Configurare radici attendibili e certificati non consentiti

 

Data di pubblicazione: agosto 2016

Si applica a: Windows 8.1, Windows Server 2012 R2

I sistemi operativi R2 per Windows Server 2012, Windows Server 2012, Windows 8.1 e Windows 8 includono un meccanismo di aggiornamento automatico che consente di scaricare ogni giorno elenchi di scopi consentiti. In R2 per Windows Server 2012 e Windows 8.1 sono disponibili funzionalità aggiuntive per controllare la modalità di aggiornamento degli elenchi di scopi consentiti.

System_CAPS_ICON_important.jpg Importante


Per Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 e Windows Vista sono disponibili aggiornamenti software. Per consentire l'utilizzo del meccanismo di aggiornamento automatico illustrato in questo documento, applicare gli aggiornamenti seguenti:

  • Per Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista applicare l'aggiornamento appropriato elencato nel documento 2677070 della Microsoft Knowledge Base.
  • Per Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 o Windows Vista applicare l'aggiornamento appropriato elencato nel documento 2813430 della Microsoft Knowledge Base.

Il programma Microsoft Root Certificate consente la distribuzione di certificati radice attendibili nei sistemi operativi Windows. Per altre informazioni sull'elenco di membri del programma Windows Root Certificate, vedere la pagina relativa all'elenco dei membri del programma Windows Root Certificate che include tutte le CA.

I certificati radice attendibili vengono posizionati nel certificato Autorità di certificazione radice attendibili dei sistemi operativi Windows. Questi certificati vengono considerati attendibili dal sistema operativo e possono essere utilizzati dalle applicazioni come riferimento per le gerarchie Infrastruttura a chiave pubblica e i certificati digitali attendibili. Per distribuire i certificati radice attendibili, è possibile utilizzare i due metodi seguenti:

  1. Automatico: l'elenco di certificati radice attendibili viene archiviato in un elenco di scopi consentiti. I computer client accedono al sito Windows Update utilizzando il meccanismo di aggiornamento automatico per aggiornare questo elenco di scopi consentiti.

    System_CAPS_ICON_note.jpg Nota


    L'elenco di certificati radice attendibili è denominato elenco di scopi consentiti attendibile.

  2. Manuale: l'elenco di certificati radice attendibili è disponibile come pacchetto IEXPRESS autoestraente nell'Area download Microsoft, nel catalogo di Windows oppure utilizzando Windows Server Update Services (WSUS). I pacchetti IEXPRESS vengono rilasciati contemporaneamente all'elenco di scopi consentiti attendibile.

System_CAPS_ICON_note.jpg Nota


Per altre informazioni su questi metodi di aggiornamento, vedere il documento 931125 della Microsoft Knowledge Base.

I certificati non attendibili sono certificati noti pubblicamente come fraudolenti. Così come per l'elenco di scopi consentiti attendibile, sono disponibili due meccanismi per distribuire un elenco di certificati non attendibili:

  1. Automatico: l'elenco di certificati radice non attendibili viene archiviato in un elenco di scopi consentiti. I computer client accedono al sito Windows Update utilizzando il meccanismo di aggiornamento automatico per aggiornare questo elenco di scopi consentiti.

    System_CAPS_ICON_note.jpg Nota


    Un elenco di certificati non attendibili è denominato elenco di scopi consentiti non attendibile. Per altre informazioni, vedere la pagina di annuncio della disponibilità dello strumento di aggiornamento automatico di certificati e chiavi non attendibili.

  2. Manuale: l'elenco di certificati non attendibili è disponibile come pacchetto IEXPRESS autoestraente in un aggiornamento di Windows Update obbligatorio per la sicurezza.

Prima di R2 per Windows Server 2012 e Windows 8.1 (oppure l'installazione dell'aggiornamento software come spiegato in precedenza), gli aggiornamenti per i certificati radice attendibili e i certificati non attendibili venivano controllati dalla stessa impostazione del Registro di sistema. Un amministratore non poteva scegliere di abilitare o disabilitare un tipo di aggiornamento o l'altro e si verificavano gli scenari seguenti:

  • Se l'organizzazione si trovava in un ambiente disconnesso, l'unico metodo per aggiornare gli elenchi di scopi consentiti era quello di utilizzare i pacchetti IEXPRESS.

    System_CAPS_ICON_note.jpg Nota


    In questo documento per ambiente disconnesso si intende una rete in cui i computer non possono accedere al sito Windows Update.

