Eseguire le procedure seguenti nelle Autorità di certificazione (CA) di Protezione accesso alla rete per verificare che i server siano configurati correttamente per l'utilizzo con l'Autorità registrazione integrità e il metodo di imposizione IPsec (Internet Protocol Security) di Protezione accesso alla rete. Le CA di Protezione accesso alla rete sono server in cui è installato e in esecuzione Servizi certificati Active Directory® e che possono rilasciare certificati di integrità di Protezione accesso alla rete. Per ulteriori informazioni su Servizi certificati Active Directory®, vedere https://go.microsoft.com/fwlink/?LinkId=127816.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins oppure a un gruppo equivalente. Per ulteriori informazioni sull'utilizzo degli account appropriati e sull'appartenenza a gruppi, vedere https://go.microsoft.com/fwlink/?LinkId=83477.

Scegliere una CA di Protezione accesso alla rete

L'Autorità registrazione integrità deve essere associata ad almeno una CA per ottenere e rilasciare certificati di integrità di Protezione accesso alla rete per i computer client di Protezione accesso alla rete conformi. È possibile selezionare una CA durante l'installazione dell'Autorità registrazione integrità scegliendo di installare la CA in locale oppure selezionando una CA remota esistente. È inoltre possibile aggiungere CA di Protezione accesso alla rete in un secondo tempo utilizzando lo snap-in Autorità registrazione integrità o la riga di comando. Per associare più CA all'Autorità registrazione integrità, è necessario utilizzare lo snap-in Autorità registrazione integrità o la riga di comando. È possibile configurare l'Autorità registrazione integrità per l'utilizzo di una CA dell'organizzazione (Enterprise) o una CA autonoma (Standalone). I requisiti di configurazione per una CA di Protezione accesso alla rete variano in base al tipo di CA scelto. Le impostazioni di sicurezza della CA e i requisiti di rilascio di certificati devono essere configurati sempre, indipendentemente dal tipo di CA scelto. Nella configurazione consigliata l'Autorità registrazione integrità è associata a una CA subordinata autonoma (Standalone) dedicata. Per ulteriori informazioni sulla configurazione dell'Autorità registrazione integrità per l'utilizzo di una CA di Protezione accesso alla rete, vedere Configurare l'Autorità di certificazione di Protezione accesso alla rete.

Scegliere una CA autonoma (Standalone)

Una CA autonoma (Standalone) non utilizza modelli di certificati. Non è pertanto necessario configurare un modello di certificato di integrità quando si utilizza una CA di Protezione accesso alla rete autonoma (Standalone). Se si sceglie una CA autonoma (Standalone), è comunque necessario configurare le impostazioni di sicurezza della CA e i requisiti di rilascio di certificati in modo che l'Autorità registrazione integrità possa richiedere e rilasciare automaticamente certificati di integrità ai computer client conformi.

Scegliere un'autorità di certificazione dell'organizzazione (enterprise)

Una CA dell'organizzazione (Enterprise) rilascia certificati basati su modelli di certificati. Il modulo criteri viene utilizzato per fornire un elenco di estensioni per i certificati ai certificati rilasciati, ad esempio l'autenticazione dell'integrità del sistema per Protezione accesso alla rete. Se la CA dell'organizzazione (Enterprise) esegue Windows Server® 2008, il modello di certificato per l'autenticazione dell'integrità del sistema è disponibile per impostazione predefinita con le estensioni dei criteri di applicazione adatte all'autenticazione dell'integrità e del dominio. Se la CA dell'organizzazione (Enterprise) esegue Windows Server® 2003, è necessario creare e pubblicare un modello contenente queste estensioni dei criteri di applicazione. Eseguire le procedure seguenti per verificare che le CA dell'organizzazione (Enterprise) siano configurate per il rilascio automatico di certificati di integrità con le estensioni dei criteri di applicazioni corrette.

Verificare la disponibilità del modello

Se la CA dell'organizzazione (enterprise) esegue Windows Server 2008, è automaticamente disponibile un modello di certificato per i client di Protezione accesso alla rete autenticati nel dominio con il nome visualizzato Autenticazione integrità sistema. Se la CA dell'organizzazione (enterprise) esegue Windows Server 2003, questo modello deve essere creato. Eseguire la procedura seguente per verificare che un certificato di integrità di Protezione accesso alla rete sia disponibile con le estensioni dei criteri di applicazione corrette oppure creare il modello, se non è disponibile. Non è necessario eseguire questa procedura se si utilizza una CA autonoma (Standalone).

Per verificare la disponibilità del modello

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare certtmpl.msc e quindi premere INVIO.

  2. Nel riquadro dei dettagli analizzare l'elenco dei modelli in Nome visualizzato modello. Fare doppio clic sul nome del modello di certificato di integrità di Protezione accesso alla rete. Se non è elencato alcun modello di certificato di integrità di Protezione accesso alla rete, eseguire la procedura seguente:

    1. Fare clic con il pulsante destro del mouse su Autenticazione workstation e quindi scegliere Duplica modello.

    2. In Nome visualizzato modello digitare Autenticazione integrità sistema e quindi fare clic sulla scheda Estensioni.

    3. In Estensioni incluse nel modello fare clic su Criteri di applicazione e quindi su Modifica.

    4. Fare clic su Aggiungi e quindi su Nuovo.

    5. In Nuovo criterio di applicazione digitare Autenticazione integrità sistema in Nome.

    6. In Identificatore oggetto digitare 1.3.6.1.4.1.311.47.1.1 e quindi fare quattro volte clic su OK.

    7. Verificare che il nuovo modello sia stato creato correttamente.

    8. Per verificare il nuovo modello, fare doppio clic sul nome e quindi continuare con l'esecuzione della procedura.

  3. Fare clic sulla scheda Estensioni.

  4. In Estensioni incluse nel modello fare clic su Criteri di applicazione.

  5. In Descrizione di Criteri di applicazione verificare che Autenticazione integrità sistema e Autenticazione client siano elencati e quindi fare clic su Modifica.

  6. Fare clic su Autenticazione integrità sistema e quindi su Modifica.

  7. In Modifica criterio di applicazione verificare che in Identificatore oggetto il valore sia 1.3.6.1.4.1.311.47.1.1. Se il valore dell'identificatore di oggetto del criterio di applicazione è diverso, eseguire i passaggi precedenti della procedura per creare un nuovo modello per l'autenticazione dell'integrità del sistema. È inoltre necessario correggere i nomi dei criteri di applicazione in modo che l'identificatore di oggetto associato ad Autenticazione integrità sistema sia 1.3.6.1.4.1.311.47.1.1.

  8. Fare clic su Annulla tre volte e quindi chiudere la console Modelli di certificato.
Nota

Se questo modello di certificato viene utilizzato per rilasciare certificati di integrità anonimi, non includere il criterio di applicazione Autenticazione client. I certificati contenenti il criterio di applicazione per l'autenticazione client vengono rilasciati ai client che eseguono l'autenticazione tramite credenziali di dominio.

Verificare la disponibilità del certificato

In una CA dell'organizzazione (Enterprise) i certificati devono essere resi disponibili prima che possano essere rilasciati ai computer client. Eseguire la procedura seguente per assicurarsi che il certificato di integrità di Protezione accesso alla rete sia disponibile per il rilascio. Non è necessario eseguire questa procedura se si utilizza una CA autonoma (Standalone).

Per verificare la disponibilità del certificato

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare certsvr.msc e quindi premere INVIO.

  2. Nell'albero della console fare clic su Modelli di certificato.

  3. Nel riquadro dei dettagli verificare che il certificato di integrità di Protezione accesso alla rete sia elencato in Nome. Se il server CA dell'organizzazione (Enterprise) esegue Windows Server 2008, il nome visualizzato del modello predefinito del certificato di integrità per i client di Protezione accesso alla rete autenticati del dominio è Autenticazione integrità sistema.

  4. Se il modello di certificato di integrità è stato creato ma non è visualizzato nell'elenco, eseguire la procedura seguente per rilasciare il modello:

    1. Fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovo e quindi fare clic su Modello di certificato da rilasciare.

    2. In Attivazione modelli di certificato fare clic sul nome del certificato di integrità di Protezione accesso alla rete in Nome e quindi su OK. Se il modello non è visualizzato nell'elenco, significa che è già stato attivato o che è necessario crearlo prima di eseguire questa procedura.

    3. Verificare che il modello di certificato di integrità di Protezione accesso alla rete venga aggiunto all'elenco di modelli.

