Condividi tramite


Distribuzione dettagliata di esempio dei certificati PKI per Configuration Manager: Autorità di certificazione Windows Server 2008

Si applica a: Configuration Manager (Current Branch)

Questa distribuzione dettagliata di esempio, che usa un'autorità di certificazione (CA) di Windows Server 2008, include procedure che illustrano come creare e distribuire i certificati dell'infrastruttura a chiave pubblica (PKI) usati Configuration Manager. Queste procedure usano un'autorità di certificazione (CA) aziendale e modelli di certificato. I passaggi sono appropriati solo per una rete di test, come modello di verifica.

Poiché non esiste un singolo metodo di distribuzione per i certificati necessari, consultare la documentazione specifica della distribuzione PKI per le procedure e le procedure consigliate necessarie per distribuire i certificati necessari per un ambiente di produzione. Per altre informazioni sui requisiti del certificato, vedere Requisiti del certificato PKI per Configuration Manager.

Consiglio

È possibile adattare le istruzioni in questo argomento per i sistemi operativi non documentati nella sezione Requisiti di rete di test. Tuttavia, se si esegue la CA emittente in Windows Server 2012, non viene richiesta la versione del modello di certificato. Specificare invece questa opzione nella scheda Compatibilità delle proprietà del modello:

  • Autorità di certificazione: Windows Server 2003
    • Destinatario del certificato: Windows XP/Server 2003

Testare i requisiti di rete

Le istruzioni dettagliate hanno i requisiti seguenti:

  • La rete di test esegue Active Directory Domain Services con Windows Server 2008 ed è installata come un singolo dominio, una singola foresta.

  • Si dispone di un server membro che esegue Windows Server 2008 edizione Enterprise, in cui è installato il ruolo Servizi certificati Active Directory, che è configurato come autorità di certificazione radice (CA) dell'organizzazione.

  • È installato un computer in cui è installato Windows Server 2008 (Standard Edition o edizione Enterprise, R2 o versione successiva), il computer è designato come server membro e Internet Information Services (IIS) è installato su di esso. Questo computer sarà il Configuration Manager server del sistema del sito che verrà configurato con un nome di dominio completo (FQDN) intranet per supportare le connessioni client nella Intranet e un FQDN Internet se è necessario supportare i dispositivi mobili registrati da Configuration Manager e client su Internet.

  • Si dispone di un client Windows Vista in cui è installato il Service Pack più recente e questo computer è configurato con un nome di computer che include caratteri ASCII ed è aggiunto al dominio. Questo computer sarà un computer client Configuration Manager.

  • È possibile accedere con un account amministratore di dominio radice o un account amministratore di dominio aziendale e usare questo account per tutte le procedure in questa distribuzione di esempio.

Panoramica dei certificati

La tabella seguente elenca i tipi di certificati PKI che potrebbero essere necessari per Configuration Manager e descrive come vengono usati.

Requisito del certificato Descrizione certificato
Certificato del server Web per i sistemi del sito che eseguono IIS Questo certificato viene usato per crittografare i dati e autenticare il server nei client. Deve essere installato esternamente da Configuration Manager nei server dei sistemi del sito che eseguono Internet Information Services (IIS) e che sono configurati in Configuration Manager per usare HTTPS.

Per la procedura per configurare e installare questo certificato, vedere Distribuire il certificato del server Web per i sistemi del sito che eseguono IIS in questo argomento.
Certificato di servizio per la connessione dei client ai punti di distribuzione basati sul cloud Per la procedura per configurare e installare questo certificato, vedere Distribuire il certificato del servizio per i punti di distribuzione basati sul cloud in questo argomento.

Importante: Questo certificato viene usato insieme al certificato di gestione di Windows Azure. Per altre informazioni sul certificato di gestione, vedere Come creare un certificato di gestione e Come aggiungere un certificato di gestione a una sottoscrizione di Windows Azure.
Certificato client per computer Windows Questo certificato viene usato per autenticare Configuration Manager computer client nei sistemi del sito configurati per l'uso di HTTPS. Può anche essere usato per i punti di gestione e i punti di migrazione dello stato per monitorarne lo stato operativo quando sono configurati per l'uso di HTTPS. Deve essere installato esternamente da Configuration Manager nei computer.

Per la procedura per configurare e installare questo certificato, vedere Distribuire il certificato client per i computer Windows in questo argomento.
Certificato client per i punti di distribuzione Questo certificato ha due scopi:

Il certificato viene usato per autenticare il punto di distribuzione in un punto di gestione abilitato per HTTPS prima che il punto di distribuzione invii messaggi di stato.

Quando è selezionata l'opzione Abilita supporto PXE per i client , il certificato viene inviato ai computer che avviano PXE in modo che possano connettersi a un punto di gestione abilitato per HTTPS durante la distribuzione del sistema operativo.

Per la procedura per configurare e installare questo certificato, vedere Distribuire il certificato client per i punti di distribuzione in questo argomento.
Certificato di registrazione per dispositivi mobili Questo certificato viene usato per autenticare Configuration Manager client di dispositivi mobili nei sistemi del sito configurati per l'uso di HTTPS. Deve essere installato come parte della registrazione dei dispositivi mobili in Configuration Manager e si sceglie il modello di certificato configurato come impostazione client del dispositivo mobile.