    Il metodo di aggiornamento IEXPRESS è per lo più un processo manuale. Poiché il pacchetto IEXPRESS potrebbe non essere immediatamente disponibile al momento del rilascio dell'elenco di scopi consentiti, potrebbe inoltre verificarsi un ulteriore ritardo quando si installano gli aggiornamenti mediante questo metodo.

  • Anche se per gli amministratori che gestiscono elenchi di certificati radice attendibili (in ambienti disconnessi o connessi) è consigliabile disabilitare gli aggiornamenti automatici per gli elenchi di scopi consentiti attendibili, non è consigliabile disabilitare gli aggiornamenti automatici degli elenchi di scopi consentiti non attendibili.

    Per altre informazioni, vedere Controllo della funzionalità di aggiornamento dei certificati radice per impedire il flusso di informazioni da e verso Internet.

  • Poiché non esisteva un metodo per consentire agli amministratori di rete di visualizzare ed estrarre solo i certificati radice attendibili in un elenco di scopi consentiti attendibile, risultava difficile gestire un elenco personalizzato di certificati attendibili.

I meccanismi di aggiornamento automatico seguenti per un ambiente disconnesso sono disponibili in R2 per Windows Server 2012 e Windows 8.1 oppure quando viene installato l'aggiornamento software appropriato:

  • Impostazioni del Registro di sistema per l'archiviazione di elenchi di scopi consentiti Nuove impostazioni consentono di modificare la posizione per il caricamento di elenchi di scopi consentiti attendibili o non attendibili dal sito Windows Update a una posizione condivisa in un'organizzazione. Per altre informazioni, vedere la sezione Impostazioni del Registro di sistema modificate.

  • Opzioni di sincronizzazione Se l'URL del sito Windows Update viene spostato in una cartella condivisa locale, tale cartella deve essere sincronizzata con la cartella di Windows Update. Questo aggiornamento software consente di aggiungere nello strumento Certutil un insieme di opzioni che gli amministratori possono utilizzare per abilitare la sincronizzazione. Per altre informazioni, vedere la sezione Nuove opzioni di Certutil.

  • Strumento per la selezione di certificati radice attendibili Questo aggiornamento software include uno strumento per gli amministratori che gestiscono l'insieme di certificati radice attendibili nel loro ambiente aziendale. Gli amministratori possono visualizzare e selezionare l'insieme di certificati radice attendibili, esportarli in un archivio di certificati serializzati e distribuirli mediante Criteri di gruppo. Per altre informazioni, vedere la sezione Nuove opzioni di Certutil in questo documento.

  • Configurabilità indipendente I meccanismi di aggiornamento automatico per i certificati attendibili e per quelli non attendibili possono essere configurati separatamente. In questo modo gli amministratori possono utilizzare il meccanismo di aggiornamento automatico per scaricare solo gli elenchi di scopi consentiti non attendibili e gestire i propri elenchi di scopi consentiti attendibili. Per altre informazioni, vedere la sezione Impostazioni del Registro di sistema modificate in questo documento.

In R2 per Windows Server 2012 e Windows 8.1 (oppure installando gli aggiornamenti software indicati in precedenza su sistemi operativi supportati), un amministratore può configurare un file o un server Web per scaricare i file seguenti mediante il meccanismo di aggiornamento automatico:

  • authrootstl.cab, che contiene un elenco di scopi consentiti non Microsoft

  • disallowedcertstl.cab, che contiene un elenco di scopi consentiti con certificati non attendibili

  • disallowedcert.sst, che contiene un archivio di certificati serializzati con certificati non attendibili

  • IdentificazionePersonale.crt, che contiene certificati radice non Microsoft

La procedura per eseguire questa configurazione è descritta nella sezione Configurare un file o un server Web per scaricare i file dell'elenco di scopi consentiti di questo documento.

Utilizzando R2 per Windows Server 2012 e Windows 8.1 (oppure installando gli aggiornamenti software indicati in precedenza su sistemi operativi supportati), un amministratore può:

System_CAPS_ICON_important.jpg Importante

  • Per tutti i passaggi illustrati in questo documento è necessario utilizzare un account appartenente al gruppo Administrators locale. Per tutti i passaggi di configurazione di Servizi di dominio Active Directory, è necessario utilizzare un account appartenente al gruppo Domain Admins o a cui sono state delegate le autorizzazioni necessarie.

