Linee guida per l'Autorità di certificazione

 

Si applica a: Windows Server 2012 R2, Windows Server 2012

Un'autorità di certificazione (CA) è responsabile dell'attestazione dell'identità di utenti, computer e organizzazioni. La CA autentica un'entità e convalida l'identità mediante il rilascio in un certificato firmato digitalmente. La CA può inoltre gestire, revocare e rinnovare i certificati.

Il termine Autorità di certificazione può fare riferimento a:

• un'organizzazione che convalida l'identità di un utente finale

• un server usato dall'organizzazione per il rilascio e la gestione di certificati

L'installazione del servizio ruolo Autorità di certificazione di Servizi certificati Active Directory consente di configurare il server Windows in modo che funga da CA.

Prima di installare il servizio ruolo CA, è necessario:

1. Pianificare un'Infrastruttura a chiave pubblica (PKI) appropriata per l'organizzazione.

2. Installare e configurare un modulo di protezione hardware conformemente alle istruzioni del fornitore del modulo, se si prevede di usarne uno.

3. Creare un file CAPolicy.inf per modificare le impostazioni di installazione predefinite, se necessario.

Pianificare l'Infrastruttura a chiave pubblica (PKI)

Per assicurarsi che l'organizzazione possa usufruire di tutti i vantaggi offerti dall'installazione di Servizi certificati Active Directory, è necessario pianificare la distribuzione dell'Infrastruttura a chiave pubblica (PKI) nel modo appropriato. A questo scopo, è necessario stabilire quante CA verranno installate e con quale configurazione, prima di procedere all'installazione di qualsiasi CA. La progettazione di un'Infrastruttura a chiave pubblica (PKI) può richiedere tempo, ma è importante per garantire l'esito positivo dell'infrastruttura stessa.

Per altre informazioni e risorse, vedere la guida alla struttura dell'infrastruttura a chiave pubblica in Microsoft TechNet.

Usare un modulo di protezione hardware

L'uso di un modulo di protezione hardware può ottimizzare la sicurezza della CA e dell'Infrastruttura a chiave pubblica (PKI).

Un modulo di protezione hardware è un dispositivo hardware dedicato che è gestito separatamente dal sistema operativo. Questi moduli offrono un archivio hardware sicuro per le chiavi CA oltre a un processore di crittografia dedicato che consente di accelerare le operazioni di firma e di crittografia. Il sistema operativo usa il modulo di protezione hardware tramite le interfacce CryptoAPI e il modulo di protezione hardware funzione come dispositivo del provider del servizio di crittografia (CSP).

I moduli di protezione hardware sono in genere costituiti da schede PCI ma sono anche disponibili come dispositivi di rete, dispositivi seriali e dispositivi USB. Se un'organizzazione prevede di implementare due o più CA, è possibile installare un singolo modulo di protezione hardware di rete e condividerlo tra più CA.

Per configurare una CA tramite un modulo di protezione hardware, il modulo deve essere installato e configurato prima di configurare le CA con chiavi che verranno archiviate nel modulo di protezione stesso.

Usare un file CAPolicy.inf

Il file CAPolicy.inf non è obbligatorio per l'installazione di Servizi certificati Active Directory, ma può essere usato per personalizzare le impostazioni della CA. Il file CAPolicy.inf contiene varie impostazioni che vengono usate durante l'installazione di una CA o durante il rinnovo del certificato della CA. Per poterlo usare, è necessario creare e archiviare il file CAPolicy.inf nella directory %systemroot%, in genere C:\Windows.

Le impostazioni incluse nel file CAPolicy.inf dipendono in gran parte dal tipo di distribuzione che si vuole creare. Una CA radice, ad esempio, potrebbe avere un file CAPolicy.inf con un aspetto simile al seguente:

[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
LoadDefaultTemplates=0

Mentre un file CAPolicy.inf per un'azienda che rilascia una CA potrebbe avere un aspetto simile al seguente:

[Version]
Signature= "$Windows NT$"
[PolicyStatementExtension]
Policies = LegalPolicy, LimitedUsePolicy
[LegalPolicy]
OID = 1.1.1.1.1.1.1.1.1
URL = "https://www.contoso.com/pki/Policy/USLegalPolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLegalPolicy.txt"
[LimitedUsePolicy]
OID = 2.2.2.2.2.2.2.2.2
URL = "https://www.contoso.com/pki/Policy/USLimitedUsePolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLimitedUsePolicy.txt"
LoadDefaultTemplates=0

Selezionare le impostazioni di configurazione della CA

Nelle sezioni seguenti vengono descritte le opzioni di configurazione che si possono selezionare dopo avere installato i file di installazione binari della CA.