Per la procedura per configurare questo certificato, vedere Distribuire il certificato di registrazione per i dispositivi mobili in questo argomento.
Certificato client per computer Mac È possibile richiedere e installare questo certificato da un computer Mac quando si usa Configuration Manager registrazione e si sceglie il modello di certificato configurato come impostazione client per dispositivi mobili.

Per la procedura per configurare questo certificato, vedere Distribuire il certificato client per i computer Mac in questo argomento.

Distribuire il certificato del server Web per i sistemi del sito che eseguono IIS

Questa distribuzione del certificato prevede le procedure seguenti:

  • Creare ed emettere il modello di certificato del server Web nell'autorità di certificazione

  • Richiedere il certificato del server Web

  • Configurare IIS per l'uso del certificato del server Web

Creare ed emettere il modello di certificato del server Web nell'autorità di certificazione

Questa procedura crea un modello di certificato per Configuration Manager sistemi del sito e lo aggiunge all'autorità di certificazione.

Per creare ed emettere il modello di certificato del server Web nell'autorità di certificazione
  1. Creare un gruppo di sicurezza denominato ConfigMgr IIS Servers con i server membri per installare Configuration Manager sistemi del sito che eseguono IIS.

  2. Nel server membro in cui è installato Servizi certificati, nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Gestisci per caricare la console Modelli di certificato .

  3. Nel riquadro dei risultati fare clic con il pulsante destro del mouse sulla voce con Server Web nella colonna Nome visualizzato modello e quindi scegliere Duplica modello.

  4. Nella finestra di dialogo Duplica modello verificare che Sia selezionato Windows 2003 Server edizione Enterprise e quindi scegliere OK.

    Importante

    Non selezionare Windows 2008 Server edizione Enterprise.

  5. Nella scheda Generaledella finestra di dialogo Proprietà nuovo modello immettere un nome di modello, ad esempio Certificato server Web ConfigMgr, per generare i certificati Web che verranno usati nei sistemi del sito Configuration Manager.

  6. Scegliere la scheda Nome soggetto e assicurarsi che l'opzione Specifica nella richiesta sia selezionata.

  7. Scegliere la scheda Sicurezza e quindi rimuovere l'autorizzazione Registra dai gruppi di sicurezza Domain Admins e Enterprise Admins .

  8. Scegliere Aggiungi, immettere ConfigMgr IIS Servers nella casella di testo e quindi scegliere OK.

  9. Scegliere l'autorizzazione Registra per questo gruppo e non cancellare l'autorizzazione Lettura .

  10. Scegliere OK e quindi chiudere la console Modelli di certificato.

  11. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovoe quindi scegliere Modello di certificato da rilasciare.

  12. Nella finestra di dialogo Abilita modelli di certificato scegliere il nuovo modello appena creato, Certificato server Web ConfigMgr, quindi scegliere OK.

  13. Se non è necessario creare ed emettere altri certificati, chiudere Autorità di certificazione.

Richiedere il certificato del server Web

Questa procedura consente di specificare i valori FQDN Intranet e Internet che verranno configurati nelle proprietà del server del sistema del sito e quindi installa il certificato del server Web nel server membro che esegue IIS.

Per richiedere il certificato del server Web
  1. Riavviare il server membro che esegue IIS per assicurarsi che il computer possa accedere al modello di certificato creato usando le autorizzazioni lettura e registrazione configurate.

  2. Scegliere Start, scegliere Esegui e quindi digitare mmc.exe. Nella console vuota scegliere File e quindi Aggiungi /Rimuovi snap-in.

  3. Nella finestra di dialogo Aggiungi o rimuovi snap-in scegliere Certificati dall'elenco Snap-in disponibili e quindi scegliere Aggiungi.

  4. Nella finestra di dialogo Snap-in Certificato scegliere Account computer e quindi scegliere Avanti.

  5. Nella finestra di dialogo Seleziona computer verificare che computer locale: (il computer in cui è in esecuzione la console) sia selezionato e quindi scegliere Fine.

  6. Nella finestra di dialogo Aggiungi o Rimuovi snap-in scegliere OK.

  7. Nella console espandere Certificati (computer locale) e quindi scegliere Personale.

  8. Fare clic con il pulsante destro del mouse su Certificati, scegliere Tutte le attività e quindi scegliere Richiedi nuovo certificato.

  9. Nella pagina Prima di iniziare scegliere Avanti.

  10. Se viene visualizzata la pagina Seleziona criteri di registrazione certificati , scegliere Avanti.

  11. Nella pagina Richiedi certificati identificare il certificato del server Web ConfigMgr dall'elenco dei certificati disponibili e quindi scegliere Altre informazioni necessarie per la registrazione del certificato. Fare clic qui per configurare le impostazioni.

  12. Nella scheda Oggetto della finestra di dialogo Proprietà certificato non apportare alcuna modifica al nome del soggetto. Ciò significa che la casella Valore per la sezione Nome soggetto rimane vuota. Nella sezione Nome alternativo scegliere invece l'elenco a discesa Tipo e quindi scegliere DNS.

  13. Nella casella Valore specificare i valori FQDN che verranno specificati nelle proprietà del sistema del sito Configuration Manager e quindi scegliere OK per chiudere la finestra di dialogo Proprietà certificato.

    Esempi:

    • Se il sistema del sito accetterà solo connessioni client dalla intranet e il nome di dominio completo intranet del server del sistema del sito è server1.internal.contoso.com, immettere server1.internal.contoso.com e quindi scegliere Aggiungi.

