dialogo Proprietà utente dominio.

Per installare CEP e CES, utilizzare Windows PowerShell.

Configurazione di CEP

Il cmdlet Install-AdcsEnrollmentPolicyWebService configura il servizio Web dei criteri di registrazione certificato (CEP). Viene inoltre utilizzato per creare altre istanze del servizio all'interno di un'installazione esistente.

1. Accedere al server CEP utilizzando il nome utente CEPAdmin, quindi avviare PowerShell in modalità amministrativa.

2. Eseguire il comando Import-Module ServerManager.

3. Eseguire il comando Add-WindowsFeature ADC-Enroll-Web-Pol.

4. Eseguire il comando Install-AdcsEnrollmentPolicyWebService -AuthenticationType Kerberos -SSLCertThumbprint "sslCertThumbPrint".

   Nota: Sostituire <sslCertThumbPrint> con l'identificazione personale del certificato SSL creato per il server CEP, dopo aver eliminato gli spazi tra i valori dell'identificazione personale.

5. Completare l'installazione selezionando Y o A.

6. Avviare IIS Manager Console.

7. Nel riquadro Connessioni, espandere il server Web che ospita il server CEP.

8. Espandere Siti, espandere Sito Web predefinito, quindi fare clic sul nome dell'applicazione virtuale di installazione appropriata, ADPolicyProvider_CEP_Kerberos.

9. Nell'applicazione virtuale denominata Home, fare doppio clic sulle impostazioni dell'applicazione, quindi fare doppio clic su FriendlyName.

10. Digitare un nome in Valore, quindi chiudere la finestra di dialogo.

11. Fare doppio clic su URI, quindi copiare il Valore.

    Note:

    • Se si desidera configurare un altro metodo di autenticazione nello stesso server CEP, è necessario modificare l'ID.
    • Questo URL viene utilizzato in MVE o in qualsiasi applicazione client.

12. Nel riquadro a sinistra, fare clic su Pool di applicazioni.

13. Selezionare WSEnrollmentPolicyServer, quindi, nel riquadro a destra, fare clic su Azioni > Impostazioni avanzate.

14. Selezionare il campo dell'identità in Modello processo.

15. Nella finestra di dialogo Identità pool di applicazioni, selezionare l'account personalizzato, quindi digitare CEPSvc come nome utente di dominio.

16. Chiudere tutte le finestre di dialogo, quindi riciclare IIS nel riquadro a destra di IIS Manager Console.

17. In PowerShell, digitare iisreset per riavviare IIS.

Configurazione di CES

Il cmdlet Install-AdcsEnrollmentWebService configura il servizio Web di registrazione certificati (CES). Viene inoltre utilizzato per creare altre istanze del servizio all'interno di un'installazione esistente.

1. Accedere al server CES utilizzando il nome utente CESAdmin e avviare PowerShell in modalità amministrativa.

2. Eseguire il comando Import-Module ServerManager.

3. Eseguire il comando Add-WindowsFeature Adcs-Enroll-Web-Svc.

4. Eseguire il comando Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig "CA1.contoso.com\contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Kerberos.

   Note:

   • Sostituire <sslCertThumbPrint> con l'identificazione personale del certificato SSL creato per il server CES, dopo aver eliminato gli spazi tra i valori dell'identificazione personale.
   • Sostituire CA1.contoso.com con il nome del computer CA.
   • Sostituire contoso-CA1-CA con il nome comune CA.

5. Completare l'installazione selezionando Y o A.

6. Avviare IIS Manager Console.

7. Nel riquadro Connessioni, espandere il server Web che ospita il server CES.

8. Espandere Siti, espandere Sito Web predefinito, quindi fare clic sul nome dell'applicazione virtuale di installazione appropriata: contoso-CA1-CA _CES_Kerberos.

9. Nel riquadro a sinistra, fare clic su Pool di applicazioni.

10. Selezionare WSEnrollmentPolicyServer, quindi, nel riquadro a destra, fare clic su Azioni > Impostazioni avanzate.

11. Selezionare il campo dell'identità in Modello processo.

12. Nella finestra di dialogo Identità pool di applicazioni, selezionare l'account personalizzato, quindi digitare CESSvc come nome utente di dominio.

13. Chiudere tutte le finestre di dialogo, quindi riciclare IIS nel riquadro a destra di IIS Manager Console.

14. In PowerShell, digitare iisreset per riavviare IIS.

15. Per l'utente del dominio CESSvc, abilitare la delega. Per ulteriori informazioni, vedere Abilitazione della delega.

Configurazione di CEP

Il cmdlet Install-AdcsEnrollmentPolicyWebService configura il server CEP. Viene inoltre utilizzato per creare altre istanze del servizio all'interno di un'installazione esistente.

