Certificati e attendibilità in Windows
Il programma Microsoft Root Certificate consente la distribuzione di certificati radice attendibili e non attendibili nei sistemi operativi Windows. Per altre informazioni sull'elenco dei membri nel Programma di certificati radice di Windows, vedere Elenco di partecipanti - Programma Microsoft Trusted Root.
I certificati radice attendibili e non attendibili vengono usati dai sistemi operativi Windows e dalle applicazioni come riferimento per determinare se le gerarchie dell'infrastruttura a chiave pubblica (PKI) e i certificati digitali sono attendibili. I certificati radice non attendibili sono certificati noti pubblicamente come fraudolenti. La funzionalità dei certificati radice attendibili e non attendibili funziona in tutti gli ambienti, sia connessi che disconnessi.
I certificati radice attendibili e non attendibili sono contenuti in un elenco scopi consentiti ai certificati. Quando si vogliono distribuire i certificati radice, si usa un elenco scopi consentiti ai certificati. Windows Server offre una funzionalità di aggiornamento giornaliero automatico che include i download degli elenchi scopi consentiti ai certificati più recenti. L'elenco di certificati radice attendibili e non attendibili è denominato rispettivamente elenco scopi consentiti ai certificati attendibile ed elenco scopi consentiti ai certificati non attendibile. Per altre informazioni, vedere la pagina di annuncio della disponibilità dello strumento di aggiornamento automatico di certificati e chiavi non attendibili.
I server e i client accedono al sito di Windows Update per aggiornare l'elenco scopi consentiti ai certificati usando il meccanismo di aggiornamento giornaliero automatico (CTL Updater) descritto in questo articolo. È possibile sfruttare le funzionalità dello strumento di aggiornamento di elenchi scopi consentiti ai certificati installando gli aggiornamenti software appropriati. Vedere l'articolo Configurare le radici attendibili e i certificati non consentiti per indicazioni sull'installazione degli aggiornamenti software nei sistemi operativi supportati descritti in questo articolo.
Aggiornamenti automatici dell'elenco scopi consentiti ai certificati
Per impostazione predefinita, Windows scarica gli elenchi scopi consentiti ai certificati da Internet tramite un meccanismo automatico denominato CTL Updater. Gli URL pubblici usati da CTL Updater possono essere resi disponibili ai client:
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cabhttp://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
Se necessario, la funzionalità di aggiornamento automatico può essere inoltre disabilitata, anche se questo approccio non è consigliato.
In alternativa, è anche possibile creare modelli amministrativi di Criteri di gruppo (criteri ADMX) per reindirizzare a un server interno per gli aggiornamenti.
Il percorso del Registro di sistema in cui sono archiviati gli elenchi scopi consentiti ai certificati attendibili e non attendibili è indicato di seguito:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtlHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl
Vantaggi di CTL Updater
La funzionalità di aggiornamento automatico con CTL Updater offre diversi vantaggi:
Impostazioni del Registro di sistema per l'archiviazione di elenchi di scopi consentiti Nuove impostazioni consentono di modificare la posizione per il caricamento di elenchi di scopi consentiti attendibili o non attendibili dal sito Windows Update a una posizione condivisa in un'organizzazione. Vedere Impostazioni del Registro di sistema modificate.
Opzioni di sincronizzazione Se l'URL del sito Windows Update viene spostato in una cartella condivisa locale, tale cartella deve essere sincronizzata con la cartella di Windows Update. Questo aggiornamento software consente di aggiungere nello strumento Certutil un insieme di opzioni che possono essere usate per abilitare la sincronizzazione. Per altre informazioni, vedere le informazioni di riferimento sui comandi di Certutil -syncWithWU per Windows.
Strumento per la selezione di certificati radice attendibili Questo aggiornamento software include uno strumento per gestire l'insieme di certificati radice attendibili nell'ambiente aziendale. È possibile visualizzare e selezionare l'insieme di certificati radice attendibili, esportarli in un archivio di certificati serializzati e distribuirli mediante Criteri di gruppo. Per altre informazioni, vedere le informazioni di riferimento sul comando Certutil -generateSSTFromWU SSTFile per Windows.
Configurabilità indipendente Il meccanismo di aggiornamento automatico per i certificati attendibili e non attendibili è configurabile in modo indipendente. È possibile usare il meccanismo di aggiornamento automatico per scaricare solo gli elenchi scopi consentiti ai certificati non attendibili e gestire il proprio elenco di elenchi scopi consentiti ai certificati. Per altre informazioni, vedere Impostazioni del Registro di sistema modificate.
Vedere Configurare le radici attendibili e i certificati non consentiti per indicazioni sull'installazione degli aggiornamenti software nei sistemi operativi supportati descritti in questo articolo.
Se necessario, la funzionalità di aggiornamento automatico può essere disabilitata, anche se questo approccio non è consigliato.
Passaggi successivi
Si ha ora una migliore comprensione dei certificati radice attendibili e non consentiti in Windows. Di seguito sono riportati altri articoli utili per configurare i sistemi.
Configurare le radici attendibili e i certificati non consentiti
ID evento 8 - Configurazione dell'aggiornamento automatico dei certificati radice
Informazioni di riferimento sui comandi di Certutil per Windows