Guida alla distribuzione dell'attendibilità chiave ibrida

Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:

Importante

Windows Hello for Business trust Kerberos cloud è il modello di distribuzione consigliato rispetto al modello di attendibilità chiave. Per altre informazioni, vedere Distribuzione dell'attendibilità Kerberos nel cloud.

Requisiti

Prima di iniziare la distribuzione, esaminare i requisiti descritti nell'articolo Pianificare una distribuzione Windows Hello for Business.

Prima di iniziare, verificare che siano soddisfatti i requisiti seguenti:

Fasi di distribuzione

Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:

Configurare e convalidare l'infrastruttura a chiave pubblica

Windows Hello for Business deve avere un'infrastruttura a chiave pubblica (PKI) quando si usa il modello di trust delle chiavi. I controller di dominio devono avere un certificato, che funge da radice di attendibilità per i client. Il certificato garantisce che i client non comunichino con controller di dominio non autorizzati.

Le distribuzioni di trust chiave non richiedono certificati rilasciati dal client per l'autenticazione locale. Microsoft Entra Connect Sync configura gli account utente di Active Directory per il mapping della chiave pubblica, sincronizzando la chiave pubblica delle credenziali di Windows Hello for Business con un attributo nell'oggetto Active Directory dell'utente (msDS-KeyCredentialLinkattributo).

È possibile usare un'infrastruttura a chiave pubblica basata su Windows Server o un'autorità di certificazione non Microsoft Enterprise. Per altre informazioni, vedere Requisiti per i certificati del controller di dominio da una CA non Microsoft.

Distribuire un'autorità di certificazione aziendale

In questa guida si presuppone che la maggior parte delle aziende abbiano un'infrastruttura a chiave pubblica. Windows Hello for Business dipende da un'infrastruttura a chiave pubblica aziendale che esegue il ruolo Servizi certificati Active Directory di Windows Server.
Se non si ha un'infrastruttura PKI esistente, vedere Indicazioni dell'autorità di certificazione per progettare correttamente l'infrastruttura. Consultare quindi test lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Guida al lab di test: distribuzione di una gerarchia PKI di Servizi certificati Active Directory) per istruzioni su come configurare l'infrastruttura a chiave pubblica usando le informazioni della sessione di progettazione.Then, consult the Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy for instructions on how to configure your PKI using the information from your design session.

Infrastruttura a chiave pubblica basata su lab

Le istruzioni seguenti possono essere usate per distribuire una semplice infrastruttura a chiave pubblica adatta a un ambiente lab.

Accedere usando le credenziali equivalenti dell'amministratore aziendale in un windows server in cui si vuole installare l'autorità di certificazione (CA).

Nota

Non installare mai un'autorità di certificazione in un controller di dominio in un ambiente di produzione.

  1. Aprire una richiesta di Windows PowerShell con privilegi elevati
  2. Usa il comando seguente per installare il ruolo Servizi certificati Active Directory. 
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
  3. Usare il comando seguente per configurare la CA usando una configurazione di base dell'autorità di certificazione
    Install-AdcsCertificationAuthority

Configurare l'infrastruttura a chiave pubblica aziendale

Configurare i certificati del controller di dominio

I client devono considerare attendibili i controller di dominio e il modo migliore per abilitare l'attendibilità consiste nel garantire che ogni controller di dominio disponga di un certificato di autenticazione Kerberos . L'installazione di un certificato nei controller di dominio consente al Centro distribuzione chiavi (KDC) di dimostrare la propria identità ad altri membri del dominio. I certificati forniscono ai client una radice di attendibilità esterna al dominio, ovvero l'autorità di certificazione aziendale.

I controller di dominio richiedono automaticamente un certificato del controller di dominio (se pubblicato) quando rilevano che una CA aziendale viene aggiunta ad Active Directory. I certificati basati sui modelli di certificato Domain Controller e Domain Controller Authentication non includono l'identificatore OID ( KDC Authentication Object Identifier), che è stato aggiunto in seguito alla RFC Kerberos. Pertanto, i controller di dominio devono richiedere un certificato basato sul modello di certificato di autenticazione Kerberos .

