Configurare l'autenticazione basata su certificato in Exchange 2016

Articolo
04/04/2023

L'autenticazione basata su certificati (CBA) in Exchange consente Outlook sul web (in precedenza noto come Outlook Web App) e Exchange ActiveSync client vengano autenticati dai certificati client anziché immettere un nome utente e una password.

Prima di configurare Exchange, è necessario emettere un certificato client per ogni utente. A causa del numero elevato di certificati coinvolti, è necessario utilizzare un'infrastruttura a chiave pubblica (PKI) interna automatizzata per rilasciare e gestire i certificati client. Un esempio di PKI interna automatizzata è Servizi certificati Active Directory (AD CS). Per ulteriori informazioni su AD CS, vedere Panoramica di Servizi certificati Active Directory. Di seguito sono riportate ulteriori informazioni sui requisiti dei certificati:

Il certificato client deve essere rilasciato per l'autenticazione client (ad esempio, il modello di certificato predefinito Utente in AD CS).
Il certificato client deve contenere il nome principale utente (UPN) dell'utente (nei campi Subject o Subject Alternative Name del certificato).
Il certificato client deve essere associato all'account utente in Active Directory.
Tutti i server e i dispositivi coinvolti nell'accesso a Outlook sul Web e ActiveSync (inclusi server proxy e dispositivi client) devono considerare attendibile l'intera catena dei certificati attendibili per i certificati client (il certificato principale dell'Autorità di certificazione e qualsiasi CA intermedia utilizzata per rilasciare certificati).

Per CBA in Outlook sul Web, il certificato client deve essere installato nel computer locale, nel dispositivo o in una smart card. Per CBA in ActiveSync, il certificato client deve essere installato nel dispositivo locale. È possibile automatizzare l'installazione dei certificati nei dispositivi utilizzando una soluzione di gestione di dispositivi mobili (MDM) come Intune. Per ulteriori informazioni su Intune, vedere Panoramica di Microsoft Intune.

Che cosa è necessario sapere prima di iniziare?

Tempo stimato per il completamento di questa attività: 20 minuti
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Gestione IIS" nella sezione autorizzazioni Outlook sul web dell'argomento Autorizzazioni client e dispositivi mobili.
Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.

Passaggio 1: Utilizzare Exchange Management Shell per installare la funzionalità di autenticazione mapping certificati client in tutti i server Exchange

Tutti i server Exchange che condividono lo stesso spazio dei nomi e gli URL devono usare gli stessi metodi di autenticazione. È necessario installare la funzionalità di autenticazione con mapping dei certificati client in tutti i server Exchange.

In Exchange Management Shell, eseguire il comando seguente:

Install-WindowsFeature Web-Client-Auth

Per informazioni dettagliate su parametro e sintassi, vedere Install-WindowsFeature.

Passaggio 2: Utilizzare Gestione IIS per abilitare l'autenticazione del certificato client Active Directory per il server Exchange

Aprire Gestione IIS sul server Exchange. Un metodo semplice per eseguire questa operazione in Windows Server 2012 o versioni successive consiste nel premere il tasto Windows + Q, digitare inetmgr e selezionare Gestione Internet Information Services (IIS) nei risultati.
Selezionare il server e verificare che l'opzione Visualizzazione funzionalità sia selezionata nella parte inferiore della pagina.
Nella sezione IIS, fare doppio clic su Autenticazione.
Nella pagina Autenticazione che viene visualizzata, selezionare Active DirectoryAutenticazione del certificato client dall'elenco e nel riquadro Azioni, fare clic su Abilita.

Verrà visualizzato l'avviso che richiede di abilitare SSL per utilizzare il mapping dei certificati client Active Directory.

Passaggio 3: Usare Gestione IIS per configurare le directory virtuali Outlook sul web, l'interfaccia di amministrazione di Exchange e ActiveSync per richiedere certificati client

Nota: è necessario richiedere i certificati client, perché l'accettazione dei certificati client (per supportare sia l'autenticazione CBA che l'autenticazione normale di nome utente e password) non funziona in modo coerente in tutti i tipi di dispositivi ActiveSync.

