Le impostazioni di convalida del percorso dei certificati in Windows Server 2008 R2 e Windows Server 2008 consentono di gestire le impostazioni per l'individuazione e la convalida del percorso dei certificati per tutti gli utenti di un dominio. È possibile utilizzare Criteri di gruppo per configurare e gestire facilmente queste impostazioni di convalida dei certificati. Di seguito sono elencate alcune delle attività che è possibile eseguire con queste impostazioni:

  • Distribuire certificati di Autorità di certificazione intermedie (CA).

  • Bloccare certificati non attendibili.

  • Gestire i certificati utilizzati per la firma del codice.

  • Configurare le impostazioni di recupero per i certificati e gli elenchi di revoche di certificati (CRL).

Le impostazioni di convalida del percorso dei certificati sono disponibili in Criteri di gruppo, nel percorso seguente: Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri chiave pubblica.

Quando si fa doppio clic su Impostazioni di convalida percorso certificati in questa posizione, saranno disponibili opzioni aggiuntive nelle schede seguenti:

  • Archivi

  • Autori attendibili

  • Recupero dalla rete

  • Revoca

La procedura seguente descrive come configurare le impostazioni di convalida del percorso dei certificati. Le sezioni successive descriveranno le impostazioni in ciascuna di queste aree.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.

Per configurare i Criteri di gruppo di convalida percorso per un dominio
  1. In un controller di dominio fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Gestione Criteri di gruppo.

  2. Nell'albero della console fare doppio clic su Oggetti Criteri di gruppo nella foresta e nel dominio contenenti l'oggetto Criteri di gruppo Criterio dominio predefinito che si desidera modificare.

  3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Criterio dominio predefinito e quindi scegliere Modifica.

  4. In Console Gestione Criteri di gruppo passare a Configurazione computer, Impostazioni di Windows, Impostazioni sicurezza e quindi fare clic su Criteri chiave pubblica.

  5. Fare doppio clic su Impostazioni di convalida percorso certificati e quindi fare clic sulla scheda Archivi.

  6. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri.

  7. Configurare le impostazioni facoltative da applicare.

  8. Terminate le modifiche, è possibile selezionare una scheda diversa per modificare altre impostazioni, oppure fare clic su OK per applicare le nuove impostazioni.

Scheda Archivi

In alcuni casi si desidera impedire agli utenti del dominio di configurare i propri certificati radice attendibili e di decidere quali certificati radice all'interno dell'organizzazione considerare attendibili. La scheda Archivi può essere utilizzata a questo scopo.

Nella scheda Archivi sono disponibili le opzioni seguenti:

  • Consenti utilizzo di CA radice disponibili nell'elenco locale per la convalida dei certificati. Deselezionare questa casella di controllo per impedire agli utenti di decidere quali certificati CA radice utilizzare per la convalida dei certificati. Sebbene questa opzione possa aiutare a evitare che gli utenti considerino attendibili e convalidino certificati provenienti da una catena non sicura, può anche causare errori nelle applicazioni o indurre gli utenti a ignorare i certificati radice come mezzo di convalida dei certificati che vengono loro presentati.

  • Consenti agli utenti di considerare attendibili i certificati per peer disponibili nell'elenco locale. Deselezionare questa casella di controllo per impedire agli utenti di decidere quali certificati per peer considerare attendibili. Sebbene questa opzione possa aiutare a evitare che gli utenti considerino attendibili certificati provenienti da un'origine non sicura, può anche causare errori nelle applicazioni o indurre gli utenti a ignorare i certificati come mezzo di verifica dell'attendibilità. È inoltre possibile selezionare gli scopi, ad esempio la firma o la crittografia, per i quali possono essere utilizzati i certificati per peer disponibili nell'elenco locale.

  • CA radice disponibili nell'elenco locale per i computer client. In questa sezione è possibile specificare CA radice che gli utenti del dominio possono considerare attendibili:

    • CA radice di terze parti e CA radice dell'organizzazione (enterprise). Se si includono CA radice non Microsoft e dell'organizzazione, si amplia la gamma di certificati CA radice che un utente può considerare attendibili.

