Capitolo 7: Implementazione dell’infrastruttura a chiave pubblica
Pubblicato: 11 ottobre 2004 | Aggiornato: 24/11/2004
In questa pagina
Introduzione
Foglio di lavoro per la pianificazione di Servizi certificati
Creazione dei propri server
Preparazione di Active Directory per l'infrastruttura PKI
Protezione di Windows Server 2003 per Servizi certificati
Altre attività di configurazione di Windows
Installazione e configurazione della CA principale
Installazione e configurazione della CA di emissione
Configurazione post-creazione
Configurazione dei client
Riepilogo
Introduzione
Questo capitolo contiene informazioni dettagliate relative alla creazione di un'infrastruttura a chiave pubblica (PKI) basata su Servizi certificati di Microsoft® Windows Server™ 2003 e include l'installazione e la configurazione delle autorità di certificazione (CA), la preparazione del servizio directory Active Directory e di Microsoft Internet Information Services (IIS), nonché la configurazione dei criteri di certificazione dei client. Le indicazioni fornite intendono guidare l'utente nella creazione dell'infrastruttura di certificazione che verrà usata nei successivi capitoli per la creazione di una soluzione di protezione per reti LAN senza fili.
Scopo del presente capitolo è fornire istruzioni per la progettazione di un'infrastruttura PKI descritta nel capitolo 4, "Progettazione dell’infrastruttura a chiave pubblica (PKI)." Esula pertanto dagli obiettivi del capitolo l'illustrazione dei concetti generali alla base di un'infrastruttura PKI o la descrizione delle specifiche per l'implementazione di Servizi certificati Microsoft.
Questo capitolo è correlato ai capitoli riguardanti la pianificazione di un'infrastruttura PKI e le relative operazioni, rispettivamente il capitolo 4 e il capitolo 11. Il capitolo Guida alla pianificazione spiega le motivazioni delle decisioni relative all'implementazione illustrate in questo capitolo, mentre il capitolo Guida operativa descrive le attività e i processi necessari per la gestione dell'infrastruttura RADIUS. Prima di proseguire con gli argomenti del capitolo, si consiglia di leggere i capitoli relativi alla pianificazione. Prima di applicare le linee guida fornite in questo capitolo per implementare l'infrastruttura PKI, è opportuno inoltre leggere e comprendere le implicazioni dei requisiti di supporto nella Guida operativa.
Prima di iniziare
Questa sezione contiene elenchi di controllo che aiutano a valutare il grado di preparazione di un'azienda in merito all'implementazione dell'infrastruttura PKI (in questo contesto, il termine "preparazione" si riferisce più all'aspetto logistico che a quello aziendale: le motivazioni aziendali che portano all'implementazione di questa soluzione sono trattate nei primi capitoli della Guida alla pianificazione).
Prima di iniziare
È necessario conoscere i concetti fondamentali relativi all'infrastruttura PKI e a Servizi certificati Microsoft. È inoltre consigliabile acquisire dimestichezza con Windows 2000 Server o Windows Server 2003 nelle seguenti aree:
Installazione del sistema operativo di Microsoft Windows®.
Concetti relativi ad Active Directory, tra cui la struttura e gli strumenti di Active Directory; la gestione di utenti, gruppi e altri oggetti Active Directory e l’uso dei criteri di gruppo.
Concetti alla base della protezione dei sistemi Windows, quali utenti, gruppi, controllo, elenchi di controllo di accesso (ACL), utilizzo dei modelli di protezione e applicazione dei modelli di protezione mediante Criteri di gruppo o utilizzo degli strumenti della riga di comando.
Amministrazione di IIS.
Anche se non è essenziale, la conoscenza di Windows Scripting Host e del linguaggio Microsoft Visual Basic® Scripting Edition (VBScript) può contribuire a trarre il massimo vantaggio dagli script forniti.
Prima di proseguire con gli argomenti del capitolo, è necessario aver letto anche la Guida alla pianificazione e avere compreso l’architettura e la progettazione della soluzione.
Prerequisiti organizzativi
È consigliabile consultare altri membri della propria azienda che dovrebbero essere coinvolti nell'implementazione di questa soluzione, quali:
Finanziatori dell'iniziativa
Personale addetto al controllo e alla protezione
Personale addetto a progettazione, amministrazione e operazioni di Active Directory
Personale addetto a DNS (Domain Name System), server Web e progettazione
Personale addetto ad amministrazione e operazioni
Prerequisiti per l'infrastruttura IT
Per quanto riguarda l'infrastruttura IT esistente, in questo capitolo si presuppone quanto segue:
Esiste un'infrastruttura di dominio di Active Directory di Windows 2000 o Windows Server 2003. Tutti gli utenti di Servizi certificati in questa soluzione devono essere membri di un dominio all'interno dello stesso insieme di strutture di Active Directory.
Note: sebbene sia pienamente supportato l'uso di Servizi certificati Windows Server 2003 e del Servizio autenticazione Internet (implementazione RADIUS di Microsoft-IAS) con Active Directory di Windows 2000, la soluzione non è stata collaudata in tale configurazione, ma solo con Active Directory di Windows Server 2003. La guida comprende comunque anche istruzioni per l'uso di Active Directory di Windows 2000. Nonostante sia possibile distribuire la soluzione a più insiemi di strutture con modifiche minime, ciò esula dagli obiettivi della presente guida. Per ulteriori informazioni sulla distribuzione a più insiemi di strutture, vedere la nota riportata nella sezione "Ulteriori informazioni" alla fine del capitolo. Non sono fornite istruzioni per effettuare l'integrazione in un'infrastruttura PKI esistente. Tuttavia ciò non esclude la possibilità di una distribuzione accanto a un'infrastruttura PKI esistente.
È disponibile l'hardware del server in grado di supportare l'esecuzione di Servizi certificati di Windows Server 2003. Questa guida contiene una configurazione consigliata.
La soluzione non è stata espressamente progettata per l'integrazione con un'infrastruttura PKI esistente. Tuttavia ciò non esclude la possibilità di una distribuzione accanto a un'infrastruttura PKI esistente.
Sono disponibili le licenze, i supporti di installazione e i codici "Product Key" di Windows Server 2003 Standard Edition e Enterprise Edition.
Panoramica dei capitoli
La figura seguente mostra il processo di creazione dell'infrastruttura PKI che sarà descritto in questo capitolo.
Figura 7.1 Diagramma del processo di creazione dell'infrastruttura PKI
Questi passaggi rispecchiano l'organizzazione del capitolo e sono descritti nell'elenco seguente. Ciascuno di essi è costituito da attività di installazione o configurazione e dispone di procedure di verifica che consentono di controllare le operazioni eseguite prima di continuare con il passaggio successivo.
Foglio di lavoro per la pianificazione di Servizi certificati Sono elencate le informazioni di configurazione utilizzate in questo capitolo per installare e configurare Servizi certificati. È inclusa una tabella di informazioni che devono essere fornite dall'utente prima di iniziare l'implementazione.
Creazione dei propri server Vengono descritte le procedure di selezione e configurazione dell'hardware, l'installazione di Windows Server 2003 e l'installazione di componenti opzionali, quali IIS.
Preparazione di Active Directory per l'infrastruttura PKI Illustra i prerequisiti relativi al dominio e all'insieme di strutture Active Directory in cui verrà distribuita l'infrastruttura PKI, oltre alle fasi preliminari fondamentali. Inoltre, vengono descritte la creazione di utenti e gruppi di protezione per la gestione e l'impostazione delle autorizzazioni necessarie per la delega delle attività di gestione.
Protezione di Windows Server 2003 per Servizi certificati Viene illustrata l'implementazione della protezione a livello di sistema operativo mediante l'applicazione di modelli di protezione. I modelli utilizzati sono desunti dalla Guida per la protezione di Windows Server 2003. Per i dettagli su come ottenere tale guida, consultare la sezione "Ulteriori informazioni" alla fine di questo capitolo.
Altre attività di configurazione di Windows Sono elencate alcune attività comuni per completare l'installazione di base dei server.
Installazione e configurazione della CA principale Descrive i passaggi di preparazione, l'installazione del software e la configurazione di Servizi certificati, oltre alla definizione dei ruoli amministrativi del server. La pubblicazione del certificato della CA principale non in linea e dell'elenco di revoche di certificati (CRL, Certificate Revocation List) in Active Directory e nel server Web rappresenta la fase conclusiva.
Installazione e configurazione della CA di emissione Analoga alla guida relativa alla CA principale, ma include inoltre la procedura per la richiesta di un certificato alla CA principale. La fase di verifica finale garantisce che sia possibile registrare i certificati della CA di emissione.
Configurazione post-creazione Illustra la configurazione dei tipi di certificati predefiniti rilasciati dalla CA di emissione, l'impostazione delle autorizzazioni per un insieme di strutture multidominio e l'esecuzione dei backup delle CA prima dell'introduzione nell'ambiente di produzione.
Configurazione dei client Descrive in che modo attivare la registrazione automatica per tutti gli utenti e i computer del dominio e come configurare i criteri di attendibilità dei certificati principali.
Foglio di lavoro per la pianificazione di Servizi certificati
Nelle tabelle di questa sezione vengono elencati i parametri di configurazione dell'infrastruttura PKI utilizzati in questa soluzione. Devono essere considerati come un elenco di controllo quando si prendono le decisioni relative alla pianificazione.
Alcuni dei parametri contenuti in queste tabelle sono inseriti manualmente, come prevedono le procedure documentate nel capitolo. Altri vengono impostati da uno script eseguito come parte di una procedura oppure viene fatto riferimento al parametro da uno script, per completare un'altra configurazione o un'attività operativa. In tal caso, il nome del relativo script è incluso nella tabella.
Nota: gli script utilizzati in questo capitolo vengono descritti in modo più dettagliato nell'appendice A e nel file ToolsReadme.txt allegato agli script.
Elementi di configurazione definiti dagli utenti
La tabella che segue elenca dei parametri specifici dell'azienda fittizia Woodgrove Bank. Prima di iniziare la procedura di configurazione, occorre accertarsi di aver raccolto o deciso le impostazioni equivalenti per la propria organizzazione di tutti gli elementi indicati nella sottostante tabella. Negli esempi dei comandi citati nell'intero capitolo vengono utilizzati i valori fittizi mostrati in questa tabella. È necessario sostituire tali valori fittizi con i valori adeguati alla propria organizzazione. I valori che è necessario sostituire sono indicati in corsivo.
Tabella 7.1. Elementi di configurazione definiti dagli utenti
Elemento di configurazione | Impostazione | Riferimento script |
---|---|---|
Nome di dominio DNS per la radice di strutture Active Directory | woodgrovebank.com | |
DN (Distinguished Name) nome distinto della directory principale dell'insieme di strutture | DC=woodgrovebank,DC=com | Pkiparams.vbs |
Nome NetBIOS (Network Basic Input/Output System) del dominio | WOODGROVEBANK | |
Nome NetBIOS del gruppo di lavoro della CA principale | WGB-Root | |
Nome server della CA principale | HQ-CA-01 | |
Nome server della CA di emissione | HQ-CA-02 | |
X.500 Nome comune (CN) della CA principale | WoodGrove Bank Root CA | |
X.500 CN della CA di emissione | WoodGrove Bank Issuing CA 1 | |
Nome host completo del server Web utilizzato per pubblicare il certificato della CA e le informazioni di revoca | www.woodgrovebank.com | Pkiparams.vbs |
Elemento di configurazione | Impostazione | Riferimento script |
---|---|---|
Gruppi di protezione del ruolo amministrativo | ||
Amministratori del contenitore della configurazione dei servizi a chiave pubblica. | Amministratori PKI dell'organizzazione | ca_setup.wsf |
Gruppo amministrativo a cui è consentito pubblicare elenchi di revoca certificati (CRL, Certificate Revocation List) e certificati CA nel contenitori della configurazione dell'organizzazione. | Autori PKI dell'organizzazione | ca_setup.wsf |
Gruppo amministrativo che configura e gestisce le CA; controlla inoltre la possibilità di assegnare tutti gli altri ruoli della CA e rinnovare il certificato CA. | Amministratori CA | ca_setup.wsf |
Gruppo amministrativo che approva le richieste di registrazione e revoca dei certificati. Questo è un ruolo di Responsabile della CA. | Responsabili certificazione | ca_setup.wsf |
Gruppo amministrativo che gestisce il controllo CA e i registri di protezione. | Controllori CA | ca_setup.wsf |
Gruppo amministrativo che gestisce i backup CA. | Operatori backup CA | ca_setup.wsf |
Configurazione IIS | ||
Nome della directory virtuale IIS (Internet Information Services) utilizzata per pubblicare le informazioni relative al certificato CA e al CRL. | pki | Pkiparams.vbs |
Percorso fisico nella CA di emissione mappato alla directory virtuale IIS. | C:\CAWWWPub | Pkiparams.vbs |
Parametri comuni della CA | ||
Unità e percorso per archiviare i file di richieste di Servizi certificati. | C:\CAConfig | Pkiparams.vbs |
Unità e percorso per archiviare i registri del database di Servizi certificati. | %windir%\System32\CertLog | |
Configurazione della CA principale | ||
Lunghezza della chiave della CA principale (vedere la nota che segue questa tabella). | 4096 | |
Periodo di validità del certificato della CA principale. | 16 | Pkiparams.vbs |
Unità per il valore precedente. | Anni | Pkiparams.vbs |
Periodo massimo di validità dei certificati rilasciati dalla CA principale. | 8 | Pkiparams.vbs |
Unità del valore precedente. | Anni | Pkiparams.vbs |
Intervallo di pubblicazione dei CRL per la CA principale. | 6 | Pkiparams.vbs |
Unità del valore precedente. | Mesi | Pkiparams.vbs |
Periodo di sovrapposizione dei CRL (tempo che intercorre tra la pubblicazione del nuovo CRL e la scadenza del vecchio CRL). | 10 | Pkiparams.vbs |
Unità del valore precedente. | Giorni | Pkiparams.vbs |
Periodo di pubblicazione di Delta CRL relativi alla CA principale - 0 = disattivazione dei Delta - CRL. | 0 | Pkiparams.vbs |
Unità del valore precedente. | Ore | |
Parametri della CA di emissione | ||
Unità e percorso per archiviare il database di Servizi certificati. | D:\CertLog | |
Lunghezza della chiave della CA di emissione. | 2048 | |
Periodo di validità del certificato della CA di emissione. | 8 | Pkiparams.vbs |
Unità del valore precedente. | Anni | Pkiparams.vbs |
Periodo massimo di validità dei certificati rilasciati dalla CA di emissione. | 4 | Pkiparams.vbs |
Unità del valore precedente. | Anni | Pkiparams.vbs |
Intervallo di pubblicazione dei CRL per la CA di emissione. | 7 | Pkiparams.vbs |
Unità del valore precedente. | Giorni | Pkiparams.vbs |
Periodo di sovrapposizione dei CRL (tempo che intercorre tra la pubblicazione del nuovo CRL e la scadenza del vecchio CRL). | 4 | Pkiparams.vbs |
Unità del valore precedente. | Giorni | Pkiparams.vbs |
Periodo di pubblicazione di Delta CRL per la CA di emissione - 0 = disattivazione dei Delta - CRL. | 1 | Pkiparams.vbs |
Unità del valore precedente. | Giorni | Pkiparams.vbs |
Periodo di sovrapposizione di Delta CRL (tempo che intercorre tra la pubblicazione del nuovo Delta CRL e la scadenza del vecchio Delta CRL). | 1 | Pkiparams.vbs |
Unità del valore precedente. | Giorni | Pkiparams.vbs |
Varie | ||
Percorso degli script di installazione. | C:\MSSScripts |
Importante: la configurazione di una chiave della lunghezza di 4.096 bit potrebbe causare problemi di compatibilità se i certificati devono essere rilasciati a o utilizzati da alcune periferiche (ad esempio alcuni tipi di router) o versioni precedenti di software di altri fornitori, non in grado di elaborare chiavi di dimensioni superiori a un determinato valore. È necessario testare le applicazioni utilizzando certificati con una chiave del certificato della CA principale di queste dimensioni prima dell'implementazione della PKI. Se la lunghezza della chiave costituisce un problema, ridurre la dimensione della chiave della CA principale a 2048 bit. Questo dato deve essere specificato nel file CAPolicy.inf al momento dell'installazione della CA principale. Vedere la sezione "Installazione e configurazione della CA principale".
