Gestisci certificati

TLS utilizza i certificati per stabilire la fiducia tra due parti. È necessario installare un certificato adatto su ogni server che fornisce un servizio e assicurarsi che le macchine che si connettono a tale server si fidino di tale certificato. Di seguito sono riportate le opzioni per la firma dei certificati:

• Certificati autofirmati. Questi non sono consigliati. Sono difficili da gestire in quanto è necessario copiare manualmente questo certificato su qualsiasi altra macchina che deve fidarsi di tale certificato.
• Autorità di certificazione aziendale. Se si dispone di un’infrastruttura a chiave pubblica (PKI) esistente, questa è normalmente l’opzione più semplice per la firma dei certificati da utilizzare tra i dispositivi interni.
• Autorità di certificazione pubblica. Ciò richiede di dimostrare la proprietà del dominio all’autorità di certificazione. Ha il vantaggio che i dispositivi client non gestiti sono normalmente preconfigurati per fidarsi dei certificati delle principali autorità di certificazione pubbliche.

Crea un nuovo certificato

Seguire le politiche e le procedure dell’organizzazione per la creazione dei certificati.

Crea certificato utilizzando l’Autorità di certificazione Microsoft

Se l’Autorità di certificazione Microsoft è integrata in un dominio Active Directory o nella foresta attendibile a cui sono uniti i Delivery Controller, è possibile acquisire un certificato dalla procedura guidata di registrazione certificati dello snap-in Certificati di MMC. L’Autorità di certificazione Microsoft deve avere un modello di certificato pubblicato adatto all’uso da parte dei server Web.

Il certificato radice viene distribuito automaticamente ad altre macchine sul dominio utilizzando i criteri di gruppo. Pertanto, tutte le altre macchine sul dominio si fidano dei certificati creati utilizzando l’Autorità di certificazione Microsoft. Se si dispone di macchine non sul dominio, è necessario esportare il certificato dell’Autorità di certificazione radice e importarlo in tali macchine.

1. Sul server, aprire la console MMC e aggiungere lo snap-in Certificati. Quando richiesto, selezionare Account computer.

2. Espandere Personale > Certificati, quindi utilizzare il comando del menu contestuale Tutte le attività > Richiedi nuovo certificato.

   

3. Fare clic su Avanti per iniziare e su Avanti per confermare che si sta acquisendo il certificato dalla registrazione di Active Directory.

4. Selezionare un modello adatto, ad esempio Server Web esportabile. Se il modello è stato configurato per fornire automaticamente i valori per Oggetto, è possibile fare clic su Registra senza fornire ulteriori dettagli. In caso contrario, fare clic su Sono necessarie ulteriori informazioni per registrare questo certificato. Fare clic qui per configurare le impostazioni.

   

5. Per fornire maggiori dettagli per il modello di certificato, fare clic sul pulsante freccia Dettagli e configurare quanto segue:

   Nome soggetto: selezionare Nome comune e aggiungere l’FQDN del server.

   Nome alternativo: selezionare DNS e aggiungere l’FQDN del server.

   

6. Premere OK.

7. Premere Registra per creare il certificato. Verrà visualizzato nell’elenco dei certificati.

   

Creare una richiesta di certificato utilizzando IIS

Se IIS è installato sul server, completare i seguenti passaggi:

1. Aprire Gestione servizi Internet (IIS)
2. Selezionare il nodo del server nell’elenco Connessioni.
3. Aprire Certificati server.
4. Dal riquadro Azioni, selezionare Crea richiesta certificato….
5. Immettere le Proprietà nome distinto.
6. Nella schermata Proprietà del provider di servizi crittografici, lasciare il provider di servizi crittografici come predefinito. Selezionare una dimensione della chiave di 2048 o superiore.
7. Scegliere un nome file e premere Fine.
8. Caricare la CSR nell’autorità di certificazione.
9. Una volta ricevuto il certificato, dal riquadro Azioni, selezionare Completa richiesta certificato….
10. Selezionare il certificato, fornire un Nome descrittivo e premere OK.

Non è possibile impostare il nome alternativo del soggetto. Pertanto, il certificato è limitato al server specificato utilizzando il nome comune.

