Guida alla distribuzione dell'attendibilità del certificato locale

Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:


Requisiti

Prima di iniziare la distribuzione, esaminare i requisiti descritti nell'articolo Pianificare una distribuzione Windows Hello for Business.

Prima di iniziare, verificare che siano soddisfatti i requisiti seguenti:

Fasi di distribuzione

Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:

Configurare e convalidare l'infrastruttura a chiave pubblica

Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:


Windows Hello for Business deve avere un'infrastruttura a chiave pubblica (PKI) quando si usano i modelli di attendibilità delle chiavi o certificati. I controller di dominio devono avere un certificato, che funge da radice di attendibilità per i client. Il certificato garantisce che i client non comunichino con controller di dominio non autorizzati. Il modello di protezione certificato estende il rilascio dei certificati ai computer client. Durante il provisioning di Windows Hello for Business, l'utente riceve un certificato di accesso.

Distribuire un'autorità di certificazione aziendale

In questa guida si presuppone che la maggior parte delle aziende abbiano un'infrastruttura a chiave pubblica. Windows Hello for Business dipende da un'infrastruttura a chiave pubblica aziendale che esegue il ruolo Servizi certificati Active Directory di Windows Server.
Se non si ha un'infrastruttura PKI esistente, vedere Indicazioni dell'autorità di certificazione per progettare correttamente l'infrastruttura. Consultare quindi test lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Guida al lab di test: distribuzione di una gerarchia PKI di Servizi certificati Active Directory) per istruzioni su come configurare l'infrastruttura a chiave pubblica usando le informazioni della sessione di progettazione.Then, consult the Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy for instructions on how to configure your PKI using the information from your design session.

Infrastruttura a chiave pubblica basata su lab

Le istruzioni seguenti possono essere usate per distribuire una semplice infrastruttura a chiave pubblica adatta a un ambiente lab.

Accedere usando le credenziali equivalenti dell'amministratore aziendale in un windows server in cui si vuole installare l'autorità di certificazione (CA).

Nota

Non installare mai un'autorità di certificazione in un controller di dominio in un ambiente di produzione.

  1. Aprire una richiesta di Windows PowerShell con privilegi elevati
  2. Usa il comando seguente per installare il ruolo Servizi certificati Active Directory.
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  3. Usare il comando seguente per configurare la CA usando una configurazione di base dell'autorità di certificazione
    Install-AdcsCertificationAuthority
    

Configurare l'infrastruttura a chiave pubblica aziendale

Configurare i certificati del controller di dominio

I client devono considerare attendibili i controller di dominio e il modo migliore per abilitare l'attendibilità consiste nel garantire che ogni controller di dominio disponga di un certificato di autenticazione Kerberos . L'installazione di un certificato nei controller di dominio consente al Centro distribuzione chiavi (KDC) di dimostrare la propria identità ad altri membri del dominio. I certificati forniscono ai client una radice di attendibilità esterna al dominio, ovvero l'autorità di certificazione aziendale.

I controller di dominio richiedono automaticamente un certificato del controller di dominio (se pubblicato) quando rilevano che una CA aziendale viene aggiunta ad Active Directory. I certificati basati sui modelli di certificato Domain Controller e Domain Controller Authentication non includono l'identificatore OID ( KDC Authentication Object Identifier), che è stato aggiunto in seguito alla RFC Kerberos. Pertanto, i controller di dominio devono richiedere un certificato basato sul modello di certificato di autenticazione Kerberos .

Per impostazione predefinita, la CA di Active Directory fornisce e pubblica il modello di certificato di autenticazione Kerberos . La configurazione della crittografia inclusa nel modello si basa su API di crittografia meno recenti e meno efficienti. Per assicurarsi che i controller di dominio richiedano il certificato appropriato con la migliore crittografia disponibile, usare il modello di certificato autenticazione Kerberos come baseline per creare un modello di certificato del controller di dominio aggiornato.

