La scheda Convalida estesa viene utilizzata dagli amministratori per aggiungere criteri dei certificati di convalida estesa ai certificati radice distribuiti da Criteri di gruppo. L'aggiunta di criteri dei certificati di convalida estesa ai certificati radice rilasciati a siti Web Intranet consente di identificare visivamente un sito come attendibile.
Per utilizzare certificati di convalida estesa per siti Web Intranet è necessario eseguire queste procedure.
- Aggiungere criteri dei certificati di convalida estesa a un modello di certificato.
- Aggiungere criteri dei certificati di convalida estesa a un certificato radice.
- Emettere certificati di convalida estesa per siti Web Intranet.
Aggiungere criteri dei certificati di convalida estesa a un modello di certificato.
Oltre che nel certificato radice, i criteri dei certificati di convalida estesa devono essere inclusi nei certificati emessi per i siti Web Intranet e in tutti i certificati di autorità di certificazione (CA) emittenti nel percorso di certificazione.
Con questa procedura è possibile modificare un modello di certificato utilizzato per emettere certificati per server Web all'interno dell'organizzazione o qualsiasi modello di certificato che soddisfa i requisiti seguenti:
- La versione del modello di certificato corrisponde alla versione 2 o alla versione 3.
- Lo scopo del certificato include firma e crittografia.
- L'estensione del criterio di applicazione include l'autenticazione server.
L'autorità di certificazione emittente deve soddisfare i requisiti seguenti:
- Il percorso di certificazione del certificato dell'autorità di certificazione emittente include un certificato radice che include a sua volta criteri dei certificati di convalida estesa.
- Il certificato dell'autorità di certificazione emittente include i criteri di rilascio o criteri dei certificati di convalida estesa.
- L'autorità di certificazione emittente è un'autorità di certificazione dell'organizzazione.
Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Enterprise Admins.
 | Per aggiungere criteri dei certificati di convalida estesa a un modello di certificato |
Aprire Server Manager nel'autorità di certificazione emittente. Nell'albero della console espandere Ruoli, espandere Servizi certificati Active Directory e quindi fare clic su Modelli di certificato.
Fare doppio clic su un modello utilizzato per emettere certificati per siti Web Intranet.
Fare clic sulla scheda Estensioni.
Fare clic su Criteri di applicazione e quindi su Modifica. Verrà visualizzata la finestra di dialogo Modifica estensione criteri di applicazione.
Fare clic su Aggiungi. Verrà visualizzata la finestra di dialogo Aggiunta criterio di applicazione.
Fare clic su Nuovo. Verrà visualizzata la finestra di dialogo Nuovo criterio di applicazione.
Digitare un nome per i criteri dei certificati di convalida estesa. Il nome verrà visualizzato nelle estensioni dei certificati emessi e nelle proprietà dei modelli nello snap-in Modelli di certificato.
Un identificatore di oggetto univoco (detto anche OID) verrà generato automaticamente. Copiare il valore dell'OID per utilizzarlo nella procedura seguente. Fare clic su OK.
Nell'elenco Criteri di applicazione selezionare i criteri creati. Fare clic su OK.
Fare clic su OK per salvare l'estensione dei criteri di applicazione. Nella scheda Estensioni verificare che i criteri dei certificati di convalida estesa siano visualizzati nella casella Descrizione di Criteri di applicazione.
Fare clic sulla scheda Sicurezza. Verificare che i gruppi o gli utenti che richiedono certificati per siti Web Intranet dispongano delle autorizzazioni Lettura e Registrazione.
Fare clic su OK per salvare il modello di certificato.
Nell'albero della console fare doppio clic sull'autorità di certificazione.
Nell'albero della console fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovo e quindi fare clic su Modello di certificato da rilasciare. Verrà visualizzata la finestra di dialogo Attivazione modelli di certificato.
Selezionare il modello di certificato con i criteri dei certificati di convalida estesa e fare clic su OK.
Aggiungere criteri dei certificati di convalida estesa a un certificato radice
Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Enterprise Admins.
| Per aggiungere criteri dei certificati di convalida estesa a un certificato radice |
Fare clic sul pulsante Start e quindi scegliere Esegui. Digitare gpmc.msc e fare clic su OK. Verrà visualizzata la Console Gestione Criteri di gruppo.
Nell'albero della console espandere la foresta e il dominio contenenti i criteri che si desidera modificare e quindi fare clic su Oggetti Criteri di gruppo.
Fare clic con il pulsante destro del mouse sui criteri che si desidera modificare e quindi scegliere Modifica.
Nell'albero della console, in Configurazione computer, espandere Criteri, Impostazioni di Windows, Impostazioni sicurezza, Criteri chiave pubblica e Autorità di certificazione radice attendibili.
Se non sono visualizzati certificati radice, esportare il certificato dell'autorità di certificazione dall'autorità di certificazione radice e importarlo in Autorità di certificazione radice attendibili. Vedere Esportare un certificato.
Fare clic con il pulsante destro del mouse sul certificato radice, scegliere Proprietà e quindi fare clic sulla scheda Convalida estesa.
Digitare il valore dell'identificatore dell'oggetto che rappresenta i criteri dei certificati di convalida estesa nell'organizzazione. Se i criteri dei certificati di convalida estesa sono stati creati mediante la procedura precedente, utilizzare lo stesso valore di identificatore di oggetto.
Fare clic su Aggiungi OID e quindi su OK per salvare le modifiche.
 | Nota |
Le modifiche a Criteri di gruppo vengono applicate periodicamente dai membri di un dominio in base all'intervallo di aggiornamento di Criteri di gruppo, durante l'avvio del computer e l'accesso utente. L'intervallo di aggiornamento predefinito è 90 minuti. Per aggiornare immediatamente Criteri di gruppo in un membro del dominio, eseguire il comando Gpupdate. |
Emettere certificati di convalida estesa
Per richiedere e installare un certificato di convalida estesa nel server Web Intranet, seguire le procedure descritte in questi argomenti correlati:
- In un server Web Intranet, aprire lo snap-in Certificati per il computer locale. Vedere Aggiungere lo snap-in certificati a una console MMC.
- Richiedere un certificato di convalida estesa. Vedere Richiedere certificati utilizzando la Richiesta guidata certificato.
- Configurare un binding a un sito Web. Vedere Finestra di dialogo Aggiungi binding sito o Modifica binding sito Web (
https://go.microsoft.com/fwlink/?LinkId=143106 ).
Ulteriori riferimenti
- Certificati SSL di convalida estesa (
https://go.microsoft.com/fwlink/?LinkId=142392 ) - Visualizzare le proprietà di un certificato