Lo snap-in certificati consente di visualizzare l'archivio certificati di un utente, di un computer o di un servizio, in base allo scopo per cui i certificati sono stati rilasciati o in base alle categorie di archiviazione logica degli stessi. Quando si visualizzano i certificati per categorie di archiviazione, è inoltre possibile scegliere di visualizzare gli archivi fisici, rendendo in tal modo visibile la gerarchia di archiviazione dei certificati. L'utilizzo di questa opzione è tuttavia consigliato solo a utenti esperti.
Un utente che dispone dei diritti appropriati, sarà in grado di importare o esportare certificati da qualsiasi cartella dell'archivio certificati. Se la chiave privata associata a un certificato è contrassegnata come esportabile, sarà inoltre possibile esportare entrambi in un file PKCS #12.
È inoltre possibile pubblicare certificati in Servizi di dominio Active Directory. La pubblicazione di un certificato in Servizi di dominio Active Directory consente agli utenti o ai computer che dispongono delle autorizzazioni adeguate di recuperare il certificato a seconda delle necessità.
Archivi certificati
I certificati possono essere visualizzati in base allo scopo o in base agli archivi logici, come illustrato nella tabella seguente. Nello snap-in Certificati la modalità di visualizzazione in base agli archivi logici è l'impostazione predefinita.
Nota | |
L'elenco degli archivi certificati organizzati in base allo scopo non sono inclusi tutti i possibili archivi. |
Visualizzazione per | Nome cartella | Contenuto |
---|---|---|
Archivio logico |
Personale |
Certificati associati a chiavi private alle quali è possibile accedere. Si tratta dei certificati emessi per l'utente o il computer o il servizio per il quale si stanno gestendo i certificati. |
|
Autorità di certificazione radice attendibili |
Autorità di certificazione (CA) implicitamente attendibili. Include tutti i certificati nell'archivio delle autorità di certificazione di terze parti e i certificati radice della propria organizzazione e di Microsoft. Se un amministratore desidera aggiungere certificati di CA non Microsoft nell'archivio per tutti i computer di un dominio di Active Directory, è possibile utilizzare Criteri di gruppo per distribuire i certificati principali attendibili all'organizzazione. |
|
Attendibilità per l'organizzazione |
Un contenitore per elenchi di certificati attendibili. Un elenco di certificati attendibili fornisce un meccanismo per determinare l'attendibilità di certificati radice autenticati automaticamente provenienti da altre organizzazioni e limitarne gli scopi. |
|
Autorità di certificazione intermedie |
Certificati rilasciati a CA subordinate. In qualità di amministratore è possibile utilizzare Criteri di gruppo per distribuire certificati nell'archivio delle autorità di certificazione intermedie. |
|
Utenti attendibili |
Certificati rilasciati a utenti o entità impostati come attendibili in modo esplicito. Si tratta spesso di certificati autofirmati o impostati in modo esplicito come attendibili in un'applicazione come Microsoft Outlook. In qualità di amministratore di dominio, è possibile utilizzare Criteri di gruppo per distribuire certificati nell'archivio Utenti attendibili. |
|
Altri utenti |
Certificati rilasciati a utenti o entità impostati come attendibili in modo implicito. Questi certificati devono fare parte di una gerarchia di certificati attendibili. Si tratta in genere di certificati memorizzati nella cache per servizi quali Crittografia file system, in cui i certificati vengono utilizzati per creare l'autorizzazione di decrittografia di un file crittografato. |
|
Autori attendibili |
Certificati di autorità di certificazione attendibili in base ai criteri di restrizione software. In qualità di amministratore di dominio, è possibile utilizzare Criteri di gruppo per distribuire certificati nell'archivio Produttori attendibili. |
|
Certificati non attendibili |
Si tratta di certificati impostati in modo esplicito come non attendibili tramite i criteri di restrizione software o tramite la scelta di non impostare un certificato come attendibile quando viene visualizzato il messaggio di accettazione nel programma di posta elettronica o nel Web browser. In qualità di amministratore di dominio, è possibile utilizzare Criteri di gruppo per distribuire certificati nell'archivio Certificati non attendibili. |
|
Autorità di certificazione radice di terze parti |
Certificati radice attendibili rilasciati da CA diverse da Microsoft e dall'organizzazione dell'utente. Non è possibile utilizzare Criteri di gruppo per distribuire certificati nell'archivio Autorità di certificazione radice di terze parti. |
|
Richieste di registrazione dei certificati |
Richieste di certificati in sospeso o rifiutate. |
|
Oggetto utente Active Directory |
Certificati associati al proprio oggetto utente e pubblicati in Servizi di dominio Active Directory. |
Scopo |
Autenticazione server |
Certificati utilizzati dai programmi server per autenticarsi nei computer client. |
|
Autenticazione client |
Certificati utilizzati dai programmi client per autenticarsi nei server. |
|
Firma codice |
Certificati associati a coppie di chiavi utilizzate per firmare contenuti attivi. |
|
Posta elettronica sicura |
Certificati associati a coppie di chiavi utilizzate per firmare messaggi di posta elettronica. |
|
Crittografica file system |
Certificati associati a coppie di chiavi per la crittografia e la decrittografia della chiave simmetrica utilizzata da EFS per crittografare e decrittografare dati. |
|
Recupero file |
Certificati associati a coppie di chiavi per la crittografia e la decrittografia della chiave simmetrica utilizzata da EFS per il ripristino di dati crittografati. |
Quando i certificati vengono visualizzati per archivio logico, talvolta sembra che nell'archivio siano presenti due copie dello stesso certificato. Questa situazione si verifica perché lo stesso certificato è memorizzato in archivi fisici separati di un archivio logico. Quando i contenuti di diversi archivi fisici di certificati sono combinati in unico archivio logico, vengono visualizzate entrambe le istanze dello stesso certificato.
È possibile verificarlo impostando la visualizzazione di Archivi fisici di certificati nelle Opzioni di visualizzazione. In questo modo, è possibile notare che il certificato è contenuto in archivi fisici diversi appartenenti allo stesso archivio logico. Per assicurarsi che si tratti dello stesso certificato, è sufficiente confrontare i numeri di serie.
Ulteriori riferimenti