Importante

I certificati rilasciati ai controller di dominio devono soddisfare i requisiti seguenti:

  • L'estensione del punto di distribuzione Certificate Revocation List (CRL) deve puntare a un CRL valido o a un'estensione Authority Information Access (AIA) che punta a un risponditore OCSP (Online Certificate Status Protocol)
  • Facoltativamente, la sezione Oggetto certificato può contenere il percorso della directory dell'oggetto server (nome distinto)
  • La sezione Relativa all'utilizzo delle chiavi del certificato deve contenere firma digitale e crittografia della chiave
  • Facoltativamente, la sezione Vincoli di base del certificato deve contenere: [Subject Type=End Entity, Path Length Constraint=None]
  • La sezione relativa all'utilizzo della chiave estesa del certificato deve contenere l'autenticazione client (1.3.6.1.5.5.7.3.2), l'autenticazione server (1.3.6.1.5.5.7.3.1) e l'autenticazione KDC (1.3.6.1.5.2.3.5)
  • La sezione Nome alternativo soggetto certificato deve contenere il nome DNS (Domain Name System)
  • Il modello di certificato deve avere un'estensione con il valore DomainController, codificato come BMPstring. Se si usa Windows Server Enterprise Certificate Authority, questa estensione è già inclusa nel modello di certificato del controller di dominio
  • Il certificato del controller di dominio deve essere installato nell'archivio certificati del computer locale

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .

  1. Aprire la console di gestione dell'Autorità di certificazione

  2. Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato

  3. Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello di autenticazione Kerberos nel riquadro dei dettagli e scegliere Duplica modello

  4. Usare la tabella seguente per configurare il modello:

    Nome scheda Configurazioni
    Compatibilità
    • Deselezionare la casella di controllo Mostra modifiche risultanti
    • Selezionare Windows Server 2016dall'elenco Autorità di certificazione
    • Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
    Generale
    • Specificare un nome visualizzato modello, ad esempio Autenticazione controller di dominio (Kerberos)
    • Impostare il periodo di validità sul valore desiderato
    • Prendere nota del nome del modello per un secondo momento, che dovrebbe essere lo stesso del nome visualizzato modello meno spazi
    Nome soggetto
    • Selezionare Compila da queste informazioni di Active Directory
    • Selezionare Nessuno nell'elenco Formato nome soggetto
    • Selezionare Nome DNS nell'elenco Includi queste informazioni nell'oggetto alternativo
    • Cancella tutti gli altri elementi
    Cryptography
    • Impostare la categoria provider su Provider di archiviazione chiavi
    • Impostare il nome dell'algoritmo su RSA
    • Impostare la dimensione minima della chiave su 2048
    • Impostare l'hash della richiesta su SHA256
  5. Selezionare OK per finalizzare le modifiche e creare il nuovo modello

  6. Chiudere la console

Sostituire i certificati del controller di dominio esistenti

I controller di dominio possono avere un certificato del controller di dominio esistente. Servizi certificati Active Directory fornisce un modello di certificato predefinito per i controller di dominio denominati certificato controller di dominio. Le versioni successive di Windows Server hanno fornito un nuovo modello di certificato denominato certificato di autenticazione del controller di dominio. Questi modelli di certificato sono stati forniti prima dell'aggiornamento della specifica Kerberos che indicava i centri di distribuzione chiavi (KDC) che eseguono l'autenticazione del certificato necessaria per includere l'estensione di autenticazione KDC .

Il modello di certificato autenticazione Kerberos è il modello di certificato più recente designato per i controller di dominio e deve essere quello distribuito in tutti i controller di dominio.
La funzionalità di registrazione automatica consente di sostituire i certificati del controller di dominio. Usare la configurazione seguente per sostituire i certificati del controller di dominio meno recenti con quelli nuovi, usando il modello di certificato di autenticazione Kerberos .

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione .

  1. Aprire la console di gestione dell'Autorità di certificazione
  2. Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato
  3. Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello Autenticazione controller di dominio (Kerberos) (o sul nome del modello di certificato creato nella sezione precedente) nel riquadro dei dettagli e selezionare Proprietà
  4. Selezionare la scheda Modelli sostituiti . Selezionare Aggiungi
  5. Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato controller di dominio e selezionare OK > Aggiungi
  6. Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato autenticazione controller di dominio e selezionare OK
  7. Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato autenticazione Kerberos e selezionare OK
  8. Aggiungere tutti gli altri modelli di certificato enterprise configurati in precedenza per i controller di dominio alla scheda Modelli sostituiti
  9. Selezionare OK e chiudere la console Modelli di certificato

Il modello di certificato è configurato per sostituire tutti i modelli di certificato forniti nell'elenco dei modelli sostituiti .
Tuttavia, il modello di certificato e la sostituzione dei modelli di certificato non sono attivi fino a quando il modello non viene pubblicato in una o più autorità di certificazione.