Per impostazione predefinita, la CA di Active Directory fornisce e pubblica il modello di certificato di autenticazione Kerberos . La configurazione della crittografia inclusa nel modello si basa su API di crittografia meno recenti e meno efficienti. Per assicurarsi che i controller di dominio richiedano il certificato appropriato con la migliore crittografia disponibile, usare il modello di certificato autenticazione Kerberos come baseline per creare un modello di certificato del controller di dominio aggiornato.

Importante

I certificati rilasciati ai controller di dominio devono soddisfare i requisiti seguenti:

  • L'estensione del punto di distribuzione Certificate Revocation List (CRL) deve puntare a un CRL valido o a un'estensione Authority Information Access (AIA) che punta a un risponditore OCSP (Online Certificate Status Protocol)
  • Facoltativamente, la sezione Oggetto certificato può contenere il percorso della directory dell'oggetto server (nome distinto)
  • La sezione Relativa all'utilizzo delle chiavi del certificato deve contenere firma digitale e crittografia della chiave
  • Facoltativamente, la sezione Vincoli di base del certificato deve contenere: [Subject Type=End Entity, Path Length Constraint=None]
  • La sezione relativa all'utilizzo della chiave estesa del certificato deve contenere l'autenticazione client (1.3.6.1.5.5.7.3.2), l'autenticazione server (1.3.6.1.5.5.7.3.1) e l'autenticazione KDC (1.3.6.1.5.2.3.5)
  • La sezione Nome alternativo soggetto certificato deve contenere il nome DNS (Domain Name System)
  • Il modello di certificato deve avere un'estensione con il valore DomainController, codificato come BMPstring. Se si usa Windows Server Enterprise Certificate Authority, questa estensione è già inclusa nel modello di certificato del controller di dominio
  • Il certificato del controller di dominio deve essere installato nell'archivio certificati del computer locale

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .

  1. Aprire la console di gestione dell'Autorità di certificazione

  2. Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato

  3. Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello di autenticazione Kerberos nel riquadro dei dettagli e scegliere Duplica modello

  4. Usare la tabella seguente per configurare il modello:

    Nome scheda Configurazioni
    Compatibilità
    • Deselezionare la casella di controllo Mostra modifiche risultanti
    • Selezionare Windows Server 2016dall'elenco Autorità di certificazione
    • Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
    Generale
    • Specificare un nome visualizzato modello, ad esempio Autenticazione controller di dominio (Kerberos)
    • Impostare il periodo di validità sul valore desiderato
    • Prendere nota del nome del modello per un secondo momento, che dovrebbe essere lo stesso del nome visualizzato modello meno spazi
    Nome soggetto
    • Selezionare Compila da queste informazioni di Active Directory
    • Selezionare Nessuno nell'elenco Formato nome soggetto
    • Selezionare Nome DNS nell'elenco Includi queste informazioni nell'oggetto alternativo
    • Cancella tutti gli altri elementi
    Cryptography
    • Impostare la categoria provider su Provider di archiviazione chiavi
    • Impostare il nome dell'algoritmo su RSA
    • Impostare la dimensione minima della chiave su 2048
    • Impostare l'hash della richiesta su SHA256

  5. Selezionare OK per finalizzare le modifiche e creare il nuovo modello

  6. Chiudere la console

Nota

L'inclusione dell'OID di autenticazione KDC nel certificato del controller di dominio non è necessaria per Microsoft Entra dispositivi aggiunti ibridi. L'OID è necessario per abilitare l'autenticazione con Windows Hello for Business alle risorse locali da Microsoft Entra dispositivi aggiunti.