Creare una richiesta di firma del certificato dallo snap-in Certificati

Dall’interno dello snap-in MMC Certificati è possibile creare una richiesta di firma del certificato. Questo genera un file che è possibile inviare a un’autorità di certificazione che fornirà il certificato. È quindi necessario importare il certificato per combinarlo con la chiave privata locale.

1. Sul server, aprire la console MMC e aggiungere lo snap-in Certificati. Quando richiesto, selezionare Account computer.

2. Espandere Personale > Certificati
3. Selezionare Tutte le attività > Operazioni avanzate > Crea richiesta personalizzata.
4. In Prima di iniziare, selezionare Avanti.
5. Nella schermata Seleziona criteri di registrazione certificati, selezionare un criterio esistente adatto o Procedi senza criteri di registrazione.
6. Nella schermata Richiesta personalizzata, se si utilizza un criterio di registrazione, scegliere un modello appropriato, se disponibile, ad esempio Server Web esportabile.
7. Nella schermata Informazioni certificato, espandere Dettagli e selezionare Proprietà.
8. Nella finestra Proprietà certificato, nella scheda Generale, immettere un nome descrittivo appropriato.

9. Nella scheda Oggetto:

   1. In Nome oggetto, selezionare Nome comune e immettere il FQDN del server. È possibile immettere un carattere jolly. Selezionare Aggiungi.
   2. In Nome oggetto, aggiungere i valori appropriati per Organizzazione, Unità organizzativa, Località, Stato, Paese.
   3. In Nome alternativo, selezionare DNS. Aggiungere il FQDN del server. È possibile aggiungere più FQDN del server o un FQDN con caratteri jolly.

10. Nella scheda Estensioni:

    • In Utilizzo chiave, aggiungere Firma digitale e Crittografia chiave.
    • In Utilizzo chiave esteso (criteri applicazione), aggiungere Autenticazione server e Autenticazione client.

11. Nella scheda Chiave privata.

    • In Seleziona provider di servizi crittografici (CSP), scegliere un provider appropriato.
    • In Opzioni chiave, selezionare una dimensione della chiave appropriata. Per i provider RSA, utilizzare una dimensione della chiave di almeno 2048. Per una maggiore sicurezza, è possibile scegliere 4096, ma ciò avrà un leggero impatto sulle prestazioni.
    • In Opzioni chiave, selezionare Rendi la chiave privata esportabile.
12. Selezionare OK.
13. Selezionare Avanti.
14. Selezionare Sfoglia e salvare la richiesta.
15. Selezionare Fine.
16. Caricare il CSR all’autorità di certificazione.
17. Una volta ricevuto il certificato, importarlo sullo stesso server in modo che sia collegato alla chiave privata.

Creare un nuovo certificato autofirmato

Un certificato autofirmato viene creato durante l’installazione di un delivery controller™ e web studio. È possibile generare un nuovo certificato autofirmato e usarlo per sostituire quello esistente.

Utilizzo di IIS Manager

Se IIS è installato sul server, è possibile eseguire i seguenti passaggi:

1. Accedere al server come amministratore.

2. Aprire IIS Manager
3. Aprire Certificati server

4. Nel riquadro Azioni, selezionare Crea certificato autofirmato.

   

5. In Crea certificato autofirmato, immettere un nome per il certificato e fare clic su OK. Il certificato autofirmato viene quindi creato.

   

Utilizzo di PowerShell

È possibile utilizzare PowerShell per creare un certificato autofirmato:

$certSubject = "CN=myddc.example.com" # The FQDN of the server.
$friendlyName = "Self-Signed-3"
$expireYears = 5

## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

Importa certificato esistente

È possibile importare un certificato esistente nel server utilizzando uno dei seguenti metodi.

Procedura guidata di importazione certificati

1. Fare doppio clic sul file PFX o fare clic con il pulsante destro del mouse sul file e selezionare Installa PFX. Si aprirà la Procedura guidata di importazione certificati.

