Dopo l'installazione di un'Autorità di certificazione (CA), si installano in molti casi una o più CA subordinate per implementare criteri restrittivi sull'infrastruttura a chiave pubblica (PKI) e per rilasciare certificati ai client finali. L'utilizzo di almeno una CA subordinata può aiutare a proteggere la CA radice da un'esposizione non necessaria.
Se si prevede di utilizzare una CA subordinata per il rilascio di certificati a utenti o a computer con account in un dominio di Active Directory, l'installazione della CA subordinata come Autorità di certificazione dell'organizzazione (enterprise) consentirà di utilizzare i dati di account del client già presenti in Servizi di dominio Active Directory per il rilascio e la gestione dei certificati e per la loro pubblicazione in Servizi di dominio Active Directory.
Per poter completare questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale o a un gruppo equivalente. Nel caso di un'Autorità di certificazione dell'organizzazione (enterprise), per eseguire questa procedura è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.
Per installare una CA subordinata |
Aprire Server Manager, fare clic su Aggiungi ruoli, su Avanti e quindi su Servizi certificati Active Directory. Fare clic su Avanti due volte.
Nella pagina Selezione servizi ruolo fare clic su Autorità di certificazione e quindi su Avanti.
Nella pagina Impostazione tipo di installazione fare clic su Autonoma (Standalone) o Dell'organizzazione (Enterprise) e quindi su Avanti.
Per ulteriori informazioni, vedere Tipi di Autorità di certificazione.
Nota Per installare un'Autorità di certificazione dell'organizzazione (enterprise), è necessaria una connessione di rete a un controller di dominio.
Nella pagina Indicazione del tipo di CA fare clic su CA subordinata e quindi su Avanti.
Nella pagina Configurazione chiave privata fare clic su Crea una nuova chiave privata e quindi su Avanti.
Nella pagina Configurazione crittografia selezionare un provider del servizio di crittografia, la lunghezza della chiave e l'algoritmo hash. Fare clic su Avanti.
Per ulteriori informazioni, vedere Opzioni di crittografia per le CA.
Nella pagina Richiedi certificato individuare la CA radice, oppure, se la CA radice non è connessa alla rete, salvare la richiesta di certificato in un file in modo che possa essere elaborata in seguito. Fare clic su Avanti.
Nota Per poter utilizzare la CA subordinata è necessario che le venga rilasciato dalla CA radice un certificato e che questo venga utilizzato per completare l'installazione della CA subordinata.
Nella pagina Configurazione nome CA specificare un nome univoco per identificare la CA. Fare clic su Avanti.
Per ulteriori informazioni, vedere Denominazione delle Autorità di certificazione.
Nella pagina Impostazione del periodo di validità specificare il numero di anni o di mesi per i quali il certificato CA sarà valido. Fare clic su Avanti.
Nella pagina Configurazione database certificati accettare i percorsi predefiniti, a meno che non si desideri specificare un percorso personalizzato per il database dei certificati e il registro del database dei certificati. Fare clic su Avanti.
Per ulteriori informazioni, vedere Database dei certificati.
Nella pagina Conferma opzioni di installazione controllare tutte le impostazioni di configurazione selezionate. Se si desidera accettare tutte le opzioni, fare clic su Installa e attendere il termine del processo di installazione.