    • Se il sistema del sito accetta connessioni client dalla intranet e da Internet e il nome di dominio completo intranet del server del sistema del sito è server1.internal.contoso.com e il nome di dominio completo Internet del server del sistema del sito è server.contoso.com:

      1. Immettere server1.internal.contoso.com e quindi scegliere Aggiungi.

      2. Immettere server.contoso.com e quindi scegliere Aggiungi.

      Nota

      È possibile specificare gli FQDN per Configuration Manager in qualsiasi ordine. Verificare tuttavia che tutti i dispositivi che useranno il certificato, ad esempio dispositivi mobili e server Web proxy, possano usare un nome alternativo soggetto certificato (SAN) e più valori nella SAN. Se i dispositivi hanno un supporto limitato per i valori SAN nei certificati, potrebbe essere necessario modificare l'ordine dei nomi FQDN o usare invece il valore Subject.

  14. Nella pagina Richiedi certificati scegliere Certificato server Web ConfigMgr dall'elenco dei certificati disponibili e quindi scegliere Registra.

  15. Nella pagina Risultati installazione certificati attendere l'installazione del certificato e quindi scegliere Fine.

  16. Chiudere Certificati (computer locale).Close Certificates (Local Computer).

Configurare IIS per l'uso del certificato del server Web

Questa procedura associa il certificato installato al sito Web predefinito IIS.

Per configurare IIS per l'uso del certificato del server Web
  1. Nel server membro in cui è installato IIS scegliere Avvia, Programmi, Strumenti di amministrazione e quindi Gestione Internet Information Services (IIS).

  2. Espandere Siti, fare clic con il pulsante destro del mouse su Sito Web predefinito e quindi scegliere Modifica associazioni.

  3. Scegliere la voce https e quindi scegliere Modifica.

  4. Nella finestra di dialogo Modifica associazione sito selezionare il certificato richiesto usando il modello Certificati server Web ConfigMgr e quindi scegliere OK.

    Nota

    Se non si è certi di quale sia il certificato corretto, sceglierne uno e quindi scegliere Visualizza. In questo modo è possibile confrontare i dettagli del certificato selezionato con i certificati nello snap-in Certificati. Ad esempio, lo snap-in Certificati mostra il modello di certificato usato per richiedere il certificato. È quindi possibile confrontare l'identificazione personale del certificato richiesta usando il modello Certificati server Web ConfigMgr con l'identificazione personale del certificato attualmente selezionato nella finestra di dialogo Modifica associazione sito .

  5. Scegliere OK nella finestra di dialogo Modifica associazione sito e quindi scegliere Chiudi.

  6. Chiudere Gestione Internet Information Services (IIS).

    Il server membro è ora configurato con un certificato del server Web Configuration Manager.

Importante

Quando si installa il server del sistema del sito Configuration Manager in questo computer, assicurarsi di specificare gli stessi FQDN nelle proprietà del sistema del sito specificate quando è stato richiesto il certificato.

Distribuire il certificato di servizio per i punti di distribuzione basati sul cloud

Questa distribuzione del certificato prevede le procedure seguenti:

Creare ed emettere un modello di certificato del server Web personalizzato nell'autorità di certificazione

Questa procedura crea un modello di certificato personalizzato basato sul modello di certificato del server Web. Il certificato è destinato Configuration Manager punti di distribuzione basati sul cloud e la chiave privata deve essere esportabile. Dopo aver creato il modello di certificato, viene aggiunto all'autorità di certificazione.

Nota

Questa procedura usa un modello di certificato diverso dal modello di certificato del server Web creato per i sistemi del sito che eseguono IIS. Sebbene entrambi i certificati richiedano la funzionalità di autenticazione server, il certificato per i punti di distribuzione basati sul cloud richiede l'immissione di un valore personalizzato per il nome soggetto e l'esportazione della chiave privata. Come procedura consigliata per la sicurezza, non configurare i modelli di certificato in modo che la chiave privata possa essere esportata a meno che non sia necessaria questa configurazione. Il punto di distribuzione basato sul cloud richiede questa configurazione perché è necessario importare il certificato come file, anziché sceglierlo dall'archivio certificati.

Quando si crea un nuovo modello di certificato per questo certificato, è possibile limitare i computer che possono richiedere un certificato la cui chiave privata può essere esportata. In una rete di produzione è anche possibile aggiungere le modifiche seguenti per questo certificato:

  • Richiedere l'approvazione per installare il certificato per una sicurezza aggiuntiva.
    • Aumentare il periodo di validità del certificato. Poiché è necessario esportare e importare il certificato ogni volta che scade, un aumento del periodo di validità riduce la frequenza con cui è necessario ripetere questa procedura. Tuttavia, un aumento del periodo di validità riduce anche la sicurezza del certificato perché offre più tempo a un utente malintenzionato per decrittografare la chiave privata e rubare il certificato.
    • Usare un valore personalizzato nel nome alternativo soggetto del certificato (SAN) per identificare questo certificato dai certificati server Web standard usati con IIS.
Per creare ed emettere il modello di certificato del server Web personalizzato nell'autorità di certificazione
  1. Creare un gruppo di sicurezza denominato ConfigMgr Site Servers con i server membri per installare Configuration Manager server del sito primario che gestiranno i punti di distribuzione basati sul cloud.

