Condividi tramite


Guida alla distribuzione dell'attendibilità delle chiavi locali

Questo articolo descrive le funzionalità o gli scenari di Windows Hello for Business applicabili a:


Requisiti

Prima di avviare la distribuzione, esaminare i requisiti descritti nell'articolo Pianificare una distribuzione di Windows Hello for Business .

Prima di iniziare, verificare che siano soddisfatti i requisiti seguenti:

Fasi di distribuzione

Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:

Configurare e convalidare l'infrastruttura a chiave pubblica

Windows Hello for Business deve avere un'infrastruttura a chiave pubblica (PKI) quando si usano i modelli di attendibilità delle chiavi o certificati . I controller di dominio devono avere un certificato, che funge da radice di attendibilità per i client. Il certificato garantisce che i client non comunichino con controller di dominio non autorizzati.

Distribuire un'autorità di certificazione aziendale

In questa guida si presuppone che la maggior parte delle aziende abbiano un'infrastruttura a chiave pubblica. Windows Hello for Business dipende da un'infrastruttura a chiave pubblica aziendale che esegue il ruolo Servizi certificati Active Directory di Windows Server.
Se non si ha un'infrastruttura PKI esistente, vedere Indicazioni dell'autorità di certificazione per progettare correttamente l'infrastruttura. Consultare quindi test lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Guida al lab di test: distribuzione di una gerarchia PKI di Servizi certificati Active Directory) per istruzioni su come configurare l'infrastruttura a chiave pubblica usando le informazioni della sessione di progettazione.Then, consult the Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy for instructions on how to configure your PKI using the information from your design session.

Infrastruttura a chiave pubblica basata su lab

Le istruzioni seguenti possono essere usate per distribuire una semplice infrastruttura a chiave pubblica adatta a un ambiente lab.

Accedere usando le credenziali equivalenti dell'amministratore aziendale in un windows server in cui si vuole installare l'autorità di certificazione (CA).

Nota

Non installare mai un'autorità di certificazione in un controller di dominio in un ambiente di produzione.

  1. Aprire un prompt di Windows PowerShell con privilegi elevati
  2. Usa il comando seguente per installare il ruolo Servizi certificati Active Directory.
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  3. Usare il comando seguente per configurare la CA usando una configurazione di base dell'autorità di certificazione
    Install-AdcsCertificationAuthority
    

Configurare l'infrastruttura a chiave pubblica aziendale

Configurare i certificati del controller di dominio

I client devono considerare attendibili i controller di dominio e il modo migliore per abilitare l'attendibilità consiste nel garantire che ogni controller di dominio disponga di un certificato di autenticazione Kerberos . L'installazione di un certificato nei controller di dominio consente al Centro distribuzione chiavi (KDC) di dimostrare la propria identità ad altri membri del dominio. I certificati forniscono ai client una radice di attendibilità esterna al dominio, ovvero l'autorità di certificazione aziendale.

I controller di dominio richiedono automaticamente un certificato del controller di dominio (se pubblicato) quando rilevano che una CA aziendale viene aggiunta ad Active Directory. I certificati basati sui modelli di certificato Domain Controller e Domain Controller Authentication non includono l'identificatore OID ( KDC Authentication Object Identifier), che è stato aggiunto in seguito alla RFC Kerberos. Pertanto, i controller di dominio devono richiedere un certificato basato sul modello di certificato di autenticazione Kerberos .

Per impostazione predefinita, la CA di Active Directory fornisce e pubblica il modello di certificato di autenticazione Kerberos . La configurazione della crittografia inclusa nel modello si basa su API di crittografia meno recenti e meno efficienti. Per assicurarsi che i controller di dominio richiedano il certificato appropriato con la migliore crittografia disponibile, usare il modello di certificato autenticazione Kerberos come baseline per creare un modello di certificato del controller di dominio aggiornato.

