Richiesta di un certificato a un'autorità di certificazione locale

  • Articolo

Pubblicato: novembre 2009

Aggiornamento: febbraio 2010

Si applica a: Forefront Threat Management Gateway (TMG)

Quando i certificati server sono destinati ad uso interno, è possibile creare un'autorità di certificazione locale (CA) invece di acquistare un certificato commerciale.

Per impostare un'autorità di certificazione locale

  1. Aprire il Pannello di controllo.

  2. Fare doppio clic su Installazione applicazioni.

  3. Fare clic su Installazione componenti di Windows.

  4. Fare doppio clic su Server applicazioni.

  5. Fare doppio clic su Internet Information Services (IIS).

  6. Fare doppio clic su Servizio Web.

  7. Selezionare Active Server Pages.

  8. Fare clic su OK per chiudere la finestra di dialogo Servizio Web, fare clic su OK per chiudere la finestra di dialogo Internet Information Services (IIS), infine fare di nuovo clic su OK per chiudere la finestra di dialogo Server applicazioni.

  9. Selezionare Servizi certificati. Esaminare l'avviso relativo al nome computer e all'appartenenza al dominio. Se si desidera continuare, fare clic su nella finestra di dialogo di avviso, quindi scegliere Avanti nella pagina Componenti di Windows.

  10. Nella pagina Tipo CA scegliere una delle opzioni seguenti, quindi fare clic su Avanti:

    • CA radice dell'organizzazione. È necessario installare la CA radice dell'organizzazione su un membro del dominio. La CA radice dell'organizzazione rilascerà automaticamente i certificati quando verranno richiesti dagli utenti autorizzati, ovvero gli utenti riconosciuti dal controller di dominio.

    • CA radice autonoma. Per la CA radice autonoma è necessario che l'amministratore rilasci ogni singolo certificato richiesto.

  11. Nella pagina Informazioni identificazione Autorità di certificazione (CA) specificare un nome comune per la CA, verificare il suffisso del nome distinto, selezionare un periodo di validità, quindi fare clic su Avanti.

  12. Nella pagina Impostazioni database certificati esaminare le impostazioni predefinite. È possibile modificare i percorsi del database. Scegliere Avanti.

  13. Nella pagina Completamento dell'Aggiunta guidata componenti di Windows esaminare il riepilogo, quindi fare clic su Fine.

Nota

Con questa procedura vengono installati anche i servizi che consentiranno ai computer di ottenere i certificati tramite una pagina Web. Se si preferisce un metodo diverso per ottenere i certificati dai computer, non è necessario eseguire l'installazione di Internet Information Services (IIS) e Active Server Pages descritte nella procedura.

Per consentire l'accesso al sito Web della CA è necessario pubblicarlo. Per limitare l'accesso al sito Web, è possibile pubblicare dal sito Web solo le cartelle specifiche necessarie per un gruppo di utenti specifico, invece che pubblicare un server completo per tutti gli utenti. Per ulteriori informazioni sulla pubblicazione su Web, vedere Pianificazione della pubblicazione.

Per installare un certificato server

  1. Aprire Internet Explorer.

  2. Scegliere Strumenti, quindi selezionare Opzioni Internet.

  3. Selezionare la scheda Protezione e in Selezionare l'area di cui visualizzare o modificare le impostazioni fare clic su Siti attendibili.

  4. Fare clic sul pulsante Siti per aprire la finestra di dialogo Siti attendibili.

  5. In Immettere il sito Web da aggiungere all'area immettere il nome del sito Web del server certificato (http://Indirizzo IP del server Autorità di certificazione/certsrvname), quindi fare clic su Aggiungi.

  6. Fare clic su Chiudi per chiudere la finestra di dialogo Siti affidabili, quindi fare clic su OK per chiudere la finestra Opzioni Internet.

  7. Andare all'indirizzo:

    http://Indirizzo IP del server Autorità di certificazione/certsrv

  8. Richiedere un certificato.

  9. Selezionare Richiesta avanzata di certificati.

  10. Selezionare Creare e inviare una richiesta a questa CA.

  11. Completare il modulo e selezionare Certificato di autenticazione server nell'elenco a discesa Tipo. Per evitare che il client riceva un messaggio di errore quando tenta di collegarsi, è indispensabile che il nome comune specificato per il certificato corrisponda al nome del server pubblicato, come indicato di seguito:

    • Per la pubblicazione del server, in nome comune digitare il nome di dominio completo (FQDN) del server che si sta pubblicando.

      Nota

      Per la spiegazione delle opzioni disponibili nella pagina Richiesta avanzata di certificati, vedere Using Windows Server 2003 Certificate Services Web pages all'indirizzo https://www.microsoft.com (informazioni in lingua inglese).

    • Per la pubblicazione su Web, per un certificato sul computer Forefront TMG, digitare il nome host che dovrà essere digitato nel browser dei client esterni per accedere al sito Web; ad esempio, news.adatum.com.

    • Con riferimento alla pubblicazione su Web, se si installa un certificato server nel server Web oltre al certificato richiesto nel computer Forefront TMG, il nome comune dovrà essere il nome host che il computer Forefront TMG utilizza per inviare messaggi di richiesta HTTP al server Web attraverso la regola di pubblicazione sul Web. È necessario che il nome sia risolvibile sull'indirizzo IP del server Web e può essere lo stesso del nome di dominio comune (FQDN) del server Web, ad esempio webserver1.adatum.com.

  12. Selezionare Archivia certificato nell'archivio certificati del computer locale quindi fare clic su Invia per inviare la richiesta. Esaminare la finestra di dialogo dell'avviso che verrà visualizzata, quindi fare clic su .

