Citrix Virtual Apps and Desktops

Gestire i certificati

TLS utilizza i certificati per stabilire un rapporto di fiducia tra due parti. È necessario installare un certificato idoneo su ciascun server che fornisce un servizio e assicurarsi che le macchine che si connettono a tale server si fidino di tale certificato. Per firmare i certificati sono disponibili le seguenti opzioni:

  • Certificati autofirmati. Questi non sono consigliati. Sono difficili da gestire poiché è necessario copiare manualmente il certificato su qualsiasi altra macchina che deve considerarlo attendibile.
  • Autorità di certificazione aziendale. Se è già in atto una PKI, questa è solitamente l’opzione più semplice per firmare un certificato da utilizzare tra dispositivi interni.
  • Autorità di certificazione pubblica. Per farlo, è necessario dimostrare all’autorità di certificazione la proprietà del dominio. Presenta il vantaggio che i dispositivi client non gestiti sono normalmente preconfigurati per considerare attendibili i certificati delle principali autorità di certificazione pubbliche.

Crea un nuovo certificato

Seguire le policy e le procedure della propria organizzazione per la creazione dei certificati.

Crea un certificato utilizzando l’autorità di certificazione Microsoft

Se la Microsoft Certificate Authority è integrata in un dominio Active Directory o nella foresta attendibile a cui sono aggiunti i Delivery Controller, è possibile acquisire un certificato tramite la procedura guidata Registrazione certificati dello snap-in Certificati di MMC. L’autorità di certificazione Microsoft deve disporre di un modello di certificato pubblicato, idoneo all’uso da parte dei server Web.

Il certificato radice viene distribuito automaticamente ad altre macchine nel dominio tramite criteri di gruppo. Pertanto tutte le altre macchine nel dominio considerano attendibili i certificati creati tramite Microsoft Certificate Authority. Se hai macchine non presenti nel dominio, devi esportare il certificato dell’autorità di certificazione radice e importarlo in quelle macchine.

  1. Sul server, aprire la console MMC e aggiungere lo snap-in Certificati. Quando richiesto, selezionare Account computer.

  2. Espandi Certificati personali >, quindi usa il comando del menu contestuale Tutte le attività > Richiedi nuovo certificato .

    Snap-in Certificati MMC

  3. Fare clic su Avanti per iniziare e su Avanti per confermare che si sta acquisendo il certificato dalla registrazione di Active Directory.

  4. Selezionare un modello adatto come ad esempio Server Web esportabile. Se il modello è stato impostato per fornire automaticamente i valori per Subject, puoi cliccare su Enroll senza fornire ulteriori dettagli. Altrimenti clicca su Per registrarti per questo certificato sono necessarie ulteriori informazioni. Fai clic qui per configurare le impostazioni.

    Richiedi finestra di dialogo certificati

  5. Per fornire maggiori dettagli sul modello di certificato, fare clic sul pulsante freccia Dettagli e configurare quanto segue:

    Nome soggetto: seleziona Nome comune e aggiungi l’FQDN del server.

    Nome alternativo: seleziona DNS e aggiungi l’FQDN del server.

    Proprietà del certificato

  6. Premi OK.

  7. Premi Registra per creare il certificato. Viene visualizzato nell’elenco dei certificati.

    Screenshot dei certificati personali

Creare una richiesta di certificato utilizzando IIS

Se IIS è installato sul server, completare i seguenti passaggi:

  1. Apri Gestione Internet Information Service (IIS)
  2. Selezionare il nodo del server nell’elenco Connessioni.
  3. Apri Certificati server. Screenshot che indica dove trovare i certificati del server ""
  4. Dal riquadro Azioni , seleziona Crea richiesta di certificato…. Screenshot del menu azioni con "crea richiesta certificato" evidenziato
  5. Immettere le proprietà del nome distinto **. Screenshot della schermata delle proprietà del nome distinto
  6. Nella schermata Proprietà del provider di servizi crittografici , lasciare il provider di servizi crittografici ** come predefinito. Selezionare una dimensione della chiave di **2048 o superiore. Screenshot della schermata Proprietà del provider di servizi crittografici
  7. Scegli un nome file e premi Fine. Screenshot della schermata Nome file
  8. Carica la tua CSR sulla tua autorità di certificazione.
  9. Una volta ricevuto il certificato, dal riquadro Azioni , seleziona Completa richiesta certificato…. Screenshot del menu azioni con "Richiesta di certificato completa" evidenziata
  10. Selezionare il certificato, fornire un Nome descrittivo e premere OK. Screenshot della finestra di risposta completa del certificato

Non è possibile impostare il nome alternativo dell’oggetto. Pertanto il certificato è limitato al server specificato utilizzando il nome comune.