Importante

I certificati rilasciati ai controller di dominio devono soddisfare i requisiti seguenti:

  • L'estensione del punto di distribuzione Certificate Revocation List (CRL) deve puntare a un CRL valido o a un'estensione Authority Information Access (AIA) che punta a un risponditore OCSP (Online Certificate Status Protocol)
  • Facoltativamente, la sezione Oggetto certificato può contenere il percorso della directory dell'oggetto server (nome distinto)
  • La sezione Relativa all'utilizzo delle chiavi del certificato deve contenere firma digitale e crittografia della chiave
  • Facoltativamente, la sezione Vincoli di base del certificato deve contenere: [Subject Type=End Entity, Path Length Constraint=None]
  • La sezione relativa all'utilizzo della chiave estesa del certificato deve contenere l'autenticazione client (1.3.6.1.5.5.7.3.2), l'autenticazione server (1.3.6.1.5.5.7.3.1) e l'autenticazione KDC (1.3.6.1.5.2.3.5)
  • La sezione Nome alternativo soggetto certificato deve contenere il nome DNS (Domain Name System)
  • Il modello di certificato deve avere un'estensione con il valore DomainController, codificato come BMPstring. Se si usa Windows Server Enterprise Certificate Authority, questa estensione è già inclusa nel modello di certificato del controller di dominio
  • Il certificato del controller di dominio deve essere installato nell'archivio certificati del computer locale

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .

  1. Aprire la console di gestione dell'Autorità di certificazione

  2. Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato

  3. Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello di autenticazione Kerberos nel riquadro dei dettagli e scegliere Duplica modello

  4. Usare la tabella seguente per configurare il modello:

    Nome scheda Configurazioni
    Compatibilità
    • Deselezionare la casella di controllo Mostra modifiche risultanti
    • Selezionare Windows Server 2016dall'elenco Autorità di certificazione
    • Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
    Generale
    • Specificare un nome visualizzato modello, ad esempio Autenticazione controller di dominio (Kerberos)
    • Impostare il periodo di validità sul valore desiderato
    • Prendere nota del nome del modello per un secondo momento, che dovrebbe essere lo stesso del nome visualizzato modello meno spazi
    Nome soggetto
    • Selezionare Compila da queste informazioni di Active Directory
    • Selezionare Nessuno nell'elenco Formato nome soggetto
    • Selezionare Nome DNS nell'elenco Includi queste informazioni nell'oggetto alternativo
    • Cancella tutti gli altri elementi
    Cryptography
    • Impostare la categoria provider su Provider di archiviazione chiavi
    • Impostare il nome dell'algoritmo su RSA
    • Impostare la dimensione minima della chiave su 2048
    • Impostare l'hash della richiesta su SHA256
  5. Selezionare OK per finalizzare le modifiche e creare il nuovo modello

  6. Chiudere la console

Sostituire i certificati del controller di dominio esistenti

I controller di dominio possono avere un certificato del controller di dominio esistente. Servizi certificati Active Directory fornisce un modello di certificato predefinito per i controller di dominio denominati certificato controller di dominio. Le versioni successive di Windows Server hanno fornito un nuovo modello di certificato denominato certificato di autenticazione del controller di dominio. Questi modelli di certificato sono stati forniti prima dell'aggiornamento della specifica Kerberos che indicava i centri di distribuzione chiavi (KDC) che eseguono l'autenticazione del certificato necessaria per includere l'estensione di autenticazione KDC .

Il modello di certificato autenticazione Kerberos è il modello di certificato più recente designato per i controller di dominio e deve essere quello distribuito in tutti i controller di dominio.
La funzionalità di registrazione automatica consente di sostituire i certificati del controller di dominio. Usare la configurazione seguente per sostituire i certificati del controller di dominio meno recenti con quelli nuovi, usando il modello di certificato di autenticazione Kerberos .

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione .

  1. Aprire la console di gestione dell'Autorità di certificazione
  2. Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato
  3. Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello Autenticazione controller di dominio (Kerberos) (o sul nome del modello di certificato creato nella sezione precedente) nel riquadro dei dettagli e selezionare Proprietà
  4. Selezionare la scheda Modelli sostituiti . Selezionare Aggiungi
  5. Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato controller di dominio e selezionare OK > Aggiungi
  6. Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato autenticazione controller di dominio e selezionare OK
  7. Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato autenticazione Kerberos e selezionare OK
  8. Aggiungere tutti gli altri modelli di certificato enterprise configurati in precedenza per i controller di dominio alla scheda Modelli sostituiti
  9. Selezionare OK e chiudere la console Modelli di certificato

Il modello di certificato è configurato per sostituire tutti i modelli di certificato forniti nell'elenco dei modelli sostituiti .
Tuttavia, il modello di certificato e la sostituzione dei modelli di certificato non sono attivi fino a quando il modello non viene pubblicato in una o più autorità di certificazione.

Nota

Il certificato del controller di dominio deve essere concatenato a una radice nell'archivio NTAuth. Per impostazione predefinita, il certificato radice dell'autorità di certificazione Active Directory viene aggiunto all'archivio NTAuth. Se si usa una CA non Microsoft, questa operazione potrebbe non essere eseguita per impostazione predefinita. Se il certificato del controller di dominio non viene concatenato a una radice nell'archivio NTAuth, l'autenticazione utente avrà esito negativo. Per visualizzare tutti i certificati nell'archivio NTAuth, usare il comando seguente:

Certutil -viewstore -enterprise NTAuth

Configurare un modello di certificato del server Web interno

I client Windows comunicano con AD FS tramite HTTPS. Per soddisfare questa esigenza, è necessario rilasciare un certificato di autenticazione del server a tutti i nodi della farm AD FS. Le distribuzioni locali possono usare un certificato di autenticazione server emesso dall'infrastruttura a chiave pubblica aziendale. È necessario configurare un modello di certificato di autenticazione server , in modo che i nodi AD FS possano richiedere un certificato.

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .

  1. Aprire la console di gestione dell'Autorità di certificazione

  2. Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato

  3. Nella console modello di certificato fare clic con il pulsante destro del mouse sul modello di server Web nel riquadro dei dettagli e scegliere Duplica modello

  4. Usare la tabella seguente per configurare il modello:

    Nome scheda Configurazioni
    Compatibilità
    • Deselezionare la casella di controllo Mostra modifiche risultanti
    • Selezionare Windows Server 2016dall'elenco Autorità di certificazione
    • Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
    Generale
    • Specificare un nome visualizzato modello, ad esempio Server Web interno
    • Impostare il periodo di validità sul valore desiderato
    • Prendere nota del nome del modello per un secondo momento, che dovrebbe essere lo stesso del nome visualizzato modello meno spazi
    Gestione delle richieste Selezionare Consenti l'esportazione della chiave privata
    Nome soggetto Selezionare Fornitura nella richiesta
    Sicurezza Aggiungere computer di dominio con l'accesso alla registrazione
    Cryptography
    • Impostare la categoria provider su Provider di archiviazione chiavi
    • Impostare il nome dell'algoritmo su RSA
    • Impostare la dimensione minima della chiave su 2048
    • Impostare l'hash della richiesta su SHA256
  5. Selezionare OK per finalizzare le modifiche e creare il nuovo modello

  6. Chiudere la console

Annullare la pubblicazione di modelli di certificato sostituiti

L'autorità di certificazione rilascia solo certificati in base ai modelli di certificato pubblicati. Per motivi di sicurezza, è consigliabile annullare la pubblicazione dei modelli di certificato che la CA non è configurata per il rilascio, inclusi i modelli pre-pubblicati dall'installazione del ruolo e i modelli sostituiti.

Il modello di certificato di autenticazione del controller di dominio appena creato sostituisce i modelli di certificato del controller di dominio precedenti. Pertanto, devi annullare la pubblicazione di questi modelli di certificato per tutte le autorità di certificazione emittenti.

Accedere alla CA o alla workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione .

  1. Aprire la console di gestione dell'Autorità di certificazione
  2. Espandere il nodo padre dal riquadro > di spostamento Modelli di certificato
  3. Fare clic con il pulsante destro del mouse sul modello di certificato controller di dominio e scegliere Elimina. Selezionare nella finestra Disabilita modelli di certificato
  4. Ripetere il passaggio 3 per i modelli di certificato Autenticazione controller di dominio e Autenticazione Kerberos

Pubblicare modelli di certificato nella CA

Un'autorità di certificazione può rilasciare certificati solo per i modelli di certificato pubblicati. Se si dispone di più CA e si desidera che più AUTORITÀ di certificazione eserciino certificati in base al modello di certificato, è necessario pubblicare il modello di certificato in tali autorità.

Accedere alla CA o alle workstation di gestione con credenziali equivalenti a Enterprise Admin .

  1. Aprire la console di gestione dell'Autorità di certificazione
  2. Espandere il nodo padre dal riquadro di spostamento
  3. Selezionare Modelli di certificato nel riquadro di spostamento
  4. Fai clic con il pulsante destro del mouse sul nodo Modelli di certificato. Selezionare Nuovo > modello di certificato da rilasciare
  5. Nella finestra Abilita modelli di certificati selezionare i modelli autenticazione controller di dominio (Kerberos) e Server Web interno creati nei passaggi precedenti. Selezionare OK per pubblicare i modelli di certificato selezionati nell'autorità di certificazione
  6. Se è stato pubblicato il modello di certificato Autenticazione controller di dominio (Kerberos), annullare la pubblicazione dei modelli di certificato inclusi nell'elenco dei modelli sostituiti
    • Per annullare la pubblicazione di un modello di certificato, fare clic con il pulsante destro del mouse sul modello di certificato da annullare e scegliere Elimina. Selezionare per confermare l'operazione
  7. Chiudere la console

Configurare e distribuire certificati nei controller di dominio

Configurare la registrazione automatica dei certificati per i controller di dominio

I controller di dominio richiedono automaticamente un certificato dal modello di certificato controller di dominio . Tuttavia, i controller di dominio non sono a conoscenza dei modelli di certificato più recenti o delle configurazioni sostituite nei modelli di certificato. Per consentire ai controller di dominio di registrare e rinnovare automaticamente i certificati, configurare un oggetto Criteri di gruppo per la registrazione automatica dei certificati e collegarlo all'unità organizzativa Controller di dominio .

  1. Aprire la Console Gestione Criteri di gruppo (gpmc.msc)
  2. Espandere il dominio e selezionare il nodo Oggetto Criteri di gruppo nel riquadro di spostamento
  3. Fai clic con il pulsante destro del mouse su Oggetto Criteri di gruppo e seleziona Nuovo.
  4. Digitare Registrazione automatica certificato controller di dominio nella casella nome e selezionare OK
  5. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Registrazione automatica certificati controller di dominio e scegliere Modifica
  6. Nel riquadro di spostamento espandere Criteri in Configurazione computer
  7. Espandere Impostazioni di Windows Impostazioni >> di sicurezza Criteri chiave pubblica
  8. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Client servizi certificati - Registrazione automatica e scegliere Proprietà
  9. Selezionare Abilitato dall'elenco Modello di configurazione
  10. Selezionare la casella di controllo Rinnovare i certificati scaduti, aggiornare i certificati in sospeso e rimuovere i certificati revocati
  11. Selezionare la casella di controllo Aggiorna certificati che usano modelli di certificato
  12. Selezionare OK
  13. Chiudere l'Editor gestione Criteri di gruppo

Distribuire l'oggetto Criteri di gruppo di registrazione automatica del certificato del controller di dominio

Accedere alle workstation di gestione o controller di dominio con credenziali equivalenti all'amministratore di dominio .