1. Accedere al server CEP utilizzando il nome utente CEPAdmin, quindi avviare PowerShell in modalità amministrativa.

2. Eseguire il comando Import-Module ServerManager.

3. Eseguire il comando Add-WindowsFeature ADC-Enroll-Web-Pol.

4. Eseguire il comando Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -SSLCertThumbprint “sslCertThumbPrint”.

   Nota: Sostituire <sslCertThumbPrint> con l'identificazione personale del certificato SSL creato per il server CEP, dopo aver eliminato gli spazi tra i valori dell'identificazione personale.

5. Completare l'installazione selezionando Y o A.

6. Avviare IIS Manager Console.

7. Nel riquadro Connessioni, espandere il server Web che ospita il server CEP.

8. Espandere Siti, espandere Sito Web predefinito, quindi fare clic sul nome dell'applicazione virtuale di installazione appropriata, ADPolicyProvider_CEP_Certificate.

9. Nell'applicazione virtuale denominata Home, fare doppio clic sulle impostazioni dell'applicazione, quindi fare doppio clic su FriendlyName.

10. Digitare un nome in Valore, quindi chiudere la finestra di dialogo.

11. Fare doppio clic su URI, quindi copiare il Valore.

    Note:

    • Se si desidera configurare un altro metodo di autenticazione nello stesso server CEP, è necessario modificare l'ID.
    • Questo URL viene utilizzato in MVE o in qualsiasi applicazione client.

12. Nel riquadro a sinistra, fare clic su Pool di applicazioni.

13. Selezionare WSEnrollmentPolicyServer, quindi, nel riquadro a destra, fare clic su Azioni > Impostazioni avanzate.

14. Selezionare il campo dell'identità in Modello processo.

15. Nella finestra di dialogo Identità pool di applicazioni, selezionare l'account personalizzato, quindi digitare CEPSvc come nome utente di dominio.

16. Chiudere tutte le finestre di dialogo, quindi riciclare IIS nel riquadro a destra di IIS Manager Console.

17. In PowerShell, digitare iisreset per riavviare IIS.

Configurazione di CES

Il cmdlet Install-AdcsEnrollmentWebService configura il servizio Web di registrazione certificati (CES). Viene inoltre utilizzato per creare altre istanze del servizio all'interno di un'installazione esistente.

1. Accedere al server CES utilizzando il nome utente CESAdmin, quindi avviare PowerShell in modalità amministrativa.

2. Eseguire il comando Import-Module ServerManager.

3. Eseguire il comando Add-WindowsFeature Adcs-Enroll-Web-Svc.

4. Eseguire il comando Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig “CA1.contoso.com\contoso-CA1-CA” -SSLCertThumbprint “sslCertThumbPrint” -AuthenticationType Certificate.

   Note:

   • Sostituire <sslCertThumbPrint> con l'identificazione personale del certificato SSL creato per il server CES, dopo aver eliminato gli spazi tra i valori dell'identificazione personale.
   • Sostituire CA1.contoso.com con il nome del computer CA.
   • Sostituire contoso-CA1-CA con il nome comune CA.
   • Se è già stato configurato un metodo di autenticazione nell'host, rimuovere ApplicationPoolIdentity dal comando.

5. Completare l'installazione selezionando Y o A.

6. Avviare IIS Manager Console.

7. Nel riquadro Connessioni, espandere il server Web che ospita il server CEP.

8. Espandere Siti, espandere Sito Web predefinito, quindi fare clic sul nome dell'applicazione virtuale di installazione appropriata: contoso-CA1-CA _CES_Certificate.

9. Nel riquadro a sinistra, fare clic su Pool di applicazioni.

10. Selezionare WSEnrollmentPolicyServer, quindi, nel riquadro a destra, fare clic su Azioni > Impostazioni avanzate.

11. Selezionare il campo dell'identità in Modello processo.

12. Nella finestra di dialogo Identità pool di applicazioni, selezionare l'account personalizzato, quindi digitare CESSvc come nome utente di dominio.

13. Chiudere tutte le finestre di dialogo, quindi riciclare IIS nel riquadro a destra di IIS Manager Console.

14. In PowerShell, digitare iisreset per riavviare IIS.

15. Per l'utente del dominio CESSvc, abilitare la delega. Per ulteriori informazioni, vedere Abilitazione della delega.

Configurazione di CEP

Il cmdlet Install-AdcsEnrollmentPolicyWebService configura il servizio Web dei criteri di registrazione certificato (CEP). Viene inoltre utilizzato per creare altre istanze del servizio all'interno di un'installazione esistente.

1. Accedere al server CEP utilizzando il nome utente CEPAdmin, quindi avviare PowerShell in modalità amministrativa.

2. Eseguire il comando Import-Module ServerManager.

3. Eseguire il comando Add-WindowsFeature ADC-Enroll-Web-Pol.

4. Eseguire il comando Install-AdcsEnrollmentPolicyWebService -AuthenticationType UserName -SSLCertThumbprint “sslCertThumbPrint”.

   Nota: Sostituire <sslCertThumbPrint> con l'identificazione personale del certificato SSL creato per il server CEP, dopo aver eliminato gli spazi tra i valori dell'identificazione personale.

