Rimozione del certificato ca di Criteri comuni federali degli Stati Uniti dalla radice attendibile Microsoft

In questo articolo viene descritta la rimozione del certificato radice della CA di Criteri comuni federali degli Stati Uniti nel 24 maggio 2022 aggiornamento del certificato radice Microsoft. Questo articolo fornisce anche soluzioni per evitare o risolvere i problemi che si verificheranno se le aziende non hanno eseguito la transizione al certificato radice CA G2 di Criteri comuni federali prima della rimozione del certificato radice ca di Criteri comuni federali dall'elenco certificati Attendibilità certificati Microsoft (CTL) entro il 24 maggio 2022.

Note

Il certificato radice che viene rimosso dall'aggiornamento del certificato radice Microsoft è denominato "CA Criteri comuni federali" ed è comunemente definito certificato radice "G1" anche se "G1" non viene visualizzato nel nome del certificato.

Il certificato radice che sostituisce il certificato radice "G1" è denominato "Federal Common Policy CA G2" ed è comunemente definito certificato radice "G2".

Si applica a: Tutte le versioni di Windows

Introduzione

Il Stati Uniti team FPKI (Federal PKI) che governa la CA di Criteri comuni federali degli Stati Uniti ha formalmente richiesto la rimozione del certificato radice "G1" elencato di seguito dal Programma radice attendibile Microsoft.

Nome certificato	Identificazione personale SHA1
Ca di criteri comuni federali	905F942FD9F28F679B378180FD4F846347F645C1

Le applicazioni e le operazioni che dipendono dal certificato radice "G1" avranno esito negativo da uno a sette giorni dopo la ricezione dell'aggiornamento del certificato radice. Gli amministratori devono eseguire la migrazione dal certificato radice "G1" esistente al certificato radice "G2" sostitutivo elencato di seguito come trust anchor federale dell'agenzia.

Nome certificato	Identificazione personale SHA1
Federal Common Policy CA G2	99B4251E2EEE05D8292E8397A90165293D116028

Note

Il certificato radice "G2" può essere scaricato direttamente dal download del file crt del certificato radice "G2".

Potenziali problemi

Dopo la rimozione del certificato radice "G1", gli utenti in ambienti che non hanno eseguito la transizione al certificato radice "G2" possono riscontrare problemi che influiscono sugli scenari seguenti:

• Connessioni TLS o SSL.
• Secure or multipurpose Internet Mail Extensions (S/MIME) or secure email.Secure or multipurpose Internet Mail Extensions (S/MIME) or secure email.
• Documenti firmati in Microsoft Word. I file PDF e Adobe Acrobat non saranno interessati.
• Autenticazione client, inclusa la definizione di connessioni VPN.
• Accesso autenticato tramite smart card o PIV, incluso l'accesso tramite badge che si basa completamente sul software Windows.

I messaggi di errore seguenti possono essere visualizzati in finestre popup e finestre di dialogo:

• Il certificato di sicurezza del sito non è attendibile.

• Il certificato di sicurezza presentato da questo sito Web non è stato rilasciato da una CA attendibile.

• Catena di certificati elaborata ma terminata in un certificato ROOT non considerato attendibile dal provider di attendibilità.

• Errore di concatenamento dei certificati.

• La catena di certificati è stata emessa da un'autorità non disponibile nell'elenco locale.

• Il certificato o la catena associata non è valida.

Passaggi per evitare questi problemi

1. Verificare le modifiche nella sezione Configurazione test per testare ciò che si verifica con la rimozione di "G1" dal CTL prima della data di rilascio dell'aggiornamento.Verify changes in the Test configuration setup section to test what occurs with the removal of the "G1" from the CTL before the release date of the update.
2. Dopo aver usato la sezione configurazione di test per verificare che tutti gli scenari pertinenti funzionino, seguire la procedura descritta nella sezione "Configurazione di produzione" nella configurazione di produzione.

Note

Gli scenari di applicazione come servizio, ad esempio AZURE SQL o app Azure Servizio che concatenano al certificato radice "G1" avranno esito negativo dopo la rimozione del certificato radice "G1".

Configurare la configurazione di test

Prima del rilascio dell'aggiornamento, gli amministratori possono usare la procedura seguente per configurare direttamente il Registro di sistema di Windows in una posizione preliminare o temporanea dell'aggiornamento del certificato più recente. È anche possibile configurare le impostazioni usando Criteri di gruppo. Vedere Per configurare un modello amministrativo personalizzato per un oggetto Criteri di gruppo.

Note

L'anteprima del rilascio di maggio che include la rimozione del certificato radice "G1" viene messa in scena il 11 maggio 2022.

1. Aprire regedit e quindi passare alla seguente sottochiave del Registro di sistema:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Aggiungere o modificare i valori del Registro di sistema seguenti:

   • Impostare RootDirUrl su http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.
   • Impostare SyncFromDirUrl su http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.

3. Eliminare i valori del Registro di sistema seguenti:

   • EncodedCtl
   • LastSyncTime

4. Eliminare la HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates sottochiave. Questo passaggio elimina tutti i certificati radice archiviati.

   Note

   Eliminando tutti i certificati radice archiviati da HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates, è possibile assicurarsi che tutti i certificati radice archiviati vengano rimossi. Questa operazione impone a Windows di scaricare nuovi certificati radice se vengono usate catene di infrastruttura a chiave pubblica (PKI) associate con nuove proprietà (se modificate). Poiché il certificato radice "G1" viene rimosso, questo certificato radice non verrà scaricato.

5. Verificare tutti gli scenari concatenati al certificato radice "G1", inclusi quelli elencati in Potenziali problemi.

Note

Il collegamento al sito di test non cambia mai. Tuttavia, le modifiche gestite dal sito di test cambiano da mese a mese.