Nota

Il certificato del controller di dominio deve essere concatenato a una radice nell'archivio NTAuth. Per impostazione predefinita, il certificato radice dell'autorità di certificazione Active Directory viene aggiunto all'archivio NTAuth. Se si usa una CA non Microsoft, questa operazione potrebbe non essere eseguita per impostazione predefinita. Se il certificato del controller di dominio non viene concatenato a una radice nell'archivio NTAuth, l'autenticazione utente avrà esito negativo. Per visualizzare tutti i certificati nell'archivio NTAuth, usare il comando seguente:

Certutil -viewstore -enterprise NTAuth

Configurare un modello di certificato del server Web interno

I client Windows comunicano con AD FS tramite HTTPS. Per soddisfare questa esigenza, è necessario rilasciare un certificato di autenticazione del server a tutti i nodi della farm AD FS. Le distribuzioni locali possono usare un certificato di autenticazione server emesso dall'infrastruttura a chiave pubblica aziendale. È necessario configurare un modello di certificato di autenticazione server , in modo che i nodi AD FS possano richiedere un certificato.

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .

  1. Aprire la console di gestione dell'Autorità di certificazione

  2. Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato

  3. Nella console modello di certificato fare clic con il pulsante destro del mouse sul modello di server Web nel riquadro dei dettagli e scegliere Duplica modello

  4. Usare la tabella seguente per configurare il modello:

    Nome scheda Configurazioni
    Compatibilità
    • Deselezionare la casella di controllo Mostra modifiche risultanti
    • Selezionare Windows Server 2016dall'elenco Autorità di certificazione
    • Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
    Generale
    • Specificare un nome visualizzato modello, ad esempio Server Web interno
    • Impostare il periodo di validità sul valore desiderato
    • Prendere nota del nome del modello per un secondo momento, che dovrebbe essere lo stesso del nome visualizzato modello meno spazi
    Gestione delle richieste Selezionare Consenti l'esportazione della chiave privata
    Nome soggetto Selezionare Fornitura nella richiesta
    Sicurezza Aggiungere computer di dominio con l'accesso alla registrazione
    Cryptography
    • Impostare la categoria provider su Provider di archiviazione chiavi
    • Impostare il nome dell'algoritmo su RSA
    • Impostare la dimensione minima della chiave su 2048
    • Impostare l'hash della richiesta su SHA256
  5. Selezionare OK per finalizzare le modifiche e creare il nuovo modello

  6. Chiudere la console

Configurare un modello di certificato dell'agente di registrazione

Un'autorità di registrazione certificati è un'autorità attendibile che convalida la richiesta di certificato. Dopo aver convalidato la richiesta, la richiesta viene presentata all'autorità di certificazione (CA) per il rilascio. La CA rilascia il certificato, lo restituisce al cra, che restituisce il certificato all'utente richiedente. Windows Hello for Business le distribuzioni di attendibilità dei certificati usano AD FS come cra.

Il cra si registra per un certificato dell'agente di registrazione. Dopo aver verificato la richiesta di certificato, l'autorità di certificazione firma la richiesta di certificato usando il certificato dell'agente di registrazione e la invia alla CA. Il modello di certificato di autenticazione di Windows Hello for Business è configurato per rilasciare certificati solo per le richieste di certificato firmate con un certificato dell'agente di registrazione. La CA rilascia un certificato per tale modello solo se l'autorità di registrazione firma la richiesta di certificato.

Importante

Seguire le procedure seguenti in base all'account del servizio AD FS usato nell'ambiente.

Creare un certificato dell'agente di registrazione per gli account del servizio gestito del gruppo (GMSA)

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .

  1. Aprire la console di gestione dell'Autorità di certificazione

  2. Fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci

  3. Nella Console modello di certificato fare clic con il pulsante destro del mouse sul riquadro dei dettagli del modello agente di registrazione di Exchange (richiesta offline) e selezionare Modello duplicato

  4. Usare la tabella seguente per configurare il modello:

    Nome scheda Configurazioni
    Compatibilità
    • Deselezionare la casella di controllo Mostra modifiche risultanti
    • Selezionare Windows Server 2016dall'elenco Autorità di certificazione
    • Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
    Generale
    • Specificare un nome visualizzato modello, ad esempio Agente di registrazione WHFB
    • Impostare il periodo di validità sul valore desiderato
    Nome soggetto Selezionare Fornitura nella richiesta

    Nota: Gli account del servizio gestito del gruppo (GMSA) non supportano l'opzione Compila da questa opzione di informazioni di Active Directory e il server AD FS non riesce a registrare il certificato dell'agente di registrazione. È necessario configurare il modello di certificato con Supply nella richiesta per assicurarsi che i server AD FS possano eseguire la registrazione automatica e il rinnovo del certificato dell'agente di registrazione.
    Cryptography
    • Impostare la categoria provider su Provider di archiviazione chiavi
    • Impostare il nome dell'algoritmo su RSA
    • Impostare la dimensione minima della chiave su 2048
    • Impostare l'hash della richiesta su SHA256
    Sicurezza
    • Selezionare Aggiungi
    • Selezionare Tipi di oggetto e selezionare la casella di controllo Account servizio
    • Selezionare OK
    • Digitare adfssvc nella casella di testo Immettere i nomi degli oggetti da selezionare e selezionare OK
    • Selezionare adfssvc dall'elenco Nomi gruppo o utenti . Nella sezione Autorizzazioni per adfssvc :
      • Nella sezione Autorizzazioni per adfssvc selezionare la casella di controllo Consenti per l'autorizzazione Registrazione
      • Escludendo l'utente adfssvc, deselezionare la casella di controllo Consenti per le autorizzazioni registrazione e registrazione automatica per tutti gli altri elementi nell'elenco Nomi gruppo o utenti
    • Selezionare OK
  5. Selezionare OK per finalizzare le modifiche e creare il nuovo modello

  6. Chiudere la console

Creare un certificato dell'agente di registrazione per un account del servizio standard

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .

  1. Aprire la console di gestione dell'Autorità di certificazione

  2. Fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci

  3. Nella Console modello di certificato fare clic con il pulsante destro del mouse sul riquadro dei dettagli del modello agente di registrazione di Exchange (richiesta offline) e selezionare Modello duplicato

  4. Usare la tabella seguente per configurare il modello:

    Nome scheda Configurazioni
    Compatibilità
    • Deselezionare la casella di controllo Mostra modifiche risultanti
    • Selezionare Windows Server 2016 dall'elenco Autorità di certificazione
    • Selezionare Windows 10/Windows Server 2016 dall'elenco Destinatario certificato
    Generale
    • Specificare un nome visualizzato modello, ad esempio Agente di registrazione WHFB
    • Impostare il periodo di validità sul valore desiderato
    Nome soggetto
    • Selezionare Compila da queste informazioni di Active Directory
    • Selezionare Nome completamente distinto dall'elenco Formato nome soggetto
    • Selezionare la casella di controllo Nome entità utente (UPN)in Includi queste informazioni nel nome soggetto alternativo
    Cryptography
    • Impostare la categoria provider su Provider di archiviazione chiavi
    • Impostare il nome dell'algoritmo su RSA
    • Impostare la dimensione minima della chiave su 2048
    • Impostare l'hash della richiesta su SHA256
    Sicurezza
    • Selezionare Aggiungi
    • Selezionare Tipi di oggetto e selezionare la casella di controllo Account servizio
    • Selezionare OK
    • Digitare adfssvc nella casella di testo Immettere i nomi degli oggetti da selezionare e selezionare OK
    • Selezionare adfssvc dall'elenco Nomi gruppo o utenti . Nella sezione Autorizzazioni per adfssvc :
      • Nella sezione Autorizzazioni per adfssvc selezionare la casella di controllo Consenti per l'autorizzazione Registrazione
      • Escludendo l'utente adfssvc, deselezionare la casella di controllo Consenti per le autorizzazioni registrazione e registrazione automatica per tutti gli altri elementi nell'elenco Nomi gruppo o utenti
    • Selezionare OK
  5. Selezionare OK per finalizzare le modifiche e creare il nuovo modello

  6. Chiudere la console

Configurare un modello di certificato di autenticazione Windows Hello for Business

Durante Windows Hello for Business provisioning, i client Windows richiedono un certificato di autenticazione ad AD FS, che richiede il certificato di autenticazione per conto dell'utente. Questa attività configura il modello di certificato di autenticazione di Windows Hello for Business.