  • Le procedure descritte in questo documento possono essere eseguite solo se si dispone di almeno un computer in grado di connettersi a Internet per scaricare dal sito Microsoft gli elenchi di scopi consentiti. Per il computer sono necessari l'accesso HTTP (porta TCP 80) e la capacità della risoluzione dei nomi (porta TCP e UDP 53) di contattare ctldl.windowsupdate.com. Il computer può essere membro di un dominio o di un gruppo di lavoro. Tutti i file scaricati richiedono attualmente circa 1,5 MB di spazio.

  • Le impostazioni descritte in questo documento vengono implementate mediante oggetti Criteri di gruppo. Se gli oggetti Criteri di gruppo vengono scollegati o rimossi dal dominio di Servizi di dominio Active Directory, queste impostazioni non vengono rimosse automaticamente. Dopo l'implementazione, queste impostazioni possono essere modificate solo mediante un oggetto Criteri di gruppo o modificando il Registro di sistema dei computer interessati.

  • I concetti illustrati in questo documento sono indipendenti da Windows Server Update Services (WSUS).

    • Non è necessario utilizzare WSUS per implementare la configurazione spiegata in questo documento.
    • Se si utilizza WSUS, queste istruzioni non ne influenzano il funzionamento.
    • L'implementazione di WSUS non sostituisce l'implementazione delle configurazioni descritte in questo documento.

Per semplificare la distribuzione di certificati attendibili o non attendibili per un ambiente disconnesso, è innanzitutto necessario configurare un file o un server Web per scaricare i file dell'elenco di scopi consentiti dal meccanismo di aggiornamento automatico.

System_CAPS_ICON_tip.jpg Suggerimento


La configurazione descritta in questa sezione non è necessaria per gli ambienti in cui i computer sono in grado di connettersi direttamente al sito Windows Update. Tali computer possono infatti ricevere ogni giorno gli elenchi di scopi consentiti aggiornati (se eseguono Windows Server 2012, Windows 8 oppure se gli aggiornamenti software indicati in precedenza sono installati su sistemi operativi supportati). Per altre informazioni, vedere il documento 2677070 nella Microsoft Knowledge Base.

Per configurare un server che abbia accesso a Internet per recuperare i file dell'elenco di scopi consentiti

  1. Creare una cartella condivisa in un file server o in un server Web che sia in grado di eseguire la sincronizzazione mediante il meccanismo di aggiornamento automatico e che si desidera utilizzare per archiviare i file dell'elenco di scopi consentiti.

    System_CAPS_ICON_tip.jpg Suggerimento


    Prima di iniziare, potrebbe essere necessario modificare le autorizzazioni della cartella condivisa e della cartella NTFS per consentire l'accesso dell'account appropriato, specialmente se si sta utilizzando un'attività pianificata con un account di servizio. Per altre informazioni sulla modifica delle autorizzazioni, vedere Gestire le autorizzazioni per le cartelle condivise.

  2. Da un prompt dei comandi con privilegi elevati eseguire il comando seguente:

    Certutil -syncWithWU \\<server>\<share>  
    
    

    Sostituire <server> con il nome effettivo del server e <share> con il nome della cartella condivisa. Ad esempio, se si esegue questo comando per un server denominato Server1 con una cartella condivisa denominata CTL, il comando sarà il seguente:

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. Scaricare i file dell'elenco di scopi consentiti in un server a cui i computer di un ambiente disconnesso possano accedere in rete mediante un percorso FILE (ad esempio, FILE://\\Server1\CTL) o un percorso HTTP (ad esempio, HTTP://Server1/CTL).

System_CAPS_ICON_note.jpg Nota

  • Se il server che sincronizza gli elenchi di scopi consentiti non è accessibile per i computer dell'ambiente disconnesso, è necessario utilizzare un altro metodo per trasferire le informazioni. Ad esempio, è possibile consentire a uno dei computer membri del dominio di connettersi al server e quindi pianificare un'altra attività nel computer membro del dominio per effettuare il pull delle informazioni in una cartella condivisa di un server Web interno. Se non è disponibile alcuna connessione di rete, potrebbe essere necessario utilizzare un processo manuale per trasferire i file, ad esempio un dispositivo di archiviazione rimovibile.
  • Se si intende utilizzare un server Web, è consigliabile creare una nuova directory virtuale per i file dell'elenco di scopi consentiti. I passaggi necessari per creare una directory virtuale mediante Internet Information Services (IIS) sono quasi gli stessi per tutti i sistemi operativi supportati di cui si parla in questo documento. Per altre informazioni, vedere Creare una directory virtuale (IIS 7).
  • Si tenga presente che ad alcune cartelle di sistema e di applicazione in Windows è applicata una protezione speciale. Ad esempio, poiché per accedere alla cartella inetpub, sono necessarie autorizzazioni di accesso, è difficile creare una cartella condivisa da utilizzare durante un'attività pianificata per trasferire file. Gli amministratori possono in genere creare un percorso di cartella nella radice del sistema di unità logiche da utilizzare per il trasferimento di file.