Crea una richiesta di firma del certificato dallo snap-in dei certificati

Dall’interno dello snap-in Certificati mmc è possibile creare una richiesta di firma del certificato. Questo genera un file che è possibile inviare a un’autorità di certificazione che fornirà il certificato. È quindi necessario importare il certificato per combinarlo con la chiave privata locale.

  1. Sul server, aprire la console MMC e aggiungere lo snap-in Certificati. Quando richiesto, selezionare Account computer.

  2. Espandi Personale > Certificati
  3. Seleziona Tutte le attività > Operazioni avanzate > Crea richiesta personalizzata.
  4. Su Prima di iniziare, seleziona Avanti.
  5. Nella schermata Seleziona policy di registrazione del certificato , seleziona una policy esistente adatta oppure Procedi senza policy di registrazione.
  6. Nella schermata Richiesta personalizzata , se si utilizza una policy di iscrizione, scegliere un modello appropriato, se disponibile, come ad esempio Server Web esportabile.
  7. Nella schermata Informazioni sul certificato , espandi Dettagli e seleziona Proprietà.
  8. Nella finestra Proprietà certificato , nella scheda Generale , immettere un nome descrittivo appropriato.
  9. Nella scheda Oggetto **:

    1. In Nome soggetto, seleziona Nome comune e inserisci l’FQDN del server. È possibile immettere un carattere jolly. Seleziona Aggiungi.
    2. In Nome soggetto, aggiungere i valori appropriati per Organizzazione, Unità organizzativa, Località, Stato, Paese.
    3. In Nome alternativo, seleziona DNS. Aggiungere il nome di dominio completo del server. È possibile aggiungere più FQDN di server oppure un FQDN jolly.
  10. Nella scheda Estensioni :

    • Sotto Utilizzo della chiave aggiungere Firma digitale e Cifratura della chiave.
    • In Utilizzo chiave esteso (criteri applicativi), aggiungere Autenticazione server e Autenticazione client.
  11. Nella scheda Chiave privata .

    • In Seleziona Fornitore di servizi crittografici (CSP) scegli un fornitore adatto.
    • In Opzioni chiave, seleziona una dimensione di chiave adatta. Per i provider RSA, utilizzare almeno una dimensione della chiave pari a 2048. Per una maggiore sicurezza potresti scegliere 4096, ma ciò avrà un leggero impatto sulle prestazioni.
    • In Opzioni chiave, seleziona Rendi esportabile la chiave privata.
  12. Seleziona OK.
  13. Seleziona Avanti.
  14. Seleziona Sfoglia e salva la tua richiesta.
  15. Seleziona Termina.
  16. Carica la tua CSR sulla tua autorità di certificazione.
  17. Una volta ricevuto il certificato, importalo sullo stesso server in modo che sia collegato alla chiave privata.

Crea un nuovo certificato autofirmato

Durante l’installazione di un delivery controller e di uno studio web viene creato un certificato autofirmato. È possibile generare un nuovo certificato autofirmato e utilizzarlo per sostituire quello esistente.

Utilizzo del gestore IIS

Se IIS è installato sul server, è possibile eseguire i seguenti passaggi:

  1. Accedi al server come amministratore.

  2. Aprire Gestione IIS
  3. Apri Certificati server
  4. Nel riquadro Azioni , seleziona Crea certificato autofirmato.

    Certificati del server

  5. In Crea certificato autofirmato, inserisci un nome per il certificato e fai clic su OK. Viene quindi creato il certificato autofirmato.

    Crea un certificato autofirmato

Utilizzo di PowerShell

È possibile utilizzare PowerShell per creare un certificato autofirmato:

  $certSubject = "CN=myddc.example.com" # The FQDN of the server.
  $friendlyName = "Self-Signed-3"
  $expireYears = 5

  ## Create new self-signed certificate under LocalMachine\My
  $certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

  # Add to trusted root certificates
  $rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
  $rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
  $rootCertStore.Add($certificate)
<!--NeedCopy-->

Importa certificato esistente

È possibile importare un certificato esistente nel server utilizzando uno dei seguenti metodi.

Procedura guidata di importazione dei certificati

  1. Fare doppio clic sul file PFX oppure fare clic con il pulsante destro del mouse sul file e selezionare Installa PFX. Si apre la procedura guidata di importazione dei certificati **.

  2. Per Posizione archivio, selezionare Macchina locale.

    Screenshot della procedura guidata di importazione del certificato

  3. Se richiesto, inserisci la password.

    Screenshot della procedura guidata di importazione del certificato, fase di protezione della chiave privata

  4. Selezionare l’archivio certificati **. Per i certificati del server, seleziona **Personale. Se si tratta di un certificato radice o di un certificato autofirmato di cui si desidera fidarsi da questa macchina, selezionare Autorità di certificazione radice attendibili.