Creazione dei propri server
In questa sezione vengono descritte le attività di base per la preparazione dell'hardware del server e l'installazione del sistema operativo. Sono necessari due server: uno per la CA principale e l'altro per la CA di emissione.
Importante: prima di iniziare la creazione delle CA, è necessario leggere la sezione "Gestione della protezione delle CA" nel capitolo 4, "Progettazione dell'infrastruttura a chiave pubblica (PKI)", poiché la creazione delle CA potrebbe influire sull'ambiente di protezione usato per creare i server.
Selezione e configurazione dell'hardware dei server
Nelle sezioni seguenti vengono descritte le specifiche di base dei server per entrambi i ruoli CA. Il capitolo 4, "Progettazione dell’infrastruttura a chiave pubblica (PKI)", esamina più dettagliatamente alcuni criteri fondamentali per la selezione dell'hardware.
Hardware per il server della CA principale
La seguente tabella mostra le specifiche hardware consigliate per la CA principale, basate sulle raccomandazioni generali relative all'hardware necessario per Windows Server 2003. Tuttavia, potrebbe non essere necessario acquistare nuovo hardware se quello esistente è conforme ai criteri indicati nel capitolo 4 alla pianificazione ma non viene utilizzato per motivi relativi alle prestazioni.
Tabella 7.3. Specifiche hardware consigliate per il server CA principale
Elemento | Requisito |
---|---|
CPU | CPU singola a 733 MHz o superiore |
Memoria | 256 MB |
Interfacce di rete | Nessuna (o disattivate) |
Archiviazione disco | Controller RAID (Redundant Array of Independent Disks) IDE (Integrated Device Electronics) o SCSI (Small Computer System Interface) 2 x 18 GB (SCSI) o 2 x 20 GB (IDE) configurato come volume RAID 1 (unità C) Archiviazione su supporti rimovibili locali (CD-RW o nastro di backup) Unità disco floppy da 1,44 MB per il trasferimento dei dati |
Hardware per il server della CA di emissione
Nonostante per le CA di emissione si debbano rispettare determinati requisiti di prestazioni, questi sono alquanto ridotti visto che le attività di tali CA sono decisamente limitate rispetto a molti altri tipi di server. Restano validi anche in questo caso i criteri di qualità e affidabilità per la selezione dell'hardware raccomandati per il server della CA principale. Esistono alcune differenze secondarie rispetto alle specifiche della CA principale relativamente alla connettività di rete e all'archiviazione, come mostrato nella seguente tabella:
Tabella 7.4. Specifiche hardware consigliate per il server CA di emissione
Elemento | Requisito |
---|---|
CPU | CPU singola a 733 MHz o superiore |
Memoria | 256 MB |
Interfacce di rete | 2 x singole schede di interfaccia di rete (NIC, network interface card) unite per una maggiore adattabilità |
Archiviazione disco | Controller RAID IDE o SCSI 2 x 18 GB (SCSI) o 2 x 20-GB (IDE) configurato come volumi RAID 1 (unità C e D) Archiviazione su supporti rimovibili locali (CD-RW o nastro di backup), in assenza di una funzionalità di backup di rete Unità disco floppy da 1,44 MB per il trasferimento dei dati |
Importante: le specifiche relative al server indicate in questa tabella sono adatte ad un numero di utenti pari a circa 5.000. Se l'utenza è maggiore, occorre almeno raddoppiare la capacità del disco relativa alla seconda unità (in modo da rendere disponibile circa 2 GB per 1000 utenti) e raddoppiare anche le dimensioni della memoria installata. Per linee guida sull'uso del disco, vedere la sezione "Definizione dei requisiti di archiviazione e backup per un'autorità di certificazione emittente" nel capitolo 11, "Gestione dell'infrastruttura a chiave pubblica".
Preparazione dell'hardware
Completare tutte le configurazioni hardware in base alle indicazioni del fornitore hardware. Tali indicazioni potrebbero riguardare anche l'applicazione degli aggiornamenti più recenti del BIOS e dei firmware.
Utilizzare il software di gestione del controller disco fornito con l'hardware per creare i volumi RAID 1 come illustrato nella tabella precedente (un volume per la CA principale, due per la CA di emissione).
Preparazione del server della CA principale
In questa sezione viene descritta l'installazione di Windows nel server che verrà utilizzato per la CA principale.
Installazione di Windows Server 2003 Standard Edition
Molte organizzazioni dispongono già di un processo automatico di installazione server. Se i parametri utilizzati in questa sezione possono essere inclusi nel processo automatico di creazione, è possibile avvalersene per i processi di generazione dei server,
tranne nel caso in cui il processo di generazione sia basato su una connessione di rete. In tal caso, è senz'altro consigliabile eseguire una generazione manuale, almeno per la CA principale. Gran parte della protezione di una CA non in linea dipende dal fatto che non è e non è mai stata connessa a una rete. Ciò riduce drasticamente le possibilità di attacco esterno, in quanto l'eventuale intruso dovrebbe accedere fisicamente al server.
Per installare Windows Server 2003
Avviare il sistema inserendo il CD di Windows Server 2003 Standard Edition nell'unità CD-ROM. Assicurarsi che l'unità CD-ROM sia stata impostata come unità avviabile nelle impostazioni BIOS del server.
Creare una partizione nel volume primario, formattarla come NTFS e selezionare l'opzione per installare Windows in tale partizione.
Selezionare le impostazioni internazionali appropriate.
Digitare il nome e le informazioni relative all'azienda per la quale verrà registrato Windows.
Digitare una password sicura per l'account dell'amministratore locale (almeno 10 caratteri misti: maiuscole, minuscole, lettere, numeri e punteggiatura).
Digitare il nome del computer quando richiesto, per esempio HQ-CA-01 (sostituire questo valore con il nome che si è scelto).
Importante: anche se la CA principale non è in linea, è necessario assegnarle un nome univoco rispetto ai nomi già attribuiti nell'organizzazione.
Quando viene richiesto, aggiungere il computer a un gruppo di lavoro. Digitare il nome del gruppo di lavoro, per esempio WGB-Root (sostituire questo valore con il nome che si è scelto).
Non installare alcun componente facoltativo quando viene richiesto.
Al termine del processo di installazione principale il server verrà riavviato. Continuare con i passaggi seguenti.
Installare i Service Pack di Windows correnti (al momento della stesura di questo documento, Windows Server 2003 era stato appena rilasciato, quindi non era disponibile alcun Service Pack) e tutti gli aggiornamenti per la protezione consigliati (utilizzare uno strumento quale Microsoft Baseline Security Analyzer per individuare gli aggiornamenti consigliati). È necessario, inoltre, installare qualsiasi altro aggiornamento rilevante dal punto di vista funzionale (non relativo alla protezione) o gli aggiornamenti rilevati come necessari in base ai controlli eseguiti.
Attivare questa copia di Windows. L'attivazione deve essere eseguita in modalità non in linea, in modo da evitare qualsiasi connessione di rete da parte del server.
Impostazioni di rete
La CA principale non è connessa alla rete. Per evitare che la CA principale sia accessibile attraverso la rete in caso di erronea connessione, occorre disattivare qualsiasi interfaccia di rete del sistema selezionando Connessioni di rete dal Pannello di controllo.
Verifica dell'installazione
È necessario verificare che l'installazione del sistema operativo sia stata completata correttamente e che i parametri configurati corrispondano ai risultati previsti.
Per visualizzare la configurazione corrente del sistema
Al prompt dei comandi, eseguire il programma systeminfo.
Verificare i seguenti elementi dell'output di systeminfo; alcuni dettagli dell'output sono stati omessi per maggiore concisione, inserendo al loro posto "... " (puntini sospensivi):
Nome host: HQ-CA-01
Nome SO: Microsoft® Windows® Server 2003, Standard Edition
...
Configurazione SO: server autonomo
Proprietario registrato: il_proprio_nome
Organizzazione registrata: la_propria_organizzazione
...
Directory Windows: C:\WINDOWS
Directory di sistema: C:\WINDOWS\System32
Unità di avvio: \Device\HarddiskVolume1
Impostazioni internazionali sistema: le_proprie_impostazioni
Impostazione internazionale di input: la_propria_impostazione
Fuso orario: il_proprio_fuso_orario
...
Dominio: WGB-Root
Server di accesso: \\HQ-CA-01
Aggiornamenti rapidi: X Aggiornamenti rapidi installati.
[01]: Qxxxxxx
...
[nn]: Qnnnnnn
Schede di rete: N/D
Se queste impostazioni non corrispondono a quelle previste, è necessario riconfigurare il server attraverso il Pannello di controllo oppure riavviare l'installazione.
Preparazione del server della CA di emissione
In questa sezione viene descritta l'installazione di Windows nel server che verrà utilizzato per la CA di emissione.
Installazione di Windows Server 2003 Enterprise Edition
Attenersi alle procedure per la creazione del server della CA principale, tenendo conto delle eccezioni elencate di seguito.
A differenza del processo seguito per la CA principale, per creare il server della CA di emissione, è possibile, all'occorrenza, avvalersi di un metodo di generazione basato sulla rete. Occorre, tuttavia, adottare opportune misure precauzionali per assicurarsi che la protezione della CA non sia esposta a eventuali minacce. Per esempio, si dovrebbe eseguire l'installazione su una rete isolata con un percorso non instradabile verso Internet o verso la rete principale della propria organizzazione. È necessario ricordare che, se non si è ancora provveduto a installare gli aggiornamenti di protezione più recenti, il sistema potrebbe essere vulnerabile ai rischi a cui è normalmente esposta una rete senza sufficiente protezione.
Per installare Windows Server 2003 Enterprise Edition
Per installare il sistema operativo Windows sul server della CA principale, seguire le procedure 1-5, utilizzando tuttavia la Enterprise Edition di Windows Server 2003 invece della Standard Edition.
Digitare il nome del computer quando richiesto, per esempio HQ-CA-02* *(sostituire questo valore con il nome che si è scelto).
Quando richiesto, scegliere l’opzione di unirsi a un dominio. Immettere il nome del dominio Active Directory a cui verranno aggiunti i server, per esempio WOODGROVEBANK (sostituire questo valore con il nome del dominio in cui si installa la CA). Quando richiesto, immettere le credenziali di un utente autorizzato ad aggiungere computer a questo dominio.
Nota: in presenza di un insieme di strutture con più domini, i server dei certificati vengono installati di solito nel dominio principale della struttura; sebbene non sia essenziale, questa soluzione si basa su tale configurazione.
Non installare componenti facoltativi.
Al termine del processo di installazione principale il server verrà riavviato. Continuare con i passaggi seguenti.
Installare i Service Pack correnti e gli aggiornamenti rapidi richiesti, come per la CA principale.
Creare una partizione sul secondo volume del disco rigido, assegnare all'unità di questa partizione la lettera D e formattarla con NTFS.
Creare una cartella sull'unità D denominata D:\CertLog.
Attivare questa copia di Windows. È necessario eseguire questa operazione in modalità non in linea, per non esporre il server in alcun modo a Internet.
Impostazioni di rete
La CA di emissione dispone di una singola interfaccia di rete, sebbene sia possibile accoppiare due schede di interfaccia di rete fisiche per una maggiore capacità di recupero. L'interfaccia di rete deve essere configurata con un indirizzo IP (Internet Protocol) fisso e altri parametri di configurazione IP (gateway predefinito, impostazioni DNS e così via) adeguati alla propria rete.
Per motivi di sicurezza, è necessario inoltre bloccare qualsiasi connettività in ingresso o in uscita tra la CA di emissione e Internet. Persino permettendo l'accesso solo in uscita, si è esposti all'attacco da parte di virus o altri software dannosi. Per esempio, potrebbero essere scaricati codici aggiuntivi da Internet o sottratti e trasportati all'esterno dell'organizzazione materiali riservati importanti relativi alla CA.
Verifica dell'installazione
È necessario verificare che l'installazione del sistema operativo sia stata completata correttamente e che i parametri configurati corrispondano ai risultati previsti.
Per visualizzare la configurazione corrente del sistema
Al prompt dei comandi, eseguire il programma systeminfo.
Verificare i seguenti elementi dell'output di systeminfo (alcuni dettagli dell'output sono stati omessi per maggiore concisione):
Nome host: HQ-CA-02
Nome SO: Microsoft® Windows® Server 2003, Enterprise Edition
...
Configurazione SO: server membro
Proprietario registrato: il_proprio_nome
Organizzazione registrata: la_propria_organizzazione
...
Directory Windows: C:\WINDOWS
Directory di sistema: C:\WINDOWS\System32
Unità di avvio: \Device\HarddiskVolume1
Impostazioni internazionali sistema: le_proprie_impostazioni
Impostazione internazionale di input: la_propria_impostazione
Fuso orario: il_proprio_fuso_orario
...
Dominio: woodgrovebank.com
Server di accesso: \\Nome_del_controller_di_dominio
Aggiornamenti rapidi: X Aggiornamenti rapidi installati.
[01]: Qxxxxxx
...
[nn]: Qnnnnnn
Schede di rete: NIC installate.
[01]: Modello_e_fornitore_della_scheda_di_rete
Nome connessione: Connessione alla rete locale
DHCP abilitato: No
Indirizzi IP
[01]: 10.1.1.11
Se queste impostazioni non corrispondono a quelle previste, è necessario riconfigurare il server attraverso il Pannello di controllo oppure eseguire nuovamente l'installazione.
Installazione degli script di configurazione nei server
Assieme a questa soluzione vengono forniti script di supporto e file di configurazione per semplificare alcuni aspetti della configurazione e del funzionamento di questa soluzione. È necessario installarli in ciascun server CA. Alcuni di questi script serviranno per eseguire le operazioni descritte nei capitoli della Guida operativa, pertanto non devono essere eliminati al termine dell'installazione della CA.
Per installare gli script di installazione in ciascun server
Creare una cartella denominata C:\MSSScripts.
In questa cartella, copiare gli script dal supporto di distribuzione.
Installazione e configurazione di Internet Information Services
Questa sezione illustra le procedure di installazione e configurazione di Internet Information Services (IIS) nella CA di emissione. IIS serve per fornire il certificato della CA e i punti di download dei CRL per i client non basati su Windows. Si consiglia di non installare IIS nella CA principale. Sebbene sia possibile installare IIS nella CA di emissione, per motivi di sicurezza è preferibile che i punti di download Web per il certificato CA e i CRL risiedano in un server diverso dalla CA stessa. Potrebbero esserci numerosi utenti dei certificati (interni ed esterni) che hanno bisogno di recuperare i CRL o i certificati CA a catena, ma ai quali non deve essere necessariamente consentito l'accesso alla CA. Se, tuttavia, i punti di download sono ospitati dalla stessa CA, non è possibile applicare questa restrizione.