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .

  1. Aprire la console di gestione dell'Autorità di certificazione

  2. Fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci

  3. Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello di accesso smart card e scegliere Modello duplicato

  4. Usare la tabella seguente per configurare il modello:

    Nome scheda Configurazioni
    Compatibilità
    • Deselezionare la casella di controllo Mostra modifiche risultanti
    • Selezionare Windows Server 2016dall'elenco Autorità di certificazione
    • Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
    Generale
    • Specificare un nome visualizzato del modello, ad esempio Autenticazione WHFB
    • Impostare il periodo di validità sul valore desiderato
    • Prendere nota del nome del modello per un secondo momento, che dovrebbe essere lo stesso del nome visualizzato modello meno spazi
    Nome soggetto
    • Selezionare Compila da queste informazioni di Active Directory
    • Selezionare Nome completamente distinto dall'elenco Formato nome soggetto
    • Selezionare la casella di controllo Nome entità utente (UPN)in Includi queste informazioni nel nome soggetto alternativo
    Cryptography
    • Impostare la categoria provider su Provider di archiviazione chiavi
    • Impostare il nome dell'algoritmo su RSA
    • Impostare la dimensione minima della chiave su 2048
    • Impostare l'hash della richiesta su SHA256
    Estensioni Verificare che l'estensione Criteri applicazione includa l'accesso alle smart card
    Requisiti di rilascio
    • Selezionare la casella di controllo Numero di firme autorizzate . Digitare 1 nella casella di testo
    • Selezionare Criteri applicazione nel tipo di criteri richiesto nella firma
    • Selezionare Agente richiesta di certificato nell'elenco Criteri applicazione
    • Selezionare l'opzione Certificato esistente valido
    Gestione delle richieste Selezionare la casella di controllo Rinnova con la stessa chiave
    Sicurezza
    • Selezionare Aggiungi
    • Impostare come destinazione un gruppo di sicurezza di Active Directory che contiene gli utenti che si desidera registrare in Windows Hello for Business. Ad esempio, se si dispone di un gruppo denominato Window Hello for Business Users, digitarlo nella casella di testo Immettere i nomi degli oggetti da selezionare e selezionare OK
    • Selezionare il Windows Hello for Business Utenti dall'elenco Nomi gruppo o utenti. Nella sezione Autorizzazioni per Windows Hello for Business utenti:
      • Selezionare la casella di controllo Consenti per l'autorizzazione Registrazione
      • Escludendo il gruppo precedente (ad esempio, Window Hello for Business Users), deselezionare la casella di controllo Consenti per le autorizzazioni Registrazione e registrazione automatica per tutte le altre voci nella sezione Nomi gruppo o utenti se le caselle di controllo non sono già deselezionate
    • Selezionare OK
  5. Selezionare OK per finalizzare le modifiche e creare il nuovo modello

  6. Chiudere la console

Contrassegnare il modello come modello di accesso di Windows Hello

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione

Aprire un prompt dei comandi con privilegi elevati end eseguire il comando seguente

certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY

Se il modello è stato modificato correttamente, l'output del comando conterrà valori vecchi e nuovi dei parametri del modello. Il nuovo valore deve contenere il CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY parametro . Esempio:

CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication

Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)

New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."

Nota

Se il modello di certificato di autenticazione Windows Hello for Business è stato assegnato a un nome diverso, sostituire WHFBAuthentication nel comando precedente con il nome del modello di certificato. È importante che usi il nome del modello anziché il nome visualizzato del modello. Puoi visualizzare il nome del modello nella scheda Generale del modello di certificato utilizzando la console di gestione Modelli di certificato (certtmpl.msc). In alternativa, è possibile visualizzare il nome del modello usando il Get-CATemplate cmdlet ADCS Administration Windows PowerShell nell'autorità di certificazione.

Annullare la pubblicazione di modelli di certificato sostituiti

L'autorità di certificazione rilascia solo certificati in base ai modelli di certificato pubblicati. Per motivi di sicurezza, è consigliabile annullare la pubblicazione dei modelli di certificato che la CA non è configurata per il rilascio, inclusi i modelli pre-pubblicati dall'installazione del ruolo e i modelli sostituiti.