Se i computer della rete sono configurati in un ambiente di dominio e non sono in grado di utilizzare il meccanismo di aggiornamento automatico o scaricare gli elenchi di scopi consentiti, è possibile implementare un oggetto Criteri di gruppo in Servizi di dominio Active Directory per configurare tali computer per ottenere gli aggiornamenti dell'elenco di scopi consentiti da una posizione alternativa.

System_CAPS_ICON_note.jpg Nota


Per procedere alla configurazione illustrata in questa sezione, è necessario aver già eseguito i passaggi descritti in Configurare un file o un server Web per scaricare i file dell'elenco di scopi consentiti.

Per configurare un modello amministrativo personalizzato per un oggetto Criteri di gruppo

  1. In un controller di dominio creare un nuovo modello amministrativo. È possibile iniziare con un file di testo e quindi modificare l'estensione del nome del file con .adm. Il contenuto del file deve essere il seguente:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Utilizzare un nome descrittivo per salvare il file, ad esempio RootDirURL.adm.

    System_CAPS_ICON_tip.jpg Suggerimento

    • Assicurarsi che l'estensione del nome del file sia .adm e non .txt.
    • Se la visualizzazione dell'estensione del nome dei file non è ancora stata abilitata, vedere la procedura per visualizzare le estensioni dei nomi di file
    • Se si salva il file nella cartella %windir%\inf, risulterà più semplice individuarlo nei passaggi seguenti.
  3. Aprire Editor Gestione Criteri di gruppo.

    • Se si utilizza Windows Server 2008 R2 o Windows Server 2008, fare clic sul pulsante Start e quindi su Esegui.

    • Se si utilizza R2 per Windows Server 2012 o Windows Server 2012, premere il pulsante Windows contemporaneamente al pulsante R.

    Digitare GPMC.msc e quindi premere INVIO.

    System_CAPS_ICON_caution.jpg Attenzione


    È possibile collegare l'oggetto Criteri di gruppo al dominio oppure a un'unità organizzativa qualsiasi. Le modifiche dell'oggetto Criteri di gruppo implementate in questo documento cambiano le impostazioni del Registro di sistema del computer interessato. Tali impostazioni non possono essere annullate eliminando o scollegando l'oggetto Criteri di gruppo, ma solo invertendole nelle impostazioni dell'oggetto Criteri di gruppo oppure modificando il Registro di sistema mediante un'altra tecnica.

  4. In Console Gestione Criteri di gruppo espandere l'oggetto Foresta, l'oggetto Domini e quindi il dominio specifico che contiene gli account del computer che si desidera modificare. Per modificare un'unità organizzativa specifica, passare al percorso corrispondente. Fare clic su un oggetto Criteri di gruppo esistente oppure fare clic con il pulsante destro del mouse e quindi scegliere Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento per creare un nuovo oggetto Criteri di gruppo. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo che si desidera modificare e quindi scegliere Modifica.

  5. Nel riquadro di spostamento in Configurazione computer espandere Criteri.

  6. Fare clic con il pulsante destro del mouse su Modelli amministrativi e quindi scegliere Aggiunta/Rimozione modelli.

  7. In Aggiunta/Rimozione modelli fare clic su Aggiungi. Nella finestra di dialogo Modelli criteri selezionare il modello con estensione adm salvato in precedenza. Fare clic su Apri e quindi su Chiudi.

  8. Nel riquadro di spostamento espandere Modelli amministrativi e quindi Modelli amministrativi classici (ADM).

  9. Fare clic sull'opzione per le impostazioni degli aggiornamenti automaticidi Windows e nel riquadro dei dettagli fare doppio clic sull'opzione per specificare l'indirizzo URLda usare al posto di ctldl.windowsupdate.com.