Importante: per semplificare la soluzione fornita, il server della CA di emissione viene utilizzato per ospitare il server Web, il certificato CA e i punti di download dei CRL. Tuttavia, per migliorare la protezione delle CA, è consigliabile utilizzare un server Web distinto nell'ambiente in cui si opera. Le procedure qui descritte servono per l'installazione e la configurazione di IIS nella CA di emissione o in un server distinto.
IIS può ospitare inoltre le pagine per la registrazione Web dei Servizi certificati, anche se in questa soluzione non ne è richiesto il ricorso. Se si installano le pagine per la registrazione Web in un server diverso da quello della CA, è necessario contrassegnarlo come attendibile per la delega impostando questa proprietà nell'oggetto computer del server di Active Directory.
Installazione di Internet Information Services nella CA di emissione
IIS viene installato con Gestione componenti facoltativi di Windows (accessibile dal Pannello di controllo, Installazione componenti di Windows). Nella tabella che segue sono elencati i componenti da installare. I rientri dei paragrafi riflettono la relazione tra i componenti così come sono visualizzati nella Gestione guidata dei componenti facoltativi (ad esempio, Enable network COM+ access è un sottocomponente di Server applicazioni). I componenti che non vengono selezionati non sono inclusi nella tabella.
Tabella 7.5. Componenti facoltativi da installare
Componente | Stato di installazione |
---|---|
Server applicazioni | Selezionata |
Enable network COM+ access | Selezionata |
Internet Information Services (IIS) | Selezionata |
File comuni | Selezionata |
Gestione di Internet Information Services | Selezionata |
Servizio Web | Selezionata |
Utente/Gruppo | Autorizzazione | Consenti/Nega |
---|---|---|
Amministratori | Controllo completo | Consenti |
System | Controllo completo | Consenti |
Creator Owners | Controllo completo (solo sottocartelle e file) | Consenti |
Users | Lettura Visualizzazione contenuto cartella | Consenti |
IIS_WPG | Lettura Visualizzazione contenuto cartella | Consenti |
Account Internet Guest | Scrittura | Nega |
Controllo dei Service Pack e degli aggiornamenti di protezione
A questo punto, è necessario controllare nuovamente i Service Pack e l'elenco degli aggiornamenti installati, in quanto potrebbero essere stati installati componenti aggiuntivi, quali IIS. Utilizzare uno strumento come Microsoft Baseline Security Analyzer (MBSA) per eseguire il controllo, ottenere gli aggiornamenti necessari e, dopo un'adeguata verifica, installarli nei server.
Per istruzioni sull'uso di MBSA, vedere il collegamento indicato nella sezione "Ulteriori informazioni" alla fine di questo capitolo.
Nota: per poter eseguire MBSA in modalità non in linea, è necessario scaricare separatamente l'elenco corrente degli aggiornamenti della protezione forniti da Microsoft, mssecure.xml. La descrizione è disponibile nella documentazione MBSA, consultabile attraverso il collegamento MBSA.
Installazione di software aggiuntivo
In questa sezione viene descritta l'installazione di applicazioni software aggiuntive necessarie per le CA.
CAPICOM
Per alcuni script di configurazione e di gestione forniti assieme alla soluzione, è necessario disporre di CAPICOM 2.0 (la versione attuale è 2.0.0.3) nella CA principale e nella CA di emissione. Le informazioni su dove trovare la versione più recente di CAPICOM si trovano nella sezione "Ulteriori informazioni" al termine di questo capitolo.
Seguire le istruzioni del file eseguibile autoestraente per installare e registrare la DLL (Dynamic-Link Library) di CAPICOM.
Strumenti di supporto di Windows Server 2003
Sebbene non sia essenziale, è utile installare gli strumenti di supporto di Windows 2000 nel server della CA di emissione. Alcuni di questi strumenti sono utili per determinate operazioni della CA, mentre altri possono agevolare la risoluzione dei problemi. È possibile installare gli strumenti di supporto dal CD di installazione di Windows (Suptools.msi in Support\Tools).
Preparazione di Active Directory per l'infrastruttura PKI
Questa sezione illustra come preparare Active Directory per l'installazione di Servizi certificati Windows Server 2003.
Preparazione dello schema Active Directory
Per questa soluzione, sono previsti alcuni requisiti minimi nell'infrastruttura del dominio di Active Directory. Tali requisiti variano a seconda se la soluzione viene installata in un ambiente Active Directory di Windows 2000 o in un ambiente che sia stato aggiornato a (o installato inizialmente come) Active Directory di Windows Server 2003.
Requisiti per tutte le versioni di Active Directory
La soluzione richiede un livello funzionale minimo di dominio nella modalità nativa di Windows 2000, almeno per il dominio in cui sono installati i server dell'autorità di certificazione. Tale requisito è necessario perché la soluzione si avvale dei gruppi universali Active Directory, disponibili appunto nella modalità nativa di Windows 2000. Se il dominio non soddisfa questo requisito, occorre apportarvi modifiche in base alle istruzioni contenute nella documentazione del prodotto (vedere la sezione "Ulteriori informazioni" alla fine di questo capitolo).
Nota: il livello funzionale di dominio predefinito di Active Directory corrisponde sempre alla modalità mista, anche nel caso in cui l'installazione sia stata eseguita utilizzando solo i controller di dominio Active Directory di Windows 2003. È necessario aumentare il livello prima di continuare. Se non è possibile aumentare il livello di dominio dalla modalità mista perché non sono supportati i controller di dominio della versione 4.0 di Microsoft Windows NT®, sarà necessario creare manualmente gruppi globali di dominio in sostituzione dei gruppi universali.
La soluzione presuppone un insieme di strutture di Active Directory con il livello di funzionalità dell'insieme di strutture predefinito di Windows 2000 (o superiore). Non è necessario modificare tale impostazione. Per ulteriori informazioni su tali argomenti, vedere il riferimento alla fine del presente capitolo.
Installazione in un dominio di Windows 2000
Importante: sebbene Microsoft supporti l'installazione e l'uso di Servizi certificati Windows Server 2003 in un dominio in cui sono utilizzati controller di dominio Windows, la soluzione non è stata sufficiente testata in questa combinazione.
Se la soluzione è stata installata in un insieme di strutture Active Directory di Windows 2000, al fine di garantirne il funzionamento è necessario aggiornare lo schema della directory per l'installazione di Servizi certificati di Windows 2003. È inoltre necessario accertarsi che tutti i controller di dominio Windows 2000 dispongano di Service Pack 3 (o versione successiva). Il service pack è necessario per il corretto funzionamento dello strumento di aggiornamento dello schema e per consentire ai controller di dominio di supportare la firma LDAP (Lightweight Directory Access Protocol). La firma LDAP è un ulteriore perfezionamento della protezione richiesta dalle CA di Windows Server 2003 e dai client Windows XP che utilizzano la registrazione automatica dei certificati.
Numerose funzioni di Servizi certificati di Windows 2003 (quali la registrazione automatica dell'utente e i modelli modificabili) richiedono una versione Windows Server 2003 dello schema Active Directory. Tuttavia, tale requisito non implica che alcuni o tutti i controller di dominio debbano eseguire Windows Server 2003, ma che Servizi certificati di Windows Server 2003 richieda estensioni di schema particolari che non sono presenti nello schema Active Directory di Windows 2000. È possibile aggiornare lo schema della directory tramite lo strumento ADPrep.exe (incluso nella cartella i386 del supporto di distribuzione di Windows Server 2003).
Per utilizzare Adprep, è necessario applicare il Service Pack 3 ai controller di dominio di Windows 2000 (Adprep funzionerà con il Service Pack 1, più alcuni aggiornamenti successivi, ma poiché il SP3 è richiesto comunque, questa informazione non è rilevante). Non tentare di utilizzare questo strumento senza verificare prima che tutti i controller di dominio si trovino al livello patch corretto.
Attenzione: usando tale strumento, si modifica in modo irreversibile lo schema della directory. Sebbene tale procedura sia sicura, tuttavia, prima di iniziare, si consiglia di leggere attentamente la documentazione correlata.
Nel controller di dominio principale dello schema dell'insieme di strutture, è necessario eseguire il comando seguente:
ADPrep /ForestPrep
Per eseguire questa operazione, è necessario essere un membro del gruppo Amministratori schema oppure richiedere di eseguirla a un amministratore in possesso delle autorizzazioni appropriate.
Per ulteriori informazioni sullo strumento ADPrep, consultare la relativa sezione alla fine di questo capitolo.
Verifica della disponibilità di Active Directory
Per verificare il livello funzionale del dominio e la versione dello schema, attenersi alla seguente procedura.
Per verificare il livello funzionale del dominio
Aprire Utenti e computer di Active Directory.
Visualizzare le proprietà dell'oggetto Dominio.
Nella scheda Generale, viene visualizzato uno dei seguenti livelli funzionali del dominio:
Windows 2000 nativo
Windows Server 2003
Per verificare la versione dello schema corretta
Da un prompt dei comandi, digitare il seguente comando (assicurarsi di sostituire il DN del dominio principale dell'insieme di strutture):
dsquery * "cn=schema,cn=configuration, DC=woodgrovebank,DC=com" -scope base -attr objectversion
(il comando si trova su due righe per esigenze di visualizzazione, ma deve essere digitato su una sola riga).
Nota: è necessario eseguire il comando da un server Windows 2003. Dsquery.exe non è disponibile per impostazione predefinita in Windows XP o Windows 2000.
Deve essere visualizzata la versione dello schema di 30 (o superiore), come illustrato di seguito:
objectversion
30
Gruppi e utenti di Active Directory
In questa sezione viene illustrata la creazione di gruppi di protezione e di account utenti di Active Directory utilizzati dalle CA.
Creazione dei gruppi di amministrazione dell'infrastruttura PKI e delle CA
I ruoli e le funzionalità amministrative vengono definiti tramite account utenti di dominio e gruppi di protezione.
Nota: in questa soluzione vengono definiti più gruppi di protezione che corrispondono a ruoli amministrativi distinti. Ciò conferisce un ampio controllo sulle modalità di delega delle responsabilità all'amministrazione delle CA. Tuttavia, non è necessario utilizzare tutti o uno qualsiasi di questi ruoli, se essi non corrispondono al modello di amministrazione desiderato. In casi estremi, se esiste un unico amministratore dell'infrastruttura PKI che si occupa di tutti gli aspetti del servizio, è possibile aggiungere questo account a tutti i gruppi di ruoli della CA. Nella pratica, la maggior parte delle organizzazioni adotta di solito una certa separazione dei ruoli, ma solo poche utilizzano tutte le funzionalità di separazione dei ruoli offerte da Servizi certificati.
Per creare gruppi amministrativi della CA nel dominio
Accedere a un computer membro del dominio con un account che dispone di autorizzazioni sufficienti per creare oggetti utente e gruppo nel contenitore Utenti.
Per creare i gruppi di gestione CA del dominio, eseguire il comando seguente:
Cscript //job:CertDomainGroups C:\MSSScripts\ca_setup.wsf
Questo script crea i gruppi di protezione elencati nella seguente tabella. I gruppi sono creati come gruppi universali nel contenitore Utenti del dominio e devono quindi essere spostati ad una unità organizzativa (UO) più appropriata (in una sezione successiva è illustrata una struttura di UO idonea).
Attenzione: lo script crea gruppi di protezione a cui verrà assegnato molto potere all'interno dell'insieme di strutture di Active Directory. Nell'attribuzione della qualità di membro di tali gruppi, occorre pertanto prestare molta attenzione. Nello specifico:
Amministratori PKI dell'organizzazione Si tratta di un gruppo estremamente potente che esercita il completo controllo dell'infrastruttura PKI nell'intero insieme di strutture di Active Directory, oltre ad avere la capacità di installare e sostituire CA principali e dell'organizzazione, modificare trust principali e installare certificati incrociati. Si raccomanda di usare la stessa cautela necessaria per il gruppo Amministratori organizzazione.
Autori PKI dell'organizzazione Sebbene sembri trattarsi di un gruppo innocuo, anch'esso è dotato di potenti funzionalità, tra cui quella di installazione ed eliminazione di CA principali attendibili e certificati incrociati per l'intero insieme di strutture. Anche se non altrettanto potente quanto il gruppo Amministratori organizzazione, con tale gruppo è comunque necessario mantenere un approccio prudente.