Il modello di certificato di autenticazione del controller di dominio appena creato sostituisce i modelli di certificato del controller di dominio precedenti. Pertanto, devi annullare la pubblicazione di questi modelli di certificato per tutte le autorità di certificazione emittenti.

Accedere alla CA o alla workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione .

  1. Aprire la console di gestione dell'Autorità di certificazione
  2. Espandere il nodo padre dal riquadro > di spostamento Modelli di certificato
  3. Fare clic con il pulsante destro del mouse sul modello di certificato controller di dominio e scegliere Elimina. Selezionare nella finestra Disabilita modelli di certificato
  4. Ripetere il passaggio 3 per i modelli di certificato Autenticazione controller di dominio e Autenticazione Kerberos

Pubblicare modelli di certificato nella CA

Un'autorità di certificazione può rilasciare certificati solo per i modelli di certificato pubblicati. Se si dispone di più CA e si desidera che più AUTORITÀ di certificazione eserciino certificati in base al modello di certificato, è necessario pubblicare il modello di certificato in tali autorità.

Accedere alla CA o alle workstation di gestione con enterprise Amministrazione credenziali equivalenti.

  1. Aprire la console di gestione dell'Autorità di certificazione
  2. Espandere il nodo padre dal riquadro di spostamento
  3. Selezionare Modelli di certificato nel riquadro di spostamento
  4. Fai clic con il pulsante destro del mouse sul nodo Modelli di certificato. Selezionare Nuovo > modello di certificato da rilasciare
  5. Nella finestra Abilita modelli di certificati selezionare i modelli Autenticazione controller di dominio (Kerberos),Server Web interno, Agente di registrazione WHFB e Autenticazione WHFB creati nei passaggi precedenti. Selezionare OK per pubblicare i modelli di certificato selezionati nell'autorità di certificazione
  6. Se è stato pubblicato il modello di certificato Autenticazione controller di dominio (Kerberos), annullare la pubblicazione dei modelli di certificato inclusi nell'elenco dei modelli sostituiti
    • Per annullare la pubblicazione di un modello di certificato, fare clic con il pulsante destro del mouse sul modello di certificato da annullare e scegliere Elimina. Selezionare per confermare l'operazione
  7. Chiudere la console

Configurare e distribuire certificati nei controller di dominio

Configurare la registrazione automatica dei certificati per i controller di dominio

I controller di dominio richiedono automaticamente un certificato dal modello di certificato controller di dominio . Tuttavia, i controller di dominio non sono a conoscenza dei modelli di certificato più recenti o delle configurazioni sostituite nei modelli di certificato. Per consentire ai controller di dominio di registrare e rinnovare automaticamente i certificati, configurare un oggetto Criteri di gruppo per la registrazione automatica dei certificati e collegarlo all'unità organizzativa Controller di dominio .

  1. Aprire Criteri di gruppo Management Console (gpmc.msc)
  2. Espandere il dominio e selezionare il nodo oggetto Criteri di gruppo nel riquadro di spostamento
  3. Fai clic con il pulsante destro del mouse su Oggetto Criteri di gruppo e seleziona Nuovo.
  4. Digitare Registrazione automatica certificato controller di dominio nella casella nome e selezionare OK
  5. Fare clic con il pulsante destro del mouse sull'oggetto Domain Controller Auto Certificate Enrollment Criteri di gruppo e scegliere Modifica
  6. Nel riquadro di spostamento espandere Criteri in Configurazione computer
  7. Espandere Impostazioni di Windows Impostazioni >> di sicurezza Criteri chiave pubblica
  8. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Client servizi certificati - Registrazione automatica e scegliere Proprietà
  9. Selezionare Abilitato dall'elenco Modello di configurazione
  10. Selezionare la casella di controllo Rinnovare i certificati scaduti, aggiornare i certificati in sospeso e rimuovere i certificati revocati
  11. Selezionare la casella di controllo Aggiorna certificati che usano modelli di certificato
  12. Selezionare OK
  13. Chiudere Criteri di gruppo Management Editor

Distribuire l'oggetto Criteri di gruppo di registrazione automatica del certificato del controller di dominio

Accedere alle workstation di gestione o controller di dominio con credenziali equivalenti all'amministratore di dominio .

