Esporta (0) Stampa
Espandi tutto

Novità di Servizi certificati Active Directory

Aggiornamento: agosto 2009

Si applica a: Windows Server 2008 R2

Modifiche principali

Servizi certificati Active Directory® in Windows Server® 2008 R2 introduce funzionalità e servizi che consentono distribuzioni dell'infrastruttura a chiave pubblica (PKI) più flessibili, riducono i costi amministrativi e assicurano un supporto migliore alle distribuzioni di Protezione accesso alla rete.

Le funzionalità e i servizi di Servizi certificati Active Directory elencati nella tabella seguente sono novità di Windows Server 2008 R2.

 

Funzionalità Vantaggio

Servizio Web di registrazione certificati e Servizio Web di informazioni sulle registrazioni di certificati

Consente la registrazione di certificati su HTTP.

Supporto registrazione certificati tra foreste

Consente il consolidamento delle autorità di certificazione (CA) in distribuzioni con più foreste.

Supporto migliorato per CA con volumi elevati

Dimensioni database CA ridotte per alcune distribuzioni di Protezione accesso alla rete e altre CA con volumi elevati.

Servizio Web di registrazione certificati e Servizio Web di informazioni sulle registrazioni di certificati

I servizi Web di registrazione certificati sono nuovi servizi ruolo di Servizi certificati Active Directory che consentono la registrazione di certificati su HTTP basata su criteri con l'utilizzo di metodi esistenti, ad esempio la registrazione automatica. I servizi Web fungono da proxy tra il computer client e una CA, eliminando la necessità di una comunicazione diretta tra il computer client e la CA e consentendo la registrazione di certificati su Internet e tra foreste.

Utenti interessati a questa funzionalità

Le organizzazioni con PKI nuovi ed esistenti possono trarre vantaggio dall'accessibilità ampliata della registrazione di certificati offerta dai servizi Web di registrazione certificati in questi scenari di distribuzione:

  • In distribuzioni in più foreste, i computer client possono registrare certificati da CA in una foresta diversa.

  • In distribuzioni Extranet, gli utenti mobili e i partner commerciali possono effettuare la registrazione tramite Internet.

Note speciali

Il servizio Web di registrazione certificati invia le richieste da parte dei computer client e deve essere attendibile per la delega. Le distribuzioni Extranet di questo servizio Web incrementano la minaccia di attacchi in rete e alcune organizzazioni potrebbero scegliere di non considerare il servizio attendibile per la delega. In questi casi, il servizio Web di registrazione certificati e la CA di emissione possono essere configurati per accettare solo le richieste di rinnovo firmate con certificati esistenti, che non richiedono la delega.

I servizi Web di registrazione certificati presentano inoltre i requisiti seguenti:

  • Foresta di Active Directory con schema Windows Server 2008 R2.

  • Autorità di certificazione dell'organizzazione (enterprise) che esegue Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003.

  • Per la registrazione di certificati tra foreste è necessario che l'autorità di certificazione dell'organizzazione (enterprise) esegua Windows Server Enterprise Edition o Datacenter Edition.

  • Computer client che eseguono Windows® 7.

Edizioni che includono questa funzionalità

I servizi Web di registrazione certificati sono disponibili in tutte le edizioni di Windows Server 2008 R2.

Supporto registrazione certificati tra foreste

Prima dell'introduzione della registrazione tra foreste, le CA potevano emettere certificati solo per membri della stessa foresta e ogni foresta aveva il suo PKI. Con l'aggiunta del supporto per i riferimenti LDAP, le CA di Windows Server 2008 R2 possono emettere certificati tra foreste che hanno relazioni di trust bidirezionale.

Utenti interessati a questa funzionalità

Le organizzazioni con più foreste di Active Directory e distribuzioni PKI per foresta possono trarre vantaggio dal consolidamento delle CA abilitando la registrazione di certificati tra foreste.

Note speciali

  • Le foreste di Active Directory richiedono il livello di funzionalità della foresta e il trust transitivo bidirezionale di Windows Server 2003.

  • I computer client che eseguono Windows XP, Windows Server 2003 e Windows Vista® non richiedono aggiornamenti per il supporto della registrazione di certificati tra foreste.

Edizioni che includono questa funzionalità

Questa funzionalità è disponibile per le autorità di certificazione dell'organizzazione (enterprise) che eseguono Windows Server 2008 R2 Enterprise o Windows Server 2008 R2 Datacenter.

Supporto migliorato per CA con volumi elevati

Utenti interessati a questa funzionalità

Le organizzazioni che hanno distribuito Protezione accesso alla rete con CA di imposizione IPSec o altre CA con volumi elevati possono scegliere di ignorare determinate operazioni di database CA per ridurre le dimensioni del database.

I certificati di integrità di Protezione accesso alla rete scadono in genere poche ore dopo l'emissione e la CA può emettere ogni giorno più certificati per computer. Per impostazione predefinita, un record di ogni richiesta e di ogni certificato emesso viene archiviato nel database CA. Un volume elevato di richieste provoca l'aumento del tasso di crescita del database CA e maggiori costi di amministrazione.

Note speciali

I certificati emessi non sono archiviati nel database CA e la revoca di certificati non è quindi possibile. La manutenzione di un elenco di revoche di certificati per un volume elevato di certificati di breve durata, tuttavia, spesso non è pratico o vantaggioso. Di conseguenza, alcune organizzazioni possono scegliere di utilizzare questa funzionalità e accettare le limitazioni relative alla revoca.

Edizioni che includono questa funzionalità

Questa funzionalità è disponibile per le autorità di certificazione dell'organizzazione (enterprise) che eseguono qualsiasi edizione di Windows Server 2008 R2.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft