Guida complementare alla rete core: distribuzione del certificato server
Si applica a: Windows Server 2012
Nella guida di Introduzione alle funzionalità di base delle reti di Windows Server 2012 sono disponibili istruzioni per la pianificazione e la distribuzione di una rete completamente funzionante e di un nuovo dominio di Active Directory® in una nuova foresta.
In questa guida viene illustrato come compilare nella rete principale, fornendo istruzioni per la distribuzione di certificati server per i computer che eseguono Server dei criteri di rete (NPS), Routing e accesso remoto (RRAS) o entrambi.
Suggerimento
In questa guida è disponibile in formato Word in Microsoft TechNet Gallery in https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7.
Questa guida contiene le sezioni seguenti.
Prerequisiti per l'uso di questa Guida
Informazioni sulla guida
Informazioni non contenute in questa guida
Panoramiche delle tecnologie
Prerequisiti per l'uso di questa Guida
Si tratta di una guida complementare della Guida alla rete core di Windows Server 2012. Per distribuire i certificati del server in questa Guida, è necessario innanzitutto eseguire le operazioni seguenti.
Distribuire una rete core utilizzando la Guida alla rete Core o già le tecnologie fornite nella Guida alla rete di Core installato e funzioni correttamente nella rete. Queste tecnologie includono TCP/IP v4, DHCP, Servizi di dominio Active Directory, DNS, Server dei criteri di rete (NPS) e Server Web (IIS).
Nota
Il Windows Server 2012 è disponibile nella Guida alla rete Core il Windows Server 2012 raccolta di documentazione tecnica (https://go.microsoft.com/fwlink/?LinkId=154884).
La Guida alla rete Core è disponibile in formato Word in Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).
Informazioni sulla guida
Questa guida vengono fornite istruzioni per la distribuzione dei certificati del server a server dei criteri di rete, routing e accesso remoto o entrambi, utilizzando Servizi certificati Active Directory in Windows Server 2012.
I certificati del server sono necessari quando si distribuiscono metodi di autenticazione basati sui certificati con il protocollo EAP (Extensible Authentication Protocol) e il protocollo PEAP (Protected EAP) per l'autenticazione dell'accesso di rete.
Distribuzione di certificati server con Servizi certificati Active Directory (AD CS) per i metodi di autenticazione basata sui certificati EAP e PEAP offre i vantaggi seguenti:
Associazione dell'identità del server dei criteri di rete o il server di routing e accesso remoto a una chiave privata
Un metodo conveniente e sicuro per la registrazione automatica dei certificati per server NPS e RRAS di membri del dominio
Un metodo efficiente per la gestione dei certificati e autorità di certificazione (CA)
Sicurezza fornita dall'autenticazione basata sui certificati
Possibilità di estendere l'utilizzo dei certificati per scopi aggiuntivi
Questa guida è destinata ad amministratori di rete e di sistema che hanno seguito le istruzioni della Guida alla rete core di Windows Server 2012 per distribuire una rete core oppure a coloro che in precedenza hanno distribuito le tecnologie incluse nella Guida alla rete core, tra cui Servizi di dominio Active Directory, Domain Name Service (DNS), Dynamic Host Configuration Protocol (DHCP), TCP/IP, Server Web (IIS) e Server dei criteri di rete (NPS).
Importante
In questa Guida, che fornisce le istruzioni per la distribuzione dei certificati server utilizzando un'autorità di certificazione principale dell'organizzazione online (CA), è progettata per organizzazioni di piccole dimensioni che non dispongono di risorse di elaborazione. Per motivi di sicurezza - se l'organizzazione dispone di risorse di elaborazione, è consigliabile distribuire una CA radice aziendale offline in un'infrastruttura a chiave pubblica (PKI) di due livelli. Per altre informazioni, vedere Risorse aggiuntive.
È consigliabile vedere le guide alla progettazione e alla distribuzione per ognuna delle tecnologie usate in questo scenario di distribuzione. Queste guide consentono di determinare se questo scenario di distribuzione fornisce la configurazione e i servizi necessari per la rete dell'organizzazione.
Requisiti per la distribuzione dei certificati del server
Di seguito sono i requisiti per l'utilizzo di certificati:
Per distribuire i certificati del server tramite la registrazione automatica, servizi certificati Active Directory richiede il Windows Server 2012 sistemi operativi Standard, Enterprise o Datacenter. Active Directory deve essere installato prima di installare Servizi certificati Active Directory. Anche se Servizi certificati Active Directory può essere distribuito in un singolo server, molte distribuzioni implicano più server configurato come autorità di certificazione.