Importante

Per Microsoft Entra dispositivi aggiunti per l'autenticazione alle risorse locali, assicurarsi di:

  • Installare il certificato CA radice nell'archivio certificati radice attendibile del dispositivo. Vedere come distribuire un profilo certificato attendibile tramite Intune
  • Pubblicare l'elenco di revoche di certificati in un percorso disponibile per Microsoft Entra dispositivi aggiunti, ad esempio un URL basato sul Web

Sostituire i certificati del controller di dominio esistenti

I controller di dominio possono avere un certificato del controller di dominio esistente. Servizi certificati Active Directory fornisce un modello di certificato predefinito per i controller di dominio denominati certificato controller di dominio. Le versioni successive di Windows Server hanno fornito un nuovo modello di certificato denominato certificato di autenticazione del controller di dominio. Questi modelli di certificato sono stati forniti prima dell'aggiornamento della specifica Kerberos che indicava i centri di distribuzione chiavi (KDC) che eseguono l'autenticazione del certificato necessaria per includere l'estensione di autenticazione KDC .

Il modello di certificato autenticazione Kerberos è il modello di certificato più recente designato per i controller di dominio e deve essere quello distribuito in tutti i controller di dominio.
La funzionalità di registrazione automatica consente di sostituire i certificati del controller di dominio. Usare la configurazione seguente per sostituire i certificati del controller di dominio meno recenti con quelli nuovi, usando il modello di certificato di autenticazione Kerberos .

Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione .

  1. Aprire la console di gestione dell'Autorità di certificazione
  2. Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato
  3. Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello Autenticazione controller di dominio (Kerberos) (o sul nome del modello di certificato creato nella sezione precedente) nel riquadro dei dettagli e selezionare Proprietà
  4. Selezionare la scheda Modelli sostituiti . Selezionare Aggiungi
  5. Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato controller di dominio e selezionare OK > Aggiungi
  6. Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato autenticazione controller di dominio e selezionare OK
  7. Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato autenticazione Kerberos e selezionare OK
  8. Aggiungere tutti gli altri modelli di certificato enterprise configurati in precedenza per i controller di dominio alla scheda Modelli sostituiti
  9. Selezionare OK e chiudere la console Modelli di certificato

Il modello di certificato è configurato per sostituire tutti i modelli di certificato forniti nell'elenco dei modelli sostituiti .
Tuttavia, il modello di certificato e la sostituzione dei modelli di certificato non sono attivi fino a quando il modello non viene pubblicato in una o più autorità di certificazione.

Nota

Il certificato del controller di dominio deve essere concatenato a una radice nell'archivio NTAuth. Per impostazione predefinita, il certificato radice dell'autorità di certificazione Active Directory viene aggiunto all'archivio NTAuth. Se si usa una CA non Microsoft, questa operazione potrebbe non essere eseguita per impostazione predefinita. Se il certificato del controller di dominio non viene concatenato a una radice nell'archivio NTAuth, l'autenticazione utente avrà esito negativo. Per visualizzare tutti i certificati nell'archivio NTAuth, usare il comando seguente:

Certutil -viewstore -enterprise NTAuth

Annullare la pubblicazione di modelli di certificato sostituiti

L'autorità di certificazione rilascia solo certificati in base ai modelli di certificato pubblicati. Per motivi di sicurezza, è consigliabile annullare la pubblicazione dei modelli di certificato che la CA non è configurata per il rilascio, inclusi i modelli pre-pubblicati dall'installazione del ruolo e i modelli sostituiti.

Il modello di certificato di autenticazione del controller di dominio appena creato sostituisce i modelli di certificato del controller di dominio precedenti. Pertanto, devi annullare la pubblicazione di questi modelli di certificato per tutte le autorità di certificazione emittenti.

Accedere alla CA o alla workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione .

  1. Aprire la console di gestione dell'Autorità di certificazione
  2. Espandere il nodo padre dal riquadro > di spostamento Modelli di certificato
  3. Fare clic con il pulsante destro del mouse sul modello di certificato controller di dominio e scegliere Elimina. Selezionare nella finestra Disabilita modelli di certificato
  4. Ripetere il passaggio 3 per i modelli di certificato Autenticazione controller di dominio e Autenticazione Kerberos

Pubblicare il modello di certificato nella CA

Un'autorità di certificazione può rilasciare certificati solo per i modelli di certificato pubblicati. Se si dispone di più CA e si desidera che più AUTORITÀ di certificazione eserciino certificati in base al modello di certificato, è necessario pubblicare il modello di certificato in tali autorità.

Accedere alla CA o alle workstation di gestione con enterprise Amministrazione credenziali equivalenti.

  1. Aprire la console di gestione dell'Autorità di certificazione
  2. Espandere il nodo padre dal riquadro di spostamento
  3. Selezionare Modelli di certificato nel riquadro di spostamento
  4. Fai clic con il pulsante destro del mouse sul nodo Modelli di certificato. Selezionare Nuovo > modello di certificato da rilasciare
  5. Nella finestra Abilita modelli di certificati selezionare il modello Autenticazione controller di dominio (Kerberos) creato nei passaggi > precedenti selezionare OK
  6. Chiudere la console

Importante

Se si prevede di distribuire Microsoft Entra dispositivi aggiunti e si richiede l'accesso Single Sign-On (SSO) alle risorse locali quando si accede con Windows Hello for Business, seguire le procedure per aggiornare la CA per includere un punto di distribuzione CRL basato su HTTP.

Configurare e distribuire certificati nei controller di dominio

Configurare la registrazione automatica dei certificati per i controller di dominio

I controller di dominio richiedono automaticamente un certificato dal modello di certificato controller di dominio . Tuttavia, i controller di dominio non sono a conoscenza dei modelli di certificato più recenti o delle configurazioni sostituite nei modelli di certificato. Per consentire ai controller di dominio di registrare e rinnovare automaticamente i certificati, configurare un oggetto Criteri di gruppo per la registrazione automatica dei certificati e collegarlo all'unità organizzativa Controller di dominio .

  1. Aprire Criteri di gruppo Management Console (gpmc.msc)
  2. Espandere il dominio e selezionare il nodo oggetto Criteri di gruppo nel riquadro di spostamento
  3. Fai clic con il pulsante destro del mouse su Oggetto Criteri di gruppo e seleziona Nuovo.
  4. Digitare Registrazione automatica certificato controller di dominio nella casella nome e selezionare OK
  5. Fare clic con il pulsante destro del mouse sull'oggetto Domain Controller Auto Certificate Enrollment Criteri di gruppo e scegliere Modifica
  6. Nel riquadro di spostamento espandere Criteri in Configurazione computer
  7. Espandere Impostazioni di Windows Impostazioni >> di sicurezza Criteri chiave pubblica
  8. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Client servizi certificati - Registrazione automatica e scegliere Proprietà
  9. Selezionare Abilitato dall'elenco Modello di configurazione
  10. Selezionare la casella di controllo Rinnovare i certificati scaduti, aggiornare i certificati in sospeso e rimuovere i certificati revocati
  11. Selezionare la casella di controllo Aggiorna certificati che usano modelli di certificato
  12. Selezionare OK
  13. Chiudere Criteri di gruppo Management Editor

Distribuire l'oggetto Criteri di gruppo di registrazione automatica del certificato del controller di dominio

Accedere alle workstation di gestione o controller di dominio con credenziali equivalenti all'amministratore di dominio .

