Mediante la revoca è possibile rendere un certificato non più attendibile come credenziale di sicurezza prima della scadenza pianificata del relativo periodo di validità. Un'infrastruttura a chiave pubblica (PKI) dipende dalla verifica distribuita delle credenziali e tale processo non richiede la comunicazione diretta con l'entità attendibile centrale che svolge il ruolo di garante per le credenziali.

Per poter eseguire la revoca dei certificati, il computer client deve determinare se il certificato è valido o è stato revocato. Per garantire l'utilizzo in diversi scenari, Servizi certificati Active Directory supporta i metodi standard per la revoca dei certificati, inclusa la pubblicazione degli elenchi di revoche di certificati (CRL) e dei Delta CRL in diverse posizioni accessibili dai client, ad esempio Servizi di dominio Active Directory, server Web e condivisioni di rete. In Windows i dati di revoca possono inoltre essere resi disponibili in diverse impostazioni tramite le risposte del protocollo di stato del certificato online (OCSP, Online Certificate Status Protocol).

Nota

I CRL vengono periodicamente pubblicati in percorsi di rete specifici e possono essere scaricati dai computer client. Le risposte OCSP sono firmate digitalmente e indicano se un singolo certificato è stato revocato o sospeso oppure se lo stato è sconosciuto. I risponditori OCSP recuperano i dati dai CRL pubblicati oppure possono essere aggiornati direttamente dal database degli stati dei certificati di un'autorità di certificazione.

Criteri di gruppo a chiave pubblica consentono inoltre agli amministratori di migliorare l'utilizzo dei CRL e dei risponditori OCSP, in particolare nelle situazioni in cui dimensioni eccessive degli elenchi di revoche o le condizioni di rete determinano una riduzione delle prestazioni.

In questo argomento vengono descritte le procedure per le attività seguenti:

Configurare le impostazioni di revoca in un computer locale

Per completare questa procedura, è richiesta almeno l'appartenenza al gruppo Administrators.

Per configurare le impostazioni di revoca in un computer locale
  1. Fare clic sul pulsante Start, digitare gpedit.msc nella casella Cerca programmi e file e quindi premere INVIO.

  2. Nell'albero della console, in Criteri del computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza, fare clic su Criteri chiave pubblica.

  3. Fare doppio clic su Impostazioni di convalida percorso certificati e quindi fare clic sulla scheda Revoca.

  4. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri, selezionare le impostazioni dei criteri che si desidera applicare e quindi fare clic su OK per applicare le nuove impostazioni.

Configurare le impostazioni di revoca per un dominio

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins.

Per configurare le impostazioni di revoca per un dominio
  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Server Manager.

  2. In Riepilogo funzionalità fare clic su Aggiungi funzionalità. Selezionare la casella di controllo Gestione Criteri di gruppo, fare clic su Avanti e quindi fare clic su Installa.

  3. Quando nella pagina Risultati installazione viene indicato il corretto completamento dell'installazione dello strumento Console Gestione Criteri di gruppo, fare clic su Chiudi.

  4. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Criteri di gruppo.

  5. Nell'albero della console fare doppio clic su Oggetti Criteri di gruppo nella foresta e nel dominio contenenti l'oggetto Criteri di gruppo Criterio dominio predefinito che si desidera modificare.

  6. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Criterio dominio predefinito e quindi scegliere Modifica.

  7. Nell'albero della console, in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza, fare clic su Criteri chiave pubblica.

  8. Fare doppio clic su Impostazioni di convalida percorso certificati e quindi fare clic sulla scheda Revoca.

  9. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri, selezionare le impostazioni dei criteri che si desidera applicare e quindi fare clic su OK per applicare le nuove impostazioni.

Estendere il periodo di validità delle risposte CRL e OCSP per un computer locale

Per completare questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators.

Per estendere il periodo di validità delle risposte CRL e OCSP per un computer locale
  1. Fare clic sul pulsante Start, digitare gpedit.msc nella casella Cerca programmi e file e quindi premere INVIO.

  2. Nell'albero della console, in Criteri del computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza, fare clic su Criteri chiave pubblica.

  3. Fare doppio clic su Impostazioni di convalida percorso certificati e quindi fare clic sulla scheda Revoca.

  4. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri e quindi selezionare la casella di controllo Validità delle risposte CRL e OCSP più lunga della durata.

  5. Nella casella Numero di ore consentito per l'estensione del periodo di validità immettere un valore di tempo in ore e quindi fare clic su OK per applicare le nuove impostazioni.

Estendere il periodo di validità delle risposte CRL e OCSP per un dominio

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins.

Per estendere il periodo di validità delle risposte CRL e OCSP per un dominio
  1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Server Manager.

  2. In Riepilogo funzionalità fare clic su Aggiungi funzionalità. Selezionare la casella di controllo Gestione Criteri di gruppo, fare clic su Avanti e quindi fare clic su Installa.

  3. Quando nella pagina Risultati installazione viene indicato il corretto completamento dell'installazione di Console Gestione Criteri di gruppo, fare clic su Chiudi.

  4. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Criteri di gruppo.

  5. Nell'albero della console fare doppio clic su Oggetti Criteri di gruppo nella foresta e nel dominio contenenti l'oggetto Criteri di gruppo Criterio dominio predefinito che si desidera modificare.

  6. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Criterio dominio predefinito e quindi scegliere Modifica.

  7. Nell'albero della console, in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza, fare clic su Criteri chiave pubblica.

  8. Fare doppio clic su Impostazioni di convalida percorso certificati e quindi fare clic sulla scheda Revoca.

  9. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri e quindi selezionare la casella di controllo Validità delle risposte CRL e OCSP più lunga della durata.

  10. Nella casella Numero di ore consentito per l'estensione del periodo di validità immettere un valore di tempo in ore e quindi fare clic su OK per applicare le nuove impostazioni.

Ulteriori riferimenti


Argomenti della Guida