  10. Selezionare Abilitato. Nella sezione Opzioni immettere l'URL del file server o del server Web contenente i file dell'elenco di scopi consentiti. Ad esempio, http://server1/CTL o file://\\server1\CTL. Fare clic su OK. Chiudere Editor Gestione Criteri di gruppo.

Il criterio ha validità immediata, ma i computer client devono essere riavviati per ricevere le nuove impostazioni. In alternativa, è possibile digitare gpupdate /force da un prompt dei comandi con privilegi elevati oppure da Windows PowerShell.

System_CAPS_ICON_important.jpg Importante


Poiché gli elenchi di scopi consentiti possono essere aggiornati quotidianamente, è consigliabile tenere i file sincronizzati mediante un'attività pianificata o un altro metodo (ad esempio, uno script che gestisca le condizioni di errore) per aggiornare la cartella condivisa o la directory virtuale Web. Per altri dettagli sulla creazione di un'attività pianificata, vedere Pianificare un'attività. Se si prevede di scrivere uno script per eseguire aggiornamenti quotidiani, vedere le sezioni Nuove opzioni di Certutil e Possibili errori di Certutil -SyncWithWU di questo documento. che forniscono ulteriori informazioni sulle opzioni di comando e le condizioni di errore.

In alcune organizzazioni potrebbe essere necessario aggiornare automaticamente solo gli elenchi di scopi consentiti non attendibili e non gli elenchi di scopi consentiti attendibili. A tale scopo, è possibile creare due modelli con estensione adm da aggiungere a Criteri di gruppo.

System_CAPS_ICON_important.jpg Importante

  1. In un ambiente disconnesso è possibile eseguire la procedura seguente insieme alla procedura descritta sopra, ovvero quella per reindirizzare l'URL dell'aggiornamento automatico Microsoft per gli elenchi di scopi consentiti attendibili e non attendibili. Questa procedura illustra come disabilitare selettivamente l'aggiornamento automatico degli elenchi di scopi consentiti attendibili.
  2. Questa procedura può essere inoltre utilizzata in un ambiente connesso in isolamento per disabilitare selettivamente l'aggiornamento automatico degli elenchi di scopi consentiti attendibili.

Per reindirizzare selettivamente solo gli elenchi di scopi consentiti non attendibili

  1. In un controller di dominio creare il primo nuovo modello amministrativo iniziando da un file di testo e quindi sostituendo l'estensione del nome di file con .adm. Il contenuto del file deve essere il seguente:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Utilizzare un nome descrittivo per salvare il file, ad esempio DisableAllowedCTLUpdate.adm.

  3. Creare un secondo nuovo modello amministrativo. Il contenuto del file deve essere il seguente:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. Utilizzare un nome descrittivo per salvare il file, ad esempio EnableUntrustedCTLUpdate.adm.

    System_CAPS_ICON_tip.jpg Suggerimento

    • Assicurarsi che l'estensione dei nomi di questi file sia .adm e non .txt.
    • Se la visualizzazione dell'estensione del nome dei file non è ancora stata abilitata, vedere la procedura per visualizzare le estensioni dei nomi di file
    • Se si salva il file nella cartella %windir%\inf, risulterà più semplice individuarlo nei passaggi seguenti.
  5. Aprire Editor Gestione Criteri di gruppo.

  6. In Console Gestione Criteri di gruppo espandere gli oggetti Foresta e Domini, nonché l'oggetto dominio specifico che si desidera modificare. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Criterio dominio predefinito e quindi scegliere Modifica.

  7. Nel riquadro di spostamento in Configurazione computer espandere Criteri.

  8. Fare clic con il pulsante destro del mouse su Modelli amministrativi e quindi scegliere Aggiunta/Rimozione modelli.

  9. In Aggiunta/Rimozione modelli fare clic su Aggiungi. Utilizzare la finestra di dialogo Modelli criteri per selezionare i modelli con estensione adm salvati in precedenza. Per selezionarli entrambi, tenere premuto il tasto CTRL e fare clic sui due file. Fare clic su Apri e quindi su Chiudi.

  10. Nel riquadro di spostamento espandere Modelli amministrativi e quindi Modelli amministrativi classici (ADM).

  11. Fare clic sull'opzione per le impostazioni degli aggiornamenti automaticidi Windows e quindi nel riquadro dei dettagli fare doppio clic su Aggiornamento radice automatico.

  12. Selezionare Disabilitato. Questa impostazione impedisce l'aggiornamento automatico degli elenchi di scopi consentiti attendibili. Fare clic su OK.

