Gestire i certificati
TLS utilizza i certificati per stabilire un rapporto di fiducia tra due parti. È necessario installare un certificato idoneo su ciascun server che fornisce un servizio e assicurarsi che le macchine che si connettono a tale server si fidino di tale certificato. Per firmare i certificati sono disponibili le seguenti opzioni:
- Certificati autofirmati. Questi non sono consigliati. Sono difficili da gestire poiché è necessario copiare manualmente il certificato su qualsiasi altra macchina che deve considerarlo attendibile.
- Autorità di certificazione aziendale. Se è già in atto una PKI, questa è solitamente l’opzione più semplice per firmare un certificato da utilizzare tra dispositivi interni.
- Autorità di certificazione pubblica. Per farlo, è necessario dimostrare all’autorità di certificazione la proprietà del dominio. Presenta il vantaggio che i dispositivi client non gestiti sono normalmente preconfigurati per considerare attendibili i certificati delle principali autorità di certificazione pubbliche.
Crea un nuovo certificato
Seguire le policy e le procedure della propria organizzazione per la creazione dei certificati.
Crea un certificato utilizzando l’autorità di certificazione Microsoft
Se la Microsoft Certificate Authority è integrata in un dominio Active Directory o nella foresta attendibile a cui sono aggiunti i Delivery Controller, è possibile acquisire un certificato tramite la procedura guidata Registrazione certificati dello snap-in Certificati di MMC. L’autorità di certificazione Microsoft deve disporre di un modello di certificato pubblicato, idoneo all’uso da parte dei server Web.
Il certificato radice viene distribuito automaticamente ad altre macchine nel dominio tramite criteri di gruppo. Pertanto tutte le altre macchine nel dominio considerano attendibili i certificati creati tramite Microsoft Certificate Authority. Se hai macchine non presenti nel dominio, devi esportare il certificato dell’autorità di certificazione radice e importarlo in quelle macchine.
-
Sul server, aprire la console MMC e aggiungere lo snap-in Certificati. Quando richiesto, selezionare Account computer.
-
Espandi Certificati personali >, quindi usa il comando del menu contestuale Tutte le attività > Richiedi nuovo certificato .
-
Fare clic su Avanti per iniziare e su Avanti per confermare che si sta acquisendo il certificato dalla registrazione di Active Directory.
-
Selezionare un modello adatto come ad esempio Server Web esportabile. Se il modello è stato impostato per fornire automaticamente i valori per Subject, puoi cliccare su Enroll senza fornire ulteriori dettagli. Altrimenti clicca su Per registrarti per questo certificato sono necessarie ulteriori informazioni. Fai clic qui per configurare le impostazioni.
-
Per fornire maggiori dettagli sul modello di certificato, fare clic sul pulsante freccia Dettagli e configurare quanto segue:
Nome soggetto: seleziona Nome comune e aggiungi l’FQDN del server.
Nome alternativo: seleziona DNS e aggiungi l’FQDN del server.
-
Premi OK.
-
Premi Registra per creare il certificato. Viene visualizzato nell’elenco dei certificati.
Creare una richiesta di certificato utilizzando IIS
Se IIS è installato sul server, completare i seguenti passaggi:
- Apri Gestione Internet Information Service (IIS)
- Selezionare il nodo del server nell’elenco Connessioni.
- Apri Certificati server.
- Dal riquadro Azioni , seleziona Crea richiesta di certificato….
- Immettere le proprietà del nome distinto **.
- Nella schermata Proprietà del provider di servizi crittografici , lasciare il provider di servizi crittografici ** come predefinito. Selezionare una dimensione della chiave di **2048 o superiore.
- Scegli un nome file e premi Fine.
- Carica la tua CSR sulla tua autorità di certificazione.
- Una volta ricevuto il certificato, dal riquadro Azioni , seleziona Completa richiesta certificato….
- Selezionare il certificato, fornire un Nome descrittivo e premere OK.
Non è possibile impostare il nome alternativo dell’oggetto. Pertanto il certificato è limitato al server specificato utilizzando il nome comune.