Selezionare il tipo di installazione

Le CA globali (enterprise) sono integrate in Servizi di dominio Active Directory. Pubblicano i certificati e gli elenchi di revoche di certificati (CRL) in Servizi di dominio Active Directory. Le CA globali (enterprise) usano le informazioni archiviate in Servizi di dominio Active Directory, inclusi gli account utente e i gruppi di sicurezza, per approvare o negare le richieste di certificati. Le CA globali (enterprise) usano i modelli di certificati. Quando viene rilasciato un certificato, la CA globale (enterprise) usa le informazioni incluse nel modello di certificato per generare un certificato con gli attributi appropriati per il tipo di certificato.

Se si vuole abilitare l'approvazione automatica dei certificati e la registrazione automatica dei certificati utente, usare le CA globali (enterprise) per rilasciare i certificati. Queste funzionalità sono disponibili solo quando l'infrastruttura della CA è integrata con Active Directory. Inoltre, solo le CA globali (enterprise) possono rilasciare certificati che consentono l'accesso tramite smart card, perché questo processo richiede che certificati smart card siano mappati automaticamente agli account utente in Active Directory.

Le CA autonome non richiedono Servizi di dominio Active Directory e non usano modelli di certificati. Se si usano CA autonome, tutte le informazioni relative al tipo di certificato richiesto devono essere incluse nella richiesta di certificato. Per impostazione predefinita, tutte le richieste di certificati inviate alle CA autonome sono vengono inserite in una coda in sospeso fino a quando non vengono approvate da un amministratore della CA. È possibile configurare le CA autonome per il rilascio automatico dei certificati alla richiesta, ma si tratta di una soluzione meno sicura e in genere non consigliata perché le richieste non vengono autenticate.

Dal punto di vista delle prestazioni, l'uso di CA autonome con rilascio automatico consente di rilasciare certificati con maggiore frequenza rispetto all'uso di CA globali (enterprise). Se tuttavia non si usa il rilascio automatico, l'uso di CA autonome per rilasciare grandi volumi di certificati comporta costi amministrativi elevati, in quanto un amministratore deve rivedere e quindi approvare o negare manualmente ogni richiesta di certificato. Per questo motivo, è consigliabile usare le CA autonome con applicazioni di sicurezza a chiave pubblica su Extranet e in Internet, quando gli utenti non dispongono di account utente e quando il volume dei certificati da rilasciare e gestire è relativamente basso

È necessario usare CA autonome per rilasciare certificati quando si usa un servizio di directory non Microsoft o quando Servizi di dominio Active Directory non è disponibile. È possibile usare entrambe le autorità di certificazione autonoma e globale (enterprise) nell'organizzazione, come illustrato nella tabella seguente.

Opzione	CA globale (enterprise)	CA autonoma
Pubblicare certificati in Active Directory e usare Active Directory per la convalida delle richieste di certificati.	Sì	No
Portare la CA offline.	Non consigliata	Sì
Configurare la CA per il rilascio automatico di certificati.	Sì	Non consigliata
Consentire agli amministratori di approvare manualmente le richieste di certificati.	Sì	Sì
Consentire l'uso di modelli di certificati.	Sì	No
Autenticare le richieste ad Active Directory.	Sì	No

Scegliere il tipo di CA

È possibile configurare le CA globali (enterprise) e autonome come CA radice o CA subordinate. Le CA subordinate possono essere ulteriormente configurate come CA intermedie (anche denominate CA di criteri) o CA emittenti

Designare una CA radice

Una CA radice è una CA che si trova in cima a una gerarchia di certificazione. Deve essere considerata attendibile incondizionatamente dai client nell'organizzazione. Tutte le catene di certificati terminano in corrispondenza di una CA radice. Sia che si scelga una CA globale (enterprise) o una CA autonoma, è necessario designare una CA radice.