In IIS Manager, espandere il server, espandere Siti, quindi Sito Web predefinito.
Selezionare la directory virtuale owa e verificare che l'opzione Visualizzazione funzionalità sia selezionata nella parte inferiore della pagina.
Nella sezione IIS fare doppio clic su Impostazioni SSL.
Nella pagina Impostazioni SSL, verificare che l'opzione Richiedi SSL sia selezionata e selezionare il valore Certificati clientRichiedi.
Nel riquadro Azioni fare clic su Applica.
Selezionare la directory virtuale Microsoft-Server-ActiveSync.
Nella sezione IIS fare doppio clic su Impostazioni SSL.
Nella pagina Impostazioni SSL, verificare che l'opzione Richiedi SSL sia selezionata e selezionare il valore Certificati clientRichiedi.
Nel riquadro Azioni fare clic su Applica.

Nota: sebbene sia possibile eseguire queste procedure nella riga di comando, i passaggi potrebbero non configurare una chiave del Registro di sistema necessaria. È possibile utilizzare le procedure precedenti in Gestione IIS (che sicuramente imposteranno correttamente la chiave del Registro di sistema) oppure è necessario verificare che la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443 del Registro di sistema sia impostata sul valore 1 dopo aver eseguito le procedure nella riga di comando.

Per eseguire queste procedure nella riga di comando, aprire un prompt dei comandi con privilegi elevati nel server Exchange (finestra del prompt dei comandi aperta selezionando Esegui come amministratore) ed eseguire i comandi seguenti:

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

Passaggio 4: Usare Exchange Management Shell per disabilitare l'autenticazione di altri metodi di autenticazione nei Outlook sul web, nell'interfaccia di amministrazione di Exchange e nelle directory virtuali di ActiveSync

Dopo aver richiesto i certificati client per l'autenticazione, è necessario disabilitare tutti gli altri metodi di autenticazione nelle directory virtuali Outlook sul web, interfaccia di amministrazione di Exchange e ActiveSync. Per impostazione predefinita, vengono abilitate solamente l'autenticazione di base l'autenticazione basata su moduli.

In Exchange Management Shell sostituire <ServerName> con il nome del server Exchange ed eseguire il comando seguente per disabilitare tutti gli altri metodi di autenticazione nella directory virtuale Outlook sul web:
```
Set-OwaVirtualDirectory "<ServerName>\owa (Default Web Site)" -BasicAuthentication $false -WindowsAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -AdfsAuthentication $false -OAuthAuthentication $false
```
Per ulteriori informazioni sulla sintassi e sui parametri, vedere Set-OwaVirtualDirectory.
In Exchange Management Shell sostituire <ServerName> con il nome del server Exchange ed eseguire il comando seguente per disabilitare tutti gli altri metodi di autenticazione nella directory virtuale EAC:
```
Set-EcpVirtualDirectory "<ServerName>\ecp (Default Web Site)" -BasicAuthentication $false -WindowsAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -AdfsAuthentication $false
```
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-EcpVirtualDirectory.
Sostituire <ServerName> con il nome del server Exchange ed eseguire il comando seguente per disabilitare tutti gli altri metodi di autenticazione nella directory virtuale ActiveSync:
```
Set-ActiveSyncVirtualDirectory "<ServerName>\Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthEnabled $false -WindowsAuthEnabled $false
```
Per ulteriori informazioni sulla sintassi e sui parametri, vedere Set-ActiveSyncVirtualDirectory.

Passaggio 5: Usare Gestione IIS per abilitare il mapping dei certificati client per Outlook sul web, l'interfaccia di amministrazione di Exchange e le directory virtuali di ActiveSync

Importante

Dopo avere eseguito questo passaggio, l'esecuzione del cmdlet Set-ActiveSyncVirtualDirectory potrebbe disabilitare il mapping dei certificati client per ActiveSync.

