È necessario configurare l'Autorità registrazione integrità con almeno un'Autorità di certificazione a cui richiedere i certificati di integrità per conto dei computer client. I certificati vengono richiesti quando nuovi client si connettono alla rete o quando sta per scadere il periodo di validità di un certificato di integrità in un computer client conforme. I certificati possono inoltre essere rimossi e rilasciati nuovamente ai computer client se il loro stato di integrità cambia mentre sono connessi alla rete. L'Autorità registrazione integrità richiede i certificati di integrità solo all'Autorità di certificazione configurata per prima nell'ordine, a meno che tale server non sia disponibile o non risponda.

Configurare CA

Per configurare CA nell'Autorità registrazione integrità, eseguire la procedura seguente. È possibile aggiungere ed eliminare CA e modificarne l'ordine. È inoltre possibile specificare il numero di minuti di attesa tra le richieste prima di determinare che una CA non è disponibile. Se si utilizza una CA dell'organizzazione (Enterprise), è possibile selezionare i modelli di certificati anonimi e autenticati da utilizzare. Se si utilizza una CA autonoma (Standalone) con controllo accesso alla rete, è possibile attivare le informazioni estese sullo stato del client attivando OID dei criteri.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente. Per ulteriori informazioni sull'utilizzo degli account appropriati e sull'appartenenza a gruppi, vedere https://go.microsoft.com/fwlink/?LinkId=83477.

Aggiungere una nuova CA

Per assicurare prestazioni ottimali, è consigliabile utilizzare una CA subordinata autonoma (Standalone) dedicata per il rilascio di certificati di integrità. La tolleranza di errore viene garantita se si configurano più CA nello snap-in Autorità registrazione integrità. Per disporre del bilanciamento del carico, è possibile configurare un'ulteriore Autorità registrazione integrità con un ordine di elaborazione di CA diverso. Per configurare le CA da utilizzare con l'Autorità registrazione integrità, eseguire la procedura seguente.

Per aggiungere una nuova Autorità di certificazione mediante l'interfaccia di Windows
  1. Aprire la console Autorità registrazione integrità.

  2. Nell'albero della console fare clic con il pulsante destro del mouse su Autorità di certificazione e quindi scegliere Aggiungi Autorità di certificazione. Verrà visualizzata la finestra di dialogo Aggiungi Autorità di certificazione.

  3. Fare clic su Sfoglia. Verrà visualizzata la finestra di dialogo Seleziona Autorità di certificazione.

  4. In CA fare clic sul nome della CA da utilizzare per il rilascio di certificati di integrità di Protezione accesso alla rete e quindi fare due volte clic su OK.

  5. Nell'albero della console Autorità registrazione integrità fare clic su Autorità di certificazione e verificare il nome e l'ordine delle CA configurate.

    Nota

    Non è possibile cercare una CA da un ambiente di gruppo di lavoro.

Configurare il tempo di attesa per la CA

L'Autorità registrazione integrità tenta di ottenere certificati di integrità solo dalla CA configurata per prima nell'ordine di elaborazione, a meno che tale CA non sia stata contrassegnata come non disponibile. Per modificare il numero di minuti di attesa prima di determinare che una CA non è disponibile, eseguire la procedura seguente.

Per configurare il tempo di attesa per l'Autorità di certificazione mediante l'interfaccia di Windows
  1. Aprire la console Autorità registrazione integrità.

  2. Nell'albero della console fare clic con il pulsante destro del mouse su Autorità di certificazione e quindi scegliere Proprietà. Verrà visualizzata la finestra di dialogo Proprietà Autorità di certificazione.

  3. Immettere il numero di minuti di attesa tra le richieste prima di determinare che una CA non è disponibile e quindi fare clic su OK.

Configurare il periodo di validità di un certificato di integrità

Il periodo di validità predefinito per i certificati di integrità è di 4 ore. I client tentano di rinnovare un certificato di integrità 15 minuti prima della scadenza o quando si verifica un cambio nello stato di integrità del client. Per configurare il periodo di validità personalizzato dei certificati di integrità, eseguire la procedura seguente.

