Questo argomento presuppone la conoscenza delle nozioni fondamentali relative alla catena di certificati, alla firma dei certificati, nonché alla configurazione dell'infrastruttura a chiave pubblica e dei certificati. Per informazioni sulla configurazione dell'infrastruttura a chiave pubblica (PKI) in Windows Server 2008, vedere l'articolo ITPROADD-204 relativo ai miglioramenti di PKI in Microsoft Windows Vista e Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=93995). Per informazioni sulla configurazione dell'infrastruttura a chiave pubblica (PKI) in Windows Server 2003, vedere l'articolo relativo all'infrastruttura a chiave pubblica (https://go.microsoft.com/fwlink/?LinkID=54917).

Per impostazione predefinita, Transport Layer Security (TLS) 1.0 viene utilizzato per crittografare le comunicazioni tra i client di Servizi Desktop remoto e i server Gateway Desktop remoto in Internet. TLS è un protocollo standard che consente di proteggere le comunicazioni Web che si svolgono su Internet o nelle reti Intranet ed è la versione più recente e sicura del protocollo Secure Sockets Layer (SSL). Per ulteriori informazioni su TLS vedere:

Per un corretto funzionamento del protocollo TLS, è necessario che nel server Gateway Desktop remoto sia installato un certificato X.509 compatibile con SSL.

Panoramica dell'installazione del certificato e del processo di configurazione

Per ottenere, installare e configurare un certificato per il server Gateway Desktop remoto, eseguire la procedura seguente:

Passaggio 1: ottenere un certificato per il server Gateway Desktop remoto

È possibile ottenere un certificato per il server Gateway Desktop remoto utilizzando uno dei metodi seguenti:

  • Se la propria società dispone di un'autorità di certificazione dell'organizzazione (enterprise) o autonoma (standalone) configurata per il rilascio di certificati X.509 compatibili con SSL conformi ai requisiti di Gateway Desktop remoto, è possibile generare e inviare una richiesta di certificato in più modi, in base ai criteri e alla configurazione della CA dell'organizzazione. È possibile ottenere un certificato:

    • Avviando la registrazione automatica dallo snap-in certificati.

    • Richiedendo i certificati mediante la Richiesta guidata certificato.

    • Richiedendo un certificato sul Web.

      Nota

      Se si dispone di una CA di Windows Server 2003, tenere presente che la funzionalità di registrazione Web di Servizi certificati di Windows Server 2003 si basa su un controllo ActiveX denominato Xenroll, che è disponibile in Microsoft Windows Server 2003, Windows 2000 e Windows XP, ma è obsoleto in Windows Server 2008 e Microsoft Windows Vista. Le pagine Web di esempio per la registrazione dei certificati che sono incluse nella versione originale di Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) e Windows Server 2003 Service Pack 2 (SP2) non sono adatte alla diversa modalità con cui Windows Server 2008 e Microsoft Windows Vista gestiscono le operazioni di registrazione dei certificati basate sul Web. Per informazioni sulla procedura da seguire per risolvere il problema, vedere l'articolo 922706 nella Microsoft Knowledge Base, all'indirizzo https://go.microsoft.com/fwlink/?LinkId=94472.

    • Utilizzando lo strumento da riga di comando Certreq.

    Per ulteriori informazioni su come utilizzare uno di questi metodi per ottenere i certificati per Windows Server 2008 R2, vedere l'argomento "Ottenere un certificato" nella Guida dello snap-in certificati e l'argomento "Certreq" nella pagina di riferimento per i comandi di Windows Server 2008 R2. Per esaminare gli argomenti della Guida dello snap-in certificati, fare clic sul pulsante Start, scegliere Esegui, digitare hh certmgr.chm e quindi fare clic su OK. Per informazioni su come richiedere i certificati per Windows Server 2003, vedere la pagina relativa alla richiesta di certificati, all'indirizzo https://go.microsoft.com/fwlink/?LinkID=19638.