  2. Nel server membro che esegue la console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Gestisci per caricare la console di gestione modelli di certificato.

  3. Nel riquadro dei risultati fare clic con il pulsante destro del mouse sulla voce con Server Web nella colonna Nome visualizzato modello e quindi scegliere Duplica modello.

  4. Nella finestra di dialogo Duplica modello verificare che Sia selezionato Windows 2003 Server edizione Enterprise e quindi scegliere OK.

    Importante

    Non selezionare Windows 2008 Server edizione Enterprise.

  5. Nella scheda Generaledella finestra di dialogo Proprietà nuovo modello immettere un nome di modello, ad esempio ConfigMgr Cloud-Based certificato del punto di distribuzione, per generare il certificato del server Web per i punti di distribuzione basati sul cloud.

  6. Scegliere la scheda Gestione richieste e quindi scegliere Consenti l'esportazione della chiave privata.

  7. Scegliere la scheda Sicurezza e quindi rimuovere l'autorizzazione Registra dal gruppo di sicurezza Enterprise Admins .

  8. Scegliere Aggiungi, immettere ConfigMgr Site Servers nella casella di testo e quindi scegliere OK.

  9. Selezionare l'autorizzazione Registra per questo gruppo e non deselezionare l'autorizzazione Lettura .

  10. Scegliere la scheda Crittografia e assicurarsi che la dimensione minima della chiave sia stata impostata su 2048.

  11. Scegliere OK e quindi chiudere La console modelli di certificato.

  12. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovoe quindi scegliere Modello di certificato da rilasciare.

  13. Nella finestra di dialogo Abilita modelli di certificato scegliere il nuovo modello appena creato , ConfigMgr Cloud-Based certificato del punto di distribuzione e quindi scegliere OK.

  14. Se non è necessario creare ed emettere altri certificati, chiudere Autorità di certificazione.

Richiedere il certificato del server Web personalizzato

Questa procedura richiede e quindi installa il certificato del server Web personalizzato nel server membro che eseguirà il server del sito.

Per richiedere il certificato del server Web personalizzato
  1. Riavviare il server membro dopo aver creato e configurato il gruppo di sicurezza Server del sito ConfigMgr per assicurarsi che il computer possa accedere al modello di certificato creato usando le autorizzazioni lettura e registrazione configurate.

  2. Scegliere Start, scegliere Esegui e quindi immettere mmc.exe. Nella console vuota scegliere File e quindi Aggiungi /Rimuovi snap-in.

  3. Nella finestra di dialogo Aggiungi o rimuovi snap-in scegliere Certificati dall'elenco Snap-in disponibili e quindi scegliere Aggiungi.

  4. Nella finestra di dialogo Snap-in Certificato scegliere Account computer e quindi scegliere Avanti.

  5. Nella finestra di dialogo Seleziona computer verificare che computer locale: (il computer in cui è in esecuzione la console) sia selezionato e quindi scegliere Fine.

  6. Nella finestra di dialogo Aggiungi o Rimuovi snap-in scegliere OK.

  7. Nella console espandere Certificati (computer locale) e quindi scegliere Personale.

  8. Fare clic con il pulsante destro del mouse su Certificati, scegliere Tutte le attività e quindi scegliere Richiedi nuovo certificato.

  9. Nella pagina Prima di iniziare scegliere Avanti.

  10. Se viene visualizzata la pagina Seleziona criteri di registrazione certificati , scegliere Avanti.

  11. Nella pagina Richiedi certificati identificare configmgr Cloud-Based certificato del punto di distribuzione dall'elenco dei certificati disponibili e quindi scegliere Altre informazioni necessarie per la registrazione per questo certificato. Scegliere qui per configurare le impostazioni.

  12. Nella scheda Oggetto della finestra di dialogo Proprietà certificato scegliere Nome comune come Tipo nella scheda Oggetto.

  13. Nella casella Valore specificare il nome del servizio e il nome di dominio usando un formato FQDN. Ad esempio: clouddp1.contoso.com.

    Nota

    Rendere univoco il nome del servizio nello spazio dei nomi. Si userà DNS per creare un alias (record CNAME) per eseguire il mapping del nome del servizio a un identificatore generato automaticamente (GUID) e a un indirizzo IP da Windows Azure.

  14. Scegliere Aggiungi e quindi scegliere OK per chiudere la finestra di dialogo Proprietà certificato .

  15. Nella pagina Richiedi certificati scegliere ConfigMgr Cloud-Based certificato del punto di distribuzione dall'elenco dei certificati disponibili e quindi scegliere Registra.

  16. Nella pagina Risultati installazione certificati attendere l'installazione del certificato e quindi scegliere Fine.

  17. Chiudere Certificati (computer locale).Close Certificates (Local Computer).

Esportare il certificato del server Web personalizzato per i punti di distribuzione basati sul cloud

Questa procedura esporta il certificato del server Web personalizzato in un file, in modo che possa essere importato quando si crea il punto di distribuzione basato sul cloud.

Per esportare il certificato del server Web personalizzato per i punti di distribuzione basati sul cloud
  1. Nella console Certificati (computer locale) fare clic con il pulsante destro del mouse sul certificato appena installato, scegliere Tutte le attività e quindi scegliere Esporta.

