Share via

Installare i certificati digitali in Windows 10 Mobile

  • Articolo

I certificati digitali associano l'identità di un utente o un computer a una coppia di chiavi che possono essere usate per crittografare e firmare le informazioni digitali. I certificati vengono rilasciati da un'autorità di certificazione (CA) che garantisce l'identità del titolare del certificato e consentono comunicazioni client protette con i siti Web e servizi.

I certificati in Windows 10 Mobile sono principalmente usati per gli scopi seguenti:

  • Per creare un canale sicuro tramite SSL (Secure Sockets Layer) tra un telefono e un server Web o un servizio.
  • Per autenticare un utente su un server proxy inverso usato per abilitare Microsoft Exchange ActiveSync (EAS) per la posta elettronica.
  • Per l'installazione e la gestione delle licenze delle applicazioni (da Windows Phone Store o da un sito di distribuzione aziendale personalizzato).

Installare certificati tramite Internet Explorer

Un certificato può essere pubblicato in un sito Web e reso disponibile agli utenti tramite un URL accessibile dal dispositivo. Gli utenti potranno quindi usare tale URL per scaricare il certificato. Quando un utente accede alla pagina e tocca il certificato, il certificato viene aperto sul dispositivo. L'utente può esaminare il certificato e se l'utente sceglie di continuare, il certificato viene installato nel dispositivo Windows 10 Mobile.

Installare certificati tramite posta elettronica

Il programma di installazione dei certificati di Windows 10 Mobile certificato supporta file con estensione CER, P7B, PEM e PFX. Per installare certificati tramite la posta elettronica, assicurati che i filtri di posta non blocchino i file con estensione CER. I certificati inviati tramite la posta elettronica vengono visualizzati come allegati dei messaggi. Quando si riceve un certificato, un utente può toccare per esaminare il contenuto e quindi toccare di nuovo per installare il certificato. In genere, quando viene installato un certificato di identità, all'utente viene richiesto di immettere la password (o passphrase) di protezione.

Installare certificati tramite Gestione di dispositivi mobili

Windows 10 Mobile supporta certificati radice, CA e client da configurare tramite Gestione di dispositivi mobili. Grazie a Gestione di dispositivi mobili un amministratore può aggiungere, eliminare o eseguire query direttamente su certificati radice e CA, nonché configurare il dispositivo per registrare un certificato client con un server di registrazione certificati che supporta protocollo SCEP (Simple Certificate Enrollment Protocol). I certificati client registrati tramite SCEP vengono usati da Wi-Fi, VPN, posta elettronica e browser per l'autenticazione client basata su certificati. Un server MDM può anche eseguire query ed eliminare il certificato client registrato tramite SCEP (inclusi i certificati installati dall'utente) oppure attivare una nuova richiesta di registrazione prima della scadenza del certificato corrente.

Avviso  

Non usare il protocollo SCEP per i certificati di crittografia per S/MIME. Devi usare un profilo di certificato PFX per supportare S/MIME in Windows 10 Mobile. Per istruzioni sulla creazione di un profilo di certificato PFX in Microsoft Intune, vedi Abilitare l'accesso alle risorse aziendali usando profili di certificati con Microsoft Intune.

 

Mt679135.wedge(it-it,VS.85).gifProcesso di installazione di certificati mediante MDM

  1. Il server MDM genera la richiesta di iscrizione iniziale del certificato, inclusi la password di verifica, URL del server SCEP e altri parametri relativi alla registrazione.

  2. Il criterio viene convertito nella richiesta di OMA DM, che viene quindi inviata al dispositivo.

  3. Il certificato CA attendibile viene installato direttamente durante la richiesta MDM.

  4. Il dispositivo accetta la richiesta di registrazione del certificato.

  5. Il dispositivo genera una coppia di chiavi privata/pubblica.

  6. Il dispositivo si connette a punto connesso a Internet esposto dal server MDM.

  7. Il server MDM crea un certificato che viene firmato con certificato CA appropriato e lo restituisce al dispositivo.

    Nota  

    Il dispositivo supporta la funzione in sospeso per consentire al lato server di eseguire un'ulteriore verifica prima di emettere il certificato. In questo caso, uno stato sospeso viene inviato al dispositivo. Il dispositivo contatta periodicamente il server, in base al numero preconfigurato di tentativi e ai parametri relativi all'intervallo tra tentativi. Il nuovo tentativo termina quando si verifica una delle situazioni seguenti:

    Un certificato è stato ricevuto correttamente dal server

    Il server restituisce un errore

    Il numero di tentativi raggiunge il limite preconfigurato

     

  8. Il certificato viene installato nel dispositivo. Browser, Wi-Fi, VPN, posta elettronica e altre applicazioni del produttore hanno accesso a questo certificato.

    Nota  

    Se MDM ha richiesto la memorizzazione della chiave privata in TPM (Trusted Process Module) (configurato durante la richiesta di registrazione), la chiave privata verrà salvata in TPM. Il certificato registrato mediante il protocollo SCEP e protetto da TPM non è protetto mediante un PIN. Tuttavia, se viene importato nel provider di archiviazione chiavi (KSP) di Passport for Work, il certificato è protetto dal PIN di Passport.

     

Argomenti correlati

Configurare S/MIME