2. Per Posizione archivio, selezionare Computer locale.

   

3. Immettere la password, se richiesta.

   

4. Selezionare l’Archivio certificati. Per i certificati server, scegliere Personale. Se si tratta di un certificato radice o di un certificato autofirmato di cui si desidera fidarsi da questa macchina, scegliere Autorità di certificazione radice attendibili.

   

Utilizzare la console Gestisci certificati computer

1. Aprire la console Gestisci certificati computer e passare all’archivio certificati appropriato. Per i certificati server, questo è normalmente. Personale > Certificati. Per considerare attendibile un certificato radice o autofirmato, scegliere Autorità di certificazione radice attendibili > Certificati.

2. Fare clic con il pulsante destro del mouse sul certificato e selezionare > Tutte le attività > Importa….

   

3. Selezionare Sfoglia… e selezionare il file.

4. Immettere la password se richiesto.

Utilizzare PowerShell

Per importare un certificato, utilizzare il cmdlet PowerShell Import-PfxCertificate. Ad esempio, per importare il certificato certificate.pfx con password 123456 nell’archivio certificati personale, eseguire il comando seguente:

Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Per importare un certificato radice attendibile, impostare CertStoreLocation su Cert:\LocalMachine\Root\.

Esportare il certificato senza chiave privata

Per esportare un certificato in modo da poterlo importare in altri dispositivi per considerare attendibile il certificato, è necessario escludere la chiave privata.

1. Aprire Gestisci certificati computer. Passare a Personale > Certificati e selezionare il certificato che si desidera esportare.

2. Dal menu Azione, selezionare Tutte le attività quindi Esporta.

   

3. Scegliere No, non esportare la chiave privata, quindi premere Avanti.

   

4. Selezionare il formato DER encoded binary X.509 (.CER) (predefinito) e premere Avanti.

5. Immettere un nome file e premere Avanti.

   

6. Selezionare Fine.

   

Esportare il certificato con chiave privata

Per esportare un certificato in modo da poterlo utilizzare su altri server, è necessario includere la chiave privata.

1. Aprire Gestisci certificati computer. Passare a Personale > Certificati e selezionare il certificato che si desidera esportare.

2. Dal menu Azione, selezionare Tutte le attività quindi Esporta.

   

3. Scegliere Sì, esporta la chiave privata, quindi selezionare Avanti.

   

4. Nella scheda Sicurezza, immettere una password, quindi selezionare Avanti.

   

5. Immettere un nome file e selezionare Avanti.

   

6. Selezionare Fine.

   

Convertire il certificato in formato PEM

Per impostazione predefinita, Windows esporta i certificati in formato PKCS#12 come file .pfx che include la chiave privata. Per utilizzare il certificato su un NetScaler® Gateway o un server licenze, è necessario estrarre il certificato e le chiavi private in file separati in formato PEM. È possibile farlo utilizzando openssl.

Per esportare il certificato in formato PEM, eseguire:

openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Verranno richieste la password esistente e una nuova passphrase

Per esportare la chiave in formato PEM, eseguire:

openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Attendibilità dei certificati

• Se si utilizza un certificato di un’autorità di certificazione pubblica, i dispositivi sono normalmente preconfigurati con i certificati radice.
• Se si utilizza un’autorità di certificazione aziendale, è necessario distribuire il certificato radice in tutti i dispositivi che devono considerare attendibile tale certificato. Se si utilizzano i servizi di certificazione di Active Directory, i certificati radice vengono distribuiti anche a tutti i computer del dominio tramite Criteri di gruppo. È necessario importare manualmente il certificato radice sui computer non aggiunti al dominio, come i gateway NetScaler o i computer su altri domini.
• Se si utilizza un certificato autofirmato, questo deve essere installato manualmente su qualsiasi macchina che debba considerare attendibile il certificato.

Per esportare un certificato radice autofirmato o attendibile da Windows, vedere esportare il certificato senza chiave privata.

Affinché Windows consideri attendibile il certificato, è necessario importare il certificato nell’archivio Autorità di certificazione radice attendibili. Se si utilizza PowerShell, immettere l’archivio Cert:\LocalMachine\Root\.

Affinché NetScaler consideri attendibile il certificato, prima convertire il certificato in formato PEM, quindi installare il certificato radice.