Per configurare il periodo di validità dei certificati di integrità approvati dall'Autorità registrazione integrità mediante l'interfaccia di Windows
  1. Aprire la console Autorità registrazione integrità.

  2. Nell'albero della console fare clic con il pulsante destro del mouse su Autorità di certificazione e quindi scegliere Proprietà. Verrà visualizzata la finestra di dialogo Proprietà Autorità di certificazione.

  3. Selezionare l'unità di tempo nell'elenco a discesa. È possibile scegliere tra Minuti, Ore, Giorni o Settimane.

  4. Dopo aver selezionato l'unità di tempo, immettere il numero di unità desiderato e quindi fare clic su OK.

  5. Se si utilizza una CA dell'organizzazione (Enterprise), è necessario eseguire la procedura seguente per ignorare il periodo di validità configurato nei modelli di certificati.

    1. Fare clic sul pulsante Start, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.

    2. Nella finestra di comando digitare Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE e quindi premere INVIO.

    3. Nella finestra di comando digitare net stop certsvc && net start certsvc e quindi premere INVIO.

    4. Verificare che Servizi certificati Active Directory® venga arrestato e riavviato correttamente.

Importante

Il periodo di validità massimo di un certificato di integrità è determinato dal periodo di validità della CA, che per impostazione predefinita è pari a 52 settimane. Prestare attenzione quando si configura un periodo di validità inferiore a un'ora, in quanto ciò potrebbe compromettere le prestazioni del server CA. Non impostare un periodo di validità uguale o inferiore a 15 minuti.

Scegliere il tipo di CA

Per configurare il tipo di Autorità di certificazione di Protezione accesso alla rete, eseguire la procedura seguente. È importante scegliere un tipo di CA che corrisponda alla CA configurata nella procedura precedente. Se si utilizza una CA dell'organizzazione (Enterprise), è necessario configurare modelli prima di eseguire questa procedura.

Per scegliere il tipo di Autorità di certificazione mediante l'interfaccia di Windows
  1. Aprire la console Autorità registrazione integrità.

  2. Nell'albero della console fare clic con il pulsante destro del mouse su Autorità di certificazione e quindi scegliere Proprietà. Verrà visualizzata la finestra di dialogo Proprietà Autorità di certificazione.

  3. Se si utilizza una CA autonoma (Standalone), scegliere Usa Autorità di certificazione autonoma (Standalone).

  4. Non selezionare la casella di controllo Attiva OID criteri, a meno che non si utilizzino informazioni estese sullo stato del client per controllo accesso alla rete.

  5. Se si utilizza una CA dell'organizzazione (Enterprise) integrata in Active Directory, oppure una combinazione di CA dell'organizzazione (Enterprise) e CA autonoma (Standalone), scegliere Usa Autorità di certificazione dell'organizzazione (Enterprise) e quindi selezionare un modello in Modello di certificato conforme autenticato e Modello di certificato conforme anonimo. Se durante l'installazione dell'Autorità registrazione integrità non si è scelto di consentire le richieste anonime di certificati di integrità, la configurazione di un modello anonimo in questa procedura non consente le richieste di certificati anonime.

Eliminare CA o configurarne l'ordine

Per modificare il livello di priorità delle CA utilizzate dall'Autorità registrazione integrità o per rimuovere le CA dalla configurazione dell'Autorità registrazione integrità, eseguire la procedura seguente. L'Autorità registrazione integrità richiede certificati solo alla prima CA configurata nell'elenco, a meno che tale CA non sia stata contrassegnata come non disponibile.

Per eliminare Autorità di certificazione o configurarne l'ordine mediante l'interfaccia di Windows
  1. Aprire la console Autorità registrazione integrità.

  2. Nell'albero della console fare clic su Autorità di certificazione.

  3. Fare clic con il pulsante destro del mouse sul nome di una CA nell'elenco dei server. Scegliere Sposta su per aumentare il livello di priorità del server nell'ordine, oppure Sposta giù per diminuirne il livello di priorità.

  4. Per eliminare una CA dall'elenco, fare clic con il pulsante destro del mouse sul nome della CA e quindi scegliere Elimina.

Ulteriori riferimenti