Poiché la CA radice è la prima CA nella gerarchia di certificazione, il campo Soggetto del certificato emesso da una CA radice ha lo stesso valore del campo Emittente del certificato. Allo stesso modo, poiché tutte le catene di certificati terminano quando raggiungono una CA autofirmata, tutte le CA autofirmate sono CA radice. La decisione di designare una CA come CA radice attendibile può essere presa a livello aziendale o localmente dal singolo amministratore IT.

Una CA radice costituisce la base del modello di attendibilità dell'autorità di certificazione. Garantisce che la chiave pubblica del soggetto corrisponda alle informazioni sull'identità visualizzate nel campo soggetto del certificato che emette. CA diverse possono inoltre verificare questa relazione mediante standard diversi, è quindi importante capire i criteri e le procedure dell'autorità di certificazione radice prima di scegliere di considerare attendibile un'autorità specifica per la verifica delle chiavi pubbliche.

La CA radice è la CA più importante nella gerarchia. Se la CA radice è compromessa, tutte le CA nella gerarchia e tutti i certificati che questa emette vengono considerati compromessi. È possibile ottimizzare la sicurezza della CA radice mantenendola disconnessa dalla rete e usando CA subordinate per rilasciare certificati ad altre CA subordinate o agli utenti finali.

CA subordinate

Le CA che non sono CA radice sono considerate subordinate. La prima CA subordinata in una gerarchia ottiene il certificato dalla CA radice. Questa prima CA subordinata può usare questa chiave per rilasciare certificati che verificano l'integrità di un'altra CA subordinata. Queste CA subordinate più elevate vengono definite CA intermedie. Una CA intermedia è subordinata a una CA radice, ma funge da autorità di certificazione più elevata per una o più CA subordinate.

Una CA intermedia viene spesso definita come CA di criteri perché in genere viene usata per separare classi di certificati che possono essere distinte in base a criteri. Ad esempio, la separazione in base ai criteri include il livello di verifica fornito da una CA o la posizione geografica della CA per distinguere diverse popolazioni di entità finali. Una CA di criteri può essere online o offline.

Archiviare una chiave privata

La chiave privata fa parte dell'identità della CA e deve essere protetta da eventuali compromissioni. Molte organizzazioni proteggono le chiavi private delle CA tramite un modulo di protezione hardware. Se non viene usato un modulo di protezione hardware, la chiave privata viene archiviata nel computer della CA. Per altre informazioni, vedere Modulo di protezione hardware in Microsoft TechNet.

Le CA offline devono essere archiviate in posizioni sicure e non essere connesse alla rete. Le CA emittenti usano le relative chiavi private per il rilascio di certificati, quindi è necessario che le chiavi private siano accessibili (online) durante il funzionamento della CA. In tutti i casi, la CA e la relativa chiave privata sulla CA devono essere protette a livello fisico.

Trovare una chiave esistente

Se durante l'installazione si vuole usare una chiave privata esistente, è possibile usare la schermata Chiave esistente per trovare la chiave in questione. È anche possibile usare il pulsante Cambia per modificare il provider di crittografia e, facoltativamente, la CA in cui si vuole cercare la chiave esistente.

Trovare un certificato esistente

Se è già presente un certificato che contiene la chiave privata per la CA, è possibile usare la schermata Certificato esistente per trovarlo. Fare quindi clic sul pulsante Importa per aprire la finestra di dialogo Importa certificato esistente e individuare il file PKCS #12 esistente.

Selezionare le opzioni di crittografia

La selezione delle opzioni di crittografia per un'autorità di certificazione (CA) può determinare un impatto significativo sulla sicurezza, sulle prestazioni e sulla compatibilità per la CA in questione. Sebbene le opzioni di crittografia predefinite siano adatte per la maggior parte delle CA, la possibilità di implementare opzioni personalizzate può risultare utile per gli amministratori e gli sviluppatori di applicazioni che hanno conoscenze più avanzate della crittografia ed esigenze specifiche in termini di flessibilità. È possibile implementare le opzioni di crittografia tramite i provider del servizio di crittografia (CSP) o i provider di servizi chiave (KSP).