  2. Nell'Esportazione guidata certificati scegliere Avanti.

  3. Nella pagina Esporta chiave privata scegliere Sì, esportare la chiave privata e quindi scegliere Avanti.

    Nota

    Se questa opzione non è disponibile, il certificato è stato creato senza l'opzione per esportare la chiave privata. In questo scenario non è possibile esportare il certificato nel formato richiesto. È necessario configurare il modello di certificato in modo che la chiave privata possa essere esportata e quindi richiedere di nuovo il certificato.

  4. Nella pagina Formato file di esportazione verificare che lo scambio di informazioni personali - PKCS #12 (. PFX) è selezionata.

  5. Nella pagina Password specificare una password complessa per proteggere il certificato esportato con la relativa chiave privata e quindi scegliere Avanti.

  6. Nella pagina File da esportare specificare il nome del file da esportare e quindi scegliere Avanti.

  7. Per chiudere la procedura guidata, scegliere Fine nella pagina Esportazione guidata certificati e quindi scegliere OK nella finestra di dialogo di conferma.

  8. Chiudere Certificati (computer locale).Close Certificates (Local Computer).

  9. Archiviare il file in modo sicuro e assicurarsi di potervi accedere dalla console di Configuration Manager.

    Il certificato è ora pronto per essere importato quando si crea un punto di distribuzione basato sul cloud.

Distribuire il certificato client per i computer Windows

Questa distribuzione del certificato prevede le procedure seguenti:

  • Creare ed emettere il modello di certificato di autenticazione della workstation nell'autorità di certificazione

  • Configurare la registrazione automatica del modello di autenticazione della workstation usando Criteri di gruppo

  • Registrare automaticamente il certificato di autenticazione della workstation e verificarne l'installazione nei computer

Creare ed emettere il modello di certificato di autenticazione della workstation nell'autorità di certificazione

Questa procedura crea un modello di certificato per Configuration Manager computer client e lo aggiunge all'autorità di certificazione.

Per creare ed emettere il modello di certificato di autenticazione della workstation nell'autorità di certificazione
  1. Nel server membro che esegue la console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Gestisci per caricare la console di gestione modelli di certificato.

  2. Nel riquadro dei risultati fare clic con il pulsante destro del mouse sulla voce con Autenticazione workstation nella colonna Nome visualizzato modello e quindi scegliere Duplica modello.

  3. Nella finestra di dialogo Duplica modello verificare che Sia selezionato Windows 2003 Server edizione Enterprise e quindi scegliere OK.

    Importante

    Non selezionare Windows 2008 Server edizione Enterprise.

  4. Nella scheda Generaledella finestra di dialogo Proprietà nuovo modello immettere un nome di modello, ad esempio Certificato client ConfigMgr, per generare i certificati client che verranno usati nei computer client Configuration Manager.

  5. Scegliere la scheda Sicurezza , selezionare il gruppo Computer di dominio e quindi selezionare le autorizzazioni aggiuntive lettura e registrazione automatica. Non cancellare La registrazione.

  6. Scegliere OK e quindi chiudere La console modelli di certificato.

  7. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovoe quindi scegliere Modello di certificato da rilasciare.

  8. Nella finestra di dialogo Abilita modelli di certificato scegliere il nuovo modello appena creato, Certificato client ConfigMgr, quindi scegliere OK.

  9. Se non è necessario creare ed emettere altri certificati, chiudere Autorità di certificazione.

Configurare la registrazione automatica del modello di autenticazione della workstation usando Criteri di gruppo

Questa procedura configura Criteri di gruppo per la registrazione automatica del certificato client nei computer.

Per configurare la registrazione automatica del modello di autenticazione della workstation tramite Criteri di gruppo
  1. Nel controller di dominio scegliere Start, strumenti di amministrazione e quindi Criteri di gruppo gestione.

  2. Passare al dominio, fare clic con il pulsante destro del mouse sul dominio, quindi scegliere Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.

    Nota

    Questo passaggio usa la procedura consigliata per creare un nuovo Criteri di gruppo per le impostazioni personalizzate anziché modificare i criteri di dominio predefiniti installati con Active Directory Domain Services. Quando si assegna questo Criteri di gruppo a livello di dominio, lo si applicherà a tutti i computer del dominio. In un ambiente di produzione è possibile limitare la registrazione automatica in modo che venga registrata solo nei computer selezionati. È possibile assegnare il Criteri di gruppo a livello di unità organizzativa oppure filtrare il Criteri di gruppo di dominio con un gruppo di sicurezza in modo che si applichi solo ai computer del gruppo. Se si limita la registrazione automatica, ricordare di includere il server configurato come punto di gestione.

  3. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo immettere un nome, ad esempio Registrazione automatica certificati, per il nuovo Criteri di gruppo e quindi scegliere OK.

  4. Nel riquadro dei risultati, nella scheda Oggetti Criteri di gruppo collegati fare clic con il pulsante destro del mouse sul nuovo Criteri di gruppo e quindi scegliere Modifica.

  5. Nell'editor di gestione Criteri di gruppo espandere Criteri in Configurazione computer e quindi passare a Impostazioni / disicurezza di Windows Criteri / chiave pubblica.

  6. Fare clic con il pulsante destro del mouse sul tipo di oggetto denominato Client servizi certificati - Registrazione automatica e quindi scegliere Proprietà.