5. Completare l'installazione selezionando Y o A.

6. Avviare IIS Manager Console.

7. Nel riquadro Connessioni, espandere il server Web che ospita il server CEP.

8. Espandere Siti, espandere Sito Web predefinito, quindi fare clic sul nome dell'applicazione virtuale di installazione appropriata: ADPolicyProvider_CEP_UsernamePassword.

9. Nell'applicazione virtuale denominata Home, fare doppio clic sulle impostazioni dell'applicazione, quindi fare doppio clic su FriendlyName.

10. Digitare un nome in Valore, quindi chiudere la finestra di dialogo.

11. Fare doppio clic su URI, quindi copiare il Valore.

    Note:

    • Se si desidera configurare un altro metodo di autenticazione nello stesso server CEP, è necessario modificare l'ID.
    • Questo URL viene utilizzato in MVE o in qualsiasi applicazione client.

12. Nel riquadro a sinistra, fare clic su Pool di applicazioni.

13. Selezionare WSEnrollmentPolicyServer, quindi, nel riquadro a destra, fare clic su Azioni > Impostazioni avanzate.

14. Selezionare il campo dell'identità in Modello processo.

15. Nella finestra di dialogo Identità pool di applicazioni, selezionare l'account personalizzato, quindi digitare CEPSvc.

16. Chiudere tutte le finestre di dialogo, quindi riciclare IIS nel riquadro a destra di IIS Manager Console.

17. In PowerShell, digitare iisreset per riavviare IIS.

Configurazione di CES

Il cmdlet Install-AdcsEnrollmentWebService configura il servizio Web di registrazione certificati (CES). Viene inoltre utilizzato per creare altre istanze del servizio all'interno di un'installazione esistente.

1. Accedere al server CES utilizzando il nome utente CESAdmin, quindi avviare PowerShell in modalità amministrativa.

2. Eseguire il comando Import-Module ServerManager.

3. Eseguire il comando Add-WindowsFeature Adcs-Enroll-Web-Svc.

4. Eseguire il comando Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig “CA1.contoso.com\contoso-CA1-CA” -SSLCertThumbprint “sslCertThumbPrint” -AuthenticationType UserName.

   Note:

   • Sostituire <sslCertThumbprint> con l'identificazione personale del certificato SSL creato per il server CES, dopo aver eliminato gli spazi tra i valori dell'identificazione personale.
   • Sostituire CA1.contoso.com con il nome del computer CA.
   • Sostituire contoso-CA1-CA con il nome comune CA.
   • Se è già stato configurato un metodo di autenticazione nell'host, rimuovere ApplicationPoolIdentity dal comando.

5. Completare l'installazione selezionando Y o A.

6. Avviare IIS Manager Console.

7. Nel riquadro Connessioni, espandere il server Web che ospita il server CES.

8. Espandere Siti, espandere Sito Web predefinito, quindi fare clic sul nome dell'applicazione virtuale di installazione appropriata: contoso-CA1-CA_CES_UsernamePassword.

9. Nel riquadro a sinistra, fare clic su Pool di applicazioni.

10. Selezionare WSEnrollmentPolicyServer, quindi, nel riquadro a destra, fare clic su Azioni > Impostazioni avanzate sotto Azioni.

11. Selezionare il campo dell'identità in Modello processo.

12. Nella finestra di dialogo Identità pool di applicazioni, selezionare l'account personalizzato, quindi digitare CESSvc come nome utente di dominio.

13. Chiudere tutte le finestre di dialogo, quindi riciclare IIS nel riquadro a destra di IIS Manager Console.

14. In PowerShell, digitare iisreset per riavviare IIS.

Prima di configurare l'endpoint di gestione automatica dei certificati in MVE, è necessario apportare alcune modifiche aggiuntive al file di configurazione platform.properties.

Il percorso di questo file è <directory di installazione MVE>/Lexmark/MarkVision Enterprise/apps/dm-mve/WEB-INF/classes.

Effettuare le seguenti operazioni:

1. Aprire il file platform.properties in Notepad++ o un editor di testo simile in modalità amministratore.

2. Individuare la chiave mscews.CES.hostname, quindi modificarne il valore con il nome host del server CES.

   Nota: Il valore predefinito è cesserver.

3. Trovare la chiave mscews.cep.templatename, quindi modificarne il valore con il nome del modello creato.

   Nota: Il valore predefinito di questo campo è CEPWebServer.

4. Salvare il file, quindi riavviare il servizio MVE.

5. Accedere a MVE, andare alla pagina Autorità di certificazione, quindi seguire le istruzioni per configurare il servizio.

Note:

• Se si intende utilizzare il metodo di autenticazione del certificato client, è necessario ottenere il certificato client valido dall'autorità di certificazione.
• Nell'autenticazione del certificato client del certificato, assicurarsi che EKU sia abilitato.