  13. Se è stata installata una CA radice autonoma, effettuare le seguenti operazioni nel computer dell'autorità di certificazione. Questi passaggi sono automatizzati in una CA radice dell'organizzazione.

    1. Fare clic su Start, scegliere Tutti i programmi, Strumenti di amministrazione, quindi fare clic su Autorità di certificazione per aprire lo snap-in Autorità di certificazione di Microsoft Management Console (MMC).

    2. Espandere il nodo Nome_CA dove Nome_CA è il nome dell'autorità di certificazione.

    3. Selezionare il nodo Richieste in sospeso, fare clic con il pulsante destro del mouse sulla richiesta, scegliere Tutte le attività, quindi selezionare Emetti.

  14. Nel computer Forefront TMG, tornare all'indirizzo http://indirizzo IP della pagina Web del server Autorità di certificazione/certsrv, quindi fare clic su Visualizza lo stato di una richiesta di certificato in sospeso.

  15. Fare clic sulla richiesta e scegliere Installa questo certificato.

  16. Verificare che il certificato server sia stato installato effettuando le operazioni seguenti.

    1. Fare clic su Start, scegliere Esegui, digitare mmc nella casella di testo Apri, quindi fare clic su OK.

    2. Nella finestra Console1, fare clic sul menu File quindi su Aggiungi/Rimuovi snap-in.

    3. Nella finestra di dialogo Aggiungi/Rimuovi snap-in selezionare Certificati, quindi fare clic su Aggiungi.

    4. Nella pagina Snap-in certificati selezionare Account computer, quindi fare clic su Avanti.

    5. Nella pagina Seleziona computer selezionare Computer locale, quindi fare clic su Fine.

    6. Nella finestra di dialogo Aggiungi o rimuovi snap-in scegliere OK.

    7. Nella struttura della console espandere il nodo Certificati (computer locale), espandere Personale, fare clic su Certificati, quindi fare doppio clic sul nuovo certificato server. Nella scheda Generale verrà visualizzato il messaggio L'utente possiede una chiave privata corrispondente al certificato. Nella scheda Percorso certificato verranno visualizzati la relazione gerarchica tra il proprio certificato e l'autorità di certificazione (CA, Certification Authority) e il messaggio Il certificato specificato è valido.

    8. Chiudere la finestra Console1.

Nota

Questa procedura viene effettuata sul computer che richiede il certificato digitale. Nel caso di pubblicazione sul Web si tratterà almeno del computer Forefront TMG, ma potrebbe essere incluso anche il computer server Web. Nel caso di pubblicazione server, si tratterà solo del computer server in fase di pubblicazione. Se è stata installata una CA radice autonoma invece che una CA radice dell'organizzazione, alcune azioni riguarderanno l'autorità di certificazione.

In un computer Forefront TMG, è necessario che il certificato server ottenuto dalla CA venga archiviato nell'archivio dei certificati personali del computer Forefront TMG. Archiviare il certificato radice della CA nell'archivio Autorità di certificazione radice disponibili nell'elenco locale del computer Forefront TMG.

Affinché un computer client consideri affidabili i certificati server installati da una CA locale, è necessario che sia stato installato il certificato radice dalla CA. Eseguire la procedura in tutti i computer client che richiedono il certificato radice. Tenere presente che è possibile trasferire il certificato radice su un supporto, quale un disco, e installarlo quindi nel computer client.

Per installare un certificato radice

  1. Aprire Internet Explorer.

  2. Scegliere Strumenti, quindi selezionare Opzioni Internet.

  3. Selezionare la scheda Protezione e fare clic su Livello personalizzato per aprire la finestra di dialogo Impostazioni protezione. Impostare il valore nel menu a discesa Impostazioni personalizzate su Media, fare clic su OK per chiudere la finestra di dialogo Impostazioni protezione, quindi scegliere OK per chiudere la finestra di dialogo Opzioni Internet.

    Nota

    Non è possibile installare il certificato se la protezione è impostata su Alta.

  4. Andare all'indirizzo:

    http://Indirizzo IP del server Autorità di certificazione/certsrv

  5. Fare clic su Scarica un certificato CA, Catena di certificati, o CRL. Nella pagina successiva, fare clic su Esegui download certificato CA. Questo è il certificato CA radice da installare nel computer Forefront TMG. Nella finestra di dialogo Download del file fare clic su Apri.

  6. Nella finestra di dialogo Certificato fare clic su Installa certificato per avviare l'Importazione guidata certificati.

  7. Nella pagina Importazione guidata certificati fare clic su Avanti. Nella pagina Archivio certificati selezionare Mettere tutti i certificati nel seguente archivio, quindi fare clic su Sfoglia. Nella finestra di dialogo Seleziona archivio certificati selezionare Mostra archivi fisici. Espandere Autorità di certificazione radice disponibili nell'elenco locale, selezionare Computer locale, quindi fare clic su OK. Nella pagina Archivio certificati fare clic su Avanti.

  8. Nella pagina Completamento dell'Importazione guidata certificati esaminare i dettagli, quindi fare clic su Fine.

  9. Verificare che il certificato radice sia stato installato correttamente effettuando le operazioni seguenti.

    1. Aprire lo snap-in Certificati (computer locale) di Microsoft Management Console (MMC).

    2. Espandere il nodo Autorità di certificazione radice disponibili nell'elenco locale, fare clic su Certificati e verificare che sia presente il certificato radice.

    Nota

    È possibile installare certificati in un computer anche dallo snap-in Certificati (computer locale) di Microsoft Management Console. In questo modo, tuttavia, si accede solo alle autorità di certificazione nello stesso dominio.