Passaggio 3 Pianificare la distribuzione del certificato OTP

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Dopo aver programmato il server RADIUS, è necessario pianificare i requisiti dell'autorità di certificazione (CA), tra cui la CA che emetterà certificati OTP (One-Time Password), il modello di certificato OTP e il certificato dell'autorità di registrazione usato dal server di accesso remoto per firmare tutte le richieste di certificato OTP del client DirectAccess. Questi certificati vengono usati come segue:

  1. Il client DirectAccess richiede un certificato OTP e il server di accesso remoto riceve la richiesta.

  2. Il server di accesso remoto verifica le credenziali OTP e, se sono valide, funge da autorità di registrazione e firma la richiesta di registrazione del certificato OTP usando un certificato di firma di breve durata.

  3. Il server di Accesso remoto invia la richiesta di registrazione del certificato firmato al client DirectAccess

  4. Il client registra quindi il certificato OTP dalla CA usando le richieste di registrazione del certificato firmate dal server.

  5. L'autorità di certificazione verifica le credenziali e la richiesta.

Attività Descrizione
3.1 Pianificare la CA OTP Pianificare l'autorità di certificazione (CA) da usare per rilasciare certificati ai client DirectAccess per l'autenticazione OTP.
3.2 Pianificare il modello di certificato OTP Pianificare il modello di certificato OTP.
3.3 Pianificare il certificato dell'autorità di registrazione Pianificare il certificato dell'autorità di registrazione per firmare tutte le richieste di certificato di autenticazione OTP.

3.1 Pianificare la CA OTP

Per distribuire DirectAccess usando l'autenticazione con password una sola volta (OTP), è necessaria una CA interna per rilasciare i certificati di autenticazione OTP ai computer client DirectAccess. A questo scopo, è possibile usare la stessa CA interna usata per rilasciare i certificati utilizzati per la normale autenticazione del computer IPsec.

3.2 Pianificare il modello di certificato OTP

Ogni client DirectAccess richiede un certificato di autenticazione OTP per ottenere l'accesso alla rete interna. È necessario configurare un modello nella CA interna per il certificato OTP. Quando si configura il modello di certificato OTP, tenere presente quanto segue:

  • Tutti gli utenti che devono eseguire l'autenticazione OTP devono disporre delle autorizzazioni di lettura e registrazione per questo modello.

  • Il nome del soggetto deve essere compilato in base alle informazioni di Active Directory, per garantire che il nome del soggetto corrisponda al nome utente OTP e non al nome del server di Accesso remoto che esegue la richiesta di certificato. Il nome soggetto deve essere nel formato del nome distinto completo e il nome alternativo del soggetto deve essere in formato UPN. Ciò garantisce che il certificato OTP registrato sia valido per l'autenticazione Kerberos con smart card.

  • Lo scopo previsto del certificato deve essere l'accesso con smart card

  • Il rilascio deve richiedere una firma autorizzata. La firma deve essere configurata con i criteri predefiniti dell'applicazione OTP DirectAccess impostati nel modello di certificato di firma dell'autorità di registrazione.

  • Il periodo di validità deve essere impostato su un'ora.

    Nota

    Nelle situazioni in cui il server CA è un computer Windows Server 2003, il modello deve essere configurato in un computer diverso. Ciò è dovuto al fatto che l'impostazione del periodo di validità in ore non è possibile quando si eseguono Windows precedenti alla versione 2008/Vista. Se nel computer utilizzato per configurare il modello non è installato il ruolo Servizio di certificazione o se si tratta di un computer client, potrebbe essere necessario installare lo snap-in Modelli di certificato. Per altre informazioni su questo argomento, fare clic qui.

  • Il periodo di rinnovo deve essere impostato su 0.

  • (Facoltativo) I certificati e le richieste non devono essere archiviati nel database della CA.

  • Il parametro Utilizzo chiavi avanzato del certificato deve essere impostato correttamente, come indicato di seguito:

    • Per il modello di certificato di firma della registrazione DirectAccess usare la chiave 1.3.6.1.4.1.311.81.1.1.

    • Per il modello di certificato di autenticazione OTP usare la chiave 1.3.6.1.4.1.311.20.2.2.

3.3 Pianificare il certificato dell'autorità di registrazione

Quando i client DirectAccess richiedono un certificato OTP, il server di accesso remoto riceve la richiesta dal client. Il server di accesso remoto firma tutte le richieste di certificato OTP dai client utilizzando il certificato dell'autorità di registrazione. La CA emessi certificati solo se la richiesta è firmata dal certificato dell'autorità di registrazione nel server di accesso remoto. Il certificato deve essere emesso da una CA interna. Il certificato non può essere autofirmato. Non deve essere emesso dalla CA che ha emesso i certificati OTP, ma la CA che emette i certificati OTP deve considerare attendibile la CA che emette il certificato di firma dell'autorità di registrazione.