Configurazione dell'infrastruttura di certificazione

Si applica a: Configuration Manager (Current Branch)

Importante

A partire dalla versione 2203, questa funzionalità di accesso alle risorse aziendali non è più supportata. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.

Informazioni su come configurare l'infrastruttura dei certificati in Configuration Manager. Prima di iniziare, verificare la presenza di tutti i prerequisiti elencati in Prerequisiti per i profili certificato.

Usare questi passaggi per configurare l'infrastruttura per i certificati SCEP o PFX.

Passaggio 1: Installare e configurare il servizio registrazione dispositivi di rete e le dipendenze (solo per i certificati SCEP)

È necessario installare e configurare il servizio ruolo Servizio registrazione dispositivi di rete per Servizi certificati Active Directory, modificare le autorizzazioni di sicurezza nei modelli di certificato, distribuire un certificato di autenticazione client PKI (Public Key Infrastructure) e modificare il Registro di sistema per aumentare il limite di dimensioni url predefinito di Internet Information Services (IIS). Se necessario, è anche necessario configurare l'autorità di certificazione emittente per consentire un periodo di validità personalizzato.

Importante

Prima di configurare Configuration Manager per l'uso con il servizio Registrazione dispositivi di rete, verificare l'installazione e la configurazione del servizio Registrazione dispositivi di rete. Se queste dipendenze non funzionano correttamente, sarà difficile risolvere i problemi di registrazione dei certificati usando Configuration Manager.

Per installare e configurare il servizio registrazione dispositivi di rete e le dipendenze

1. In un server che esegue Windows Server 2012 R2 installare e configurare il servizio ruolo Servizio registrazione dispositivi di rete per il ruolo del server Servizi certificati Active Directory. Per altre informazioni, vedere Linee guida per il servizio Registrazione dispositivi di rete.

2. Controllare e, se necessario, modificare le autorizzazioni di sicurezza per i modelli di certificato usati dal servizio Registrazione dispositivi di rete:

   • Per l'account che esegue la console Configuration Manager: autorizzazione di lettura.

     Questa autorizzazione è necessaria in modo che quando si esegue la Creazione guidata profilo certificato, è possibile selezionare il modello di certificato da usare quando si crea un profilo di impostazioni SCEP. Se si seleziona un modello di certificato, alcune impostazioni della procedura guidata vengono popolate automaticamente, pertanto è possibile configurare meno impostazioni ed è meno rischioso selezionare impostazioni non compatibili con i modelli di certificato usati dal servizio Registrazione dispositivi di rete.

   • Per l'account del servizio SCEP usato dal pool di applicazioni del servizio registrazione dispositivi di rete: autorizzazioni di lettura e registrazione .

     Questo requisito non è specifico per Configuration Manager, ma fa parte della configurazione del servizio Registrazione dispositivi di rete. Per altre informazioni, vedere Linee guida per il servizio Registrazione dispositivi di rete.

   Consiglio

   Per identificare i modelli di certificato usati dal servizio Registrazione dispositivi di rete, visualizzare la chiave del Registro di sistema seguente nel server che esegue il servizio Registrazione dispositivi di rete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

   Nota

   Queste sono le autorizzazioni di sicurezza predefinite che saranno appropriate per la maggior parte degli ambienti. È tuttavia possibile usare una configurazione di sicurezza alternativa. Per altre informazioni, vedere Pianificazione delle autorizzazioni del modello di certificato per i profili certificato.

3. Distribuire in questo server un certificato PKI che supporta l'autenticazione client. Potrebbe essere già installato un certificato appropriato nel computer che è possibile usare oppure potrebbe essere necessario (o preferire) distribuire un certificato specifico per questo scopo. Per altre informazioni sui requisiti per questo certificato, vedere i dettagli relativi ai server che eseguono il modulo criteri di Configuration Manager con il servizio ruolo Servizio registrazione dispositivi di rete nella sezione Certificati PKI per server nell'argomento Requisiti dei certificati PKI per Configuration Manager.