I provider del servizio di crittografia sono componenti hardware e software inclusi nei sistemi operativi Windows che forniscono funzioni di crittografia generiche. I provider del servizio di crittografia possono essere scritti per fornire un'ampia gamma di algoritmi di crittografia e di firma.

I provider di archiviazione chiavi possono offrire una protezione chiave avanzata per i computer che eseguono Windows Server 2008 R2 come versione minima del server e Windows Vista come versione minima del client.

Consenti intervento dell'amministratore quando la CA accede alla chiave privata è un'opzione che viene in genere usata con i moduli di protezione hardware. Questo consente al provider di crittografia di richiedere all'utente un'autenticazione aggiuntiva quando viene eseguito l'accesso alla chiave privata della CA. È possibile usare questa opzione per impedire l'uso non approvato della CA e della relativa chiave privata richiedendo all'amministratore di immettere una password prima di ogni operazione di crittografia.

I provider di crittografia incorporati supportano lunghezze di chiave e algoritmi hash specifici, come descritto nella tabella seguente.

Provider di crittografia	Lunghezze chiave	Algoritmo hash
Microsoft Base Cryptographic Provider v1.0	512 1024 2048 4096	SHA1 MD2 MD4 MD5
Microsoft Base DSS Cryptographic Provider	512 1024	SHA1
Microsoft Base Smart Card Crypto Provider	1024 2048 4096	SHA1 MD2 MD4 MD5
Microsoft Enhanced Cryptographic Provider v1.0	512 1024 2048 4096	SHA1 MD2 MD4 MD5
Microsoft Strong Cryptographic Provider	512 1024 2048 4096	SHA1 MD2 MD4 MD5
RSA#Provider di archiviazione chiavi del software Microsoft	512 1024 2048 4096	SHA1 SHA256 SHA384 SHA512 MD2 MD4 MD5
DSA#Provider di archiviazione chiavi del software Microsoft	512 1024 2048	SHA1
ECDSA_P256#Provider di archiviazione chiavi del software Microsoft	256	SHA1 SHA256 SHA384 SHA512
ECDSA_P384#Provider di archiviazione chiavi del software Microsoft	384	SHA1 SHA256 SHA384 SHA512
ECDSA_P521#Provider di archiviazione chiavi del software Microsoft	521	SHA1 SHA256 SHA384 SHA512
RSA#Provider di archiviazione chiavi per smart card Microsoft	1024 2048 4096	SHA1 SHA256 SHA384 SHA512 MD2 MD4 MD5
ECDSA_P256#Provider di archiviazione chiavi per smart card Microsoft	256	SHA1 SHA256 SHA384 SHA512
ECDSA_P384#Provider di archiviazione chiavi per smart card Microsoft	384	SHA1 SHA256 SHA384 SHA512
ECDSA_P521#Provider di archiviazione chiavi per smart card Microsoft	521	SHA1 SHA256 SHA384 SHA512

Stabilire un nome di CA

Prima di configurare le autorità di certificazione (CA) nell'organizzazione, è necessario stabilire una convenzione di denominazione per le CA.

È possibile creare un nome usando qualsiasi carattere Unicode, ma ai fini dell'interoperabilità è preferibile usare il set di caratteri ANSI. Certi tipi di router, ad esempio, non saranno in grado di usare il servizio Registrazione dispositivi di rete per registrare i certificati se il nome della CA contiene caratteri speciali, ad esempio un carattere di sottolineatura.

In Servizi di dominio Active Directory, il nome specificato quando si configura un server come CA diventa il nome comune della CA e tale nome viene riflesso in ogni certificato rilasciato dalla CA. Per questo motivo, è importante non usare il nome di dominio completo (FQDN) per il nome comune della CA. In questo modo, gli utenti malintenzionati che ottengono una copia del certificato non possono completare l'identificazione e usare il nome di dominio completo della CA per creare una potenziale vulnerabilità di protezione.

Per modificare il nome del server dopo avere installato Servizi certificati Active Directory, è necessario disinstallare la CA, modificare il nome del server, reinstallare la CA usando le stesse chiavi e modificare il Registro di sistema affinché sui le chiavi e il database della CA esistenti. Non è necessario reinstallare una CA dopo la ridenominazione di un dominio, anche se sarà necessario riconfigurare la CA per il supporto della modifica del nome.

