Sintassi CAPolicy.inf

Articolo
02/21/2024

Si applica a: Windows Server 2016

CAPolicy.inf è un file di configurazione che definisce le estensioni, i vincoli e altre impostazioni di configurazione applicate a un certificato CA radice e a tutti i certificati rilasciati dalla CA radice. Il file CAPolicy.inf deve essere installato in un server host, prima che inizi la routine di installazione per la CA radice. Quando è necessario modificare le restrizioni di sicurezza per una CA radice, è necessario rinnovare il certificato radice e deve essere installato nel server un file CAPolicy.inf aggiornato, prima dell'avvio del processo di rinnovo.

CAPolicy.inf è:

Creato e definito manualmente da un amministratore
Utilizzato durante la creazione di certificati CA radice e CA subordinate
Definito nella CA di firma in cui si firma e rilascia il certificato (non nella CA in cui viene concessa la richiesta)

Dopo aver creato il file CAPolicy.inf, è necessario copiarlo nella cartella %systemroot% del server, prima di installare ADCS o rinnovare il certificato della CA.

CAPolicy.inf consente di specificare e configurare un'ampia gamma di attributi e opzioni della CA. La sezione seguente descrive tutte le opzioni per creare un file con estensione .inf, personalizzato in base alle esigenze specifiche.

Struttura del file CAPolicy.inf

I termini seguenti vengono usati per descrivere la struttura del file .inf:

Sezione: è un'area del file che copre un gruppo logico di chiavi. I nomi di sezione nei file con estensione .inf vengono indicati tra parentesi quadre. Per configurare le estensioni del certificato, vengono utilizzate molte sezioni, ma non tutte.
Chiave: è il nome di una voce e viene visualizzato a sinistra del segno di uguale.
Valore: è il parametro e viene visualizzato a destra del segno di uguale.

Nell'esempio seguente [Version] è la sezione, Signature è la chiave e "$Windows NT$" è il valore.

Esempio

[Version]
Signature="$Windows NT$"

Versione

Identifica il file come file .inf. Version è l'unica sezione obbligatoria e deve trovarsi all'inizio del file CAPolicy.inf.

PolicyStatementExtension

Elenca i criteri definiti dall'organizzazione e indica se sono facoltativi o obbligatori. Se sono presenti criteri multipli, saranno separati da virgole. I nomi hanno un significato nel contesto di una distribuzione specifica o in relazione alle applicazioni personalizzate che controllano la presenza di tali criteri.

Per ciascun criterio definito, deve essere presente una sezione che definisce le impostazioni per quel criterio specifico. Per ogni criterio, è necessario fornire un identificatore di oggetto definito dall'utente (OID) e il testo che si desidera visualizzare come istruzione dei criteri o un puntatore URL all'istruzione dei criteri. L'URL può essere visualizzato sotto forma di URL HTTP, FTP o LDAP.

Se sarà presente testo descrittivo nell'istruzione dei criteri, le tre righe successive di CAPolicy.inf saranno simili alle seguenti:

[InternalPolicy]
OID=1.1.1.1.1.1.1
Notice="Legal policy statement text"

Se si intende usare un URL per ospitare l'istruzione dei criteri della CA, le tre righe successive verranno invece visualizzate come segue:

[InternalPolicy]
OID=1.1.1.1.1.1.2
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp

Inoltre, è necessario tenere presente quanto illustrato di seguito:

Sono supportati URL multipli e più chiavi di avviso.
Sono supportate le chiavi di avviso e URL nella stessa sezione dei criteri.
Gli URL con spazi o testo con spazi devono essere racchiusi tra virgolette. Ciò vale per la chiave URL, indipendentemente dalla sezione in cui viene visualizzata.

Un esempio di avvisi e URL multipli in una sezione dei criteri risulterà simile al seguente:

[InternalPolicy]
OID=1.1.1.1.1.1.1
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
URL=ftp://ftp.wingtiptoys.com/pki/policies/legalpolicy.asp
Notice="Legal policy statement text"

CRLDistributionPoint

È possibile specificare punti di distribuzione CRL (CDP) per un certificato CA radice in CAPolicy.inf. Dopo aver installato la CA, è possibile configurare gli URL CDP inclusi nella CA in ogni certificato emesso. Il certificato CA radice mostra gli URL specificati in questa sezione del file CAPolicy.inf.

[CRLDistributionPoint]
URL=http://pki.wingtiptoys.com/cdp/WingtipToysRootCA.crl

Supporto dei punti di distribuzione CRL (CDP) support:

HTTP
URL di file
URL LDAP
URL multipli

Importante

I punti di distribuzione CRL (CDP) non supportano gli URL HTTPS.

Le virgolette devono racchiudere gli URL con spazi.
Se non viene specificato alcun URL, ovvero se la sezione [CRLDistributionPoint] esiste nel file ma è vuota, l'estensione del punto di distribuzione CRL viene omessa dal certificato CA radice. Questa opzione è preferibile quando si configura una CA radice. Windows non esegue il controllo delle revoche su un certificato CA radice, quindi l'estensione CDP è superflua in un certificato CA radice.
La CA può pubblicare su FILE UNC, ad esempio, in una condivisione che rappresenta la cartella di un sito Web dove il client esegue il recupero tramite HTTP.
Utilizzare questa sezione solo se si configura una CA radice o si rinnova il certificato CA radice. La CA determina le estensioni CDP CA subordinate.

AuthorityInformationAccess

È possibile specificare i punti di accesso alle informazioni dell'autorità nel file CAPolicy.inf per il certificato CA radice.

[AuthorityInformationAccess]
URL=http://pki.wingtiptoys.com/Public/myCA.crt

Altre note sulla sezione relativa all'accesso alle informazioni sull'autorità:

Sono supportati URL multipli.
Sono supportati URL HTTP, FTP, LDAP e FILE. Gli URL HTTPS non sono supportati.
Questa sezione viene usata solo se si configura una CA radice o si rinnova il certificato CA radice. Le estensioni AIA CA subordinate sono determinate dalla CA che ha emesso il certificato della CA subordinata.
Gli URL con spazi devono essere racchiusi tra virgolette.
Se non viene specificato alcun URL, ovvero se la sezione [AuthorityInformationAccess] esiste nel file ma è vuota, l'estensione autorità di accesso alle informazioni viene omessa dal certificato CA radice. Anche in questo caso, questa è l'impostazione preferita, quando non esiste un'autorità superiore a una CA radice a cui dovrebbe essere fatto riferimento da un collegamento al relativo certificato.

certsrv_Server

La sezione [certsrv_server] di CAPolicy.inf è facoltativa. [certsrv_server] serve per specificare la lunghezza della chiave di rinnovo, il periodo di validità del rinnovo e il periodo di validità dell'elenco di revoche di certificati (CRL) per una CA che viene rinnovata o installata. Nessuna delle chiavi in questa sezione è obbligatoria. Molte di queste impostazioni hanno valori predefiniti sufficienti per la maggior parte delle esigenze e possono essere omessi dal file CAPolicy.inf. In alternativa, è possibile modificare molte di queste impostazioni dopo l'installazione della CA.

Un esempio sarà simile al seguente:

[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=Days
CRLPeriodUnits=2
CRLDeltaPeriod=Hours
CRLDeltaPeriodUnits=4
ClockSkewMinutes=20
LoadDefaultTemplates=True
AlternateSignatureAlgorithm=0
ForceUTF8=0
EnableKeyCounting=0

RenewalKeyLength imposta solo le dimensioni della chiave per il rinnovo. Questa operazione viene usata solo quando viene generata una nuova coppia di chiavi durante il rinnovo del certificato della CA. Le dimensioni della chiave per il certificato CA iniziale vengono impostate quando viene installata la CA.

Quando si rinnova un certificato della CA con una nuova coppia di chiavi, la lunghezza della chiave può essere aumentata o ridotta. Ad esempio, se è stata impostata una dimensione della chiave CA radice di 4096 byte o superiore e si scopre di avere app Java o dispositivi di rete che possono supportare solo le dimensioni della chiave di 2048 byte. Se si aumentano o diminuiscono le dimensioni, è necessario riemettere nuovamente tutti i certificati rilasciati dalla CA.

RenewalValidityPeriod e RenewalValidityPeriodUnits stabiliscono la durata del nuovo certificato CA radice quando viene effettuato il rinnovo del certificato CA radice precedente. Si applica solo a una CA radice. La durata del certificato di una CA subordinata è determinata dal livello superiore. RenewalValidityPeriod può avere i valori seguenti: Ore, Giorni, Settimane, Mesi e Anni.