Tabella 7.7. Nomi e scopi dei gruppi
Nome gruppo | Scopo |
---|---|
Amministratori PKI dell'organizzazione | Amministratori del contenitore della configurazione dei servizi a chiave pubblica. |
Autori PKI dell'organizzazione | Autorizzato a pubblicare CRL e certificati CA nel contenitore della configurazione dell’organizzazione di grandi dimensioni |
Amministratori CA | Dispone di privilegi amministrativi completi sulla CA, inclusa la determinazione dell'appartenenza di altri ruoli |
Responsabili certificazione | Gestisce il rilascio e la revoca dei certificati |
Controllori CA | Gestisce i dati di controllo per la CA |
Operatori backup CA | Dispone delle autorizzazioni a eseguire il backup e il ripristino delle chiavi e dei dati della CA |
Account utente | Scopo dell'account |
---|---|
AmminPKIorg | Amministratore del contenitore della configurazione dei servizi a chiave pubblica |
AutPKIorg | Autorizzato a pubblicare CRL e certificati CA nel contenitore della configurazione dell’organizzazione di grandi dimensioni |
AmminCA | Dispone di privilegi amministrativi completi sulla CA, inclusa la determinazione dell'appartenenza di altri ruoli |
ResponsCert | Gestisce il rilascio e la revoca dei certificati |
ControlloreCA | Gestisce i dati di controllo per la CA |
BackupCA | Dispone delle autorizzazioni a eseguire il backup e il ripristino delle chiavi e dei dati della CA |
Account utente con ruolo amministrativo semplificato | Appartenenza di gruppo dell'account utente |
---|---|
AmminCA | Amministratori PKI dell'organizzazione Amministratori CA Responsabili certificazione Amministratori (amministratori locali della CA) |
ControlloreCA | Controllori CA Amministratori (amministratori locali della CA) |
BackupCA | Operatori backup CA |
Unità operativa | Scopo |
---|---|
Servizi certificati | Unità organizzativa padre. |
\—Amministrazione Servizi certificati | Contiene gruppi amministrativi per la gestione della configurazione della CA e dell’infrastruttura PKI di un'organizzazione di grandi dimensioni. |
\—Gestione modelli certificati | Contiene i gruppi per la gestione di singoli modelli di certificato. |
\—Registrazione modello di certificato | Contiene i gruppi ai quali è stata concessa l’autorizzazione di Registrazione o Registrazione automatica sui modelli con lo stesso nome. Il controllo di questi gruppi può essere delegato quindi al personale addetto per consentire un regime di registrazione flessibile senza modificare i modelli stessi. |
\—Utenti test di Servizi certificati | Contiene account test temporanei. |
Nome gruppo | Scopo |
---|---|
Amministratori CA | Dispone di privilegi amministrativi completi sulla CA, inclusa la determinazione dell'appartenenza di altri ruoli. |
Responsabili certificazione | Gestisce il rilascio e la revoca dei certificati. |
Controllori CA | Gestisce i dati di controllo per la CA. |
Operatori backup CA | Dispone delle autorizzazioni a eseguire il backup e il ripristino delle chiavi e dei dati della CA. |
Nome account | Scopo |
---|---|
AmminCA | Dispone di privilegi amministrativi completi sulla CA, inclusa la determinazione dell'appartenenza di altri ruoli. |
ResponsCert | Gestisce il rilascio e la revoca dei certificati. |
ControlloreCA | Gestisce i dati di controllo per la CA. |
BackupCA | Dispone delle autorizzazioni a eseguire il backup e il ripristino delle chiavi e dei dati della CA. |
Nome account | Appartenenza al gruppo |
---|---|
AmminCA | Amministratori CA |
ResponsCert | Responsabili certificazione |
ControlloreCA | –Controllori CA –Amministratori |
BackupCA | Operatori backup CA |
Ruolo amministrativo semplificato | Appartenenza al gruppo |
---|---|
AmminCA | Amministratori CA Responsabili certificazione Amministratori |
Controllore CA | Controllori CA Amministratori |
BackupCA | Operatori backup CA |
UO | GPO | Modello di protezione |
---|---|---|
Server membri | Enterprise Client - Criteri di base dei server membro | Enterprise Client - Member Server Baseline.inf |
CA | Enterprise Client - Servizi certificati | Enterprise Client - Certificate Services.inf |
CA | (Facoltativo, vedere nota precedente) Enterprise Client - Criteri account per Servizi certificati | Enterprise Client - Domain.inf |
CA | Facoltativo (se IIS è installato nel computer CA) Enterprise Client - Servizi certificati IIS | Enterprise Client - IIS Server.inf |
Utente/Gruppo | Autorizzazione | Consenti/Nega |
---|---|---|
Amministratori | Controllo completo | Consenti |
System | Controllo completo | Consenti |
Operatori backup | Controllo completo | Consenti |
CREATOR OWNER | Controllo completo | Consenti |
Autorizzazione | Riuscito | Failed |
---|---|---|
Controllo completo | Sì | |
Visita cartelle/Esecuzione file | Sì | |
Visualizza contenuto cartelle/Lettura dati | Sì | |
Lettura attributi | Sì | |
Lettura attributi estesi | Sì | |
Creazione file/Scrittura dati | Sì | Sì |
Creazione cartelle/Aggiunta dati | Sì | Sì |
Scrittura attributi | Sì | Sì |
Scrittura attributi estesi | Sì | Sì |
Eliminazione sottocartelle e file | Sì | Sì |
Eliminazione | Sì | Sì |
Autorizzazioni di lettura | Sì | |
Cambia autorizzazioni | Sì | Sì |
Diventa proprietario | Sì | Sì |
Percorso impostazioni | Criteri | Impostazione |
---|---|---|
Nega la disconnessione di un amministratore connesso alla sessione della console | Attivato | |
Non consentire agli amministratori locali di personalizzare le autorizzazioni | Attivato | |
Imposta le regole per il controllo remoto delle sessioni utente di Servizi terminal | Nessun controllo remoto consentito | |
Reindirizzamento dati client/server | Consenti reindirizzamento fuso orario | Disabilitata |
Non consentire il reindirizzamento degli Appunti | Attivato | |
Consenti il reindirizzamento audio | Disabilitata | |
Non consentire il reindirizzamento della porta COM | Attivato | |
Non consentire il reindirizzamento della stampante client | Attivato | |
Non consentire il reindirizzamento della porta LPT | Attivato | |
Non consentire il reindirizzamento delle unità | Attivato | |
Non impostare stampante predefinita del client come stampante predefinita per una sessione | Attivato | |
Crittografia e protezione | Richiedi sempre password del client alla connessione | Attivato |
Imposta livello di crittografia connessione client | Alto | |
Crittografia e protezione\Protezione RPC | Server protetto (Richiedi protezione) | Attivato |
Sessioni | Imposta limite di tempo per le sessioni disconnesse | 10 minuti |
Consenti la riconnessione solo dal client originale | Attivato |
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=16
[CRLDistributionPoint]
Empty=true
[AuthorityInformationAccess]
Empty=true
```
Attenzione: l'utilizzo di una chiave della lunghezza di 4.096 bit potrebbe causare problemi di compatibilità. Alcuni dispositivi (per esempio, alcuni router) e alcuni software precedenti di altri fornitori non sono in grado di elaborare chiavi superiori a una data dimensione.
Se è stata definita una CPS per la CA, includere quanto segue nel file Capolicy.inf (è necessario sostituire tutte le voci in corsivo con i valori della propria organizzazione):
[CAPolicy] Policies=WoodGrove Bank Root CA CPS [WoodGrove Bank Root CA CPS] OID=your.Orgs.OID URL = "http://www.woodgrovebank.com/YourCPSPage.htm"
Salvare il file come %windir%\Capolicy.inf (o sostituire %windir% con il percorso assoluto della cartella in cui Windows è installato, ad esempio C:\Windows). È necessario essere un amministratore locale o disporre delle autorizzazioni di scrittura nella cartella di Windows per completare questo passaggio.
Installazione dei componenti software di Servizi certificati
Usare Aggiunta guidata componenti di Windows per installare i componenti software della CA. Per completare l'installazione è necessario disporre del CD o del percorso di rete dell'installazione di Windows Server 2003.
Per installare Servizi certificati
Accedere come membro del gruppo Amministratori locale ed eseguire Gestione componenti facoltativi (oppure selezionare Installazione applicazioni/Componenti di Windows dal Pannello di controllo):
sysocmgr /i:sysoc.inf.
Selezionare il componente Servizi certificati (fare clic su Sì per eliminare il messaggio di avviso relativo alla ridenominazione).
Selezionare il tipo di CA come CA autonoma (standalone) principale, assicurando di aver selezionato la casella di controllo Utilizzare impostazione personalizzate.
Nella finestra di dialogo Coppia di chiavi pubblica e privata, lasciare le impostazioni predefinite, eccetto la lunghezza della chiave che deve essere impostata su 4096. Il Tipo CSP deve essere Microsoft Strong Cryptographic Provider.
Immettere le informazioni di identificazione dell'autorità di certificazione nel modo seguente:
Nome comune CA: WoodGrove Bank Root CA
Suffisso del nome distinto: DC=woodgrovebank,DC=com
DC=woodgrovebank,DC=com (il nome principale dell'insieme di strutture Active Directory dell'organizzazione)Periodo di validità: 8 anni
Nota: se una CA è stata installata precedentemente nel computer, viene visualizzato un messaggio di avviso in cui si richiede di confermare se sovrascrivere la chiave privata dell'installazione precedente. Verificare se la chiave può essere eliminata prima di procedere. In caso di dubbi, annullare la procedura di installazione ed eseguire il backup delle informazioni sulla chiave esistente tramite un backup di sistema o un backup del certificato CA e della chiave privata esistenti; vedere le relative procedure nel capitolo 11, "Gestione dell'infrastruttura a chiave pubblica".
Il CSP genera la coppia di chiavi che viene memorizzata nell'archivio delle chiavi del computer locale.
Non modificare i percorsi predefiniti del database dei certificati, dei registri del database e della cartella di configurazione.
Note:
durante la configurazione si potrebbe generare un messaggio di avviso che informa dell'impossibilità di creare una cartella condivisa, a causa della precedente disabilitazione di tutte le interfacce di rete. Ignorare l'avviso e continuare.
È necessario posizionare il database dei certificati e il relativo registro nelle unità NTFS locali.Gestione componenti facoltativi installa quindi i componenti di Servizi certificati. In questa fase del processo, verrà richiesto di inserire il supporto di installazione (CD) di Windows Server 2003.
Fare clic su OK per eliminare l'avviso relativo a IIS e continuare l'installazione fino al termine.
Verifica dell'installazione della CA principale
È possibile verificare il completamento dell'installazione di Servizi certificati nel modo seguente:
Per verificare la corretta installazione della CA principale
Aprire la console di gestione dell'autorità di certificazione (da Tutti i programmi, Strumenti di amministrazione). Verificare che sia stato avviato Servizi certificati e che sia possibile visualizzare le proprietà della CA.
Nella scheda Generale, selezionare il certificato della CA (o Certificato #0 dall'elenco, in caso di più certificati), quindi fare clic su Visualizza certificato.
Verificare nella scheda Dettagli del certificato CA che i valori visualizzati corrispondano a quelli descritti nella tabella seguente.
Tabella 7.19. Proprietà ed estensioni del certificato della CA principale
Attributo del certificato Impostazione necessaria Campi Autorità emittente e Oggetto I due campi devono essere identici e includere il nome comune completo della CA più il suffisso DN specificato durante l'installazione. Non prima - Non dopo 16 anni Lunghezza della chiave pubblica RSA (4096 bit) Utilizzo della chiave Firma digitale, Firma certificato, Firma CRL non in linea, Firma CRL (86). Restrizioni di base (critiche) Tipo soggetto=CA Limite di lunghezza percorso=Nessuno La presenza del tipo di oggetto Restrizioni di base è molto importante: questo valore distingue un certificato CA dal certificato di un'entità finale. Inoltre, non deve essere elencata alcuna estensione CDP o AIA.
Se uno dei valori precedenti non è quello previsto, è consigliabile riavviare l'installazione di Servizi certificati.
Nota: se è necessario eseguire nuovamente l'installazione di Servizi certificati, verrà visualizzato un avviso per informare che la chiave privata esiste già. Nel caso in cui non sia stato rilasciato alcun certificato utilizzando questa chiave, è possibile ignorare l'avviso e generare una nuova chiave. Se la CA ha già rilasciato certificati diversi dai certificati di prova, non reinstallare Servizi certificati fino a quando non è stato eseguito in modo sicuro il backup della chiave e del certificato precedenti (questa procedura è descritta nel capitolo 11, “Gestione dell'infrastruttura a chiave pubblica").
È possibile visualizzare inoltre il registro di installazione di Servizi certificati (%systemroot%\certocm.log) per eseguire ulteriori verifiche o agevolare la risoluzione dei problemi in caso di errori.
Configurazione delle proprietà della CA principale
Per la procedura di configurazione della CA, vengono applicati una serie di parametri specifici per l'ambiente. I valori di tali parametri sono documentati nella precedente sezione "Foglio di lavoro per la pianificazione di Servizi certificati" di questo capitolo. Tale procedura configura le proprietà della CA elencate nella seguente tabella.
Tabella 7.20. Proprietà della CA da configurare
Proprietà della CA | Descrizione dell'impostazione |
---|---|
URL dei punti di distribuzione CRL | Specifica i percorsi HTTP, LDAP e FILE dai quali è possibile ottenere un CRL aggiornato. Il percorso FILE è una cartella locale ed è utilizzato dalla CA solo per memorizzare i CRL che rilascia; nei certificati rilasciati, sono inclusi solo i percorsi LDAP e HTTP. L'URL HTTP è elencato in sequenza prima dell'URL LDAP, in modo che i client che utilizzano i certificati della CA principale non siano dipendenti da Active Directory per ottenere CRL. |
URL AIA | I percorsi dai quali è possibile ottenere i certificati CA Analogamente ai CDP, il percorso file viene utilizzato solo per la pubblicazione del certificato CA e l'URL LDAP ha la priorità sull'URL HTTP. |
Periodo di validità | Il periodo di validità massimo per i certificati rilasciati (che differisce dal periodo di validità del certificato CA stesso, impostato nel file CAPolicy.inf o dalla CA padre). |
Periodo CRL | Frequenza di pubblicazione del CRL. |
Tempo di sovrapposizione CRL | Il tempo di sovrapposizione tra la pubblicazione di un nuovo CRL e la scadenza del CRL precedente. |
Periodo Delta-CRL | Frequenza di pubblicazione del Delta-CRL (nella CA principale i Delta-CRL sono disattivati). |
Controllo CA | Impostazioni di controllo della CA. Tutti i controlli sono attivati per impostazione predefinita. |
' This is the URL where CRL and CA certs are to be published. CONST CA_HTTP_PKI_VROOT = " http://www.woodgrovebank.com/pki"
' This needs to be set only if non Active directory clients need to query ' the ldap URL for CRLs. Normally they are OK with HTTP. If you do set this ' (to a specific DC FQDN) ALL clients will use this DC to query. Left blank ' AD clients use their default LDAP server (local DC) to query. CONST CA_LDAP_SERVER = ""
' This needs to be set to the DN of the Active Directory Forest root domain ' This is used to set the Root CA CDP and AIA paths so that clients can ' obtain CRL and CA Certificate information from the Active Directory CONST AD_ROOT_DN = "DC=woodgrovebank,DC=com"
3. Eseguire quindi lo script seguente:
Cscript //job:RootCAConfig C:\\MSSScripts\\ca\_setup.wsf
##### Configurazione dei ruoli amministrativi
Per utilizzare i ruoli amministrativi nella CA (ad esempio Controllori, Responsabile certificati e così via), è necessario innanzitutto mappare ad essi i gruppi di protezione creati precedentemente.
**Nota:** in questa soluzione, vengono utilizzati i gruppi creati precedentemente per definire più ruoli distinti. In questo modo, sussiste la massima flessibilità nel delegare le responsabilità di gestione della CA. Tuttavia, se non è richiesto questo livello di delega, prendere in considerazione l'utilizzo del modello di gruppo di amministrazione semplificato, descritto precedentemente in questo capitolo. Tale modello consente di utilizzare un numero inferiore di account per eseguire le funzioni amministrative della CA.
**Per configurare i ruoli amministrati nella CA principale**
1. Dalla console di gestione dell'autorità di certificazione, fare clic su **Proprietà** per modificare le proprietà della CA.
2. Fare clic sulla scheda **Protezione** e aggiungere i gruppi di protezione locali elencati nella tabella seguente. Per ciascun gruppo aggiungere l'autorizzazione elencata.
**Tabella 7.21. Autorizzazioni CA da aggiungere**
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Nome gruppo</th>
<th style="border:1px solid black;" >Autorizzazione</th>
<th style="border:1px solid black;" >Consenti/Nega</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Amministratori CA</td>
<td style="border:1px solid black;">Gestione CA</td>
<td style="border:1px solid black;">Consenti</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Responsabili certificazione</td>
<td style="border:1px solid black;">Rilascio e gestione certificati</td>
<td style="border:1px solid black;">Consenti</td>
</tr>
</tbody>
</table>
**Nota:** se si desidera una separazione netta dei ruoli, è necessario rimuovere le autorizzazioni di Gestione della CA dal gruppo Amministratori locale. Poiché la CA principale è installata nella Standard Edition di Windows Server, non è possibile imporre la separazione dei ruoli (questa opzione è disponibile solo nella Enterprise Edition).
3. Altri ruoli di protezione per questa CA sono stati già definiti tramite i criteri di protezione applicati precedentemente al server:
- Ai controllori CA sono stati assegnati i diritti utente Gestione protezione e Registri di controllo.
- Gli utenti del gruppo Operatori backup dispongono dei diritti necessari di backup e di ripristino della CA.
#### Trasferimento del certificato della CA principale e del CRL sul disco floppy
È necessario copiare il certificato della CA principale e il CRL dalla CA in modo che possano essere pubblicati in Active Directory e nel server di pubblicazione dei certificati IIS e CRL.
**Per copiare il certificato della CA principale e il CRL sul disco floppy**
1. Accedere alla CA principale come membro del gruppo Amministratori CA locale, quindi inserire un disco floppy da utilizzare per il trasferimento nell'unità.
2. Eseguire lo script seguente per copiare il certificato CA sul disco floppy:
Cscript //job:GetCACerts C:\\MSSScripts\\CA\_Operations.wsf
3. Eseguire lo script seguente per copiare i CRL CA sul disco floppy:
Cscript //job:GetCRLs C:\\MSSScripts\\CA\_Operations.wsf
4. Etichettare il disco **Transfer-\[***HQ-CA-01***\]**, datarlo e conservarlo per le fasi successive della procedura.
**Nota:** il disco floppy non contiene informazioni di protezione riservate, ad esempio la chiave privata CA, pertanto non è necessario adottare precauzioni speciali per la custodia.