Ottenere una richiesta di certificato

Dopo l'installazione di un'autorità di certificazione (CA) radice, le organizzazioni installeranno in genere una o più CA subordinate per implementare restrizioni dei criteri sull'Infrastruttura a chiave pubblica (PKI) e per rilasciare certificati ai client finali. L'uso di almeno una CA subordinata consente di proteggere la CA radice da un'esposizione non necessaria. Quando si installa una CA subordinata, è necessario ottenere un certificato dalla CA padre.

Se la CA padre è online, è possibile usare l'opzione Invia una richiesta di certificato a una CA padre e selezionare la CA padre in base al nome della CA o al nome del computer.

Se la CA padre è offline, usare l'opzione Salva una richiesta di certificato in un file e inviala manualmente a una CA padre in un secondo momento. La procedura per questa operazione sarà esclusiva per la CA padre. Come minimo, la CA padre deve fornire un file contenente il certificato appena rilasciato della CA subordinata e preferibilmente il percorso di certificazione completo.

Se si ottiene un certificato di CA subordinata che non include il percorso di certificazione completo, la nuova CA subordinata che si installa deve essere in grado di creare all'avvio una catena di CA valida. Per creare un percorso di certificazione valido, procedere come indicato di seguito:

• Installare il certificato della CA padre nell'archivio certificati Autorità di certificazione intermedie del computer se la CA padre non è una CA radice.

• Installare i certificati delle altre CA intermedie nella catena.

• Installare il certificato della CA radice nell'archivio certificati delle Autorità di certificazione radice attendibili.

Verificare il periodo di validità

La crittografia basata su certificati si avvale della crittografia a chiave pubblica per proteggere e firmare i dati. Con il passare del tempo, gli autori di attacchi potrebbero ottenere i dati protetti tramite la chiave pubblica e tentare di derivare da essa la chiave privata. Con il tempo e le risorse necessari, la chiave privata potrebbe essere compromessa annullando così la protezione di tutti i dati protetti. In alcuni casi, potrebbe essere necessario modificare anche i nomi garantiti da un certificato. Dato che un certificato è un'associazione tra un nome e una chiave pubblica, quando uno di questi elementi cambia, anche il certificato deve essere rinnovato.

Ogni certificato ha un periodo di validità. Al termine del periodo di validità, il certificato non è più considerato una credenziale accettabile o utilizzabile.

Le CA non possono emettere certificati con una validità che supera il proprio periodo di validità. È quindi consigliabile rinnovare il certificato della CA alla scadenza della metà del relativo periodo di validità. Durante l'installazione della CA, pianificare questa data e verificare che venga registrata come attività futura.

Scegliere il database per la CA

Come molti altri database, il database dell'autorità di certificazione è costituito da un file ospitato nel disco rigido. Oltre a questo file, altri file fungono da log delle transazioni e ricevono tutte le modifiche apportate al database prima che tali modifiche vengano implementate. Poiché in genere si accede a questi file di frequente e contemporaneamente, è consigliabile mantenere il database e i log delle transazioni in unità disco rigido separate o in configurazioni di dischi a prestazioni elevate, ad esempio i volumi con striping.

Il percorso dei file di database e di log dei certificati vengono mantenuti nei percorsi del Registro di sistema seguenti:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Il Registro di sistema contiene i valori seguenti:

• DBDirectory

• DBLogDirectory

• DBSystemDirectory

• DBTempDirectory

Configurare la CA

Dopo l'installazione di una CA radice o subordinata, è necessario configurare le estensioni Accesso alle informazioni dell'autorità (AIA) e Punto di distribuzione CRL (CDP) prima che la CA rilasci i certificati. L'estensione AIA specifica il percorso in cui si trovano i certificati aggiornati per la CA. L'estensione CDP specifica il percorso in cui si trovano gli elenchi di revoche di certificati (CRL) aggiornati firmati dalla CA. Queste estensioni si applicano a tutti i certificati rilasciati dalla CA in questione.

La configurazione di queste estensioni garantisce che queste informazioni siano incluse in ogni certificato rilasciato dalla CA in modo che siano disponibili per tutti i client. Assicura inoltre che i client dell'Infrastruttura a chiave pubblica (PKI) riscontrino il minor numero di errori possibile derivanti da catene di certificati non verificate o revoche di certificati che possono determinare connessioni VPN non riuscite, accessi tramite smart card non riusciti o firme di posta elettronica non verificate.