    Screenshot della procedura guidata di importazione dei certificati, passaggio di archiviazione dei certificati

Utilizzare la console Gestisci certificati computer

  1. Aprire la console Gestisci certificati computer e passare all’archivio certificati appropriato. Per i certificati server questo è normalmente. Personale > Certificati. Per considerare attendibile un certificato radice o autofirmato, seleziona Autorità di certificazione radice attendibili > Certificati.

  2. Fare clic con il pulsante destro del mouse sul certificato e selezionare > Tutte le attività > Importa….

    Console Gestisci certificati computer

  3. Seleziona Sfoglia… e seleziona il file.

  4. Se richiesto, inserisci la password.

Utilizzare PowerShell

Per importare un certificato, utilizzare il cmdlet di PowerShell Import-PfxCertificate. Ad esempio, per importare il certificato certificate.pfx con password 123456 nell’archivio certificati personale, eseguire il seguente comando:

  Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Per importare un certificato radice attendibile, impostare CertStoreLocation su Cert:\LocalMachine\Root\.

Esporta certificato senza chiave privata

Per esportare un certificato in modo da poterlo importare in altri dispositivi affinché lo considerino attendibile, è necessario escludere la chiave privata.

  1. Aprire Gestisci certificati computer. Vai a Personale > Certificati e seleziona il certificato che desideri esportare.

  2. Dal menu Azione , seleziona Tutte le attività quindi Esporta.

    Screenshot della gestione dei certificati con il menu Esporta

  3. Seleziona No, non esportare la chiave privata, quindi premi Avanti.

    Certificato di esportazione

  4. Seleziona il formato binario codificato DER X.509 (.CER) (predefinito) e premi Avanti.

  5. Inserisci un nome file e premi Avanti.

    Screenshot di Certificate Export Wizard, nome file

  6. Seleziona Termina.

    Screenshot di Certificate Export Wizard, esportazione riuscita

Esporta certificato con chiave privata

Per esportare un certificato e poterlo utilizzare su altri server, è necessario includere la chiave privata.

  1. Aprire Gestisci certificati computer. Vai a Personale > Certificati e seleziona il certificato che desideri esportare.

  2. Dal menu Azione , seleziona Tutte le attività quindi Esporta.

    Screenshot della gestione dei certificati con il menu Esporta

  3. Scegli Sì, esporta la chiave privata, quindi seleziona Avanti.

    Certificato di esportazione

  4. Nella scheda Sicurezza , inserisci una password, quindi seleziona Avanti.

    Screenshot della procedura guidata di esportazione dei certificati, passaggio di sicurezza

  5. Inserisci un nome file e seleziona Avanti.

    Screenshot di Certificate Export Wizard, nome file

  6. Seleziona Termina.

    Screenshot di Certificate Export Wizard, esportazione riuscita

Convertire il certificato in formato PEM

Per impostazione predefinita, Windows esporta i certificati in formato PKCS#12 come file .pfx che include la chiave privata. Per utilizzare il certificato su un NetScaler Gateway o su un server di licenze, è necessario estrarre il certificato e le chiavi private in file separati in formato PEM. Puoi farlo utilizzando openssl.

Per esportare il certificato in formato PEM eseguire:

  openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Ti verrà chiesta la password esistente e una nuova passphrase

Per esportare la chiave in formato PEM eseguire:

  openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Certificati affidabili

  • Se si utilizza un certificato rilasciato da un’autorità di certificazione pubblica, i dispositivi sono normalmente preconfigurati con i certificati radice.
  • Se si utilizza un’autorità di certificazione aziendale, è necessario distribuire il certificato radice su tutti i dispositivi che devono considerare attendibile tale certificato. Se si utilizzano i Servizi di certificazione di Active Directory, i certificati radice vengono distribuiti anche a tutti i computer del dominio tramite Criteri di gruppo. È necessario importare manualmente il certificato radice su macchine non appartenenti al dominio, come i gateway NetScaler o macchine su altri domini.
  • Se si utilizza un certificato autofirmato, questo deve essere installato manualmente su ogni macchina che deve considerare attendibile il certificato.

Per esportare un certificato radice autofirmato o attendibile da Windows, vedere esportare certificato senza chiave privata.

Affinché Windows consideri attendibile il certificato, è necessario importare il certificato nell’archivio Autorità di certificazione radice attendibili . Se si utilizza PowerShell, immettere l’archivio Cert:\LocalMachine\Root\.

Affinché NetScaler consideri attendibile il certificato, prima converti il certificato nel formato PEM, quindi installa il certificato radice.

Gestire i certificati