#### Pubblicazione del certificato della CA principale
Prima di installare la CA di emissione, è necessario pubblicare il certificato della CA principale nell'archivio principale attendibile di Active Directory e il CRL della CA principale nel contenitore CDP di Active Directory. In questo modo tutti i membri del dominio, inclusa la CA di emissione, importeranno il certificato della CA principale nei propri archivi principali e li attiveranno per verificare lo stato di revoca di eventuali certificati rilasciati dalla CA principale (in questo caso, la CA di emissione dovrà verificare lo stato di revoca del proprio certificato, prima di avviare Servizi certificati).
**Nota:** è possibile eseguire la procedura seguente da qualsiasi membro del dominio, sebbene sia necessaria l'installazione di Certutil.exe e delle librerie di supporto certadm.dll e certcli.dll nel sistema; certutil.exe (più le DLL richieste) viene installato insieme a Windows Server 2003. A questo scopo, è possibile utilizzare, ad esempio, il server CA di emissione non configurato.
**Per pubblicare il certificato CA principale e il CRL in Active Directory**
1. Accedere a un computer membro del dominio come membro del gruppo Amministratori PKI dell'organizzazione e inserire il disco floppy utilizzato precedentemente per salvare il certificato della CA principale e il CRL (etichettato **Transfer-\[***HQ-CA-01***\]**).
2. Eseguire lo script seguente per pubblicare il certificato CA in Active Directory:
Cscript //job:PublishCertstoAD C:\\MSSScripts\\CA\_Operations.wsf
3. Eseguire lo script seguente per pubblicare il o i CRL CA in Active Directory:
Cscript //job:PublishCRLstoAD C:\\MSSScripts\\CA\_Operations.wsf
##### Pubblicazione del certificato della CA principale e del CRL nel server Web
Questo passaggio è necessario, in quanto le versioni HTTP degli URL CDP e AIA sono state specificate nelle estensioni dei certificati emessi da questa CA. Se sono presenti tali estensioni, è necessario tenerne conto pubblicando i CRL e i certificati nei percorsi indicati nei certificati.
**Nota:** questa procedura è identica, a prescindere se il server Web di pubblicazione CDP e AIA si trovi nella CA di emissione o in un altro server. Si presume che la directory virtuale corrisponda a quella impostata nella procedura di configurazione IIS descritta precedentemente: C:\\CAWWWPub. Se si sceglie di usare un altro percorso, occorrerà aggiornare il valore WWW\_LOCAL\_PUB\_PATH nel file C:\\MSSScripts\\PKIParams.vbs.
**Per pubblicare il certificato della CA principale e il CRL in un URL Web**
1. Accedere al server Web come amministratore locale o con un account con autorizzazioni di scrittura nella cartella C:\\CAWWWPub.
2. Assicurarsi che il disco floppy (etichettato **Transfer-\[***HQ-CA-01***\]**) contenente i certificati CA e i CRL sia inserito nell'unità.
3. Eseguire lo script seguente per pubblicare il certificato CA nella cartella server Web:
Cscript //job:PublishRootCertstoIIS
C:\\MSSScripts\\CA\_Operations.wsf
(il comando si trova su due righe per esigenze di visualizzazione, ma deve essere digitato su una sola riga).
4. Eseguire lo script seguente per pubblicare il o i CRL CA nella cartella server Web:
Cscript //job:PublishRootCRLstoIIS
C:\\MSSScripts\\CA\_Operations.wsf
(il comando si trova su due righe per esigenze di visualizzazione, ma deve essere digitato su una sola riga).
##### Verifica della pubblicazione del certificato della CA principale
È necessario verificare che la pubblicazione del certificato della CA principale sia avvenuta correttamente. Per eseguire tale procedura, è necessario accedere a un computer membro del dominio connesso alla rete utilizzando un account di dominio valido.
**Nota:** può essere necessario attendere la replica di Active Directory. Avvalersi del comando certutil -pulse per forzare il download del certificato CA principale, prima di verificarne la pubblicazione.
**Per verificare la pubblicazione del certificato della CA principale**
1. Per verificare la pubblicazione del certificato della CA nell'archivio principale attendibile, eseguire il comando seguente:
certutil -viewstore -enterprise Root
2. Il certificato deve essere visualizzato. Verificare che i valori **Autorità emittente** e **Oggetto** corrispondano a quelli configurati per il nome della CA principale e che la data **Valido dal** sia quella odierna.
3. Per verificare la pubblicazione del CRL della CA principale nella directory, eseguire il comando seguente, sostituendo le voci in corsivo con i valori utilizzati per l'installazione (nome comune CA, nome host breve CA e DN del dominio principale dell'insieme di strutture Active Directory):
certutil -store -enterprise "ldap:///cn=WoodGrove Bank Root CA,cn=HQ-CA-01,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=woodgrovebank,DC=com?certificateRevocationList?base?objectClass=crlDistributionPoint"
(il comando si trova su due righe per esigenze di visualizzazione, ma deve essere digitato su una sola riga).
4. Il risultato deve essere simile al seguente. Verificare che il valore **Autorità emittente** corrisponda al nome configurato per la CA principale:
================ CRL 0 ================
Autorità emittente: CN=WoodGrove Bank Root CA,DC=woodgrovebank,DC=com
Versione CA: V1.0
Numero CRL: Numero CRL=1
CRL Hash(sha1): 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe
CertUtil: -store command completed successfully.
5. Per verificare la pubblicazione del certificato CA nel server Web, immettere l'URL seguente in un browser, sostituendo le voci in corsivo con i valori utilizzati nella propria organizzazione:
http://*www.woodgrovebank.com*/pki/*HQ-CA-01\_WoodGrove Bank Root CA*.crt
**Nota:** può essere necessario utilizzare il nome DNS completo del server CA nel nome file del certificato (vale a dire, *HQ-CA-01*.*woodgrovebank.com\_WoodGrove Bank Root CA*.crt invece del nome sopra riportato).
6. Verrà richiesto di aprire o salvare il file. Aprirlo e verificare che venga visualizzato il certificato della CA principale.
7. Per verificare la pubblicazione del CRL della CA principale nel server Web, immettere l'URL seguente in un browser, sostituendo le voci in corsivo con i valori utilizzati nella propria organizzazione:
http://*www.woodgrovebank.com*/pki/*WoodGrove Bank Root CA*.crl
8. Verrà richiesto di aprire o salvare il file. Aprirlo e verificare che venga visualizzato il CRL della CA principale.
**Nota:** se il certificato CA è stato rinnovato o sono stati rilasciati più CRL, è possibile che nell'output di questi comandi vengano visualizzati numeri di versione differenti.
[](#mainsection)[Inizio pagina](#mainsection)
### Installazione e configurazione della CA di emissione
In questa sezione viene descritto come installare e configurare Servizi certificati nel server CA di emissione. Durante l'installazione, questa CA, la CA principale, Active Directory e il server Web interagiscono in modo complesso. Tali interazioni sono mostrate nel seguente diagramma, a cui può essere utile fare riferimento durante la consultazione di questa sezione.
[![](/security-updates/images/Dd536188.07fig7-2(it-it,TechNet.10).gif "Figura 7.2. Interazione tra CA, Active Directory e server Web durante l'installazione della CA di emissione")](https://technet.microsoft.com/it-it/dd536188.07fig7-2_big(it-it,technet.10).gif)
**Figura 7.2. Interazione tra CA, Active Directory e server Web durante l'installazione della CA di emissione**
Le interazioni principali tra i diversi sistemi durante l'installazione della CA di emissione sono illustrate nel diagramma di flusso Tali interazioni consistono in:
1. Pubblicazione del certificato della CA principale e del CRL in Active Directory.
2. Pubblicazione del certificato della CA principale e del CRL nel server Web.
3. Installazione del software Servizi certificati che genera una richiesta di certificato da inoltrare alla CA principale sul disco. Il certificato relativo a tale richiesta viene rilasciato presso la CA principale.
4. Installazione del certificato della CA di emissione.
5. Pubblicazione del certificato della CA di emissione e del CRL nel server Web.
**Nota:** i passaggi 1 e 2 sono stati illustrati nella sezione precedente, "Pubblicazione del certificato della CA principale". Il passaggio contrassegnato da una X nel diagramma si verifica automaticamente nell'ambito della procedura di configurazione dei valori CRL e AIA nella CA durante l'attività di configurazione delle proprietà della CA di emissione. Gli altri passaggi vengono descritti in questa sezione.
#### Preparazione del file Capolicy.inf per la CA di emissione
Il file CAPolicy.inf non è indispensabile per la CA di emissione, tuttavia, ne sarà necessario uno se si desidera modificare le dimensioni della chiave utilizzata dalla CA. È necessario creare il file Capolicy.inf prima di impostare la CA di emissione, sebbene sia possibile aggiungerne uno in seguito e rinnovare il certificato CA. Questo file specifica le caratteristiche del certificato CA, ad esempio la lunghezza della chiave e la CPS (se ne è stata creata una).
**Per creare il file CAPolicy.inf**
1. Immettere il testo seguente in un editor di testi, ad esempio Blocco note.
```
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=4096
```
2. Se è stata definita una CPS per la CA, includere quanto segue nel file Capolicy.inf (è necessario sostituire tutte le voci in corsivo con i valori della propria organizzazione):
```
[CAPolicy]
Policies=WoodGrove Bank Root CA CPS
[WoodGrove Bank Root CA CPS]
OID=your.Orgs.OID
URL = "http://www.woodgrovebank.com/YourCPSPage.htm"
```
**Nota:** vedere la sezione "Creazione di una dichiarazione delle procedure di certificazione" nel capitolo 4, "Progettazione dell’infrastruttura a chiave pubblica (PKI)," per ulteriori informazioni sulla CPS e sui casi in cui è opportuno crearne una. La CPS è un documento legale e non un elemento tecnico, pertanto, bisogna essere certi che sia realmente necessaria prima di configurarla nella CA.
3. Salvare il file come %*windir%*Capolicy.inf (o sostituire %windir% con il percorso assoluto della cartella in cui Windows è installato, ad esempio C:\\Windows). È necessario essere un amministratore locale o disporre delle autorizzazioni di scrittura nella cartella di Windows per completare questo passaggio.
#### Installazione dei componenti software di Servizi certificati
Usare Aggiunta guidata componenti di Windows per installare i componenti software della CA. È opportuno ricordare che, per completare l'installazione, è necessario disporre del supporto di installazione (CD) di Windows Server 2003.
**Per installare Servizi certificati**
1. Accedere al server come membro del gruppo Amministratori organizzazione del dominio ed eseguire Gestione componenti facoltativi (oppure, selezionare **Installazione applicazioni**/**Componenti di Windows** dal Pannello di controllo):
sysocmgr /i:sysoc.inf
**Nota:** per completare la prima parte dell'installazione, è necessario essere membro solo del gruppo Amministratori locale. Nella procedura di seguito descritta per l'installazione del certificato della CA, occorre invece essere membro anche del gruppo Amministratori PKI dell'organizzazione (o Amministratori organizzazione).
2. Selezionare il componente Servizi certificati (fare clic su **OK** per eliminare il messaggio di avviso relativo alla ridenominazione).
3. Selezionare il tipo di CA come **CA globale (enterprise) subordinata**, accertandosi di aver selezionato la casella di controllo **Utilizzare impostazioni personalizzate**.
4. Nella finestra di dialogo **Coppia di chiavi pubblica e privata**, lasciare le impostazioni predefinite, eccetto la lunghezza della chiave, che deve essere impostata su **2048** bit. Il tipo provider deve essere **Microsoft Strong Cryptographic Provider**.
5. Immettere le informazioni di identificazione dell'autorità di certificazione nel modo seguente:
- Nome comune CA: *WoodGrove Bank Issuing CA 1*
- Suffisso del nome distinto: *DC=woodgrovebank,DC=com*
(il nome principale dell'insieme di strutture Active Directory dell'organizzazione)
- Periodo di validità: determinato dalla CA padre
**Nota:** se una CA è stata installata precedentemente nel computer, viene visualizzato un messaggio di avviso in cui si richiede di confermare se sovrascrivere la chiave privata dell'installazione precedente. Verificare se la chiave può essere eliminata prima di procedere. In caso di dubbi, annullare la procedura di installazione ed eseguire il backup delle informazioni sulla chiave esistente tramite un backup di sistema o un backup del certificato CA e della chiave privata esistenti; vedere le relative procedure nel capitolo 11, "Gestione dell'infrastruttura a chiave pubblica".
6. Il CSP genera la coppia di chiavi, che viene memorizzata nell'archivio delle chiavi del computer locale.
7. Immettere i percorsi del database dei certificati, dei registri del database e della cartella di configurazione nel modo seguente.
- Database dei certificati: **D:\\CertLog**
- Registro database dei certificati: **%windir%\\System32\\CertLog**
- Cartella condivisa: Disattivata
Per garantire prestazioni e capacità di recupero, memorizzare sempre il database CA e i registri su volumi fisicamente separati (se il database risulta danneggiato per un qualsiasi motivo, si può usare l'ultimo backup e i relativi registri per ripristinare la CA al momento immediatamente precedente al verificarsi dell'errore). È necessario posizionare il database dei certificati e i relativi registri nelle unità NTFS locali.
8. Copiare il file di richiesta del certificato su disco. La richiesta di certificato viene generata e memorizzata nel percorso della cartella condivisa. Copiare il file *HQ-CA-02.woodgrovebank.com*\_*WoodGrove Bank Issuing CA 1.req* nel disco floppy ed etichettarlo **Transfer-\[***HQ-CA-02***\]**.
Gestione componenti facoltativi installa quindi i componenti di Servizi certificati. Sarà richiesto il supporto di installazione (CD) di Windows Server 2003.
9. Fare clic su **OK** per eliminare l'avviso relativo a IIS e continuare l'installazione fino al termine. La procedura di installazione guidata visualizzerà un avviso in cui si informa l'utente che deve ottenere il certificato dalla CA padre per continuare.
**Note:**
verrà visualizzato un avviso durante le ultime fasi dell'installazione, in cui si informa che la CA non può essere aggiunta al **gruppo Accesso compatibile precedente a Windows 2000**. Tenerne conto solo se è necessario utilizzare la funzione di restrizione di gestione certificati di Servizi certificati, altrimenti, richiedere all'amministratore del dominio di aggiungere l'account del computer della CA al gruppo.
Servizi certificati non viene avviato fino a quando la richiesta di certificato non viene elaborata dalla CA principale e il certificato non viene rilasciato e installato nella CA.
#### Invio della richiesta di certificato alla CA principale
È necessario inviare in seguito la richiesta di certificato della CA di emissione alla CA principale in modo che possa essere firmata e il certificato possa essere rilasciato alla CA di emissione.
**Per inviare la richiesta di certificato alla CA principale**
1. Accedere alla CA principale come membro del gruppo Responsabili certificazione locale.
2. Dalla console di gestione Autorità di certificazione, nel menu **Attività della CA**, selezionare **Invia nuova richiesta**, quindi inviare la richiesta trasferita dalla CA di emissione (sul disco etichettato **Transfer-\[***HQ-CA-02***\]** ).
**Nota:** se l'installazione di una CA precedente non è riuscita e viene ripetuta, non riutilizzare mai il file di richiesta, in quanto è associato alla chiave precedente e non alla CA corrente che si sta installando.