    Un certificato rilasciato da una CA dell'organizzazione (enterprise) o da una CA autonoma (standalone) deve essere firmato contestualmente da una CA pubblica attendibile che partecipi al programma Microsoft Root Certification (https://go.microsoft.com/fwlink/?LinkID=59547). In caso contrario, gli utenti che si connettono da computer di casa o chioschi multimediali potrebbero non essere in grado di connettersi ai server TS Gateway o Gateway Desktop remoto. Tali connessioni potrebbero non avvenire perché il certificato radice rilasciato dalla CA potrebbe non essere considerato attendibile dai computer che non sono membri di domini, ad esempio i computer di casa o i chioschi multimediali.

  • Se la propria società non dispone di una CA dell'organizzazione (enterprise) o di una CA autonoma (standalone) configurata per il rilascio di certificati X.509 conformi a SSL, è possibile acquistare un certificato da una CA pubblica attendibile che partecipi al programma Microsoft Root Certificate (https://go.microsoft.com/fwlink/?LinkID=59547). Alcune di questa CA pubbliche potrebbero offrire certificati a costo zero per un periodo di prova.

  • In alternativa, se la propria società non dispone di né un'autorità di certificazione dell'organizzazione (enterprise) o autonoma (standalone), né di un certificato compatibile rilasciato da una CA pubblica attendibile, è possibile creare e importare un certificato autofirmato per il proprio server Gateway Desktop remoto, da utilizzare solo per le valutazioni tecniche e i test. Per ulteriori informazioni, vedere Creare un certificato autofirmato per il server Gateway Desktop remoto.

    Importante

    Se si utilizza uno dei primi due metodi per ottenere un certificato, in altre parole se si ottiene un certificato da un'autorità di certificazione dell'organizzazione (enterprise) o autonoma (standalone) oppure da una CA pubblica attendibile, è inoltre necessario Importare un certificato nel server Gateway Desktop remoto e Selezionare un certificato esistente da Gateway Desktop remoto. Se invece si crea un certificato autofirmato utilizzando l'Aggiunta guidata ruoli durante l'installazione del servizio ruolo Gateway Desktop remoto oppure utilizzando Gestione Gateway Desktop remoto dopo l'installazione, come descritto in Creare un certificato autofirmato per il server Gateway Desktop remoto, non è necessario installare o mappare il certificato al server Gateway Desktop remoto. In tal caso, il certificato verrà automaticamente creato, installato nel percorso corretto del server Gateway Desktop remoto e mappato sul server Gateway Desktop remoto.

    Si noti che il certificato della CA che ha rilasciato il certificato del server deve essere presente nell'archivio Autorità di certificazione radice attendibili dei client di Servizi Desktop remoto. Per istruzioni dettagliate sull'installazione del certificato nel client, vedere Installare il certificato radice del server Gateway Desktop remoto nel client di Servizi Desktop remoto.

    Se è stato utilizzato uno dei primi due metodi per ottenere un certificato e il computer client di Servizi Desktop remoto considera attendibile la CA che lo ha rilasciato, non è necessario installare il certificato della CA che ha rilasciato il certificato del server nell'archivio certificati del computer client. Non è ad esempio necessario installare il certificato della CA di rilascio nell'archivio certificati del computer client se nel server Gateway Desktop remoto è installato un certificato VeriSign o un altro certificato rilasciato da una CA pubblica attendibile. Se si utilizza il terzo metodo e si crea un certificato autofirmato, è invece necessario che il certificato della CA che ha rilasciato il certificato del server venga installato nell'archivio Autorità di certificazione radice attendibili nel computer client. Per ulteriori informazioni, vedere Installare il certificato radice del server Gateway Desktop remoto nel client di Servizi Desktop remoto.

Passaggio 2: importare un certificato

Dopo aver ottenuto un certificato, è possibile importarlo nel server Gateway Desktop remoto utilizzando uno dei metodi seguenti:

Ulteriori riferimenti


Argomenti della Guida