  5. Chiudere la console Autorità di certificazione.

Verificare le autorizzazioni per la registrazione del certificato per l'Autorità registrazione integrità

Affinché l'Autorità registrazione integrità possa ottenere certificati da una CA dell'organizzazione (Enterprise) per rilasciarli ai client, è necessario concedere all'Autorità l'autorizzazione a registrare il certificato di integrità. Se si concede l'autorizzazione per la registrazione automatica, l'Autorità registrazione integrità aggiungerà automaticamente il certificato all'archivio certificati locale. Se si concede solo l'autorizzazione per la registrazione, sarà necessario fornire manualmente un certificato di integrità nel server Autorità registrazione integrità. Eseguire la procedura seguente per verificare che all'Autorità registrazione integrità siano state concesse tali autorizzazioni. Non è necessario eseguire questa procedura se si utilizza una CA autonoma (Standalone).

Per verificare le autorizzazioni per la registrazione del certificato per l'Autorità registrazione integrità

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare certtmpl.msc e quindi premere INVIO.

  2. Nel riquadro dei dettagli fare doppio clic sul nome del certificato di integrità di Protezione accesso alla rete in Nome visualizzato modello. Se il server CA dell'organizzazione (enterprise) esegue Windows Server 2008, il nome visualizzato del modello predefinito del certificato di integrità per i client di Protezione accesso alla rete autenticati del dominio è Autenticazione integrità sistema.

  3. Fare clic sulla scheda Sicurezza.

  4. Verificare che le autorizzazioni Registrazione e Registrazione automatica siano state concesse al nome DNS del server Autorità registrazione integrità o a un gruppo a cui appartiene il server Autorità registrazione integrità. Se queste autorizzazioni non sono state concesse, eseguire la procedura seguente:

    1. Fare clic su Aggiungi e su Tipi di oggetto, selezionare la casella di controllo Computer e quindi fare clic su OK.

    2. In Immettere i nomi degli oggetti da selezionare immettere il nome DNS del server Autorità registrazione integrità e quindi fare clic su OK. In alternativa, è possibile immettere il nome di un gruppo a cui appartiene il server Autorità registrazione integrità.

    3. Fare clic sul nome o sul gruppo aggiunto, selezionare Consenti per Registrazione e Registrazione automatica e quindi fare clic su OK.

  5. Chiudere la console Modelli di certificato.

Verificare le impostazioni di sicurezza della CA

Le impostazioni di sicurezza della CA determinano se un'Autorità registrazione integrità dispone delle autorizzazioni per rilasciare certificati di integrità. Eseguire la procedura seguente per verificare le autorizzazioni nelle CA di Protezione accesso alla rete. Questa procedura è valida per i server CA dell'organizzazione (Enterprise) e autonoma (Standalone).

Per verificare le impostazioni di sicurezza del certificato

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare certsrv.msc e quindi premere INVIO.

  2. Fare clic con il pulsante destro del mouse sul nome comune della CA e quindi scegliere Proprietà.

  3. Fare clic sulla scheda Sicurezza.

  4. Se l'Autorità registrazione integrità e la CA di Protezione accesso alla rete sono in esecuzione nello stesso computer, verificare che SERVIZIO DI RETE sia incluso in Utenti e gruppi.

  5. Se l'Autorità registrazione integrità e la CA di Protezione accesso alla rete sono in esecuzione in computer diversi, verificare che il nome computer del server Autorità registrazione integrità sia incluso in Utenti e gruppi.

  6. Fare clic sul nome del server Autorità registrazione integrità oppure su SERVIZIO DI RETE e quindi verificare che siano state concesse autorizzazioni per Rilascio e gestione certificati, Gestione CA e Richiedi certificati.

  7. Fare clic su OK e quindi chiudere la console Autorità di certificazione.

Verificare i requisiti di rilascio di certificati

Affinché i computer client di Protezione accesso alla rete possano acquisire immediatamente i certificati di integrità quando vengono ritenuti conformi con i requisiti di integrità della rete, le CA di Protezione accesso alla rete devono essere configurate per il rilascio automatico di certificati di integrità. Eseguire la procedura seguente per verificare che i certificati vengano rilasciati automaticamente. Questa procedura è valida per i server CA dell'organizzazione (Enterprise) e autonoma (Standalone).

Per verificare i requisiti di rilascio di certificati

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare certsrv.msc e quindi premere INVIO.

  2. Fare clic con il pulsante destro del mouse sul nome comune della CA e quindi scegliere Proprietà.

  3. Fare clic sulla scheda Modulo criterio e quindi su Proprietà.

  4. Verificare che Utilizza le impostazioni contenute nel modello di certificato sia selezionato.

  5. Fare due volte clic su OK e quindi chiudere la console Autorità di certificazione.

Ulteriori riferimenti

Argomenti della Guida