CRLPeriod e CRLPeriodUnits stabiliscono il periodo di validità per il CRL di base. CRLPeriod può avere i valori seguenti: Ore, Giorni, Settimane, Mesi e Anni.

CRLDeltaPeriod e CRLDeltaPeriodUnits stabiliscono il periodo di validità del CRL delta. CRLDeltaPeriod può avere i valori seguenti: Ore, Giorni, Settimane, Mesi e Anni.

Ciascuna di queste impostazioni può essere configurata dopo l'installazione della CA:

Certutil -setreg CACRLPeriod Weeks
Certutil -setreg CACRLPeriodUnits 1
Certutil -setreg CACRLDeltaPeriod Days
Certutil -setreg CACRLDeltaPeriodUnits 1

Per rendere effettive le modifiche, ricordarsi di riavviare Servizi certificati Active Directory.

LoadDefaultTemplates si applica solo durante l'installazione di un'autorità di certificazione globale (enterprise). Questa impostazione, che sia True o False (o 1 o 0), determina se la CA è configurata con uno dei modelli predefiniti.

In un'installazione predefinita della CA, un subset dei modelli di certificato predefiniti viene aggiunto alla cartella Modelli di certificato nello snap-in Autorità di certificazione. Ciò significa che non appena il servizio Servizi certificati Active Directory viene avviato dopo che il ruolo è stato installato, un utente o un computer con autorizzazioni sufficienti può registrarsi immediatamente per un certificato.

Potrebbe non essere necessario rilasciare certificati immediatamente dopo l'installazione di una CA, pertanto è possibile usare l'impostazione LoadDefaultTemplates per impedire l'aggiunta dei modelli predefiniti all'autorità di certificazione globale (enterprise). Se nella CA non sono configurati modelli, non è possibile rilasciare certificati.

AlternateSignatureAlgorithm configura la CA per supportare il formato di firma PKCS#1 V2.1 sia per il certificato della CA che per le richieste di certificato. Se impostato su 1 in una CA radice, il certificato della CA includerà il formato di firma PKCS#1 V2.1. Se impostato su una CA subordinata, la CA subordinata creerà una richiesta di certificato che include il formato di firma PKCS#1 V2.1.

ForceUTF8 modifica la codifica predefinita dei nomi distinti relativi (RDN) in nomi distinti Oggetto e Autorità di certificazione in UTF-8. Sono interessati solo i nomi RDN che supportano UTF-8, ad esempio quelli definiti come tipi stringa di directory da un RFC. Ad esempio, RDN per il componente di dominio supporta la codifica IA5 o UTF-8, mentre Country RDN (C) supporta solo la codifica come stringa stampabile. La direttiva ForceUTF8 influirà quindi su un controller di dominio RDN, ma non influirà su un RDN C.

EnableKeyCounting configura la CA per incrementare un contatore ogni volta che viene usata la chiave di firma della CA. Non abilitare questa impostazione, a meno che non si disponga di un modulo di protezione hardware (HSM) e del provider di servizi di crittografia (CSP) associato che supporta il conteggio delle chiavi. Il conteggio delle chiavi non è supportato da Microsoft Strong CSP o dal supporto KSP (Software Key Storage Provider) Microsoft.

Creare il file CAPolicy.inf

Prima di installare Servizi certificati Active Directory, si configura il file CAPolicy. inf con impostazioni specifiche per la distribuzione.

Prerequisito: è necessario essere membri del gruppo Administrators.

Nel computer in cui si prevede di installare Servizi certificati Active Directory, aprire Windows PowerShell, digitare notepad.exe e premere INVIO.

Immettere il testo seguente:

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
[CRLDistributionPoint]
[AuthorityInformationAccess]

Selezionare Filee quindi scegliere Salva con nome.
Passare alla cartella %systemroot%.
Verificare che siano impostate le opzioni seguenti:
- Nome file è impostato su CAPolicy.inf
- Salva come impostato su Tutti i file
- Codifica impostata su ANSI
Selezionare Salva.
Quando viene richiesto di sovrascrivere il file, fare clic su Sì.

Attenzione

Assicurarsi di salvare il file CAPolicy.inf con l'estensione inf. Se non digita specificamente .inf alla fine del nome del file e si selezionano le opzioni nel modo indicato, il file verrà salvato come file di testo e non verrà usato durante l'installazione della CA.
Chiudere Blocco note.