In IIS Manager, espandere il server, espandere Siti, quindi Sito Web predefinito.
Selezionare la directory virtuale owa e verificare che l'opzione Visualizzazione funzionalità sia selezionata nella parte inferiore della pagina.
Nella sezione Gestione, fare doppio clic su Editor di configurazione.
Nella pagina Editor configurazione fare clic sull'elenco a discesa in Sezione e passare a system.webServer>security>authentication>clientCertificateMappingAuthentication.
Impostare il valore enabled su True e nel riquadro Azioni, fare clic su Applica.
Selezionare la directory virtuale ecp .
Nella sezione Gestione, fare doppio clic su Editor di configurazione.
Nella pagina Editor configurazione fare clic sull'elenco a discesa in Sezione e passare a system.webServer>security>authentication>clientCertificateMappingAuthentication.
Impostare il valore enabled su True e nel riquadro Azioni, fare clic su Applica.
Selezionare la directory virtuale Microsoft-Server-ActiveSync.
Nella sezione Gestione, fare doppio clic su Editor di configurazione.
Nella pagina Editor configurazione fare clic sull'elenco a discesa in Sezione e passare a system.webServer>security>authentication>clientCertificateMappingAuthentication.
Impostare il valore enabled su True e nel riquadro Azioni, fare clic su Applica.

Nota: Per eseguire queste procedure nella riga di comando, aprire un prompt dei comandi con privilegi elevati sul server Exchange ed eseguire i comandi seguenti:

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

Passaggio 6 (facoltativo): Aggiungere il certificato radice di un'autorità di certificazione di terze parti all'archivio Enterprise NTAuth in Active Directory

È necessario eseguire questo passaggio solamente se non si utilizza AD CS per rilasciare certificati client. Questa impostazione indica che l'autorità di certificazione (CA) è attendibile per rilasciare certificati client per autenticazione Active Directory.

Esportare il certificato radice della CA in un file cer con codifica base 64 o con codifica binaria DER X.509. In questo esempio si userà C:\Data\CARoot.cer.
In qualsiasi server membro del dominio (ad esempio, un controller di dominio o un server Exchange), aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire il seguente comando:
```
%windir%\system32\certutil.exe -enterprise -addstore NTAuth "C:\Data\CARoot.cer"
```
Tenere presente che per questo passaggio è necessaria l'appartenenza al gruppo Enterprise Admins.

Passaggio 7 (facoltativo): Utilizzare Gestione IIS per aumentare il valore UploadReadAheadSize per le directory virtuali Outlook sul Web e ActiveSync

Se sui client vengono visualizzati errori, è necessario aumentare i valori uploadReadAheadSize nel metabase IIS per consentire le intestazioni di richiesta.

In IIS Manager, espandere il server, espandere Siti, quindi Sito Web predefinito.
Selezionare la directory virtuale owa e verificare che l'opzione Visualizzazione funzionalità sia selezionata nella parte inferiore della pagina.
Nella sezione Gestione, fare doppio clic su Editor di configurazione.
Nella pagina Editor configurazione fare clic sull'elenco a discesa in Sezione e passare a systemwebServer>serverRuntime.
Impostare il valore uploadReadAheadSize su 49152 e nel riquadro Azioni, fare clic su Applica.
Selezionare la directory virtuale ecp .
Nella sezione Gestione, fare doppio clic su Editor di configurazione.
Nella pagina Editor configurazione fare clic sull'elenco a discesa in Sezione e passare a systemwebServer>serverRuntime.
Impostare il valore uploadReadAheadSize su 49152 e nel riquadro Azioni, fare clic su Applica.
Selezionare la directory virtuale Microsoft-Server-ActiveSync.
Nella sezione Gestione, fare doppio clic su Editor di configurazione.
Nella pagina Editor configurazione fare clic sull'elenco a discesa in Sezione e passare a systemwebServer>serverRuntime.
Impostare il valore uploadReadAheadSize su 49152 e nel riquadro Azioni, fare clic su Applica.