   Consiglio

   Se è necessaria assistenza per la distribuzione di questo certificato, è possibile usare le istruzioni per la distribuzione del certificato client per i punti di distribuzione, perché i requisiti del certificato sono gli stessi con un'eccezione:

   • Non selezionare la casella di controllo Consenti l'esportazione della chiave privata nella scheda Gestione richieste delle proprietà per il modello di certificato.

     Non è necessario esportare il certificato con la chiave privata perché sarà possibile passare all'archivio computer locale e selezionarlo quando si configura il modulo criteri di Configuration Manager.

4. Individuare il certificato radice a cui viene concatenato il certificato di autenticazione client. Esportare quindi questo certificato CA radice in un file certificato (con estensione cer). Salvare il file in un percorso protetto a cui è possibile accedere in modo sicuro quando si installa e configura in un secondo momento il server del sistema del sito per il punto di registrazione del certificato.

5. Nello stesso server usare l'editor del Registro di sistema per aumentare il limite di dimensioni url predefinite di IIS impostando i valori DWORD della chiave del Registro di sistema seguenti in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:

   • Impostare la chiave MaxFieldLength su 65534.

   • Impostare la chiave MaxRequestBytes su 16777216.

     Per altre informazioni, vedere supporto tecnico Microsoft articolo 820129: Http.sys impostazioni del Registro di sistema per Windows.

6. Nello stesso server, in Gestione Internet Information Services (IIS) modificare le impostazioni di filtro delle richieste per l'applicazione /certsrv/mscep e quindi riavviare il server. Nella finestra di dialogo Modifica impostazioni filtro richieste le impostazioni di Limiti richiesta devono essere le seguenti:

   • Lunghezza massima del contenuto consentito (byte):30000000

   • Lunghezza massima URL (byte):65534

   • Stringa di query massima (byte):65534

     Per altre informazioni su queste impostazioni e su come configurarle, vedere Limiti delle richieste IIS.

7. Se si vuole essere in grado di richiedere un certificato con un periodo di validità inferiore rispetto al modello di certificato in uso: questa configurazione è disabilitata per impostazione predefinita per una CA aziendale. Per abilitare questa opzione in una CA aziendale, usare lo strumento da riga di comando Certutil e quindi arrestare e riavviare il servizio certificati usando i comandi seguenti:

   1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

      Per altre informazioni, vedere Strumenti e impostazioni di Servizi certificati.

8. Verificare che il servizio Registrazione dispositivi di rete funzioni usando il collegamento seguente come esempio: https://server.contoso.com/certsrv/mscep/mscep.dll. Verrà visualizzata la pagina Web del servizio Registrazione dispositivi di rete predefinita. Questa pagina Web illustra il servizio e spiega che i dispositivi di rete usano l'URL per inviare richieste di certificato.

   Ora che il servizio registrazione dispositivi di rete e le dipendenze sono configurate, è possibile installare e configurare il punto di registrazione del certificato.

Passaggio 2: installare e configurare il punto di registrazione del certificato.

È necessario installare e configurare almeno un punto di registrazione certificati nella gerarchia Configuration Manager ed è possibile installare questo ruolo del sistema del sito nel sito di amministrazione centrale o in un sito primario.

Importante

Prima di installare il punto di registrazione certificati, vedere la sezione Requisiti del sistema del sito nell'argomento Configurazioni supportate per Configuration Manager per i requisiti del sistema operativo e le dipendenze per il punto di registrazione del certificato.

Per installare e configurare il punto di registrazione del certificato

1. Nella console Configuration Manager fare clic su Amministrazione.

2. Nell'area di lavoro Amministrazione espandere Configurazione sito, fare clic su Server e ruoli del sistema del sito e quindi selezionare il server che si vuole usare per il punto di registrazione del certificato.

3. Nel gruppo Server della scheda Home fare clic su Aggiungi ruoli del sistema del sito.

4. Nella pagina Generale specificare le impostazioni generali per il sistema del sito e quindi fare clic su Avanti.

5. Nella pagina Proxy fare clic su Avanti. Il punto di registrazione del certificato non usa le impostazioni proxy Internet.