Gli amministratori delle CA possono aggiungere, rimuovere o modificare i punti di distribuzione CRL e i percorsi per il rilascio di certificati CDP e AIA. La modifica dell'URL per un punto di distribuzione CRL influisce solo sui certificati appena rilasciati. I certificati rilasciati in precedenza continueranno a fare riferimento al percorso originale. Per questo motivo è necessario definire i percorsi prima che la CA distribuisca i certificati.

Durante la configurazione degli URL per l'estensione CDP, tenere conto delle indicazioni seguenti:

• Evitare di pubblicare delta CRL sulle CA radice offline. Poiché in genere non si revocano molti certificati su una CA radice offline, è probabile che un delta CRL non sia necessario.

• Modificare i percorsi degli URL LDAP:/// e HTTP:// predefiniti nella scheda Estensioni della scheda Estensione proprietà dell'autorità di certificazione in base alle esigenze.

• Pubblicare un CRL in un percorso HTTP Internet o Extranet in modo che gli utenti e le applicazioni esterni all'organizzazione possano eseguire la convalida dei certificati. È possibile pubblicare gli URL LADP e HTTP per i percorsi CDP per consentire ai client di recuperare i dati CRL tramite HTTP e LDAP.

• I client Windows recuperano sempre l'elenco di URL in ordine sequenziale fino a quando non viene recuperato un CRL valido.

• Usare i percorsi CDP HTTP per fornire percorsi CRL accessibili per i client che eseguono sistemi operativi non Windows.

Windows PowerShell e certutil supportano numeri variabili, preceduti dal segno di percentuale (%), per consentire la pubblicazione di percorsi CDP e AIA. Nella scheda Estensione proprietà della CA sono supportate anche le variabili tra parentesi. Nella tabella seguente vengono illustrate le variabili con le relative interfacce e viene fornita una descrizione del significato.

Variabile	Nome scheda Estensioni	Descrizione
%1	<ServerDNSName>	Nome DNS per il computer della CA. Se connesso a un dominio DNS, si tratta del nome di dominio completo. In caso contrario, si tratta del nome host del computer.
%2	<ServerShortName>	Nome NetBIOS del server della CA.
%3	<CaName>	Nome della CA
%4	<CertificateName>	Consente a ogni revisione aggiuntiva del certificato di avere un suffisso univoco.
%4	Nessuno	Non usata
%6	<ConfigurationContainer>	Percorso del contenitore di configurazione in Servizi di dominio Active Directory
%7	<CATruncatedName>	Nome della CA troncata a 32 caratteri con un hash finale
%8	<CRLNameSuffix>	Inserisce un suffisso nel nome file quando si pubblica un CRL in un percorso file o URL.
%9	<DeltaCRLAllowed>	Quando viene pubblicato un delta CRL, questa sostituisce la variabile CRLNameSuffix con un suffisso separato per distinguere il delta CRL dal CRL.
%10	<CDPObjectClass>	Identificatore di classe di oggetti per i punti di distribuzione CRL, usato per la pubblicazione in un URL LDAP.
%11	<CAObjectClass>	Identificatore di classe di oggetti per una CA, usato per la pubblicazione in un URL LDAP.

Pubblicare l'estensione AIA

L'estensione AIA comunica ai computer client la posizione in cui si trova il certificato da verificare. In questo modo i client possono confermare se il certificato è considerato attendibile.

È possibile configurare l'estensione AIA tramite l'interfaccia Autorità di certificazione, Windows PowerShell o il comando certutil. Nella tabella seguente vengono descritte le opzioni disponibili per l'estensione AIA usando questi metodi.

Nome casella di controllo interfaccia	Parametro di Windows PowerShell	Valore certutil
Includi nell'estensione Accesso alle informazioni dell'autorità (AIA) dei certificati emessi	-AddToCertificateAia	2
Includi nell'estensione del protocollo di stato del certificato online (OSCP)	-AddToCertificateOcsp	32

Gli esempi forniti in questa sezione per la pubblicazione dell'estensione AIA rappresentano lo scenario seguente:

• Il nome di dominio è corp.contoso.com.