  1. Avvia la Console Gestione Criteri di gruppo (gpmc.msc)
  2. Nel riquadro di spostamento espandere il dominio ed espandere il nodo con il nome di dominio di Active Directory. Fare clic con il pulsante destro del mouse sull'unità organizzativa Controller di dominio e scegliere Collega un oggetto Criteri di gruppo esistente...
  3. Nella finestra di dialogo Seleziona oggetto Criteri di gruppo selezionare Registrazione automatica certificati controller di dominio o il nome della registrazione del certificato del controller di dominio Criteri di gruppo oggetto creato in precedenza
  4. Selezionare OK

Convalidare la configurazione

Windows Hello for Business è un sistema distribuito che all'apparenza sembra complesso e difficile. La chiave per una distribuzione riuscita consiste nel convalidare le fasi di lavoro prima di passare alla fase successiva.

Verificare che i controller di dominio registrino i certificati corretti e non tutti i modelli di certificato sostituiti. Verificare che ogni controller di dominio ha completato la registrazione automatica del certificato.

Usare i log eventi

Accedere alle workstation di gestione o controller di dominio con credenziali equivalenti all'amministratore di dominio .

  1. Usando il Visualizzatore eventi, passare al registro eventi Application and Services>Microsoft>Windows>CertificateServices-Lifecycles-System
  2. Cercare un evento che indica una nuova registrazione del certificato (registrazione automatica):
    • I dettagli dell'evento includono il modello di certificato in cui è stato emesso il certificato
    • Il nome del modello di certificato usato per rilasciare il certificato deve corrispondere al nome del modello di certificato incluso nell'evento
    • Anche l'identificazione personale del certificato e le EKU per il certificato sono incluse nell'evento
    • L'EKU necessario per l'autenticazione Windows Hello for Business corretta è l'autenticazione Kerberos, oltre ad altre EKU fornite dal modello di certificato

I certificati sostituiti dal nuovo certificato del controller di dominio generano un evento di archivio nel registro eventi. L'evento di archiviazione contiene il nome del modello do certificato e l'identificazione personale del certificato che è stato sostituito dal nuovo certificato.

Gestione certificati

Puoi utilizzare la console Gestione certificati per convalidare il controller di dominio ha registrato correttamente il certificato in base al modello di certificato corretto con gli EKU corretti. Usa certlm.msc per visualizzare il certificato negli archivi certificati computer locali. Espandi l'archivio Personale e visualizza i certificati registrati per il computer. I certificati archiviati non vengono visualizzati in Gestione certificati.

Certutil.exe

È possibile usare il certutil.exe comando per visualizzare i certificati registrati nel computer locale. Certutil mostra i certificati registrati e archiviati del computer locale. Da un prompt dei comandi con privilegi elevati eseguire il comando seguente:

certutil.exe -q -store my

Per visualizzare informazioni dettagliate su ogni certificato nell'archivio e per convalidare la registrazione automatica del certificato ha registrato i certificati appropriati, usare il comando seguente:

certutil.exe -q -v -store my

Risoluzione dei problemi

Windows attiva la registrazione automatica dei certificati per il computer durante l'avvio e gli aggiornamenti di Criteri di gruppo. Puoi aggiornare i Criteri di gruppo da un prompt dei comandi con privilegi elevati utilizzando gpupdate.exe /force.

In alternativa, puoi attivare in modo forzato la registrazione automatica dei certificati usando certreq.exe -autoenroll -q da un prompt dei comandi con privilegi elevati.

Usa i registri eventi per monitorare la registrazione e l'archiviazione dei certificati. Esaminare la configurazione, ad esempio la pubblicazione di modelli di certificato nell'autorità di certificazione emittente e le autorizzazioni di registrazione automatica consentite .

Revisione della sezione e passaggi successivi

Prima di passare alla sezione successiva, verificare che i passaggi seguenti siano completati:

  • Configurare i modelli di certificato del controller di dominio e del server Web
  • Sostituire i certificati del controller di dominio esistenti
  • Annullare la pubblicazione di modelli di certificato sostituiti
  • Configurare un modello di certificato dell'agente di registrazione
  • Pubblicare i modelli di certificato nella CA
  • Distribuire i certificati ai controller di dominio
  • Convalidare la configurazione dei controller di dominio