Crea una richiesta di firma del certificato dallo snap-in dei certificati
Dall’interno dello snap-in Certificati mmc è possibile creare una richiesta di firma del certificato. Questo genera un file che è possibile inviare a un’autorità di certificazione che fornirà il certificato. È quindi necessario importare il certificato per combinarlo con la chiave privata locale.
-
Sul server, aprire la console MMC e aggiungere lo snap-in Certificati. Quando richiesto, selezionare Account computer.
- Espandi Personale > Certificati
- Seleziona Tutte le attività > Operazioni avanzate > Crea richiesta personalizzata.
- Su Prima di iniziare, seleziona Avanti.
- Nella schermata Seleziona policy di registrazione del certificato , seleziona una policy esistente adatta oppure Procedi senza policy di registrazione.
- Nella schermata Richiesta personalizzata , se si utilizza una policy di iscrizione, scegliere un modello appropriato, se disponibile, come ad esempio Server Web esportabile.
- Nella schermata Informazioni sul certificato , espandi Dettagli e seleziona Proprietà.
- Nella finestra Proprietà certificato , nella scheda Generale , immettere un nome descrittivo appropriato.
-
Nella scheda Oggetto **:
- In Nome soggetto, seleziona Nome comune e inserisci l’FQDN del server. È possibile immettere un carattere jolly. Seleziona Aggiungi.
- In Nome soggetto, aggiungere i valori appropriati per Organizzazione, Unità organizzativa, Località, Stato, Paese.
- In Nome alternativo, seleziona DNS. Aggiungere il nome di dominio completo del server. È possibile aggiungere più FQDN di server oppure un FQDN jolly.
-
Nella scheda Estensioni :
- Sotto Utilizzo della chiave aggiungere Firma digitale e Cifratura della chiave.
- In Utilizzo chiave esteso (criteri applicativi), aggiungere Autenticazione server e Autenticazione client.
-
Nella scheda Chiave privata .
- In Seleziona Fornitore di servizi crittografici (CSP) scegli un fornitore adatto.
- In Opzioni chiave, seleziona una dimensione di chiave adatta. Per i provider RSA, utilizzare almeno una dimensione della chiave pari a 2048. Per una maggiore sicurezza potresti scegliere 4096, ma ciò avrà un leggero impatto sulle prestazioni.
- In Opzioni chiave, seleziona Rendi esportabile la chiave privata.
- Seleziona OK.
- Seleziona Avanti.
- Seleziona Sfoglia e salva la tua richiesta.
- Seleziona Termina.
- Carica la tua CSR sulla tua autorità di certificazione.
- Una volta ricevuto il certificato, importalo sullo stesso server in modo che sia collegato alla chiave privata.
Crea un nuovo certificato autofirmato
Durante l’installazione di un delivery controller e di uno studio web viene creato un certificato autofirmato. È possibile generare un nuovo certificato autofirmato e utilizzarlo per sostituire quello esistente.
Utilizzo del gestore IIS
Se IIS è installato sul server, è possibile eseguire i seguenti passaggi:
-
Accedi al server come amministratore.
- Aprire Gestione IIS
- Apri Certificati server
-
Nel riquadro Azioni , seleziona Crea certificato autofirmato.
-
In Crea certificato autofirmato, inserisci un nome per il certificato e fai clic su OK. Viene quindi creato il certificato autofirmato.
Utilizzo di PowerShell
È possibile utilizzare PowerShell per creare un certificato autofirmato:
$certSubject = "CN=myddc.example.com" # The FQDN of the server.
$friendlyName = "Self-Signed-3"
$expireYears = 5
## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->
Importa certificato esistente
È possibile importare un certificato esistente nel server utilizzando uno dei seguenti metodi.
Procedura guidata di importazione dei certificati
-
Fare doppio clic sul file PFX oppure fare clic con il pulsante destro del mouse sul file e selezionare Installa PFX. Si apre la procedura guidata di importazione dei certificati **.
-
Per Posizione archivio, selezionare Macchina locale.
-
Se richiesto, inserisci la password.
-
Selezionare l’archivio certificati **. Per i certificati del server, seleziona **Personale. Se si tratta di un certificato radice o di un certificato autofirmato di cui si desidera fidarsi da questa macchina, selezionare Autorità di certificazione radice attendibili.
Utilizzare la console Gestisci certificati computer
-
Aprire la console Gestisci certificati computer e passare all’archivio certificati appropriato. Per i certificati server questo è normalmente. Personale > Certificati. Per considerare attendibile un certificato radice o autofirmato, seleziona Autorità di certificazione radice attendibili > Certificati.
-
Fare clic con il pulsante destro del mouse sul certificato e selezionare > Tutte le attività > Importa….
-
Seleziona Sfoglia… e seleziona il file.
-
Se richiesto, inserisci la password.
Utilizzare PowerShell
Per importare un certificato, utilizzare il cmdlet di PowerShell Import-PfxCertificate. Ad esempio, per importare il certificato certificate.pfx
con password 123456
nell’archivio certificati personale, eseguire il seguente comando:
Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->
Per importare un certificato radice attendibile, impostare CertStoreLocation
su Cert:\LocalMachine\Root\
.
Esporta certificato senza chiave privata
Per esportare un certificato in modo da poterlo importare in altri dispositivi affinché lo considerino attendibile, è necessario escludere la chiave privata.
-
Aprire Gestisci certificati computer. Vai a Personale > Certificati e seleziona il certificato che desideri esportare.
-
Dal menu Azione , seleziona Tutte le attività quindi Esporta.
-
Seleziona No, non esportare la chiave privata, quindi premi Avanti.
-
Seleziona il formato binario codificato DER X.509 (.CER) (predefinito) e premi Avanti.
-
Inserisci un nome file e premi Avanti.
-
Seleziona Termina.
Esporta certificato con chiave privata
Per esportare un certificato e poterlo utilizzare su altri server, è necessario includere la chiave privata.
-
Aprire Gestisci certificati computer. Vai a Personale > Certificati e seleziona il certificato che desideri esportare.
-
Dal menu Azione , seleziona Tutte le attività quindi Esporta.
-
Scegli Sì, esporta la chiave privata, quindi seleziona Avanti.
-
Nella scheda Sicurezza , inserisci una password, quindi seleziona Avanti.
-
Inserisci un nome file e seleziona Avanti.
-
Seleziona Termina.
Convertire il certificato in formato PEM
Per impostazione predefinita, Windows esporta i certificati in formato PKCS#12 come file .pfx che include la chiave privata. Per utilizzare il certificato su un NetScaler Gateway o su un server di licenze, è necessario estrarre il certificato e le chiavi private in file separati in formato PEM. Puoi farlo utilizzando openssl.
Per esportare il certificato in formato PEM eseguire:
openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->
Ti verrà chiesta la password esistente e una nuova passphrase
Per esportare la chiave in formato PEM eseguire:
openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->
Certificati affidabili
- Se si utilizza un certificato rilasciato da un’autorità di certificazione pubblica, i dispositivi sono normalmente preconfigurati con i certificati radice.
- Se si utilizza un’autorità di certificazione aziendale, è necessario distribuire il certificato radice su tutti i dispositivi che devono considerare attendibile tale certificato. Se si utilizzano i Servizi di certificazione di Active Directory, i certificati radice vengono distribuiti anche a tutti i computer del dominio tramite Criteri di gruppo. È necessario importare manualmente il certificato radice su macchine non appartenenti al dominio, come i gateway NetScaler o macchine su altri domini.
- Se si utilizza un certificato autofirmato, questo deve essere installato manualmente su ogni macchina che deve considerare attendibile il certificato.
Per esportare un certificato radice autofirmato o attendibile da Windows, vedere esportare certificato senza chiave privata.
Affinché Windows consideri attendibile il certificato, è necessario importare il certificato nell’archivio Autorità di certificazione radice attendibili . Se si utilizza PowerShell, immettere l’archivio Cert:\LocalMachine\Root\.
Affinché NetScaler consideri attendibile il certificato, prima converti il certificato nel formato PEM, quindi installa il certificato radice.