3. La CA principale richiede che tutte le richieste vengano approvate manualmente. Individuare la richiesta nel contenitore Richieste in sospeso della console MMC dell'autorità di certificazione, verificare che il campo **Nome comune** contenga il nome della CA di emissione, quindi approvare la richiesta facendo clic con il pulsante destro del mouse sulla richiesta e selezionando **Emetti**.
4. Individuare il certificato appena emesso nel contenitore Certificati emessi e aprirlo.
5. Verificare che i dettagli del certificato siano corretti, esportare quindi il certificato in un file facendo clic su **Copia su file** e salvarlo con il nome PKCS\#7 (selezionare l'opzione che consente di includere tutti i certificati possibili nella catena) sul disco floppy etichettato **Transfer-\[***HQ-CA-02***\]** (per il rinvio alla CA di emissione).
#### Installazione del certificato della CA di emissione
Le attività di questa sezione garantiscono che le informazioni sulla CA principale pubblicate precedentemente in Active Directory possano essere scaricate nella CA di emissione. Il certificato della CA di emissione può essere quindi installato nella CA.
##### Aggiornamento del certificato nella CA di emissione
Il certificato della CA principale è stato pubblicato precedentemente nell'archivio principale attendibile di Active Directory. È necessario ora assicurare che la CA di emissione abbia scaricato le informazioni e abbia inserito il certificato nel proprio archivio principale.
**Per aggiornare le informazioni sulla relazione di trust del certificato nella CA di emissione**
1. Accedere alla CA di emissione come amministratore locale.
2. Al prompt dei comandi, eseguire:
certutil –pulse
Questo comando forzerà il download delle informazioni sul nuovo certificato principale attendibile dalla directory e inserirà il certificato nell'archivio principale attendibile locale.
**Nota:** questa procedura non è indispensabile, in quanto l'ultima fase di installazione del certificato nella CA inserisce automaticamente il certificato della CA principale nell'archivio principale attendibile locale. Tuttavia, questo passaggio consente di verificare che le precedenti procedure per la pubblicazione in Active Directory siano state eseguite correttamente. La riuscita della pubblicazione è importante perché è in questo modo che tutti i client del dominio ricevono le informazioni sulla relazione di trust relativa alle CA principale ed emittente.
**Per verificare che il download delle informazioni sulla relazione di trust della CA principale da Active Directory è riuscito**
1. Eseguire mmc.exe e aggiungere lo snap-in **Certificati**.
2. Selezionare **Account del computer** come archivio certificati da gestire.
3. Verificare che il certificato CA principale si trovi nella cartella Autorità di certificazione principale attendibili (i certificati sono elencati in base al nome breve dell'oggetto CA, l'elemento CN).
##### Installazione del certificato
La risposta con la firma (il pacchetto PKCS\#7 contenente il certificato) inviata dalla CA principale può essere ora installata nella CA di emissione. Per pubblicare il certificato CA nell'archivio NTAuth di Active Directory (che identifica la CA come CA dell'organizzazione), è necessario installare il certificato CA utilizzando un account che sia membro *sia* del gruppo Amministratori PKI dell'organizzazione, sia del gruppo Amministratori locale. Il primo gruppo dispone dei diritti per pubblicare il certificato nella directory, mentre il secondo dispone dei diritti per installare il certificato sul server della CA. Se si sta utilizzando il modello di amministrazione semplice suggerito in precedenza, il ruolo AmminCA è un membro di questi gruppi.
**Per installare il certificato della CA di emissione**
1. Accedere alla CA di emissione utilizzando un account membro sia del gruppo Amministratori PKI dell'organizzazione sia del gruppo Amministratori locale.
2. Inserire il disco (**Transfer-\[***HQ-CA-02***\]**) con il certificato salvato rilasciato dalla CA principale.
3. Dal menu **Attività della CA**, nella console di gestione dell'autorità di certificazione, selezionare **Installa certificato** e installare il certificato della CA di emissione scaricandolo dal disco.
La CA deve ora avviarsi.
#### Verifica dell'installazione del certificato della CA di emissione
È possibile verificare il completamento dell'installazione di Servizi certificati nel modo seguente:
**Per verificare l'installazione del certificato della CA di emissione**
1. Aprire la console di gestione dell'autorità di certificazione. Verificare che sia stato avviato Servizi certificati e che sia possibile visualizzare le proprietà della CA.
2. Nella scheda **Generale**, selezionare il certificato della CA (o **Certificato \#0** se è visualizzato più di un certificato), quindi fare clic su **Visualizza certificato**.
3. Nella scheda **Dettagli** del certificato della CA, verificare che i valori visualizzati corrispondano a quelli descritti nella tabella seguente.
**Tabella 7.22. Proprietà ed estensioni del certificato della CA di emissione**
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Attributo del certificato</th>
<th style="border:1px solid black;" >Impostazione necessaria</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Autorità emittente</td>
<td style="border:1px solid black;">Nome comune CA principale (più suffisso DN)</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Oggetto</td>
<td style="border:1px solid black;">Nome comune CA di emissione (più suffisso DN)</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Non prima - Non dopo</td>
<td style="border:1px solid black;">8 anni</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Lunghezza della chiave pubblica</td>
<td style="border:1px solid black;">2048 bit</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Utilizzo della chiave</td>
<td style="border:1px solid black;">Firma digitale, Firma certificato, Firma CRL non in linea, Firma CRL (86)</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Restrizioni di base (critiche)</td>
<td style="border:1px solid black;">Tipo soggetto=CA
Limite di lunghezza percorso=Nessuno</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Punti di distribuzione CRL</td>
<td style="border:1px solid black;">2 voci — URL HTTP ed LDAP</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Accesso alle informazioni dell'autorità</td>
<td style="border:1px solid black;">2 voci — URL HTTP ed LDAP</td>
</tr>
</tbody>
</table>
La presenza del tipo di oggetto Restrizioni di base è molto importante: questo valore distingue un certificato CA dal certificato di un'entità finale. Inoltre, verrà elencata un'altra estensione, **Identificativo chiave dell'autorità**, che non era inclusa nel certificato della CA principale. Questo valore deve corrispondere a **Identificatore della chiave dell'oggetto** del certificato della CA principale.
Se uno dei valori precedenti non è quello previsto, è consigliabile eseguire nuovamente l'installazione di Servizi certificati.
**Nota:** se è necessario eseguire nuovamente l'installazione di Servizi certificati, verrà visualizzato un avviso per informare che la chiave privata esiste già. Nel caso in cui non sia stato rilasciato alcun certificato utilizzando questa chiave, è possibile ignorare l'avviso e generare una nuova chiave. Se la CA ha già rilasciato certificati diversi dai certificati di prova, non reinstallare Servizi certificati fino a quando non è stato eseguito in modo sicuro il backup della chiave e del certificato precedenti (questa procedura è descritta nel capitolo 11, "Gestione dell'infrastruttura a chiave pubblica").
4. Verificare nella scheda **Percorso certificazione** se il certificato della CA di emissione è collegato correttamente alla CA principale.
5. È possibile visualizzare inoltre il registro di installazione di Servizi certificati (%systemroot%\\certocm.log) per eseguire ulteriori verifiche o agevolare la risoluzione dei problemi in caso di errori di installazione.
#### Configurazione delle proprietà della CA di emissione
La configurazione della CA applica una serie di parametri specifici dell'ambiente. I valori di tali parametri sono documentati nella precedente sezione "Foglio di lavoro per la pianificazione di Servizi certificati" di questo capitolo. Questa procedura consente di configurare le proprietà della CA descritte nella tabella seguente.
**Tabella 7.23. Proprietà della CA da configurare**
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Proprietà della CA</th>
<th style="border:1px solid black;" >Descrizione dell'impostazione</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">URL dei punti di distribuzione CRL</td>
<td style="border:1px solid black;">Specifica i percorsi HTTP, LDAP e FILE dai quali è possibile ottenere un CRL aggiornato.
Il percorso FILE è una cartella locale ed è utilizzato dalla CA solo per memorizzare i CRL che rilascia; nei certificati rilasciati, sono inclusi solo i percorsi LDAP e HTTP.
L'URL LDAP è elencato in sequenza prima dell'URL HTTP, in modo che i controller di dominio locali siano la destinazione preferita del download dei CRL; vedere, tuttavia, la nota riportata dopo la tabella.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">URL AIA</td>
<td style="border:1px solid black;">I percorsi dai quali è possibile ottenere i certificati CA
Come con i CDP, il percorso file viene utilizzato solo per la pubblicazione del certificato della CA e l'URL LDAP ha la priorità sull'URL HTTP; vedere, tuttavia, la nota riportata dopo la tabella.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Periodo di validità</td>
<td style="border:1px solid black;">Il periodo di validità massimo per i certificati rilasciati (che differisce dal periodo di validità del certificato CA stesso, impostato nel file CAPolicy.inf o dalla CA padre).</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Periodo CRL</td>
<td style="border:1px solid black;">Frequenza di pubblicazione del CRL.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Tempo di sovrapposizione CRL</td>
<td style="border:1px solid black;">Il tempo di sovrapposizione tra la pubblicazione di un nuovo CRL e la scadenza del CRL precedente.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Periodo Delta-CRL</td>
<td style="border:1px solid black;">Frequenza di pubblicazione Delta-CRL.</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">Sovrapposizione Delta-CRL</td>
<td style="border:1px solid black;">Il tempo di sovrapposizione tra la pubblicazione di un nuovo CRL e la scadenza del CRL precedente.</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Controllo CA</td>
<td style="border:1px solid black;">Impostazioni di controllo della CA. Tutti i controlli sono attivati per impostazione predefinita.</td>
</tr>
</tbody>
</table>
**Importante:** se occorre supporto per client non appartenenti al dominio (come illustrato nel capitolo 4, "Progettazione dell’infrastruttura a chiave pubblica"), è necessario modificare l'ordine delle voci CDP e AIA, in modo che la voce HTTP abbia maggiore priorità. Per cambiare tale ordine, occorre modificare lo script di configurazione della CA (ca\_setup.vbs) oppure usare la MMC della CA per modificare manualmente le voci CDP e AIA. Poiché gli URL LDAP funzionano in modo affidabile solo per i client di un dominio, si può decidere di usare solo URL HTTP. In questo caso, occorre accertarsi che i server Web su cui risiedono i punti di pubblicazione HTTP AIA e CDP siano resistenti ad eventuali attacchi.
**Per configurare le proprietà della CA di emissione**
1. Accedere al server CA come membro del gruppo Amministratori locale.
2. È necessario personalizzare lo script C:\\MSSScripts\\pkiparams.vbs con le impostazioni specifiche dell'organizzazione quando si configura la CA principale. Replicare inoltre le modifiche apportate nella copia di C:\\MSSScripts\\pkiparams.vbs installata nella CA di emissione.
3. Eseguire quindi lo script seguente:
Cscript //job:IssCAConfig C:\\MSSScripts\\ca\_setup.wsf
##### Configurazione dei ruoli amministrativi
Per utilizzare i ruoli amministrativi nella CA (ad esempio Controllori, Responsabile certificati e così via) è necessario innanzitutto mappare ad essi i gruppi di protezione creati precedentemente.
**Nota:** in questa soluzione, vengono utilizzati i gruppi creati precedentemente per definire più ruoli distinti. In questo modo, sussiste la massima flessibilità nel delegare le responsabilità di gestione della CA. Tuttavia, se non è richiesto questo livello di delega, prendere in considerazione l'utilizzo del modello di gruppo di amministrazione semplificato, descritto precedentemente in questo capitolo. Tale modello consente di utilizzare un numero inferiore di account per eseguire le funzioni amministrative della CA.
**Per configurare i ruoli amministrati nella CA di emissione**
1. Dalla console di gestione dell'autorità di certificazione, fare clic su **Proprietà** per modificare le proprietà della CA.
2. Fare clic sulla scheda **Protezione** e aggiungere i gruppi di protezione locali elencati nella tabella seguente. Per ciascun gruppo aggiungere l'autorizzazione elencata.
**Tabella 7.24. Autorizzazioni CA da aggiungere**
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Nome gruppo</th>
<th style="border:1px solid black;" >Autorizzazione</th>
<th style="border:1px solid black;" >Consenti/Nega</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Amministratori CA</td>
<td style="border:1px solid black;">Gestione CA</td>
<td style="border:1px solid black;">Consenti</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">Responsabili certificazione</td>
<td style="border:1px solid black;">Rilascio e gestione certificati</td>
<td style="border:1px solid black;">Consenti</td>
</tr>
</tbody>
</table>
**Nota:** se si desidera una separazione netta dei ruoli, è necessario rimuovere le autorizzazioni di Gestione CA dal gruppo Amministratori locale.
3. Altri ruoli di protezione CA richiedono un'ulteriore configurazione, sebbene siano stati già definiti parzialmente tramite i criteri di protezione applicati precedentemente al server:
- Ai controllori CA sono stati assegnati i diritti utente Gestione protezione e Registri di controllo. Aggiungere questo gruppo al gruppo Amministratori locale.
- Al gruppo Operatori backup CA sono stati assegnati i diritti di backup e ripristino nella CA. Non sono necessarie altre configurazioni per questo gruppo.
#### Pubblicazione del certificato CA di emissione
I certificati e i CRL vengono pubblicati automaticamente dalla CA di emissione in Active Directory. La pubblicazione del certificato CA e dei CRL nei percorsi HTTP CDP e AIA, tuttavia, non è automatica; è necessario impostare un processo pianificato per garantirne l'esecuzione.
##### Pubblicazione del certificato della CA di emissione e dei CRL nel server Web
I certificati e i CRL della CA di emissione devono essere pubblicati rispettivamente nei percorsi HTTP AIA e CDP. È tecnicamente possibile configurare la CA per pubblicare direttamente i certificati e gli elenchi nella cartella server Web; inoltre, se il server Web risiede nella CA di emissione, questo processo è molto semplice. Tuttavia, tale metodo non è sempre possibile per motivi di sicurezza e di connettività di rete. Il metodo illustrato qui utilizza una tecnica semplice di copia del file che può essere estesa a diverse configurazioni.
**Nota:** questo metodo non è adatto per la pubblicazione diretta in server Web connessi a Internet, perché richiede connettività diretta alla rete e usa la condivisione di file di rete Windows, di solito bloccata da firewall Internet. Per pubblicare in un server Internet, utilizzare un percorso di pubblicazione intermedio, quindi utilizzare il metodo standard di pubblicazione protetta del contenuto nel server Web. È necessario tenere conto dell'effetto che l’introduzione di questa ulteriore fase potrebbe avere sull’attualità degli elenchi CRL.
Il certificato CA viene aggiornato molto raramente, quindi è possibile pubblicare manualmente in AIA ogni volta che il certificato CA viene rinnovato.
**Per pubblicare il certificato della CA di emissione**
1. Accedere alla CA di emissione con un account che disponga dell’autorizzazione in scrittura alla cartella pubblicata del server Web.
2. Se il server Web è un server remoto, verificare che la cartella sia condivisa. Registrare il percorso UNC della cartella condivisa.
3. Se il server Web è lo stesso server della CA, registrare il percorso locale della cartella.
4. Aggiornare il parametro WWW\_REMOTE\_PUB\_PATH in C:\\MSSScripts\\PKIParams.vbs in modo che corrisponda al percorso di destinazione della cartella server Web (il valore predefinito è il percorso locale C:\\CAWWWPub).
5. Eseguire il seguente comando per pubblicare il certificato CA nel server Web:
Cscript //job:PublishIssCertsToIIS
C:\\MSSScripts\\CA\_Operations.wsf
(il comando si trova su due righe per esigenze di visualizzazione, ma deve essere digitato su una sola riga).
