Con il Servizio Web di registrazione certificati è possibile elaborare le richieste di registrazione di nuovi certificati e di rinnovo di certificati esistenti. In entrambi i casi la richiesta viene inviata dal computer client al servizio Web, che a sua volta la invia all'autorità di certificazione (CA) per conto del computer client. Per tale motivo, per presentare l'identità del client all'autorità di certificazione è necessario che l'account del servizio Web sia trusted per delega.

Poiché il Servizio Web di registrazione certificati accetta richieste provenienti da Internet, è esposto a rischi di sicurezza maggiori. Per tale motivo alcune organizzazioni scelgono di non rendere trusted per delega l'account del servizio Web. Per ridurre i rischi correlati all'accettazione di richieste provenienti da Internet, è possibile configurare il Servizio Web di registrazione certificati per la modalità di solo rinnovo.

In modalità di solo rinnovo il servizio Web accetta solo le richieste di rinnovo di certificati, rifiutando le richieste di nuovi certificati. Per supportare la modalità di solo rinnovo, l'autorità di certificazione deve essere configurata in modo da eseguire l'autenticazione del computer client utilizzando la firma nella richiesta di rinnovo e il certificato esistente del computer client stesso. Con una tale configurazione non è necessario che l'account del servizio Web sia trusted per delega.

Per la modalità di solo rinnovo devono essere soddisfatti i requisiti seguenti:

  • Autorità di certificazione dell'organizzazione (enterprise) che esegue Windows Server 2008 R2.

  • Computer client che eseguono Windows 7 o Windows Server 2008 R2.

  • I computer client che richiedono il rinnovo del certificato devono disporre di un certificato non scaduto e verificabile da parte dell'autorità di certificazione emittente.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Enterprise Admins.

Per configurare il Servizio Web di registrazione certificati per la modalità di solo rinnovo

  1. Aprire Server Manager.

  2. Nell'albero della console fare clic su Ruoli.

  3. Se nella pagina Riepilogo ruoli è visualizzato Servizi certificati Active Directory, fare clic su Aggiungi servizi ruolo e continuare con il passaggio successivo. In caso contrario, prima di continuare eseguire la procedura seguente:

    1. Nella pagina Riepilogo ruoli fare clic su Aggiungi ruoli.

    2. Sulla pagina Prima di iniziare fare clic su Avanti.

    3. Nella pagina Selezione ruoli server fare clic su Servizi certificati Active Directory e quindi fare clic su Avanti.

    4. Nella pagina Introduzione a Servizi certificati Active Directory esaminare le informazioni fornite e quindi fare clic su Avanti.

  4. Nella pagina Selezione servizi ruolo selezionare la casella di controllo Servizio Web di registrazione certificati.

    Nota

    Il servizio ruolo Autorità di certificazione viene selezionato automaticamente quando viene aggiunto il ruolo Servizi certificati Active Directory. Non è tuttavia possibile installare tale servizio ruolo contemporaneamente al Servizio Web di registrazione certificati. Se si desidera installare sia l'autorità di certificazione che il Servizio Web di registrazione certificati, eseguire innanzitutto l'installazione dell'autorità di certificazione. Vedere Impostare Servizi certificati Active Directory.

  5. Fare clic su Aggiungi servizi ruolo necessari quando richiesto per installare i servizi ruolo e le funzionalità necessari e quindi fare clic su Avanti.

  6. Per specificare un'autorità di certificazione, fare clic su Nome CA o su Nome computer e quindi fare clic su Sfoglia. Selezionare un'autorità di certificazione o digitare un nome computer quindi fare clic su OK.

  7. Selezionare la casella di controllo Configura Servizio Web di registrazione certificati per la modalità di solo rinnovo.

  8. Nella pagina Impostazione tipo di autenticazione fare clic su Nome utente e password o su Autenticazione certificati client.

  9. Nella pagina Impostazione credenziali account fare clic su Impostazione account servizio o su Usa l'identità del pool di applicazioni predefinita. Per specificare un account di servizio, fare clic su Seleziona, digitare il nome utente e la password di un account del dominio e fare clic su OK. Fare clic su Avanti.

  10. Selezionare un certificato server esistente, fare clic su Importa per importare un file di certificato o su Scegli e assegna certificato per SSL in seguito e quindi fare clic su Avanti. Per i dettagli vedere Configurare certificati server per i servizi Web di registrazione certificati.

  11. Nella pagina Introduzione a Server Web (IIS) fare clic su Avanti.

  12. Nella pagina Selezione servizi ruolo rivedere i servizi ruolo selezionati e quindi fare clic su Avanti.

  13. Rivedere le informazioni nella pagina Conferma selezioni per l'installazione e quindi fare clic su Installa.

  14. Esaminare i messaggi nella pagina Risultati installazione. Prima che sia possibile inviare richieste potrebbero essere necessarie ulteriori attività di configurazione del Servizio Web di registrazione certificati.

Utilizzare questi comandi per configurare e riavviare Servizi certificati Active Directory. In questa configurazione l'autorità di certificazione è inoltre in grado di elaborare richieste di nuovi certificati.

Per configurare l'autorità di certificazione per il supporto della modalità di solo rinnovo

  1. Al prompt dei comandi dell'autorità di certificazione digitare certutil –setreg policy\editflags +enablerenewonbehalfof e premere INVIO.

  2. Aprire lo snap-in Autorità di certificazione.

  3. Nell'albero della console fare clic con il pulsante destro del mouse sull'autorità di certificazione e quindi scegliere Proprietà.

  4. Fare clic sulla scheda Sicurezza.

  5. Se in Utenti e gruppi è visualizzato l'account del servizio Web, verificare che sia selezionata l'autorizzazione Lettura. Se l'account del servizio Web non è visualizzato, eseguire la procedura seguente:

    1. Fare clic su Aggiungi.

    2. Digitare il nome dell'account e fare clic su Controlla nomi. Se non è possibile trovare il nome, fare clic su Tipi di oggetto e verificare che sia selezionato il tipo di account corretto. Dopo aver trovato il nome di account corretto, fare clic su OK.

    3. Selezionare la casella di controllo Lettura e quindi fare clic su OK.

  6. Digitare sc stop certsvc e premere INVIO.

  7. Digitare sc start certsvc e premere INVIO.

Ulteriori riferimenti

Argomenti della Guida