6. Nella pagina Selezione ruolo di sistema selezionare Punto di registrazione certificato nell'elenco dei ruoli disponibili e quindi fare clic su Avanti.

7. Nella pagina Modalità registrazione certificato selezionare se si vuole che questo punto di registrazione del certificato eserciti le richieste di certificato SCEP o elabora le richieste di certificato PFX. Un punto di registrazione certificati non può elaborare entrambi i tipi di richieste, ma è possibile creare più punti di registrazione certificati se si usano entrambi i tipi di certificato.

   Se si elaborano certificati PFX, è necessario scegliere un'autorità di certificazione, Microsoft o Entrust.

8. La pagina Impostazioni punto di registrazione certificati varia in base al tipo di certificato:

   • Se è stata selezionata l'opzione Elabora richieste di certificato SCEP, configurare quanto segue:

     • Nome del sito Web, numero di porta HTTPS e nome dell'applicazione virtuale per il punto di registrazione del certificato. Questi campi vengono compilati automaticamente con i valori predefiniti.
     • URL per il servizio registrazione dispositivi di rete e il certificato CA radice : fare clic su Aggiungi, quindi nella finestra di dialogo Aggiungi URL e certificato CA radice specificare quanto segue:
       • URL per il servizio registrazione dispositivi di rete: specificare l'URL nel formato seguente: https:// <server_FQDN>/certsrv/mscep/mscep.dll. Ad esempio, se il nome di dominio completo del server che esegue il servizio Registrazione dispositivi di rete è server1.contoso.com, digitare https://server1.contoso.com/certsrv/mscep/mscep.dll.
       • Certificato CA radice: passare al file del certificato (cer) creato e salvato nel passaggio 1: installare e configurare il servizio registrazione dispositivi di rete e le dipendenze. Questo certificato CA radice consente al punto di registrazione del certificato di convalidare il certificato di autenticazione client che verrà usato dal modulo criteri di Configuration Manager.

   • Se è stata selezionata l'opzione Elabora richieste di certificato PFX, configurare i dettagli e le credenziali di connessione per l'autorità di certificazione selezionata.

     • Per usare Microsoft come autorità di certificazione, fare clic su Aggiungi e quindi nella finestra di dialogo Aggiungi un'autorità di certificazione e un account specificare quanto segue:

       • Nome server autorità di certificazione: immettere il nome del server dell'autorità di certificazione.

       • Account autorità di certificazione: fare clic su Imposta per selezionare o creare l'account con autorizzazioni per la registrazione nei modelli nell'autorità di certificazione.

       • Account di connessione del punto di registrazione certificati: selezionare o creare l'account che connette il punto di registrazione del certificato al database Configuration Manager. In modo alternativo, è possibile usare l'account computer locale del computer che ospita il punto di registrazione del certificato.

       • Account di pubblicazione certificati Active Directory : selezionare un account o creare un nuovo account che verrà usato per pubblicare i certificati negli oggetti utente in Active Directory.

       • Nella finestra di dialogo URL per Registrazione dispositivi di rete e certificato CA radice specificare quanto segue e quindi fare clic su OK:

     • Per usare Entrust come autorità di certificazione, specificare:

       • URL del servizio Web MDM

       • Credenziali di nome utente e password per l'URL.

         Quando si usa l'API MDM per definire l'URL del servizio Web Entrust, assicurarsi di usare almeno la versione 9 dell'API, come illustrato nell'esempio seguente:

         https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

         Le versioni precedenti dell'API non supportano Entrust.

9. Fare clic su Avanti e completare la procedura guidata.

10. Attendere alcuni minuti per consentire il completamento dell'installazione e quindi verificare che il punto di registrazione del certificato sia stato installato correttamente usando uno dei metodi seguenti:

    • Nell'area di lavoro Monitoraggio espandere Stato sistema, fare clic su Stato componente e cercare i messaggi di stato dal componente SMS_CERTIFICATE_REGISTRATION_POINT .

    • Nel server del sistema del sito usare il <file ConfigMgr Installation Path>\Logs\crpsetup.log e <ConfigMgr Installation Path>\Logs\crpmsi.log. Un'installazione riuscita restituirà un codice di uscita pari a 0.