I CRL vengono rilasciati dalla CA di emissione a intervalli molto più regolari, ogni giorno oppure ogni ora nel caso di Delta-CRL, pertanto, è necessario un metodo automatico di replica nel server Web.
**Per automatizzare la pubblicazione di CRL**
1. Accedere alla CA di emissione con un account membro del gruppo Amministratori locale.
2. Controllare che la cartella del server Web sia accessibile, come condivisione remota o percorso locale, da questo server.
3. Se il server Web è in una condivisione remota, assegnare alla CA di emissione l'accesso in scrittura alla cartella del file system (accesso **Modifica**) e alla condivisione (accesso **Cambia**). Se il server Web è membro di un insieme di strutture, è possibile utilizzare il gruppo Autori certificazione per assegnare l'accesso. In questo modo si garantisce che qualsiasi CA dell'organizzazione disponga delle autorizzazioni necessarie per pubblicare i certificati e i CRL in questa cartella. Non è necessario modificare le autorizzazioni nel server Web (vedere la sezione precedente relativa alla configurazione di IIS per la pubblicazione AIA e CDP).
4. Creare un processo programmato di copia dei CRL utilizzando il seguente comando:
schtasks /create /tn "Publish CRLs" /tr "cscript.exe
//job:PublishIssCRLsToIIS C:\\MSSScripts\\CA\_Operations.wsf"
/sc Hourly /ru "System"
(il comando si trova su due righe per esigenze di visualizzazione, ma deve essere digitato su una sola riga).
**Nota:** questa procedura consente di creare un processo programmato, che avverrà ogni ora, per la pubblicazione di CRL dalla CA al server Web. Tale frequenza è sufficiente per una pianificazione che preveda la pubblicazione di Delta-CRL una volta o anche due volte al giorno. Se la pianificazione di pubblicazione CRL è più frequente, è necessario eseguire il processo pianificato a intervalli più brevi. In linea generale, è consigliabile una pianificazione del processo pari al 5-10% circa della pianificazione di Delta-CRL.
##### Verifica della pubblicazione del certificato della CA di emissione
È necessario verificare che la pubblicazione del certificato della CA di emissione sia avvenuta correttamente. Per eseguire tale procedura è necessario accedere a un computer membro del dominio connesso alla rete utilizzando un account di dominio valido.
**Per verificare la pubblicazione del certificato della CA di emissione**
1. Per verificare la pubblicazione del certificato CA nell'archivio della CA intermedia, eseguire il comando seguente:
certutil -viewstore -enterprise CA
2. Vengono visualizzati due certificati: uno per la CA principale e l'altro per la CA di emissione. Fare doppio clic sul certificato della CA di emissione e verificare che il nome **Oggetto** corrisponda a quello configurato per la CA di emissione e che la data **Valido dal** sia quella odierna.
3. Per verificare la pubblicazione del certificato CA nell'archivio CA NTAuth (tutte le CA dell'organizzazione sono pubblicate qui), eseguire il comando seguente:
certutil -viewstore -enterprise NTAuth
Viene visualizzato lo stesso certificato per la CA di emissione.
4. Per verificare la pubblicazione del CRL della CA di emissione nella directory, eseguire il comando seguente, sostituendo le voci in corsivo con i valori utilizzati per l'installazione (nome comune CA, nome host CA breve e DN del dominio principale dell'insieme di strutture Active Directory):
certutil -store -enterprise "ldap:///cn=*Woodgrove Bank Issuing CA 1*,cn=*HQ-CA-02*,cn=CDP,CN=Public Key Services, CN=Services,CN=Configuration,DC=*woodgrovebank*,DC=*com*?certificateRevocationList?base?objectClass= cRlDistributionPoint"
(il comando si trova su due righe per esigenze di visualizzazione, ma deve essere digitato su una sola riga).
5. Il risultato deve essere simile al seguente. Verificare che il valore **Autorità emittente** corrisponda al nome configurato per il certificato della CA di emissione:
================ CRL 0 ================
Autorità emittente: CN= WoodGrove Bank Issuing CA,DC=woodgrovebank,DC=com
Versione CA: V1.0
Numero CRL: Numero CRL=1
CRL Hash(sha1): 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe
CertUtil: -store command completed successfully.
6. Per verificare la pubblicazione del certificato CA nel server Web, immettere l'URL seguente in un browser, sostituendo le voci in corsivo con i valori utilizzati nella propria installazione:
http://*www.woodgrovebank.com*/pki/*HQ-CA-02\_WoodGrove Bank Issuing CA 1*.crt
7. Verrà richiesto di aprire o salvare il file. Aprirlo e verificare che venga visualizzato il certificato CA della CA di emissione.
8. Per verificare la pubblicazione del CRL della CA di emissione nel server Web, immettere l'URL seguente in un browser, sostituendo le voci in corsivo con i valori utilizzati nella propria installazione:
http://*www.woodgrovebank.com*/pki/*WoodGrove Bank Issuing CA 1*.crl
9. Verrà richiesto di aprire o salvare il file. Aprirlo e verificare che venga visualizzato il CRL della CA principale.
**Nota:** se il certificato CA è stato rinnovato o sono stati rilasciati più CRL, è possibile che nell'output di questi comandi vengano visualizzati numeri di versione differenti.
#### Verifica della registrazione dei certificati
È necessario verificare se è possibile registrare i certificati della CA di emissione.
**Per verificare la registrazione dei certificati**
1. Accedere a un computer membro dello stesso dominio della CA di emissione. Utilizzare un account di dominio.
2. Aprire lo snap-in MMC Certificati per l'utente corrente (sarà necessario aggiungere questo snap-in a una console MMC vuota selezionando **Aggiungi/Rimuovi snap-in** poiché non ne è disponibile uno predefinito).
3. Fare clic con il pulsante destro del mouse sulla cartella personale e selezionare **Richiedi nuovo certificato** dal sottomenu **Tutte le attività**.
4. Verrà richiesto di scegliere il tipo di certificato da uno specifico elenco: scegliere il tipo **Utente**. Non selezionare la casella di controllo **Opzioni avanzate**.
5. Assegnare al certificato un nome facile e riconoscibile, ad esempio **Verifica CA di emissione**.
6. Fare clic su **Fine** per registrare il certificato.
7. Passare alla sottocartella Certificati della cartella personale. In questa cartella deve comparire il certificato **Verifica CA di emissione** (può essere necessario aggiornare prima l'archivio: fare clic con il pulsante destro del mouse sull'oggetto principale **Certificati - Utente corrente** nel riquadro destro della console MMC, quindi scegliere **Aggiorna**).
Se il test di verifica non ha esito positivo, cioè il certificato non viene visualizzato, è consigliabile ripetere le operazioni illustrate in questo capitolo e risolvere i problemi segnalati. In caso di problemi, consultare la sezione "Risoluzione dei problemi" del capitolo 11, "Gestione dell'infrastruttura a chiave pubblica".
[](#mainsection)[Inizio pagina](#mainsection)
### Configurazione post-creazione
Dopo aver creato la CA principale ed emittente per la propria organizzazione, è necessario completare ancora alcune attività di configurazione illustrate in questa sezione.
#### Configurazione dei modelli di certificato
La maggior parte di tali attività consiste nella configurazione dei tipi di certificato che le CA possono rilasciare, delle modalità di controllo del rilascio e dei destinatari dei certificati rilasciati.
##### Rimozione dei modelli indesiderati dalla CA di emissione
Fino a quando non si presenta l'esigenza di un nuovo certificato, è buona regola rimuovere il corrispondente modello dalla configurazione della CA, in modo da evitare l'involontaria emissione di certificati. I modelli restano comunque sempre disponibili nella rispettiva directory e, all'occorrenza, possono sempre essere nuovamente aggiunti alla configurazione.
**Per rimuovere i modelli indesiderati dalla CA di emissione**
1. Accedere come membro del gruppo Amministratori CA del dominio.
2. Dalla console di gestione dell'autorità di certificazione, selezionare il contenitore Modelli di certificato.
3. Rimuovere i tipi di modello seguenti:
- Agente recupero dati EFS
- EFS di base
- Server Web
- Autenticazione
- Utente
- Autorità di certificazione subordinata
- Amministratore
**Nota:** con questa procedura si rimuovono tutti i modelli dalla CA di emissione, eccetto quelli relativi a Controller di dominio, Autenticazione del controller di dominio e Replica directory via posta elettronica. I controller di dominio di Windows 2000 utilizzano certificati Controller di dominio per abilitare l'accesso con smart card e per la replica SMTP (Simple Mail Transfer Protocol) di Active Directory. I controller di dominio di Windows Server 2003 utilizzano certificati Autenticazione del controller di dominio per supportare l'accesso con smart card e la protezione di LDAP e il certificato Replica directory via posta elettronica per la replica SMTP di Active Directory.
Tutti i certificati rimossi possono essere in seguito nuovamente aggiunti all'occorrenza. Nel frattempo, è consigliabile consentire il rilascio solo dei tipi di certificato selezionati.
##### Creazione e gestione dei modelli di certificato
I modelli di certificato dell'organizzazione possono essere gestiti e utilizzati in modo efficace attraverso i gruppi di protezione. Tali gruppi possono scegliere e controllare gli utenti autorizzati a modificare le proprietà di ciascun modello e gli utenti autorizzati a registrare certificati di quel tipo.
**Nota:** i gruppi di amministrazione dei modelli sono utili se esiste la possibilità di delegare ad altri amministratori il controllo sui modelli. Se la struttura di amministrazione della PKI non è sufficientemente ampia o complessa, questa funzionalità probabilmente non sarà necessaria. In questo caso, solo i membri del gruppo incorporato Amministratori organizzazione e del gruppo Amministratori PKI dell'organizzazione (creato nell'ambito di questa soluzione) saranno in grado di gestire i modelli di certificato.
Per istruzioni sulla creazione e la gestione dei gruppi di amministrazione dei modelli di certificato, vedere le procedure operative descritte nel capitolo 11, "Gestione dell'infrastruttura a chiave pubblica".
Per istruzioni su come creare modelli di certificato specifici per questa soluzione, vedere la sezione "Configurazione e distribuzione di certificati di autenticazione WLAN" del capitolo 9, "Implementazione dell'infrastruttura per la protezione di reti LAN senza fili".
Per istruzioni generali su come creare e modificare i modelli di certificato, vedere la sezione della documentazione del prodotto relativa alla gestione dei modelli di certificato e il documento tecnico, *Implementing and Administering Certificate Templates in Windows Server 2003* (vedere i riferimenti alla fine del capitolo).
##### Gestione della registrazione dei certificati
I gruppi di registrazione del modello semplificano la gestione degli utenti o dei computer che possono registrare un tipo specifico di certificato. A tale scopo, è sufficiente aggiungere o rimuovere gli utenti desiderati da un gruppo di protezione. Il controllo sull'appartenenza al gruppo di registrazione dei modelli può essere concesso anche al personale amministrativo, nel caso in cui non si intenda consentirgli direttamente la possibilità di modificare le proprietà dei modelli di certificato.
Per istruzioni sulla creazione e la gestione dei gruppi di registrazione dei modelli di certificato, vedere il capitolo 11, "Gestione dell'infrastruttura a chiave pubblica".
#### Impostazione delle autorizzazioni per l'implementazione multidominio
Se si sta implementando questa soluzione in un insieme di strutture multidominio, potrebbe essere necessario emettere certificati ad utenti e computer in domini diversi dal dominio della CA stessa. In tal caso, sarà necessario modificare le autorizzazioni predefinite in modo da consentire alle CA di pubblicare i certificati correttamente in altri domini dell'insieme di strutture di Active Directory.
Quando si impostano le autorizzazioni di registrazione per gli utenti sulle CA e i modelli di certificato, è necessario includere espressamente gli utenti e i computer di tutti i domini in cui si desidera consentire di registrare i certificati.
**Per consentire la pubblicazione di certificati a utenti e computer di altri domini**
1. Accedere a un membro del dominio in cui si desidera consentire la pubblicazione dei certificati. È necessario essere un membro degli amministratori del dominio o di un gruppo con diritti sufficienti a modificare le autorizzazioni sull'oggetto del dominio.
2. Aprire lo snap-in Utenti e computer di Active Directory e fare clic con il pulsante destro del mouse sul nodo del dominio.
**Nota:** questa operazione può essere eseguita da un altro dominio purché il proprio account disponga delle corrette autorizzazioni nel dominio di destinazione. È necessario connettersi al dominio di destinazione da Utenti e computer di Active Directory.
3. Per avviare la procedura guidata di delega, fare clic su **Delega controllo**.
4. Nella procedura guidata, fare clic su **Avanti**, aggiungere il gruppo Autori certificazione dal dominio in cui la CA di emissione è stata installata, quindi scegliere **Avanti**.
5. Selezionare **Crea un'operazione personalizzata per eseguire la delega**, quindi fare clic su **Avanti**.
6. Selezionare **Solo i seguenti oggetti contenuti nella cartella**.
7. Scegliere gli **oggetti utente**, quindi fare clic su **Avanti**.
8. Selezionare l'opzione **Proprietà**.
9. Selezionare le opzioni **Read userCertificate** e **Write userCertificate**.
10. Fare clic su **Avanti**, quindi su **Fine**.
11. Ripetere i passaggi da 3 a 10, ma al passaggio 7, selezionare gli **oggetti computer** invece degli **oggetti utente**.
Tale procedura fa in modo che le CA dell'organizzazione abbiano l'autorizzazione a pubblicare correttamente certificati per utenti e computer del dominio.
#### Backup delle chiavi e dei server CA
Dopo aver creato la CA principale ed emittente, è necessario eseguirne il backup prima possibile, in modo da proteggere i database delle chiavi e dei certificati in caso di errore del server o danneggiamento dei dati.
Eseguire completamente le seguenti procedure, come descritto nel capitolo 11, "Gestione dell'infrastruttura a chiave pubblica":
- "Configurazione del backup della CA di emissione"
- "Configurazione ed esecuzione del backup della CA principale"
- "Backup delle chiavi e dei certificati delle CA" (da eseguire per ciascuna CA)
[](#mainsection)[Inizio pagina](#mainsection)
### Configurazione dei client
Questa sezione descrive alcune importanti attività di configurazione dei client. Se ne illustrano solo alcune, in quanto la maggior parte delle attività relative ai client è specifica dell'applicazione che utilizza Servizi certificati, ad esempio della WLAN o della rete privata virtuale (VPN), e non di tutte le applicazioni di certificazione.
#### Attivazione della registrazione automatica dei certificati di utenti e computer
I provvedimenti descritti nella precedente sezione sulla gestione della registrazione dei certificati permettono di utilizzare i gruppi di protezione e le autorizzazioni relative ai modelli per controllare la registrazione automatica ad un elevato livello di precisione. Tuttavia, per impostazione predefinita, la funzionalità di registrazione automatica di client Windows XP è disattivata. Per attivarla, è necessario abilitare l'impostazione corretta nei criteri di gruppo. Se si utilizzano i gruppi di protezione per controllare la registrazione automatica, è possibile attivare la registrazione automatica per tutti gli utenti e i computer del dominio, nonché utilizzare il gruppo di protezione relativo alla registrazione per determinare gli utenti ammessi a ricevere ciascun tipo di certificati.