• È presente un server Web denominato App1 nel dominio.

• In App1 è presente una cartella condivisa denominata PKI che consente le autorizzazioni di lettura e scrittura della CA.

• App1 ha un CNAME DNS di www e una directory virtuale condivisa denominata PKI.

• Il primo protocollo che i computer client devono usare per le informazioni AIA è il protocollo HTTP.

• Il secondo protocollo che i computer client devono usare per le informazioni AIA è il protocollo LDAP.

• La CA configurata è una CA emittente online.

• Il protocollo OCSP non viene usato.

Usare l'interfaccia per pubblicare l'estensione AIA

L'interfaccia usa le variabili e i nomi delle caselle di controllo descritti nelle tabelle precedenti. È possibile accedere all'interfaccia tramite l'interfaccia Autorità di certificazione. Nel riquadro dei contenuti fare clic con il pulsante destro del mouse sulla CA, scegliere Proprietà e quindi fare clic su Estensioni. In Selezionare l'estensione fare clic su Accesso alle informazioni dell'autorità (AIA).

Figura 1   Menu dell'estensione AIA

I percorsi e le impostazioni configurati nell'interfaccia utente sono i seguenti:

• C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt

• https://www.contoso.com/pki/\<ServerDNSName>_<CaName><CertificateName>.crt

  • Includi nell'estensione Accesso alle informazioni dell'autorità (AIA) dei certificati emessi

• file://\\App1.corp.contoso.com\pki\<ServerDNSName>_<CaName><CertificateName>.crt

• ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>

  • Includi nell'estensione Accesso alle informazioni dell'autorità (AIA) dei certificati emessi

Usare Windows PowerShell per pubblicare l'estensione AIA

È possibile usare i comandi di Windows PowerShell seguenti per configurare l'estensione AIA per questo scenario specifico:

$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force};
Add-CAAuthorityInformationAccess -AddToCertificateAia https://www.contoso.com/pki/%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia file://\\App1.corp.contoso.com\pki\%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia "ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Usare certutil per pubblicare l'estensione AIA

È possibile usare il comando certutil seguente per configurare l'estensione AIA per questo scenario specifico:

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:https://www.contoso.com/pki/%1_%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Pubblicare l'estensione CDP

L'estensione CDP comunica ai computer client dove si trova l'elenco di revoche di certificati (CRL) più recente, in modo che il client possa confermare che un determinato certificato non sia stato revocato.

È possibile configurare l'estensione CDP tramite l'interfaccia Autorità di certificazione, Windows PowerShell o il comando certutil. Nella tabella seguente vengono descritte le opzioni disponibili per l'estensione CDP usando questi metodi.

Nome casella di controllo interfaccia	Parametro di Windows PowerShell	Valore certutil
Pubblica CRL nel percorso specificato	-PublishToServer	1
Includi in tutti i CRL. Specifica il percorso da usare per la pubblicazione manuale in Active Directory.	-AddToCrlCdp	8
Includi nei CRL. I client la utilizzeranno per trovare i percorsi Delta CRL.	-AddToFreshestCrl	4
Includi nell'estensione dei punti di distribuzione dei certificati emessi.	-AddToCertificateCdp	2
Pubblica Delta CRL in questa posizione.	-PublishDeltaToServer	64
Includi nell'estensione IDP dei CRL rilasciati.	-AddToCrlIdp	128

Se è consentita la pubblicazione di delta CRL in un server Web IIS (Internet Information Services), è necessario modificare la configurazione IIS predefinita impostando allowDoubleEscaping=true dell'elemento requestFiltering nella sezione system.web della configurazione IIS. Se ad esempio si vuole consentire gli escape doppi per la directory virtuale dell'Infrastruttura a chiave pubblica (PKI) del sito Web predefinito in IIS, nel server Web IIS eseguire il comando seguente:appcmd set config "Default Web Site/pki" -section:system.webServer/security/requestFiltering -allowDoubleEscaping:true. Per altre informazioni, vedere Servizi certificati Active Directory: il server Web dovrebbe consentire gli URI contenenti il carattere "+" per abilitare la pubblicazione di delta CRL.

Gli esempi forniti in questa sezione per la pubblicazione dell'estensione CDP rappresentano lo scenario seguente:

• Il nome di dominio è corp.contoso.com.