    • Solo CA radice dell'organizzazione (enterprise). Se si specificano solo le CA radice dell'organizzazione, si limita l'attendibilità ai certificati rilasciati da un'Autorità di certificazione dell'organizzazione (enterprise) interna, che utilizza Servizi di dominio Active Directory per ottenere informazioni di autenticazione e per pubblicare i certificati.

  • CA compatibili con i requisiti per i nomi principali dell'utente (UPN). Anche queste impostazioni limitano l'attendibilità alle CA dell'organizzazione (enterprise) interne. Il vincolo relativo al nome dell'entità utente impedisce inoltre all'utente di considerare attendibili certificati relativi all'autenticazione non conformi alle condizioni relative ai nomi dell'entità utente.

Potrebbe inoltre essere consigliabile identificare e distribuire certificati radice attendibili specifici ai fini di scenari di utilizzo in cui sono necessarie relazioni di attendibilità aggiuntive. Per individuare i certificati radice attendibili da distribuire ai client del dominio, vedere Utilizzare i criteri per distribuire i certificati.

Scheda Autori attendibili

La firma del software viene utilizzata da un numero crescente di autori e sviluppatori di applicazioni per attestare che i rispettivi prodotti provengono da una fonte attendibile. Molti utenti tuttavia non comprendono o trascurano i certificati di firma associati alle applicazioni che installano.

Le opzioni relative ai criteri nella scheda Autori attendibili del criterio di convalida del percorso dei certificati consente di controllare chi può prendere decisioni sugli autori attendibili:

  • Administrators e utenti

  • Solo amministratori

  • Solo amministratori dell'organizzazione

Le opzioni relative ai criteri presenti in questa scheda consentono inoltre di imporre che per i certificati degli autori attendibili venga verificato che:

  • Non siano stati revocati

  • Abbiano timestamp validi

Scheda Recupero dalla rete

Per essere efficaci, i dati relativi ai certificati, come gli elenchi di revoche di certificati (CRL) e i certificati del programma Microsoft Root Certificate devono essere aggiornati regolarmente. È tuttavia possibile che si verifichino problemi se il controllo di convalida e il recupero dei dati di revoca e dei certificati incrociati si interrompono a causa del trasferimento di quantità di informazioni maggiori del previsto.

Le impostazioni di recupero dalla rete consentono agli amministratori di:

  • Aggiornare automaticamente i certificati nel programma Microsoft Root Certificate.

  • Configurare valori di timeout per il recupero dei CRL e per la convalida del percorso. Valori predefiniti elevati possono risultare utili in condizioni di rete non ottimali.

  • Abilitare il recupero dei certificati delle Autorità di certificazione durante la convalida del percorso.

  • Definire la frequenza di download dei certificati incrociati.

Scheda Revoca

Per consentire la verifica delle revoche, Servizi certificati Active Directory supporta l'utilizzo di CRL e Delta CRL, nonché delle risposte OCSP distribuite dai risponditori online.

Le impostazioni di Criteri di gruppo per la convalida dei percorsi consentono inoltre agli amministratori di ottimizzare l'utilizzo dei CRL e dei risponditori online, in particolare nelle situazioni in cui le dimensioni eccessive dei CRL o le condizioni di rete determinano una riduzione delle prestazioni.

Sono disponibili le impostazioni seguenti:

  • Preferisci sempre elenchi di revoche di certificati (CRL) alle risposte del protocollo di stato del certificato online (OSP). In generale, è consigliabile che i client utilizzino i dati di revoca più recenti disponibili, indipendentemente dalla loro origine (CRL o Risponditore in linea). Se si seleziona questa opzione, verrà utilizzata una verifica delle revoche proveniente da un risponditore online solo se non è disponibile un CRL o Delta CRL valido.

  • Validità delle risposte CRL e OCSP più lunga della durata. In generale, non è consigliabile prolungare la validità delle risposte CRL e OCSP oltre la scadenza. Questa opzione può tuttavia essere necessaria in situazioni in cui i client non possono connettersi a un punto di distribuzione CRL o a un risponditore online per un lungo periodo. Nell'impostazione di questo criterio è anche possibile configurare il tempo oltre il periodo di validità stabilito durante il quale è possibile utilizzare una risposta CRL o OCSP.


Argomenti della Guida