Per fornire i computer con accesso per l'accesso alle informazioni di autorità (AIA) e un elenco di revoche di certificati (CRL) che viene generato dall'autorità di certificazione, è necessario disporre di un server Web che sia configurato correttamente in base alle istruzioni in questa Guida.
Per distribuire PEAP o EAP per le reti private virtuali (VPN), è necessario distribuire routing e accesso remoto è configurato come server VPN. L'utilizzo di criteri di rete è facoltativa. Tuttavia, se si dispone di più server VPN, mediante criteri di rete è consigliabile per facilitare l'amministrazione e per i servizi di accounting RADIUS che fornisce criteri di rete.
Per distribuire PEAP o EAP per Gateway Desktop remoto (Gateway Desktop remoto), è necessario distribuire Gateway Desktop remoto e dei criteri di rete.
Nota
Nelle versioni precedenti di Windows Server, Servizi Desktop remoto è denominato Servizi Terminal.
Per distribuire PEAP o EAP per 802.1 X protetta cablate o wireless, è necessario distribuire criteri di rete e hardware aggiuntivo, ad esempio punti di accesso wireless e commutatori 802.1 X.
Per distribuire i metodi di autenticazione basata su certificati che richiedono certificati per l'autenticazione utente e computer oltre a richiedere i certificati per l'autenticazione server, ad esempio EAP con Transport Layer Security (EAP-TLS) o PEAP-TLS, è necessario distribuire anche i certificati utente o computer tramite la registrazione automatica o smart card.
Informazioni non contenute in questa guida
In questa Guida non fornisce istruzioni dettagliate per la progettazione e distribuzione di un'infrastruttura a chiave pubblica (PKI) utilizzando Servizi certificati Active Directory. È consigliabile consultare la documentazione di servizi certificati Active Directory e documentazione di progettazione dell'infrastruttura PKI prima di distribuire le tecnologie disponibili in questa Guida. Per ulteriori informazioni, vedere il Risorse aggiuntive sezione più avanti in questo documento.
In questa guida vengono fornite istruzioni su come installare il Server Web (IIS) o tecnologie di Server dei criteri di rete sul computer server. vengono fornite le istruzioni nella Guida alla rete principale.
In questa guida fornisce inoltre istruzioni dettagliate per la distribuzione di tecnologie di accesso della rete per cui è possono utilizzare i certificati del server.
Panoramiche delle tecnologie
Di seguito sono panoramiche sulla tecnologia per EAP e PEAP AD CS.
EAP
Il protocollo Extensible Authentication Protocol (EAP) estende le funzionalità del protocollo Point-to-Point Protocol (PPP) per il supporto di metodi di autenticazione arbitrari che utilizzano scambi di informazioni e credenziali di lunghezza arbitraria. EAP è stato sviluppato in risposta alla crescente richiesta di metodi di autenticazione che utilizzano dispositivi di sicurezza, ad esempio smart card, token card e cifratori. EAP fornisce un'architettura standard per il supporto di metodi di autenticazione aggiuntivi all'interno di PPP.
Con EAP, viene utilizzato un meccanismo di autenticazione arbitrari per verificare l'identità del client e server che stabilita una connessione di accesso di rete. Lo schema di autenticazione esatti da utilizzare viene negoziato dal client di accesso e l'autenticatore - il server di accesso alla rete o il server RADIUS Remote Authentication Dial-In User Service ().
Con l'autenticazione EAP sia il client di accesso di rete e l'autenticatore (ad esempio, il server dei criteri di rete) deve supportare lo stesso tipo EAP per l'autenticazione che si verifichi.
Importante
I tipi EAP avanzati, ad esempio quelle basate sui certificati, offrono una migliore protezione contro gli attacchi di forza bruta, attacchi con dizionario e attacchi di individuazione della password più protocolli di autenticazione basata su password, ad esempio il protocollo CHAP o MS-CHAP, versione 1.
EAP in Windows Server 2012
Windows Server 2012 include un'infrastruttura EAP, i tipi EAP e la possibilità di passare i messaggi EAP a un server RADIUS (EAP-RADIUS), ad esempio criteri di rete.
Utilizzando EAP, è possibile supportare schemi di autenticazione aggiuntivi, noti come tipi EAP. I tipi EAP supportati da Windows Server 2012 sono:
Layer Security (TLS) del trasporto. EAP-TLS richiede l'utilizzo di certificati di computer o i certificati utente, oltre ai certificati server registrati nei computer dei criteri di rete.
Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAP v2). Questo tipo EAP è un protocollo di autenticazione basata su password. Se utilizzata all'interno di EAP come metodo di autenticazione EAP-MS-CHAP v2, server NPS e RRAS forniscono un certificato server come dimostrare la propria identità ai computer client, mentre gli utenti di dimostrare la propria identità con un nome utente e una password.
Tunneled Transport Layer Security (TTLS). EAP-TTLS è nuovo in Windows Server 2012 e non è disponibile in altre versioni di Windows Server. EAP-TTLS è un metodo di tunneling EAP basato su standard che supporta l'autenticazione reciproca. EAP-TTLS offre un tunnel sicuro per l'autenticazione client tramite i metodi EAP e altri protocolli legacy. EAP-TTLS offre inoltre la possibilità di configurare EAP-TTLS nei computer client per soluzioni di accesso alla rete nelle quali per l'autenticazione vengono utilizzati server RADIUS (Remote Authentication Dial In User Service) non Microsoft che supportano EAP-TTLS.
Inoltre, è possibile installare altri moduli EAP non Microsoft nel server dei criteri di rete o Routing e accesso remoto per fornire altri tipi di autenticazione EAP. Nella maggior parte dei casi, se si installano ulteriori tipi EAP su server, è necessario inoltre installare componenti di autenticazione client EAP corrispondenti nei computer client in modo che il client e server possano negoziare correttamente un metodo di autenticazione da utilizzare per le richieste di connessione.
PEAP
PEAP utilizza TLS per creare un canale crittografato tra un client che esegue l'autenticazione PEAP, ad esempio un computer wireless e un autenticatore PEAP, ad esempio un server dei criteri di rete o un altro server RADIUS.
PEAP non specifica un metodo di autenticazione, ma offre protezione aggiuntiva per altri protocolli di autenticazione EAP (ad esempio EAP-MSCHAP v2) che possono funzionare attraverso il canale crittografato TLS fornito da PEAP. PEAP viene utilizzato come un metodo di autenticazione per i client di accesso che si connettono alla rete dell'organizzazione tramite i seguenti tipi di server di accesso alla rete:
Punti di accesso wireless compatibili con 802.1 X
Commutatori di autenticazione 802.1 X
I computer che eseguono Windows Server 2012 o Windows Server 2008 R2 e che sono configurati come server VPN RRAS
I computer che eseguono Windows Server 2012 o Windows Server 2008 R2 e Gateway Desktop remoto
Funzionalità di PEAP
Per migliorare i protocolli EAP e sicurezza di rete, PEAP fornisce:
Un canale TLS che fornisce la protezione per la negoziazione del metodo EAP che si verifica tra il client e server. Questo canale TLS impedisce che un utente malintenzionato inserisca pacchetti tra client e il server di accesso alla rete per determinare la negoziazione di un tipo EAP meno sicuro. Il canale TLS crittografato consente inoltre di impedire attacchi denial of service contro il server dei criteri di rete.
Supporto per la frammentazione e il riassemblaggio dei messaggi, che consente l'utilizzo di tipi EAP che non forniscono questa funzionalità.
Client con la possibilità di autenticare i criteri di rete o un altro server RADIUS. Poiché il server autentica il client, si verifica l'autenticazione reciproca.
Protezione contro la distribuzione di un punto di accesso non autorizzato al momento quando il client EAP autentica il certificato fornito dal server dei criteri di rete. Inoltre, il master secret TLS creato dall'autenticatore PEAP e il client non viene condivisa con il punto di accesso. Per questo motivo, il punto di accesso non può decrittografare i messaggi che sono protetti da PEAP.
La riconnessione rapida PEAP, che consente di ridurre il ritardo tra una richiesta di autenticazione da un client e la risposta da parte di criteri di rete o un altro server RADIUS. Abilita riconnessione rapida consente inoltre ai client wireless per spostarsi tra i punti di accesso configurati come client RADIUS nello stesso server RADIUS senza richieste ripetute per l'autenticazione. Ciò riduce i requisiti di risorse per il client e server e riduce al minimo il numero di volte che gli utenti vengono richieste le credenziali.
Servizi certificati Active Directory
Servizi certificati Active Directory in Windows Server 2012 offre servizi personalizzabili per creare e gestire i certificati x. 509 che vengono utilizzati in sistemi di sicurezza software basati su tecnologie a chiave pubbliche. Le organizzazioni possono utilizzare Servizi certificati Active Directory per migliorare la sicurezza associando l'identità di una persona, un dispositivo o un servizio a una chiave pubblica corrispondente. Servizi certificati Active Directory include inoltre funzionalità che consentono di gestire la registrazione di certificati e le revoche in una vasta gamma di ambienti scalabili.