  1. Avvia la Console Gestione Criteri di gruppo (gpmc.msc)
  2. Nel riquadro di spostamento espandere il dominio ed espandere il nodo con il nome di dominio di Active Directory. Fare clic con il pulsante destro del mouse sull'unità organizzativa Controller di dominio e scegliere Collega un oggetto Criteri di gruppo esistente...
  3. Nella finestra di dialogo Seleziona oggetto Criteri di gruppo selezionare Registrazione automatica certificati controller di dominio o il nome della registrazione del certificato del controller di dominio Criteri di gruppo oggetto creato in precedenza
  4. Selezionare OK

Convalidare la configurazione

Windows Hello for Business è un sistema distribuito che all'apparenza sembra complesso e difficile. La chiave per una distribuzione riuscita consiste nel convalidare le fasi di lavoro prima di passare alla fase successiva.

Verificare che i controller di dominio registrino i certificati corretti e non tutti i modelli di certificato sostituiti. Verificare che ogni controller di dominio ha completato la registrazione automatica del certificato.

Usare i log eventi

Accedere alle workstation di gestione o controller di dominio con credenziali equivalenti all'amministratore di dominio .

  1. Usando il Visualizzatore eventi, passare al registro eventi Application and Services>Microsoft>Windows>CertificateServices-Lifecycles-System
  2. Cercare un evento che indica una nuova registrazione del certificato (registrazione automatica):
    • I dettagli dell'evento includono il modello di certificato in cui è stato emesso il certificato
    • Il nome del modello di certificato usato per rilasciare il certificato deve corrispondere al nome del modello di certificato incluso nell'evento
    • Anche l'identificazione personale del certificato e le EKU per il certificato sono incluse nell'evento
    • L'EKU necessario per l'autenticazione Windows Hello for Business corretta è l'autenticazione Kerberos, oltre ad altre EKU fornite dal modello di certificato

I certificati sostituiti dal nuovo certificato del controller di dominio generano un evento di archivio nel registro eventi. L'evento di archiviazione contiene il nome del modello do certificato e l'identificazione personale del certificato che è stato sostituito dal nuovo certificato.

Gestione certificati

Puoi utilizzare la console Gestione certificati per convalidare il controller di dominio ha registrato correttamente il certificato in base al modello di certificato corretto con gli EKU corretti. Usa certlm.msc per visualizzare il certificato negli archivi certificati computer locali. Espandi l'archivio Personale e visualizza i certificati registrati per il computer. I certificati archiviati non vengono visualizzati in Gestione certificati.

Certutil.exe

È possibile usare il certutil.exe comando per visualizzare i certificati registrati nel computer locale. Certutil mostra i certificati registrati e archiviati del computer locale. Da un prompt dei comandi con privilegi elevati eseguire il comando seguente:

certutil.exe -q -store my

Per visualizzare informazioni dettagliate su ogni certificato nell'archivio e per convalidare la registrazione automatica del certificato ha registrato i certificati appropriati, usare il comando seguente:

certutil.exe -q -v -store my

Risoluzione dei problemi

Windows attiva la registrazione automatica dei certificati per il computer durante l'avvio e gli aggiornamenti di Criteri di gruppo. Puoi aggiornare i Criteri di gruppo da un prompt dei comandi con privilegi elevati utilizzando gpupdate.exe /force.

In alternativa, puoi attivare in modo forzato la registrazione automatica dei certificati usando certreq.exe -autoenroll -q da un prompt dei comandi con privilegi elevati.

Usa i registri eventi per monitorare la registrazione e l'archiviazione dei certificati. Esaminare la configurazione, ad esempio la pubblicazione di modelli di certificato nell'autorità di certificazione emittente e le autorizzazioni di registrazione automatica consentite .

Revisione della sezione e passaggi successivi

Prima di passare alla sezione successiva, verificare che i passaggi seguenti siano completati:

  • Configurare il modello di certificato del controller di dominio
  • Sostituire i certificati del controller di dominio esistenti
  • Annullare la pubblicazione di modelli di certificato sostituiti
  • Pubblicare il modello di certificato nella CA
  • Distribuire i certificati ai controller di dominio
  • Convalidare la configurazione dei controller di dominio

Successivamente: configurare e registrare in Windows Hello for Business >