**Attenzione:** questa procedura consente la registrazione automatica per *tutti* i computer e gli utenti del dominio. Assicurarsi di aver rimosso i modelli predefiniti dalla CA di emissione prima di avviare questa procedura, in modo da evitare la registrazione dei certificati Computer e utenti predefiniti per ogni computer e utente del dominio. Questa procedura presume che la registrazione automatica verrà controllata automaticamente utilizzando i gruppi di protezione, come descritto nel capitolo 11, "Gestione dell'infrastruttura a chiave pubblica".
**Per attivare la registrazione automatica per tutti gli utenti e computer del dominio**
1. Accedere utilizzando un account che disponga delle autorizzazioni a creare GPO (un membro del gruppo Proprietari creatori criteri di gruppo) e a collegarli al dominio. In alternativa, l'utente deve richiedere a un amministratore del dominio di creare e collegare il GPO e di assegnargli i diritti di lettura e scrittura su di esso.
2. In Utenti e computer di Active Directory selezionare l'oggetto dominio, fare clic con il pulsante destro del mouse, quindi scegliere **Proprietà**.
3. Nella scheda **Criteri gruppo,** fare clic su **Nuovo**, quindi digitare un nome per il GPO, ad esempio *Criteri PKI dominio*.
4. Fare clic su **Modifica** per modificare il GPO e passare a Criteri chiave pubblica seguendo il percorso Configurazione computer\\Impostazioni di Windows\\Impostazioni di protezione.
5. Nel riquadro dei dettagli, fare doppio clic su **Impostazioni registrazione automatica**.
6. Assicurarsi che le voci seguenti siano selezionate:
- **Registra i certificati automaticamente**
- **Rinnova i certificati scaduti, aggiorna quelli in sospeso e rimuovi i certificati revocati**
- **Aggiorna i certificati che utilizzano modelli di certificato**
7. Ripetere i passaggi 5 e 6 per le impostazioni di registrazione automatica per l'utente in Configurazione utente\\Impostazioni di Windows\\Impostazioni di protezione\\Criteri chiave pubblica.
8. Chiudere il GPO.
9. Assicurarsi che il GPO abbia una priorità più alta rispetto al GPO Criteri di dominio predefinito.
**Note:**
se si dispone di un insieme di strutture Active Directory multidominio, è necessario eseguire questa procedura per ciascun dominio dell'insieme di strutture in cui si desidera attivare la registrazione automatica.
Se non si desidera attivare la registrazione automatica per tutti gli utenti o i computer del dominio, è possibile creare GPO collegati alle UO che contengano il sottoinsieme degli utenti e/o dei computer per cui si desidera attivare la registrazione automatica.
Se gli utenti non utilizzano profili comuni e si autorizza la registrazione automatica a tutti i livelli, verrà registrato un certificato per tutti gli utenti al momento del loro accesso a qualsiasi computer. Potrebbe, tuttavia, essere opportuno impedire la registrazione automatica di certificati quando amministratori e operatori accedono ai server. A questo scopo, è possibile creare un GPO da applicare a tali server, ad esempio, collegandolo all'OU dei server. Nel GPO creato, disattivare la registrazione automatica per gli utenti selezionando **Non effettuare la registrazione automatica dei certificati**. Nello stesso GPO, consentire l'elaborazione loopback attivando l'impostazione **della modalità loopback Configurazione computer\\Modelli amministrativi\\Sistema\\Criterio gruppo\\Criteri di gruppo dell'utente** e selezionando l'opzione **Sostituisci**.
L'attivazione della registrazione automatica del certificato è descritta inoltre dettagliatamente nei documenti elencati nella sezione "Ulteriori informazioni" alla fine di questo capitolo.
Solo i client Windows XP e versioni successive supportano la registrazione automatica di entrambi i certificati utente e computer. I client Windows 2000 supportano solo la registrazione automatica di certificati per computer (sebbene alcune applicazioni, come EFS, dispongano di un proprio meccanismo di registrazione automatica per i certificati destinati ad utenti).
Se si sta implementando questa soluzione in un ambiente Active Directory di Windows 2000, è necessario modificare le impostazioni di registrazione automatica nei GPO da un computer che esegue Windows Server 2003 o Windows XP Professional in cui sono installati gli strumenti di amministrazione di Windows Server 2003 (Windows XP richiede un livello di Service Pack e di aggiornamenti rapidi specifico per supportare gli strumenti amministrativi di Windows Server 2003).
#### Configurazione dei criteri di domino dell'autorità di certificazione principale
In questa sezione viene descritto come stabilire quali CA commerciali principali devono essere considerate attendibili dai client dell'organizzazione e se i singoli utenti possono scegliere o meno di modificare tali CA.
##### Gestione dei trust di terze parti
I client Windows sono configurati per impostazione predefinita in modo che considerino attendibili un vasto numero di CA commerciali principali (note come baked-in-root). Per impedire agli utenti di considerare automaticamente attendibili le CA principali di terzi, consultare la procedura descritta nella sezione della guida in linea "To prevent users from trusting third-party root certification authorities with a Group Policy" o il collegamento a un articolo su questo argomento riportato nella sezione "Ulteriori informazioni".
**Nota:** la disattivazione delle CA principali di terzi può causare errori nelle applicazioni client; pertanto, non eseguire questa operazione senza averne prima valutato attentamente le conseguenze. Ad esempio, le connessioni dei client alla maggior parte dei siti Web pubblici protetti determineranno un errore di attendibilità.
È possibile eliminare alcuni dei problemi conseguenti la rimozione di tutti i trust di terzi in diversi modi:
- È possibile riaggiungere in modo selettivo singole CA principali all'impostazione del criterio Autorità di certificazione principali attendibili in Criteri di gruppo.
- È possibile aggiungere i certificati principali agli elenchi di certificati attendibili e distribuirli tramite l'impostazione Attendibilità per l'organizzazione di Criteri di gruppo. Questo metodo consente inoltre di controllare l'utilizzo per cui vengono ritenuti attendibili i certificati che le CA principali rilasciano. Tuttavia, poiché il supporto di client è limitato, tale metodo è consigliato solo in assenza di altre alternative.
- Infine, è possibile eseguire una certificazione incrociata (o creare una relazione di trust subordinata qualificata con) delle altre autorità di certificazione. In questo modo si ottiene un controllo ancora maggiore sull'utilizzo e sui parametri dei certificati che verranno considerati attendibili nell'organizzazione.
L'utilizzo degli elenchi dei certificati attendibili o di una relazione di trust subordinata qualificata è il modo più sicuro per distribuire le CA principali attendibili di terzi nell'organizzazione. Per ulteriori dettagli su questo argomento, consultare il capitolo 4, "Progettazione dell’infrastruttura a chiave pubblica (PKI)".
##### Gestione del controllo utente sulle CA principali attendibili
È possibile inoltre utilizzare i criteri di gruppo per impedire agli utenti di selezionare nuove CA principali come attendibili. Questo è particolarmente importante se sono stati creati elenchi di certificati attendibili propri o relazioni di trust subordinate qualificate per controllare l'uso dei certificati di terzi nell'organizzazione. La procedura relativa all'utilizzo dei criteri di gruppo per la gestione del controllo utente sulle CA principali attendibili è disponibile nella sezione "To prevent users from selecting new root certification authorities with a Group Policy" della guida in linea oppure nel collegamento riportato nella sezione "Ulteriori informazioni".
[](#mainsection)[Inizio pagina](#mainsection)
### Riepilogo
Se sono state eseguite tutte le procedure illustrate in questo capitolo, sono state completate le attività seguenti:
- Installazione e configurazione di una CA principale non in linea
- Installazione e configurazione di una CA di emissione in linea
- Installazione e configurazione di un server Web per la pubblicazione di CRL e certificati delle CA
- Configurazione di gruppi e utenti amministrativi per la gestione delle CA e delle informazioni di configurazione della PKI di Active Directory
- Configurazione di Active Directory e dei criteri di gruppo per il supporto dell'infrastruttura PKI
A questo punto si è pronti per configurare le applicazioni in modo che utilizzino l'infrastruttura PKI. Tale operazione è descritta nei due successivi capitoli della guida: il capitolo 8, "Implementazione dell'infrastruttura RADIUS", e il capitolo 9, "Implementazione dell'infrastruttura per la protezione di reti LAN senza fili".
È necessario inoltre leggere le sezioni pertinenti del capitolo 11, "Gestione dell'infrastruttura a chiave pubblica", e assicurarsi che ne sia a conoscenza anche il personale addetto a tali operazioni. In questa guida sono contenute le informazioni essenziali per garantire il funzionamento dell'infrastruttura PKI in un ambiente protetto e affidabile.
#### Ulteriori informazioni
##### Informazioni di carattere generale sull'infrastruttura PKI e sui Servizi certificati di Windows
- Per un'introduzione esauriente ai concetti di PKI e alle caratteristiche di Servizi certificati di Windows 2000, vedere [*An Introduction to the Windows 2000 Public-Key Infrastructure*](http://www.microsoft.com/technet/archive/windows2000serv/evaluate/featfunc/pkiintro.mspx) all'indirizzo http://www.microsoft.com/technet/archive/windows2000serv/
evaluate/featfunc/pkiintro.mspx
- Per una descrizione delle funzionalità avanzate dell'infrastruttura PKI in Windows Server 2003 e Windows XP, vedere [*PKI Enhancements in Windows XP Professional and Windows Server 2003*](http://technet.microsoft.com/en-us/library/bb457034.aspx) all'indirizzo http://technet.microsoft.com/en-us/library/bb457034.aspx
- Per la documentazione di riferimento del prodotto relativa ai concetti fondamentali e alle attività di amministrazione, vedere la sezione "Certificate Services" della guida in linea oppure la sezione [Public Key Infrastructure](http://technet.microsoft.com/en-us/library/cc779826.aspx) della documentazione di Windows Server 2003, disponibile all'indirizzo http://technet.microsoft.com/en-us/library/cc779826.aspx
##### Informazioni sugli argomenti specifici
- Per ulteriori informazioni sulla distribuzione di una PKI ad un ambiente Active Directory con più insiemi di strutture, vedere la sezione ["To publish certificates in a foreign Active Directory forest"](http://technet.microsoft.com/en-us/library/cc786746.aspx) della documentazione di Windows Server 2003, disponibile all'indirizzo http://technet.microsoft.com/en-us/library/cc786746.aspx
- CAPICOM può essere scaricato [dall'area di download](http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=860ee43a-a843-462f-abb5-ff88ea5896f6) del sito Web Microsoft all'indirizzo http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=860EE43A-A843-462F-ABB5-FF88EA5896F6. In ogni caso, è consigliabile ricercare "CAPICOM" nell'area di download del sito Web Microsoft per accertarsi di individuare la versione più recente:
- Per istruzioni sull'uso di Microsoft Baseline Security Analyzer (MBSA), consultare la pagina [Microsoft Baseline Security Analyzer v1.2](http://www.microsoft.com/technet/security/tools/mbsahome.mspx) all'indirizzo http://www.microsoft.com/technet/security/tools/mbsahome.mspx.
- Per informazioni sui livelli funzionali del dominio Active Directory e istruzioni sul modo in cui passare da un livello all’altro, vedere le seguenti sezioni della documentazione relativa a Windows Server 2003, disponibile negli URL indicati.
- La sezione [Domain and forest functionality](http://technet.microsoft.com/en-us/library/cc759280.aspx) consultabile all'indirizzo http://technet.microsoft.com/en-us/library/cc759280.aspx descrive i diversi livelli del dominio e dell'insieme di strutture.
- La pagina dal titolo ["To raise the domain functional level"](http://technet.microsoft.com/en-us/library/cc775826.aspx) consultabile all'indirizzo http://technet.microsoft.com/en-us/library/cc775826.aspx illustra come passare dal livello del dominio a quello dell'insieme di strutture e viceversa.
- Per ulteriori informazioni sullo strumento ADPrep, vedere l'articolo Q325379 della Microsoft Knowledge Base, "[How to upgrade Windows 2000 domain controllers to Windows Server 2003](http://support.microsoft.com/?kbid=325379)", all'indirizzo http://support.microsoft.com/?kbid=325379
e la pagina [ADPrep](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/adprep.mspx) all'indirizzo http://www.microsoft.com/technet/prodtechnol/
windowsserver2003/proddocs/entserver/adprep.mspx.
- Per ulteriori informazioni sui requisiti del livello di patch ADPrep, vedere l'articolo Q331161 della Knowledge Base, ["Hotfixes to install on Windows 2000 domain controllers before running Adprep /Forestprep"](http://support.microsoft.com/?kbid=331161), disponibile all'indirizzo http://support.microsoft.com/?kbid=331161.
- Per una completa illustrazione dei ruoli amministrativi di Servizi certificati, vedere la sezione "[Managing role-based administration](http://technet.microsoft.com/en-us/library/cc738189.aspx)" della documentazione di Windows Server 2003, disponibile all'indirizzo http://technet.microsoft.com/en-us/library/cc738189.aspx
- Per ulteriori informazioni sulle impostazioni di protezione dei server e sui ruoli dei server usati nella presente guida, consultare la [*Guida per la protezione di Windows Server 2003*](http://technet.microsoft.com/it-it/library/cc163140) all'indirizzo http://technet.microsoft.com/it-it/library/cc163140
- Per istruzioni generali su come creare e modificare i modelli di certificato, consultare il documento tecnico [*Implementing and Administering Certificate Templates in Windows Server 2003*](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspx)all'indirizzo http://www.microsoft.com/technet/prodtechnol/
windowsserver2003/echnologies/security/ws03crtm.mspx e la sezione [Manage certificate templates for an enterprise certification authority](http://technet.microsoft.com/en-us/library/cc780765.aspx) della documentazione del prodotto, disponibile all'indirizzo http://technet.microsoft.com/en-us/library/cc780765.aspx
- Per informazioni su come disattivare il trust automatico per le CA di terzi, vedere
["To prevent users from trusting third-party root certification authorities with a Group Policy"](http://technet.microsoft.com/en-us/library/cc780117.aspx) all'indirizzo http://technet.microsoft.com/en-us/library/cc780117.aspx .
- Per informazioni su come gestire il controllo utente sulle CA principali attendibili, vedere l'articolo
["To prevent users from selecting new root certification authorities with a Group Policy"](http://technet.microsoft.com/en-us/library/cc781964.aspx) all'indirizzo http://technet.microsoft.com/en-us/library/cc781964.aspx .
- Per ulteriori informazioni sulla registrazione automatica dei certificati, vedere [*Certificate Autoenrollment in Windows XP*](http://technet.microsoft.com/en-us/library/bb456981.aspx), disponibile all'indirizzo http://technet.microsoft.com/en-us/library/bb456981.aspx , e ["Checklist: Configuring certificate autoenrollment"](http://technet.microsoft.com/en-us/library/cc773385.aspx) , consultabile all'indirizzo http://www.microsoft.com/resources/documentation/
WindowsServ/2003/datacenter/proddocs/en-us/certsrv\_checklist\_autoenroll.asp.
- Per ulteriori informazioni sulle procedure avanzate di registrazione dei certificati, vedere [Advanced Certificate Enrollment and Management](http://technet.microsoft.com/en-us/library/cc782583.aspx), consultabile all'indirizzo http://technet.microsoft.com/en-us/library/cc782583.aspx .
- Per ulteriori informazioni su come gestire una PKI Windows (oltre alle informazioni contenute nel capitolo 11, "Gestione della infrastruttura a chiave pubblica"), vedere [*Windows Server 2003 PKI Operations Guide*](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03pkog.mspx) all'indirizzo http://www.microsoft.com/technet/prodtechnol/
windowsserver2003/technologies/security/ws03pkog.mspx.
[](#mainsection)[Inizio pagina](#mainsection)