  7. Nell'elenco a discesa Modello di configurazione scegliere Abilitato, scegliere Rinnova certificati scaduti, aggiornare i certificati in sospeso, rimuovere i certificati revocati, scegliere Aggiorna certificati che usano modelli di certificato e quindi scegliere OK.

  8. Chiudere gestione Criteri di gruppo.

Registrare automaticamente il certificato di autenticazione della workstation e verificarne l'installazione nei computer

Questa procedura installa il certificato client nei computer e verifica l'installazione.

Per registrare automaticamente il certificato di autenticazione della workstation e verificarne l'installazione nel computer client
  1. Riavviare il computer della workstation e attendere alcuni minuti prima di accedere.

    Nota

    Il riavvio di un computer è il metodo più affidabile per garantire l'esito positivo della registrazione automatica dei certificati.

  2. Accedere con un account con privilegi amministrativi.

  3. Nella casella di ricerca immettere mmc.exe e quindi premere INVIO.

  4. Nella console di gestione vuota scegliere File, quindi scegliere Aggiungi/Rimuovi snap-in.

  5. Nella finestra di dialogo Aggiungi o rimuovi snap-in scegliere Certificati dall'elenco Snap-in disponibili e quindi scegliere Aggiungi.

  6. Nella finestra di dialogo Snap-in Certificato scegliere Account computer e quindi scegliere Avanti.

  7. Nella finestra di dialogo Seleziona computer verificare che computer locale: (il computer in cui è in esecuzione la console) sia selezionato e quindi scegliere Fine.

  8. Nella finestra di dialogo Aggiungi o Rimuovi snap-in scegliere OK.

  9. Nella console espandere Certificati (computer locale), espandere Personale e quindi scegliere Certificati.

  10. Nel riquadro dei risultati verificare che un certificato disponga dell'autenticazione client nella colonna Scopo previsto e che Il certificato client di ConfigMgr si trova nella colonna Modello di certificato .

  11. Chiudere Certificati (computer locale).Close Certificates (Local Computer).

  12. Ripetere i passaggi da 1 a 11 per il server membro per verificare che il server che verrà configurato come punto di gestione disponga anche di un certificato client.

    Il computer è ora configurato con un certificato client Configuration Manager.

Distribuire il certificato client per i punti di distribuzione

Nota

Questo certificato può essere usato anche per le immagini multimediali che non usano l'avvio PXE, perché i requisiti del certificato sono gli stessi.

Questa distribuzione del certificato prevede le procedure seguenti:

  • Creare ed emettere un modello di certificato di autenticazione della workstation personalizzato nell'autorità di certificazione

  • Richiedere il certificato di autenticazione della workstation personalizzato

  • Esportare il certificato client per i punti di distribuzione

Creare ed emettere un modello di certificato di autenticazione della workstation personalizzato nell'autorità di certificazione

Questa procedura crea un modello di certificato personalizzato per Configuration Manager punti di distribuzione in modo che la chiave privata possa essere esportata e aggiunge il modello di certificato all'autorità di certificazione.

Nota

Questa procedura usa un modello di certificato diverso dal modello di certificato creato per i computer client. Sebbene entrambi i certificati richiedano la funzionalità di autenticazione client, il certificato per i punti di distribuzione richiede l'esportazione della chiave privata. Come procedura consigliata per la sicurezza, non configurare i modelli di certificato in modo che la chiave privata possa essere esportata a meno che non sia necessaria questa configurazione. Il punto di distribuzione richiede questa configurazione perché è necessario importare il certificato come file anziché sceglierlo dall'archivio certificati.

Quando si crea un nuovo modello di certificato per questo certificato, è possibile limitare i computer che possono richiedere un certificato la cui chiave privata può essere esportata. Nella distribuzione di esempio si tratta del gruppo di sicurezza creato in precedenza per Configuration Manager server del sistema del sito che eseguono IIS. In una rete di produzione che distribuisce i ruoli del sistema del sito IIS, è consigliabile creare un nuovo gruppo di sicurezza per i server che eseguono punti di distribuzione in modo da limitare il certificato solo a questi server del sistema del sito. È anche possibile aggiungere le modifiche seguenti per questo certificato:

  • Richiedere l'approvazione per installare il certificato per una sicurezza aggiuntiva.
    • Aumentare il periodo di validità del certificato. Poiché è necessario esportare e importare il certificato ogni volta che scade, un aumento del periodo di validità riduce la frequenza con cui è necessario ripetere questa procedura. Tuttavia, un aumento del periodo di validità riduce anche la sicurezza del certificato perché offre più tempo a un utente malintenzionato per decrittografare la chiave privata e rubare il certificato.
    • Usare un valore personalizzato nel campo Oggetto certificato o nome alternativo soggetto (SAN) per identificare il certificato dai certificati client standard. Questo può essere particolarmente utile se si userà lo stesso certificato per più punti di distribuzione.
Per creare ed emettere il modello di certificato di autenticazione della workstation personalizzato nell'autorità di certificazione
  1. Nel server membro che esegue la console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Gestisci per caricare la console di gestione modelli di certificato.

  2. Nel riquadro dei risultati fare clic con il pulsante destro del mouse sulla voce con Autenticazione workstation nella colonna Nome visualizzato modello e quindi scegliere Duplica modello.

  3. Nella finestra di dialogo Duplica modello verificare che Sia selezionato Windows 2003 Server edizione Enterprise e quindi scegliere OK.