Configurazione di produzione

La procedura seguente configura direttamente il Registro di sistema di Windows per usare la versione di produzione del CTL se viene usato l'URL di test della sezione precedente:

1. Aprire regedit e quindi passare alla seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Aggiungere o modificare i valori del Registro di sistema seguenti:

   • Impostare RootDirUrl su http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.
   • Impostare SyncFromDirUrl su http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.

3. Eliminare i valori del Registro di sistema seguenti:

   • EncodedCtl
   • LastSyncTime

4. Eliminare la sottochiave del HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Registro di sistema. Questo passaggio elimina tutti i certificati radice archiviati.

Configurare il certificato radice "G2"

Gli amministratori devono configurare il certificato radice "G2" in base alle istruzioni seguenti prima che il certificato radice "G1" venga rimosso dall'aggiornamento del certificato radice fuori banda (OOB).

1. Seguire le indicazioni in Ottenere e verificare il certificato radice FCPCA per scaricare e installare il certificato radice "G2" in tutti i computer del gruppo di lavoro, membro e controller di dominio di Windows.
2. Esistono diversi modi per distribuire l'archivio radice nei dispositivi aziendali. Vedere la sezione "Soluzioni Microsoft" in Distribuire ai sistemi operativi.

Note

Nelle aziende che dispongono di dipendenze tra certificazioni per gli accessi tramite smart card o altri scenari nei dispositivi Windows, ma non hanno accesso a Internet, vedere le sezioni "Do I Need to Distribute the Intermediate CA Certificates?" e "Certificates issued by the Federal Common Policy CA G2" ( Distribuisci certificati intermedi).

Molte aziende federali devono disporre dei certificati CA del Tesoro degli Stati Uniti o dei certificati CA di Entrust Managed Services. Entrambi i certificati CA sono documentati nell'articolo "Distribuire i certificati della CA", come indicato di seguito:

Importante Per garantire che i certificati delle credenziali PIV rilasciati dal Provider di servizi condivisi federali entrust prima del 13 agosto 2019 vengano convalidati nella CA G2 della Ca comune federale, è necessario distribuire un certificato CA intermedio aggiuntivo ai sistemi che non sono in grado di eseguire la convalida del percorso dinamico. Per altre informazioni, vedere la pagina Domande frequenti.

Passaggi manuali per ottenere il CTL

Per gli ambienti disconnessi in cui i dispositivi Windows non sono autorizzati ad accedere a Windows Update o a Internet, seguire questa procedura per ottenere manualmente il CTL:

1. Scaricare il CTL:
   1. Eseguire certutil -generateSSTFromWU c:\roots\trustedcerts.sst.
   2. Quando si seleziona il file trustedcerts.sst , verrà aperto lo snap-in Gestione certificati per visualizzare il CTL completo.
2. Scarica l'elenco dei certificati non consentiti:
   1. Eseguire certutil -syncwithwu c:\roots.
   2. Eseguire certutil -verifyctl -v c:\roots\disallowedstl.cab c:\roots\disallowedcert.sst.
   3. Quando si seleziona Non consentitocert.sst, verrà aperto lo snap-in Gestione certificati per visualizzare tutte le radici nell'elenco Non consentito.
3. Per valutare le impostazioni non visualizzate nell'interfaccia utente, convertire il file SST in un file di testo. A tale scopo, eseguire certutil -dump -gmt -v c:\roots\trustedcerts.sst > c:\roots\trustedcerts.txt.
4. Scaricare il certificato radice "G2" da Ottenere e verificare il certificato radice FCPCA e aggiungerlo al CTL personale.

Risolvere e analizzare i problemi di concatenamento radice

I dati seguenti consentono di risolvere i problemi relativi alle operazioni interessate dalla rimozione del certificato radice "G1":

1. Abilitare la registrazione CAPI2. Vedere Risoluzione dei problemi dell'infrastruttura a chiave pubblica di Windows e Diagnostica CAPI2.

2. Creare filtri in Visualizzatore eventi nei registri eventi, nelle origini eventi e negli ID evento seguenti.

   Nel log Applicazioni e servizi\Microsoft\Windows\CAPI2\Operational che usa CAPI2 come origine:

   • ID evento 11: questo evento mostra gli errori di concatenamento.
   • ID evento 30: questo evento mostra gli errori della catena di criteri, ad esempio errori NTAuth e controllo dei criteri SSL.
   • ID evento 90: questo evento mostra tutti i certificati usati per compilare tutte le possibili catene di certificati nel sistema.
   • ID evento 40-43: questa serie di eventi mostra tutti i certificati CRL e gli eventi archiviati a cui si accede tramite percorsi AIA.
   • ID evento 50-53: questa serie di eventi mostra tutti i tentativi di accesso ai CRL dalla rete. L'evento è correlato al seguente messaggio di errore:

     Catena di certificati elaborata, ma terminata in un certificato ROOT non considerato attendibile dal provider di attendibilità

   Nel registro eventi di sistema che usa Microsoft-Windows-Kerberos-Key-Distribution-Center come origine:

   • Errore 19: questo evento indica che è stato effettuato un tentativo di utilizzo di una smart card, ma il KDC non può usare il protocollo PKINIT perché manca un certificato appropriato.
   • Evento 21: impossibile creare una catena di certificati in un'autorità radice attendibile.
   • Evento 29: il Centro distribuzione chiavi (KDC) non riesce a trovare un certificato appropriato da usare per gli accessi tramite smart card oppure non è stato possibile verificare il certificato KDC. L'accesso alla smart card potrebbe non funzionare correttamente se questo problema non viene risolto. Per risolvere il problema, verificare il certificato KDC esistente usando Certutil.exe o registrarsi per un nuovo certificato KDC.