Ogni richiesta di certificato viene elaborata da un'Autorità di certificazione (CA) in base a un insieme definito di regole. La CA può rilasciare alcuni certificati senza alcuna prova dell'identificazione e richiedere la prova dell'identificazione prima di rilasciare altri certificati. In questo modo vengono forniti livelli di garanzia diversi per certificati diversi. Tali livelli di garanzia vengono rappresentati nei certificati come criteri di rilascio.

I criteri di rilascio (noti anche come criteri di registrazione o criteri dei certificati) rappresentano un gruppo di regole amministrative applicate per il rilascio dei certificati. In un certificato tali regole sono rappresentate da un identificatore di oggetto (noto anche come OID) definito dalla CA. L'identificatore di oggetto è incluso nel certificato emesso. Quando un soggetto presenta il proprio certificato, questo può essere esaminato dalla destinazione per verificare il criterio di rilascio e determinare se il livello di tale criterio è sufficiente per eseguire l'azione richiesta.

In Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003 sono inclusi quattro criteri di rilascio predefiniti:

  • Criteri di rilascio (2.5.29.32.0). Questo criterio indica che nel criterio di rilascio sono contenuti tutti gli altri criteri di rilascio. Tale identificatore di oggetto in genere viene assegnato solo a certificati CA.

  • Garanzia bassa (1.3.6.1.4.1.311.21.8.x.y.z.1.400). L'identificatore di oggetto della garanzia bassa viene utilizzato per rappresentare i certificati rilasciati senza ulteriori requisiti di sicurezza.

    Nota

    La parte x.y.z dell'identificatore di oggetto è una sequenza numerica generata in modo casuale univoca per ogni foresta di Active Directory.

  • Garanzia media (1.3.6.1.4.1.311.21.8.x.y.z.1.401). L'identificatore di oggetto della garanzia media viene utilizzato per rappresentare i certificati che prevedono ulteriori requisiti di sicurezza per il rilascio. Un certificato smart card rilasciato in un incontro diretto con un emittente di smart card ad esempio può essere considerato un certificato di garanzia media e contenere l'identificatore di oggetto della garanzia media.

  • Garanzia elevata (1.3.6.1.4.1.311.21.8.x.y.z.1.402). L'identificatore di oggetto della garanzia elevata viene utilizzato per rappresentare i certificati rilasciati con il livello di sicurezza più alto. Il rilascio di un certificato di un agente di recupero chiavi ad esempio può richiedere ulteriori controlli in background e la firma digitale di un revisore approvato poiché chi possiede questo certificato può recuperare il materiale relativo alle chiavi private da una CA dell'organizzazione (Enterprise).

È inoltre possibile creare identificatori di oggetto personalizzati per rappresentare criteri di rilascio personalizzati.

Quando i soggetti inviano richieste di certificati a una CA, è possibile che la richiesta venga approvata automaticamente oppure che le venga assegnato uno stato "in sospeso". Tale stato in genere viene utilizzato per i certificati che richiedono un livello di garanzia superiore e che pertanto prevedono più operazioni di amministrazione e ulteriori attività di verifica della richiesta. Sono disponibili diverse impostazioni per configurare i requisiti di autenticazione e firma per i certificati di rilascio basati su un modello.

Impostazione Descrizione

Approvazione gestore certificati CA

Tutti i certificati vengono inseriti in un contenitore di certificati in sospeso che un gestore certificati può rilasciare o negare.

Numero di firme digitali autorizzate

Questa impostazione impone che la richiesta contenga la firma digitale di uno o più soggetti perché il certificato possa essere rilasciato. In questo modo vengono attivati molti altri parametri di configurazione.

Tipo di criterio richiesto nella firma digitale

Le firme richieste per il rilascio di un certificato devono contenere un criterio di applicazione o un criterio di rilascio specifico oppure entrambi questi criteri. È in questo modo che la CA determina se la firma è appropriata per autorizzare il rilascio del certificato del soggetto. Questa opzione è abilitata se è impostata l'opzione Numero di firme digitali autorizzate.

Criterio di applicazione

Consente di specificare il criterio di applicazione da verificare quando si firma una richiesta di certificato. Questa opzione è abilitata se l'opzione Tipo di criterio richiesto nella firma digitale è impostata su Criterio di applicazione o Criterio di applicazione e di rilascio.

Criterio di rilascio

Consente di specificare il criterio di applicazione da verificare quando si firma una richiesta di certificato. Questa opzione è abilitata se l'opzione Tipo di criterio richiesto nella firma digitale è impostata su Criterio di rilascio o Criterio di applicazione e di rilascio.

La possibilità di creare nuovi criteri di applicazione o di modificare criteri di applicazione esistenti è disponibile solo nei modelli di certificato versioni 2 e 3. Per ulteriori informazioni, vedere Modelli di certificato predefiniti.

Se un modello viene modificato, i client che dispongono già di un certificato valido basato su tale modello devono essere registrati nuovamente affinché possano ricevere un certificato basato sul modello modificato. Per ulteriori informazioni su come registrare nuovamente i client, vedere Registrare nuovamente tutti i possessori di certificati.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins o Enterprise Admins oppure a un gruppo equivalente. Per ulteriori informazioni, vedere Implementare l'amministrazione basata sui ruoli.

Per modificare un criterio di rilascio
  1. Aprire lo snap-in Modelli di certificato.

  2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello di certificato che si desidera modificare e quindi scegliere Proprietà.

  3. Fare clic sulla scheda Requisiti di rilascio.

  4. Fornire le informazioni richieste.