  1. Avvia la Console Gestione Criteri di gruppo (gpmc.msc)
  2. Nel riquadro di spostamento espandere il dominio ed espandere il nodo con il nome di dominio di Active Directory. Fare clic con il pulsante destro del mouse sull'unità organizzativa Controller di dominio e scegliere Collega un oggetto Criteri di gruppo esistente...
  3. Nella finestra di dialogo Seleziona oggetto Criteri di gruppo selezionare Registrazione automatica certificato controller di dominio o il nome dell'oggetto Criteri di gruppo per la registrazione del certificato del controller di dominio creato in precedenza
  4. Selezionare OK

Convalidare la configurazione

Windows Hello for Business è un sistema distribuito che all'apparenza sembra complesso e difficile. La chiave per una distribuzione riuscita consiste nel convalidare le fasi di lavoro prima di passare alla fase successiva.

Verificare che i controller di dominio registrino i certificati corretti e non tutti i modelli di certificato sostituiti. Verificare che ogni controller di dominio ha completato la registrazione automatica del certificato.

Usare i log eventi

Accedere alle workstation di gestione o controller di dominio con credenziali equivalenti all'amministratore di dominio .

  1. Usando il Visualizzatore eventi, passare al registro eventiMicrosoft>Windows>CertificateServices-Lifecycles-System per applicazioni e servizi>
  2. Cercare un evento che indica una nuova registrazione del certificato (registrazione automatica):
    • I dettagli dell'evento includono il modello di certificato in cui è stato emesso il certificato
    • Il nome del modello di certificato usato per rilasciare il certificato deve corrispondere al nome del modello di certificato incluso nell'evento
    • Anche l'identificazione personale del certificato e le EKU per il certificato sono incluse nell'evento
    • L'EKU necessario per l'autenticazione corretta di Windows Hello for Business è l'autenticazione Kerberos, oltre ad altre EKU fornite dal modello di certificato

I certificati sostituiti dal nuovo certificato del controller di dominio generano un evento di archivio nel registro eventi. L'evento di archiviazione contiene il nome del modello do certificato e l'identificazione personale del certificato che è stato sostituito dal nuovo certificato.

Gestione certificati

Puoi utilizzare la console Gestione certificati per convalidare il controller di dominio ha registrato correttamente il certificato in base al modello di certificato corretto con gli EKU corretti. Usa certlm.msc per visualizzare il certificato negli archivi certificati computer locali. Espandi l'archivio Personale e visualizza i certificati registrati per il computer. I certificati archiviati non vengono visualizzati in Gestione certificati.

Certutil.exe

È possibile usare il certutil.exe comando per visualizzare i certificati registrati nel computer locale. Certutil mostra i certificati registrati e archiviati del computer locale. Da un prompt dei comandi con privilegi elevati eseguire il comando seguente:

certutil.exe -q -store my

Per visualizzare informazioni dettagliate su ogni certificato nell'archivio e per convalidare la registrazione automatica del certificato ha registrato i certificati appropriati, usare il comando seguente:

certutil.exe -q -v -store my

Risoluzione dei problemi

Windows attiva la registrazione automatica dei certificati per il computer durante l'avvio e gli aggiornamenti di Criteri di gruppo. Puoi aggiornare i Criteri di gruppo da un prompt dei comandi con privilegi elevati utilizzando gpupdate.exe /force.

In alternativa, puoi attivare in modo forzato la registrazione automatica dei certificati usando certreq.exe -autoenroll -q da un prompt dei comandi con privilegi elevati.

Usa i registri eventi per monitorare la registrazione e l'archiviazione dei certificati. Esaminare la configurazione, ad esempio la pubblicazione di modelli di certificato nell'autorità di certificazione emittente e le autorizzazioni di registrazione automatica consentite .

Revisione della sezione e passaggi successivi

Prima di passare alla sezione successiva, verificare che i passaggi seguenti siano completati:

  • Configurare i modelli di certificato del controller di dominio e del server Web
  • Sostituire i certificati del controller di dominio esistenti
  • Annullare la pubblicazione di modelli di certificato sostituiti
  • Pubblicare i modelli di certificato nella CA
  • Distribuire i certificati ai controller di dominio
  • Convalidare la configurazione dei controller di dominio