    Importante

    Non selezionare Windows 2008 Server edizione Enterprise.

  4. Nella scheda Generaledella finestra di dialogo Proprietà nuovo modello immettere un nome di modello, ad esempio Certificato punto di distribuzione client ConfigMgr, per generare il certificato di autenticazione client per i punti di distribuzione.

  5. Scegliere la scheda Gestione richieste e quindi scegliere Consenti l'esportazione della chiave privata.

  6. Scegliere la scheda Sicurezza e quindi rimuovere l'autorizzazione Registra dal gruppo di sicurezza Enterprise Admins .

  7. Scegliere Aggiungi, immettere ConfigMgr IIS Servers nella casella di testo e quindi scegliere OK.

  8. Selezionare l'autorizzazione Registra per questo gruppo e non deselezionare l'autorizzazione Lettura .

  9. Scegliere OK e quindi chiudere La console modelli di certificato.

  10. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovoe quindi scegliere Modello di certificato da rilasciare.

  11. Nella finestra di dialogo Abilita modelli di certificato scegliere il nuovo modello appena creato, Certificato del punto di distribuzione client ConfigMgr, quindi scegliere OK.

  12. Se non è necessario creare ed emettere altri certificati, chiudere Autorità di certificazione.

Richiedere il certificato di autenticazione della workstation personalizzato

Questa procedura richiede e quindi installa il certificato client personalizzato nel server membro che esegue IIS e che verrà configurato come punto di distribuzione.

Per richiedere il certificato di autenticazione della workstation personalizzato
  1. Scegliere Start, scegliere Esegui e quindi immettere mmc.exe. Nella console vuota scegliere File e quindi Aggiungi /Rimuovi snap-in.

  2. Nella finestra di dialogo Aggiungi o rimuovi snap-in scegliere Certificati dall'elenco Snap-in disponibili e quindi scegliere Aggiungi.

  3. Nella finestra di dialogo Snap-in Certificato scegliere Account computer e quindi scegliere Avanti.

  4. Nella finestra di dialogo Seleziona computer verificare che computer locale: (il computer in cui è in esecuzione la console) sia selezionato e quindi scegliere Fine.

  5. Nella finestra di dialogo Aggiungi o Rimuovi snap-in scegliere OK.

  6. Nella console espandere Certificati (computer locale) e quindi scegliere Personale.

  7. Fare clic con il pulsante destro del mouse su Certificati, scegliere Tutte le attività e quindi scegliere Richiedi nuovo certificato.

  8. Nella pagina Prima di iniziare scegliere Avanti.

  9. Se viene visualizzata la pagina Seleziona criteri di registrazione certificati , scegliere Avanti.

  10. Nella pagina Richiedi certificati scegliere Certificato del punto di distribuzione client ConfigMgr dall'elenco dei certificati disponibili e quindi scegliere Registra.

  11. Nella pagina Risultati installazione certificati attendere l'installazione del certificato e quindi scegliere Fine.

  12. Nel riquadro dei risultati verificare che un certificato disponga dell'autenticazione client nella colonna Scopo previsto e che Il certificato del punto di distribuzione client di ConfigMgr si trova nella colonna Modello di certificato .

  13. Non chiudere Certificati (computer locale).

Esportare il certificato client per i punti di distribuzione

Questa procedura esporta il certificato di autenticazione della workstation personalizzato in un file in modo che possa essere importato nelle proprietà del punto di distribuzione.

Per esportare il certificato client per i punti di distribuzione
  1. Nella console Certificati (computer locale) fare clic con il pulsante destro del mouse sul certificato appena installato, scegliere Tutte le attività e quindi scegliere Esporta.

  2. Nell'Esportazione guidata certificati scegliere Avanti.

  3. Nella pagina Esporta chiave privata scegliere Sì, esportare la chiave privata e quindi scegliere Avanti.

    Nota

    Se questa opzione non è disponibile, il certificato è stato creato senza l'opzione per esportare la chiave privata. In questo scenario non è possibile esportare il certificato nel formato richiesto. È necessario configurare il modello di certificato in modo che la chiave privata possa essere esportata e quindi richiedere di nuovo il certificato.

  4. Nella pagina Formato file di esportazione verificare che lo scambio di informazioni personali - PKCS #12 (. PFX) è selezionata.

  5. Nella pagina Password specificare una password complessa per proteggere il certificato esportato con la relativa chiave privata e quindi scegliere Avanti.

  6. Nella pagina File da esportare specificare il nome del file da esportare e quindi scegliere Avanti.

  7. Per chiudere la procedura guidata, scegliere Fine nella pagina Esportazione guidata certificati e scegliere OK nella finestra di dialogo di conferma.

  8. Chiudere Certificati (computer locale).Close Certificates (Local Computer).

  9. Archiviare il file in modo sicuro e assicurarsi di potervi accedere dalla console di Configuration Manager.

    Il certificato è ora pronto per essere importato quando si configura il punto di distribuzione.

Consiglio

È possibile usare lo stesso file di certificato quando si configurano immagini multimediali per una distribuzione del sistema operativo che non usa l'avvio PXE e la sequenza di attività per installare l'immagine deve contattare un punto di gestione che richiede connessioni client HTTPS.

Distribuire il certificato di registrazione per i dispositivi mobili

Questa distribuzione del certificato prevede una singola procedura per creare ed emettere il modello di certificato di registrazione nell'autorità di certificazione.

