Facoltativo: creare un certificato di firma del codice per Controllo app per le aziende
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
Quando si distribuisce Controllo app per le aziende, potrebbe essere necessario firmare internamente i file di catalogo o i criteri di Controllo app. Per eseguire questa firma, è necessario usare il servizio Firma attendibile di Microsoft, un certificato di firma del codice rilasciato pubblicamente o una CA interna. Se è stato acquistato un certificato di firma del codice, è possibile ignorare questo articolo e seguire invece altri articoli elencati nella Guida alla distribuzione di Controllo app per le aziende.
Se usi un'Autorità di certificazione interna, segui questa procedura per creare un certificato di firma del codice.
Warning
Quando si creano certificati di firma per la firma dei criteri di Controllo app, può verificarsi un errore di avvio (schermata blu) se il certificato di firma non segue queste regole:
- Tutti i criteri, inclusi quelli di base e supplementari, devono essere firmati in base alla Standard PKCS 7.
- Usare le chiavi RSA solo con dimensioni di 2K, 3K o 4K. ECDSA non è supportato.
- È possibile usare SHA-256, SHA-384 o SHA-512 come algoritmo di digest in Windows 11, nonché Windows 10 e Windows Server 2019 e versioni successive dopo l'applicazione dell'aggiornamento cumulativo della sicurezza di novembre 2022. Tutti gli altri dispositivi supportano solo SHA256.
Apri lo snap-in di MMC Autorità di certificazione e seleziona la CA emittente.
Quando si è connessi, fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Gestisci per aprire la console Modelli di certificazione.
Figura 1. Gestire i modelli di certificato
Nel riquadro di spostamento fare clic con il pulsante destro del mouse sul certificato di firma del codice e quindi scegliere Duplica modello.
Nella scheda Compatibilità deseleziona la casella di controllo Mostra modifiche risultanti . Seleziona Windows Server 2012 nell'elenco Autorità di certificazione e quindi seleziona Windows 8/Windows Server 2012 nell'elenco Destinatario certificato .
Nella scheda Generale specifica Nome visualizzato modello e Nome modello. In questo esempio viene usato il nome Certificato di firma del catalogo di controllo app.
Nella scheda Gestione richiesta seleziona la casella di controllo Rendi la chiave privata esportabile .
Nella scheda Estensioni selezionare la casella di controllo Vincoli di base e quindi selezionare Modifica.
Nella finestra di dialogo Modifica estensione limitazioni di base seleziona Attiva l'estensione, come illustrato nella figura 2.
Figura 2. Selezionare le limitazioni nel nuovo modello
Se i certificati rilasciati devono essere approvati da un gestore certificati, nella scheda Requisiti di rilascio seleziona Approvazione gestore certificati CA.
Nella scheda Nome soggetto seleziona Inserisci nella richiesta.
Nella scheda Sicurezza verifica che ogni account usato per richiedere il certificato abbia il diritto di registrarlo.
Selezionare OK per creare il modello e quindi chiudere la console del modello di certificato.
Una volta creato il modello di certificato, devi pubblicarlo nell'archivio di modelli pubblicati della CA. A questo scopo, esegui i passaggi seguenti:
Nello snap-in MMC autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificazione, scegliere Nuovo e quindi selezionare Modello di certificato da rilasciare, come illustrato nella figura 3.
Figura 3. Selezionare il nuovo modello di certificato da rilasciare
Viene visualizzato un elenco dei modelli disponibili da rilasciare, incluso il modello creato.
Selezionare il certificato di firma del Catalogo di controllo app e quindi selezionare OK.
Ora che il modello è disponibile per l'emissione, è necessario richiederne uno al computer che esegue Windows 10 o Windows 11 in cui si creano e firmano i file di catalogo. Per iniziare, apri MMC ed esegui i passaggi seguenti:
In MMC selezionare Aggiungi/Rimuovi snap-in dal menu File. Fai doppio clic su Certificatie quindi seleziona Account dell'utente.
Nello snap-in Certificati fare clic con il pulsante destro del mouse sulla cartella Archivio personale, scegliere Tutte le attività e quindi selezionare Richiedi nuovo certificato.
Selezionare Avanti due volte per accedere all'elenco di selezione del certificato.
Nell'elenco Richiedi certificato seleziona il certificato di firma del codice appena creato e quindi seleziona il testo blu che richiede ulteriori informazioni, come illustrato nella figura 4.
Figura 4. Ottenere ulteriori informazioni per il certificato di firma del codice
Nella finestra di dialogo Proprietà certificato , per Tipo, seleziona Nome comune. In Valore specificare un nome significativo per il certificato (in questo esempio si seleziona $ContosoSigningCert) e quindi selezionare Aggiungi. Dopo l'aggiunta, selezionare OK.
Esegui la registrazione e concludi.
Nota
Se è necessario un responsabile certificati per approvare i certificati rilasciati e si è scelto di richiedere l'approvazione della gestione nel modello, la richiesta dovrà essere approvata nella CA prima che venga emessa al client.
Questo certificato deve essere installato nell'archivio personale dell'utente nel computer che firmerà i file di catalogo e i criteri di integrità del codice. Se la firma verrà eseguita nello stesso computer usato per richiedere il certificato, è possibile ignorare i passaggi seguenti. Se si esegue l'accesso a un altro computer, è necessario esportare il certificato con estensione pfx con le chiavi e le proprietà necessarie. A questo scopo, esegui i passaggi seguenti:
Fare clic con il pulsante destro del mouse sul certificato, scegliere Tutte le attività e quindi scegliere Esporta.
Selezionare Avanti e quindi Sì , esportare la chiave privata.
Scegli le impostazioni predefinite e quindi seleziona Esporta tutte le proprietà estese.
Impostare una password, selezionare un percorso di esportazione e quindi selezionare AppControlCatSigningCert.pfx come nome file.
Dopo l'esportazione del certificato, importarlo nell'archivio personale dell'utente che firmerà il file di catalogo o i criteri di integrità del codice nello specifico computer che verrà usato per la firma.