• È presente un server Web denominato App1 nel dominio.

• In App1 è presente una cartella condivisa denominata PKI che consente le autorizzazioni di lettura e scrittura della CA.

• App1 ha un CNAME DNS di www e una directory virtuale condivisa denominata PKI.

• Il primo protocollo che i computer client devono usare per le informazioni CDP è il protocollo HTTP.

• Il secondo protocollo che i computer client devono usare per le informazioni CDP è il protocollo LDAP.

• La CA configurata è una CA emittente online.

• Il protocollo IDP non viene usato.

Usare l'interfaccia per pubblicare l'estensione CDP

L'interfaccia usa le variabili e i nomi delle caselle di controllo descritti nelle tabelle precedenti. È possibile accedere all'interfaccia tramite l'interfaccia Autorità di certificazione. Nel riquadro dei contenuti fare clic con il pulsante destro del mouse sulla CA, scegliere Proprietà e quindi fare clic su Estensioni. In Selezionare l'estensione fare clic su Punto di distribuzione CRL.

Figura 2   Menu dell'estensione CDP

I percorsi e le impostazioni configurati nell'interfaccia utente sono i seguenti:

• C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Pubblica CRL nel percorso specificato

  • Pubblica Delta CRL in questa posizione

• https://www.contoso.com/pki/\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Includi nei CRL. I client la utilizzeranno per trovare i percorsi Delta CRL.

  • Includi nell'estensione dei punti di distribuzione dei certificati emessi

• file://\\App1.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

  • Pubblica CRL nel percorso specificato

  • Pubblica Delta CRL in questa posizione

• ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>

  • Includi in tutti i CRL. Specifica il percorso da usare per la pubblicazione manuale in Active Directory.

  • Includi nell'estensione dei punti di distribuzione dei certificati emessi

Usare Windows PowerShell per pubblicare l'estensione CDP

È possibile usare i comandi di Windows PowerShell seguenti per configurare l'estensione CDP per questo scenario specifico:

$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-CACrlDistributionPoint $crl.uri -Force};
Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\%3%8%9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri https://www.contoso.com/pki/%3%8%9.crl -AddToCertificateCDP -AddToFreshestCrl
Add-CACRLDistributionPoint -Uri file://\\App1.corp.contoso.com\pki\%3%8%9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri "ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10" -AddToCrlCdp -AddToCertificateCdp

Usare certutil per pubblicare l'estensione CDP

Il comando certutil seguente configura l'estensione CDP per questo scenario specifico:

certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n6:https://www.contoso.com/pki/%3%8%9.crl\n65:file://\\App1.corp.contoso.com\pki\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"

Per pubblicare il CRL, è possibile eseguire il comando certutil -crl sulla CA da Windows PowerShell o da un prompt dei comandi eseguito come amministratore. Per altre informazioni sulla configurazione e la pubblicazione di CRL, vedere Configurare la revoca di un certificato.

Verificare la configurazione

Per verificare la configurazione della CA, eseguire i comandi seguenti da Windows PowerShell o dalla finestra del prompt dei comandi:

Comando	Descrizione
Certutil -CAInfo	Mostra lo stato di nomi, impostazioni locali, identificatori di oggetto (OID) e CRL per la CA.
Certutil -getreg	Visualizza la configurazione del Registro di sistema della CA.
Certutil -ADCA	Conferma la configurazione delle CA globali (enterprise).

È possibile usare lo strumento PKIView.msc per verificare le configurazioni delle pubblicazioni AIA e CDP. Per altre informazioni, vedere Infrastruttura a chiave pubblica dell'organizzazione

Per verificare la revoca dei certificati, è inoltre possibile usare il servizio ruolo Risponditore online. Per altre informazioni su Risponditore online, vedere Guida all'installazione, alla configurazione e alla risoluzione dei problemi relativi al risponditore online.

Contenuti correlati

• Forum sulla sicurezza di Windows Server

• Domande frequenti su Infrastruttura a chiave pubblica (PKI) di Servizi certificati Active Directory

• Raccolta e documentazione di riferimento di Infrastruttura a chiave pubblica (PKI) di Windows

• Blog su Infrastruttura a chiave pubblica (PKI) di Windows