Creare ed emettere il modello di certificato di registrazione nell'autorità di certificazione

Questa procedura crea un modello di certificato di registrazione per Configuration Manager dispositivi mobili e lo aggiunge all'autorità di certificazione.

Per creare ed emettere il modello di certificato di registrazione nell'autorità di certificazione
  1. Creare un gruppo di sicurezza con utenti che registreranno i dispositivi mobili in Configuration Manager.

  2. Nel server membro in cui è installato Servizi certificati, nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Gestisci per caricare la console di gestione modelli di certificato.

  3. Nel riquadro dei risultati fare clic con il pulsante destro del mouse sulla voce Con sessione autenticata nella colonna Nome visualizzato modello e quindi scegliere Duplica modello.

  4. Nella finestra di dialogo Duplica modello verificare che Sia selezionato Windows 2003 Server edizione Enterprise e quindi scegliere OK.

    Importante

    Non selezionare Windows 2008 Server edizione Enterprise.

  5. Nella scheda Generaledella finestra di dialogo Proprietà nuovo modello immettere un nome di modello, ad esempio Certificato registrazione dispositivi mobili ConfigMgr, per generare i certificati di registrazione per i dispositivi mobili che devono essere gestiti da Configuration Manager.

  6. Scegliere la scheda Nome soggetto , assicurarsi che sia selezionata l'opzione Compila da queste informazioni di Active Directory , selezionare Nome comune per Formato nome soggetto e quindi deselezionare Nome entità utente (UPN) in Includi queste informazioni nel nome soggetto alternativo.

  7. Scegliere la scheda Sicurezza , scegliere il gruppo di sicurezza in cui sono presenti utenti che dispongono di dispositivi mobili da registrare e quindi scegliere l'autorizzazione aggiuntiva Registra. Non cancellare Lettura.

  8. Scegliere OK e quindi chiudere La console modelli di certificato.

  9. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovoe quindi scegliere Modello di certificato da rilasciare.

  10. Nella finestra di dialogo Abilita modelli di certificato scegliere il nuovo modello appena creato, ConfigMgr Mobile Device Enrollment Certificate , quindi scegliere OK.

  11. Se non è necessario creare ed emettere altri certificati, chiudere la console autorità di certificazione.

    Il modello di certificato di registrazione del dispositivo mobile è ora pronto per essere selezionato quando si configura un profilo di registrazione dei dispositivi mobili nelle impostazioni client.

Distribuire il certificato client per i computer Mac

Questa distribuzione del certificato prevede una singola procedura per creare ed emettere il modello di certificato di registrazione nell'autorità di certificazione.

Creare ed emettere un modello di certificato client Mac nell'autorità di certificazione

Questa procedura crea un modello di certificato personalizzato per Configuration Manager computer Mac e aggiunge il modello di certificato all'autorità di certificazione.

Nota

Questa procedura usa un modello di certificato diverso dal modello di certificato creato per i computer client Windows o per i punti di distribuzione.

Quando si crea un nuovo modello di certificato per questo certificato, è possibile limitare la richiesta di certificato agli utenti autorizzati.

Per creare ed emettere il modello di certificato client Mac nell'autorità di certificazione
  1. Creare un gruppo di sicurezza con account utente per gli utenti amministratori che registreranno il certificato nel computer Mac usando Configuration Manager.

  2. Nel server membro che esegue la console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Gestisci per caricare la console di gestione modelli di certificato.

  3. Nel riquadro dei risultati fare clic con il pulsante destro del mouse sulla voce che visualizza Sessione autenticata nella colonna Nome visualizzato modello e quindi scegliere Duplica modello.

  4. Nella finestra di dialogo Duplica modello verificare che Sia selezionato Windows 2003 Server edizione Enterprise e quindi scegliere OK.

    Importante

    Non selezionare Windows 2008 Server edizione Enterprise.

  5. Nella scheda Generaledella finestra di dialogo Proprietà nuovo modello immettere un nome di modello, ad esempio Certificato client Mac ConfigMgr, per generare il certificato client Mac.

  6. Scegliere la scheda Nome soggetto , assicurarsi che sia selezionata l'opzione Compila da queste informazioni di Active Directory , scegliere Nome comune per il formato Nome soggetto e quindi deselezionare Nome entità utente (UPN) in Includi queste informazioni nel nome soggetto alternativo.

  7. Scegliere la scheda Sicurezza e quindi rimuovere l'autorizzazione Registra dai gruppi di sicurezza Domain Admins e Enterprise Admins .

  8. Scegliere Aggiungi, specificare il gruppo di sicurezza creato nel passaggio 1 e quindi scegliere OK.

  9. Scegliere l'autorizzazione Registra per questo gruppo e non cancellare l'autorizzazione Lettura .

  10. Scegliere OK e quindi chiudere La console modelli di certificato.

  11. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovoe quindi scegliere Modello di certificato da rilasciare.

  12. Nella finestra di dialogo Abilita modelli di certificato scegliere il nuovo modello appena creato, Certificato client Mac ConfigMgr, quindi scegliere OK.

  13. Se non è necessario creare ed emettere altri certificati, chiudere Autorità di certificazione.

    Il modello di certificato client Mac è ora pronto per essere selezionato quando si configurano le impostazioni client per la registrazione.