Le procedure seguenti consentono di installare Servizi certificati Active Directory® (AD CS) e di effettuare la registrazione di un certificato del server sui server che eseguono Server dei criteri di rete. Se si distribuisce un'autenticazione basata su certificato, è necessario che i server che eseguono Server dei criteri di rete dispongano di un certificato del server. Durante il processo di autenticazione, tali server inviano il proprio certificato server ai computer client per l'identificazione.

Il processo di configurazione della registrazione del certificato di Server dei criteri di rete viene eseguito in tre fasi:

  1. Installazione del ruolo server Servizi certificati Active Directory. Questa fase è necessaria solo se non è già stata distribuita un'autorità di certificazione sulla rete.

  2. Configurazione del modello e della registrazione automatica di un certificato server. L'autorità di certificazione rilascia certificati basati su un modello di certificato ed è quindi necessario configurare il modello per il certificato del server dei criteri di rete prima che l'autorità di certificazione ne possa rilasciare uno. Quando si configura la registrazione automatica, un certificato del server viene rilasciato automaticamente a tutti i server che eseguono Server dei criteri di rete sulla rete al momento dell'aggiornamento di Criteri di gruppo sul server che esegue Server dei criteri di rete. Anche i server che verranno aggiunti in seguito riceveranno automaticamente un certificato server.

  3. Aggiornamento di Criteri di Gruppo in server che eseguono Server dei criteri di rete. Quando Criteri di gruppo viene aggiornato, i server che eseguono Server dei criteri di gruppo ricevono due certificati. Uno è costituito dal certificato server basato sul modello configurato nella fase precedente. Questo certificato viene utilizzato da Server dei criteri di rete per l'autenticazione su computer client che tentano di connettersi alla rete in uso. L'altro certificato è il certificato di rilascio dell'Autorità di certificazione che viene installato automaticamente nei server che eseguono Server dei criteri di rete nell'archivio certificati delle Autorità di certificazione radice attendibili. Server dei criteri di rete utilizza questo certificato per determinare se considerare attendibili i certificati ricevuti da altri computer. Se ad esempio si distribuisce EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), i computer client utilizzano un certificato per l'autenticazione sul server che esegue Server dei criteri di rete. Quando il server riceve un certificato da un computer client, l'attendibilità del certificato viene stabilita perché il server che esegue Server dei criteri di rete trova il certificato dell'autorità di certificazione emittente nell'archivio dei certificati delle autorità di certificazione radice disponibili nell'elenco locale.

Anziché registrare automaticamente un certificato server di Server dei criteri di rete, è possibile registrare il certificato utilizzando uno dei metodi seguenti:

  • Importazione manuale di un certificato server di Server dei criteri di rete da un disco floppy o da un compact disc nell'archivio certificati di Server dei criteri di rete.

  • Utilizzo dello strumento di registrazione Web dei Servizi certificati per ottenere un certificato del server dei criteri di rete.

Poiché il certificato del Server dei criteri di rete è un certificato del computer, è necessario importare il certificato nell'archivio certificati per il computer locale anziché per l'utente corrente.

Attenzione

Se il certificato server di Server dei criteri di rete viene installato erroneamente nell'archivio certificati Utente corrente, Server dei criteri di rete non sarà in grado di utilizzare il certificato per l'autenticazione PEAP o EAP perché nelle chiavi private del certificato sarà contenuto un elenco di controllo di accesso non configurato correttamente che non consente l'accesso alle chiavi da parte del sistema locale. È possibile verificare la posizione del certificato server di Server dei criteri di rete tramite lo snap-in MMC (Microsoft Management Console) Certificati. Se il certificato server di Server dei criteri di rete non si trova in una posizione corretta, non tentare di trascinare il certificato dall'archivio certificati Utente locale all'archivio certificati Computer locale. Le chiavi private per il certificato conterranno ancora un elenco di controllo di accesso configurato in modo errato. Revocare invece il certificato utilizzando Servizi certificati Active Directory e rilasciare un nuovo certificato server al server che esegue Server dei criteri di rete.

Per distribuire un'autorità di certificazione e registrare automaticamente i certificati del Server dei criteri di rete, eseguire le operazioni seguenti:

Argomenti della Guida