  13. Nel riquadro dei dettagli fare doppio clic su Untrusted CTL Automatic Update. Selezionare Abilitato. Fare clic su OK.

Il criterio ha validità immediata, ma i computer client devono essere riavviati per ricevere le nuove impostazioni. In alternativa, è possibile digitare gpupdate /force da un prompt dei comandi con privilegi elevati oppure da Windows PowerShell.

System_CAPS_ICON_important.jpg Importante


Poiché gli elenchi di scopi consentiti attendibili e non attendibili possono essere aggiornati quotidianamente, è consigliabile tenere i file sincronizzati mediante un'attività pianificata o un altro metodo per aggiornare la cartella condivisa o la directory virtuale.

In questa sezione viene illustrato come creare, verificare e filtrare gli elenchi di scopi consentiti attendibili che si desidera vengano utilizzati dai computer della propria organizzazione. Per utilizzare questa soluzione, è necessario implementare gli oggetti Criteri di gruppo descritti nelle procedure precedenti. Questa soluzione è disponibile sia per gli ambienti disconnessi che per gli ambienti connessi.

Per personalizzare gli elenchi di scopi consentiti attendibili, esistono due procedure.

  1. Creare un sottoinsieme di certificati attendibili

  2. Distribuire i certificati attendibili mediante Criteri di gruppo

Per creare un sottoinsieme di certificati attendibili

  1. Da un computer connesso a Internet aprire Windows PowerShell come amministratore oppure aprire un prompt dei comandi con privilegi elevati e digitare il comando seguente:

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. È possibile eseguire il comando seguente in Esplora risorse per aprire WURoots.sst:

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg Suggerimento


    In alternativa, è possibile utilizzare Internet Explorer per individuare il file e quindi aprirlo mediante doppio clic. In base alla posizione in cui è stato archiviato il file, potrebbe essere possibile aprirlo anche digitando wuroots.sst.

  3. Nel riquadro di spostamento di Gestione certificati espandere il percorso del file in Certificati - Utente corrente finché non viene visualizzato Certificati e quindi fare clic su Certificati.

  4. Nel riquadro dei dettagli sono presenti i certificati attendibili. Tenere premuto il tasto CTRL e fare clic su ogni certificato che si desidera consentire. Al termine della selezione dei certificati, fare clic con il pulsante destro del mouse su uno dei certificati selezionati, scegliere Tutte le attività e quindi fare clic su Esporta.

    System_CAPS_ICON_important.jpg Importante


    Per esportare il tipo di file .sst, è necessario selezionare almeno due certificati. Se si seleziona un solo certificato, il tipo di file .sst non è disponibile e viene selezionato il tipo di file .cer.

  5. Nell'Esportazione guidata certificati fare clic su Avanti.

  6. Nella pagina Formato file di esportazione fare clic su Archivio certificati serializzati Microsoft (.SST) e quindi su Avanti.

  7. Nella pagina File da esportare immettere un percorso e un nome appropriato per il file, ad esempio C:\AllowedCerts.sst e quindi fare clic su Avanti. Fare clic su Fine. Quando viene visualizzata la notifica che indica che l'esportazione è stata eseguita correttamente, fare clic su OK.

  8. Copiare il file .sst creato in un controller di dominio.

Per distribuire l'elenco di certificati attendibili mediante Criteri di gruppo

  1. Nel controller di dominio in cui è presente il file .sst personalizzato aprire Editor Gestione Criteri di gruppo.

  2. In Console Gestione Criteri di gruppo espandere gli oggetti Foresta e Domini, nonché l'oggetto dominio specifico che si desidera modificare. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Criterio dominio predefinito e quindi scegliere Modifica.

  3. Nel riquadro di spostamento in Configurazione computer espandere Criteri, Impostazioni di Windows, Impostazioni sicurezza e quindi Criteri chiave pubblica.

  4. Fare clic con il pulsante destro del mouse su Autorità di certificazione radice attendibili e quindi scegliere Importa.

  5. Nell'Importazione guidata certificati fare clic su Avanti.

  6. Immettere il nome e il percorso del file copiato nel controller di dominio oppure utilizzare il pulsante Sfoglia per individuare il file. Fare clic su Avanti.