    • Usando un browser, verificare che sia possibile connettersi all'URL del punto di registrazione del certificato. Ad esempio, https://server1.contoso.com/CMCertificateRegistration. Verrà visualizzata una pagina Errore server per il nome dell'applicazione, con una descrizione HTTP 404.

11. Individuare il file di certificato esportato per la CA radice creata automaticamente dal punto di registrazione del certificato nella cartella seguente nel computer del server del sito primario: <Percorso> di installazione di ConfigMgr\inboxes\certmgr.box. Salvare questo file in un percorso protetto a cui è possibile accedere in modo sicuro quando si installa in un secondo momento il modulo criteri Configuration Manager nel server che esegue il servizio Registrazione dispositivi di rete.

    Consiglio

    Questo certificato non è immediatamente disponibile in questa cartella. Potrebbe essere necessario attendere un po', ad esempio mezz'ora, prima che Configuration Manager copierà il file in questo percorso.

Passaggio 3: Installare il modulo criteri di Configuration Manager (solo per i certificati SCEP).

È necessario installare e configurare il modulo criteri di Configuration Manager in ogni server specificato in Passaggio 2: Installare e configurare il punto di registrazione certificati come URL per il servizio Registrazione dispositivi di rete nelle proprietà del punto di registrazione del certificato.

Per installare il modulo Criteri

1. Nel server che esegue il servizio Registrazione dispositivi di rete accedere come amministratore di dominio e copiare i file seguenti dalla <cartella ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 nel supporto di installazione Configuration Manager in una cartella temporanea:

   • PolicyModule.msi

   • PolicyModuleSetup.exe

   Inoltre, se si dispone di una cartella LanguagePack sul supporto di installazione, copiare questa cartella e il relativo contenuto.

2. Dalla cartella temporanea eseguire PolicyModuleSetup.exe per avviare l'installazione guidata del modulo criteri di Configuration Manager.

3. Nella pagina iniziale della procedura guidata fare clic su Avanti, accettare le condizioni di licenza e quindi fare clic su Avanti.

4. Nella pagina Cartella di installazione accettare la cartella di installazione predefinita per il modulo dei criteri o specificare una cartella alternativa e quindi fare clic su Avanti.

5. Nella pagina Punto di registrazione certificati specificare l'URL del punto di registrazione del certificato usando il nome di dominio completo del server del sistema del sito e il nome dell'applicazione virtuale specificato nelle proprietà del punto di registrazione del certificato. Il nome predefinito dell'applicazione virtuale è CMCertificateRegistration. Ad esempio, se il server del sistema del sito ha un nome di dominio completo di server1.contoso.com ed è stato usato il nome dell'applicazione virtuale predefinito, specificare https://server1.contoso.com/CMCertificateRegistration.

6. Accettare la porta predefinita 443 o specificare il numero di porta alternativo usato dal punto di registrazione del certificato e quindi fare clic su Avanti.

7. Nella pagina Certificato client per il modulo criteripassare a e specificare il certificato di autenticazione client distribuito nel passaggio 1: Installare e configurare il servizio Registrazione dispositivi di rete e le dipendenze, quindi fare clic su Avanti.

8. Nella pagina Certificato punto di registrazione certificati fare clic su Sfoglia per selezionare il file di certificato esportato per la CA radice individuata e salvata alla fine del passaggio 2: Installare e configurare il punto di registrazione del certificato.

   Nota

   Se questo file di certificato non è stato salvato in precedenza, si trova nel <percorso> di installazione di ConfigMgr\inboxes\certmgr.box nel computer del server del sito.

9. Fare clic su Avanti e completare la procedura guidata.

   Se si vuole disinstallare il modulo criteri di Configuration Manager, usare Programmi e funzionalità in Pannello di controllo.

Dopo aver completato i passaggi di configurazione, è possibile distribuire certificati a utenti e dispositivi creando e distribuendo profili certificato. Per altre informazioni su come creare profili certificato, vedere Come creare profili certificato.