  7. Confermare che si desidera posizionare questi certificati nell'archivio Autorità di certificazione radice attendibili facendo clic su Avanti. Fare clic su Fine. Quando viene visualizzata la notifica che indica che l'importazione dei certificati è stata eseguita correttamente, fare clic su OK.

  8. Chiudere Editor Gestione Criteri di gruppo.

Il criterio ha validità immediata, ma i computer client devono essere riavviati per ricevere le nuove impostazioni. In alternativa, è possibile digitare gpupdate /force da un prompt dei comandi con privilegi elevati oppure da Windows PowerShell.

Le impostazioni descritte in questo documento consentono di configurare le chiavi del Registro di sistema seguenti nei computer client. Se gli oggetti Criteri di gruppo vengono scollegati o rimossi dal dominio, queste impostazioni non vengono rimosse automaticamente. Se si desidera modificarle, è necessario riconfigurarle in modo specifico.

Chiavi del Registro di sistemaValore e descrizione
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdateIl valore 1 disabilita l'aggiornamento automatico di Windows dell'elenco di scopi consentiti attendibile.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateIl valore 1 abilita l'aggiornamento automatico di Windows dell'elenco di scopi consentiti non attendibile.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlConfigura la posizione condivisa, ovvero HTTP o il percorso FILE.

In Certutil sono state aggiunte le opzioni seguenti:

SintassiDescrizioneEsempio
CertUtil [Options] -syncWithWU DirectoryDestinazioneEsegue la sincronizzazione con Windows Update.

 
  • DirectoryDestinazione rappresenta la cartella che riceve i file utilizzando il meccanismo di aggiornamento automatico.
  • Mediante il meccanismo di aggiornamento automatico vengono scaricati i file seguenti:

     
    • Il file authrootstl.cab contiene gli elenchi di scopi consentiti dei certificati radice non Microsoft.
    • Il file disallowedcertstl.cab contiene gli elenchi di scopi consentiti dei certificati non attendibili.
    • Il file disallowedcert.sst contiene l'archivio dei certificati serializzati, inclusi i certificati non attendibili.
    • Il file <IdentificazionePersonale>.crt contiene i certificati radice non Microsoft.
CertUtil -syncWithWU \\server1\PKI\CTLs
CertUtil [Options] -generateSSTFromWU FileSSTGenera il file SST mediante il meccanismo di aggiornamento automatico.

FileSST rappresenta il file da creare. Il file .sst generato contiene i certificati radice non Microsoft scaricati mediante il meccanismo di aggiornamento automatico.
CertUtil –generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg Suggerimento


Certutil -SyncWithWU -f <folder> aggiorna i file esistenti nella cartella di destinazione.

Certutil -syncWithWU -f -f <folder> rimuove e sostituisce i file nella cartella di destinazione.

Quando si esegue il comando Certutil -syncWithWU, è possibile che vengano visualizzati i messaggi di errore o gli avvisi seguenti:

  • Se come cartella di destinazione si utilizza una cartella o un percorso locale non esistente, viene visualizzato il messaggio di errore seguente:

    Impossibile trovare il file specificato. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Se come cartella di destinazione si utilizza un percorso di rete non esistente o non disponibile, viene visualizzato il messaggio di errore seguente:

    Impossibile trovare il nome della rete. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Se il server in uso non è in grado di connettersi ai server di aggiornamento automatico Microsoft mediante la porta TCP 80, viene visualizzato il messaggio di errore seguente:

    Impossibile stabilire una connessione con il server 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Se il server in uso non è in grado di raggiungere i server di aggiornamento automatico Microsoft con il nome DNS ctldl.windowsupdate.com, viene visualizzato il messaggio di errore seguente:

    Impossibile risolvere il nome del server o l'indirizzo 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Se non si utilizza l'opzione -f e uno dei file dell'elenco di scopi consentiti esiste già nella directory, verrà visualizzato un messaggio di errore che indica che il file esiste già:

    CertUtil: comando -syncWithWU NON RIUSCITO: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Impossibile creare un file, se il file esiste già.

  • Se i certificati radice attendibili vengono modificati, viene visualizzato l'avviso seguente: "Avviso: le CA radice seguenti non sono più attendibili: <PercorsoCartella>\<IdentificazionePersonale>.crt. Utilizzare l'opzione "-f -f" per forzare l'eliminazione dei file ".crt" precedenti. Se il file "authrootstl.cab" è stato aggiornato, prima di eseguire l'eliminazione è consigliabile attendere che tutti i client siano stati aggiornati."

Mostra: