Configurare e convalidare l'infrastruttura a chiave pubblica in un modello di attendibilità del certificato ibrido
Questo articolo descrive le funzionalità o gli scenari di Windows Hello for Business applicabili a:
- Tipo di distribuzione:ibrido
- Tipo di attendibilità:
- Tipo di join:cui Microsoft Entra partecipa, i Aggiunta ibrida a Microsoft Entra
Windows Hello for Business deve avere un'infrastruttura a chiave pubblica (PKI) quando si usano i modelli di attendibilità del certificato . I controller di dominio devono avere un certificato, che funge da radice di attendibilità per i client. Il certificato garantisce che i client non comunichino con controller di dominio non autorizzati.
Le distribuzioni di attendibilità dei certificati ibridi rilasciano agli utenti un certificato di accesso, consentendo loro di eseguire l'autenticazione in Active Directory usando le credenziali di Windows Hello for Business. Inoltre, le distribuzioni di attendibilità dei certificati ibridi rilasciano certificati alle autorità di registrazione per garantire una sicurezza avanzata durante il rilascio dei certificati di autenticazione utente.
Distribuire un'autorità di certificazione aziendale
In questa guida si presuppone che la maggior parte delle aziende abbiano un'infrastruttura a chiave pubblica. Windows Hello for Business dipende da un'infrastruttura a chiave pubblica aziendale che esegue il ruolo Servizi certificati Active Directory di Windows Server.
Se non si ha un'infrastruttura PKI esistente, vedere Indicazioni dell'autorità di certificazione per progettare correttamente l'infrastruttura. Consultare quindi test lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy (Guida al lab di test: distribuzione di una gerarchia PKI di Servizi certificati Active Directory) per istruzioni su come configurare l'infrastruttura a chiave pubblica usando le informazioni della sessione di progettazione.Then, consult the Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy for instructions on how to configure your PKI using the information from your design session.
Infrastruttura a chiave pubblica basata su lab
Le istruzioni seguenti possono essere usate per distribuire una semplice infrastruttura a chiave pubblica adatta a un ambiente lab.
Accedere usando le credenziali equivalenti dell'amministratore aziendale in un windows server in cui si vuole installare l'autorità di certificazione (CA).
Nota
Non installare mai un'autorità di certificazione in un controller di dominio in un ambiente di produzione.
- Aprire un prompt di Windows PowerShell con privilegi elevati
- Usa il comando seguente per installare il ruolo Servizi certificati Active Directory.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
- Usare il comando seguente per configurare la CA usando una configurazione di base dell'autorità di certificazione
Install-AdcsCertificationAuthority
Configurare l'infrastruttura a chiave pubblica aziendale
Configurare i certificati del controller di dominio
I client devono considerare attendibili i controller di dominio e il modo migliore per abilitare l'attendibilità consiste nel garantire che ogni controller di dominio disponga di un certificato di autenticazione Kerberos . L'installazione di un certificato nei controller di dominio consente al Centro distribuzione chiavi (KDC) di dimostrare la propria identità ad altri membri del dominio. I certificati forniscono ai client una radice di attendibilità esterna al dominio, ovvero l'autorità di certificazione aziendale.
I controller di dominio richiedono automaticamente un certificato del controller di dominio (se pubblicato) quando rilevano che una CA aziendale viene aggiunta ad Active Directory. I certificati basati sui modelli di certificato Domain Controller e Domain Controller Authentication non includono l'identificatore OID ( KDC Authentication Object Identifier), che è stato aggiunto in seguito alla RFC Kerberos. Pertanto, i controller di dominio devono richiedere un certificato basato sul modello di certificato di autenticazione Kerberos .
Per impostazione predefinita, la CA di Active Directory fornisce e pubblica il modello di certificato di autenticazione Kerberos . La configurazione della crittografia inclusa nel modello si basa su API di crittografia meno recenti e meno efficienti. Per assicurarsi che i controller di dominio richiedano il certificato appropriato con la migliore crittografia disponibile, usare il modello di certificato autenticazione Kerberos come baseline per creare un modello di certificato del controller di dominio aggiornato.
Importante
I certificati rilasciati ai controller di dominio devono soddisfare i requisiti seguenti:
- L'estensione del punto di distribuzione Certificate Revocation List (CRL) deve puntare a un CRL valido o a un'estensione Authority Information Access (AIA) che punta a un risponditore OCSP (Online Certificate Status Protocol)
- Facoltativamente, la sezione Oggetto certificato può contenere il percorso della directory dell'oggetto server (nome distinto)
- La sezione Relativa all'utilizzo delle chiavi del certificato deve contenere firma digitale e crittografia della chiave
- Facoltativamente, la sezione Vincoli di base del certificato deve contenere:
[Subject Type=End Entity, Path Length Constraint=None]
- La sezione relativa all'utilizzo della chiave estesa del certificato deve contenere l'autenticazione client (
1.3.6.1.5.5.7.3.2
), l'autenticazione server (1.3.6.1.5.5.7.3.1
) e l'autenticazione KDC (1.3.6.1.5.2.3.5
) - La sezione Nome alternativo soggetto certificato deve contenere il nome DNS (Domain Name System)
- Il modello di certificato deve avere un'estensione con il valore
DomainController
, codificato come BMPstring. Se si usa Windows Server Enterprise Certificate Authority, questa estensione è già inclusa nel modello di certificato del controller di dominio - Il certificato del controller di dominio deve essere installato nell'archivio certificati del computer locale
Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .
Aprire la console di gestione dell'Autorità di certificazione
Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato
Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello di autenticazione Kerberos nel riquadro dei dettagli e scegliere Duplica modello
Usare la tabella seguente per configurare il modello:
Nome scheda Configurazioni Compatibilità - Deselezionare la casella di controllo Mostra modifiche risultanti
- Selezionare Windows Server 2016dall'elenco Autorità di certificazione
- Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
Generale - Specificare un nome visualizzato modello, ad esempio Autenticazione controller di dominio (Kerberos)
- Impostare il periodo di validità sul valore desiderato
- Prendere nota del nome del modello per un secondo momento, che dovrebbe essere lo stesso del nome visualizzato modello meno spazi
Nome soggetto - Selezionare Compila da queste informazioni di Active Directory
- Selezionare Nessuno nell'elenco Formato nome soggetto
- Selezionare Nome DNS nell'elenco Includi queste informazioni nell'oggetto alternativo
- Cancella tutti gli altri elementi
Cryptography - Impostare la categoria provider su Provider di archiviazione chiavi
- Impostare il nome dell'algoritmo su RSA
- Impostare la dimensione minima della chiave su 2048
- Impostare l'hash della richiesta su SHA256
Selezionare OK per finalizzare le modifiche e creare il nuovo modello
Chiudere la console
Nota
L'inclusione dell'OID di autenticazione KDC nel certificato del controller di dominio non è necessaria per i dispositivi aggiunti a microsoft entra ibrido. L'OID è necessario per abilitare l'autenticazione con Windows Hello for Business alle risorse locali dai dispositivi aggiunti a Microsoft Entra.
Importante
Affinché i dispositivi aggiunti a Microsoft Entra eseguano l'autenticazione alle risorse locali, assicurarsi di:
- Installare il certificato CA radice nell'archivio certificati radice attendibile del dispositivo. Informazioni su come distribuire un profilo certificato attendibile tramite Intune
- Pubblicare l'elenco di revoche di certificati in un percorso disponibile per i dispositivi aggiunti a Microsoft Entra, ad esempio un URL basato sul Web
Sostituire i certificati del controller di dominio esistenti
I controller di dominio possono avere un certificato del controller di dominio esistente. Servizi certificati Active Directory fornisce un modello di certificato predefinito per i controller di dominio denominati certificato controller di dominio. Le versioni successive di Windows Server hanno fornito un nuovo modello di certificato denominato certificato di autenticazione del controller di dominio. Questi modelli di certificato sono stati forniti prima dell'aggiornamento della specifica Kerberos che indicava i centri di distribuzione chiavi (KDC) che eseguono l'autenticazione del certificato necessaria per includere l'estensione di autenticazione KDC .
Il modello di certificato autenticazione Kerberos è il modello di certificato più recente designato per i controller di dominio e deve essere quello distribuito in tutti i controller di dominio.
La funzionalità di registrazione automatica consente di sostituire i certificati del controller di dominio. Usare la configurazione seguente per sostituire i certificati del controller di dominio meno recenti con quelli nuovi, usando il modello di certificato di autenticazione Kerberos .
Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione .
- Aprire la console di gestione dell'Autorità di certificazione
- Fare clic con il pulsante destro del mouse su Gestione modelli di > certificato
- Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello Autenticazione controller di dominio (Kerberos) (o sul nome del modello di certificato creato nella sezione precedente) nel riquadro dei dettagli e selezionare Proprietà
- Selezionare la scheda Modelli sostituiti . Selezionare Aggiungi
- Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato controller di dominio e selezionare OK > Aggiungi
- Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato autenticazione controller di dominio e selezionare OK
- Nella finestra di dialogo Aggiungi modello sostituito selezionare il modello di certificato autenticazione Kerberos e selezionare OK
- Aggiungere tutti gli altri modelli di certificato enterprise configurati in precedenza per i controller di dominio alla scheda Modelli sostituiti
- Selezionare OK e chiudere la console Modelli di certificato
Il modello di certificato è configurato per sostituire tutti i modelli di certificato forniti nell'elenco dei modelli sostituiti .
Tuttavia, il modello di certificato e la sostituzione dei modelli di certificato non sono attivi fino a quando il modello non viene pubblicato in una o più autorità di certificazione.
Nota
Il certificato del controller di dominio deve essere concatenato a una radice nell'archivio NTAuth. Per impostazione predefinita, il certificato radice dell'autorità di certificazione Active Directory viene aggiunto all'archivio NTAuth. Se si usa una CA non Microsoft, questa operazione potrebbe non essere eseguita per impostazione predefinita. Se il certificato del controller di dominio non viene concatenato a una radice nell'archivio NTAuth, l'autenticazione utente avrà esito negativo. Per visualizzare tutti i certificati nell'archivio NTAuth, usare il comando seguente:
Certutil -viewstore -enterprise NTAuth
Configurare un modello di certificato dell'agente di registrazione
Un'autorità di registrazione certificati è un'autorità attendibile che convalida la richiesta di certificato. Dopo aver convalidato la richiesta, la richiesta viene presentata all'autorità di certificazione (CA) per il rilascio. La CA rilascia il certificato, lo restituisce al cra, che restituisce il certificato all'utente richiedente. Le distribuzioni di attendibilità dei certificati di Windows Hello for Business usano AD FS come cra.
Il cra si registra per un certificato dell'agente di registrazione. Dopo aver verificato la richiesta di certificato, l'autorità di certificazione firma la richiesta di certificato usando il certificato dell'agente di registrazione e la invia alla CA. Il modello di certificato di autenticazione di Windows Hello for Business è configurato per rilasciare certificati solo per le richieste di certificato firmate con un certificato dell'agente di registrazione. La CA rilascia un certificato per tale modello solo se l'autorità di registrazione firma la richiesta di certificato.
Importante
Seguire le procedure seguenti in base all'account del servizio AD FS usato nell'ambiente.
Creare un certificato dell'agente di registrazione per gli account del servizio gestito del gruppo (GMSA)
Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .
Aprire la console di gestione dell'Autorità di certificazione
Fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci
Nella Console modello di certificato fare clic con il pulsante destro del mouse sul riquadro dei dettagli del modello agente di registrazione di Exchange (richiesta offline) e selezionare Modello duplicato
Usare la tabella seguente per configurare il modello:
Nome scheda Configurazioni Compatibilità - Deselezionare la casella di controllo Mostra modifiche risultanti
- Selezionare Windows Server 2016dall'elenco Autorità di certificazione
- Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
Generale - Specificare un nome visualizzato modello, ad esempio Agente di registrazione WHFB
- Impostare il periodo di validità sul valore desiderato
Nome soggetto Selezionare Fornitura nella richiesta
Nota: Gli account del servizio gestito del gruppo (GMSA) non supportano l'opzione Compila da questa opzione di informazioni di Active Directory e il server AD FS non riesce a registrare il certificato dell'agente di registrazione. È necessario configurare il modello di certificato con Supply nella richiesta per assicurarsi che i server AD FS possano eseguire la registrazione automatica e il rinnovo del certificato dell'agente di registrazione.Cryptography - Impostare la categoria provider su Provider di archiviazione chiavi
- Impostare il nome dell'algoritmo su RSA
- Impostare la dimensione minima della chiave su 2048
- Impostare l'hash della richiesta su SHA256
Sicurezza - Selezionare Aggiungi
- Selezionare Tipi di oggetto e selezionare la casella di controllo Account servizio
- Selezionare OK
- Digitare
adfssvc
nella casella di testo Immettere i nomi degli oggetti da selezionare e selezionare OK - Selezionare adfssvc dall'elenco Nomi gruppo o utenti . Nella sezione Autorizzazioni per adfssvc :
- Nella sezione Autorizzazioni per adfssvc selezionare la casella di controllo Consenti per l'autorizzazione Registrazione
- Escludendo l'utente adfssvc, deselezionare la casella di controllo Consenti per le autorizzazioni registrazione e registrazione automatica per tutti gli altri elementi nell'elenco Nomi gruppo o utenti
- Selezionare OK
Selezionare OK per finalizzare le modifiche e creare il nuovo modello
Chiudere la console
Creare un certificato dell'agente di registrazione per un account del servizio standard
Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .
Aprire la console di gestione dell'Autorità di certificazione
Fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci
Nella Console modello di certificato fare clic con il pulsante destro del mouse sul riquadro dei dettagli del modello agente di registrazione di Exchange (richiesta offline) e selezionare Modello duplicato
Usare la tabella seguente per configurare il modello:
Nome scheda Configurazioni Compatibilità - Deselezionare la casella di controllo Mostra modifiche risultanti
- Selezionare Windows Server 2016 dall'elenco Autorità di certificazione
- Selezionare Windows 10/Windows Server 2016 dall'elenco Destinatario certificato
Generale - Specificare un nome visualizzato modello, ad esempio Agente di registrazione WHFB
- Impostare il periodo di validità sul valore desiderato
Nome soggetto - Selezionare Compila da queste informazioni di Active Directory
- Selezionare Nome completamente distinto dall'elenco Formato nome soggetto
- Selezionare la casella di controllo Nome entità utente (UPN)in Includi queste informazioni nel nome soggetto alternativo
Cryptography - Impostare la categoria provider su Provider di archiviazione chiavi
- Impostare il nome dell'algoritmo su RSA
- Impostare la dimensione minima della chiave su 2048
- Impostare l'hash della richiesta su SHA256
Sicurezza - Selezionare Aggiungi
- Selezionare Tipi di oggetto e selezionare la casella di controllo Account servizio
- Selezionare OK
- Digitare
adfssvc
nella casella di testo Immettere i nomi degli oggetti da selezionare e selezionare OK - Selezionare adfssvc dall'elenco Nomi gruppo o utenti . Nella sezione Autorizzazioni per adfssvc :
- Nella sezione Autorizzazioni per adfssvc selezionare la casella di controllo Consenti per l'autorizzazione Registrazione
- Escludendo l'utente adfssvc, deselezionare la casella di controllo Consenti per le autorizzazioni registrazione e registrazione automatica per tutti gli altri elementi nell'elenco Nomi gruppo o utenti
- Selezionare OK
Selezionare OK per finalizzare le modifiche e creare il nuovo modello
Chiudere la console
Configurare un modello di certificato di autenticazione di Windows Hello for Business
Durante il provisioning di Windows Hello for Business, i client Windows richiedono un certificato di autenticazione ad AD FS, che richiede il certificato di autenticazione per conto dell'utente. Questa attività configura il modello di certificato di autenticazione di Windows Hello for Business.
Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore di dominio .
Aprire la console di gestione dell'Autorità di certificazione
Fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci
Nella Console modello di certificato fare clic con il pulsante destro del mouse sul modello di accesso smart card e scegliere Modello duplicato
Usare la tabella seguente per configurare il modello:
Nome scheda Configurazioni Compatibilità - Deselezionare la casella di controllo Mostra modifiche risultanti
- Selezionare Windows Server 2016dall'elenco Autorità di certificazione
- Selezionare Windows 10/Windows Server 2016dall'elenco Destinatario certificazione
Generale - Specificare un nome visualizzato del modello, ad esempio Autenticazione WHFB
- Impostare il periodo di validità sul valore desiderato
- Prendere nota del nome del modello per un secondo momento, che dovrebbe essere lo stesso del nome visualizzato modello meno spazi
Nome soggetto - Selezionare Compila da queste informazioni di Active Directory
- Selezionare Nome completamente distinto dall'elenco Formato nome soggetto
- Selezionare la casella di controllo Nome entità utente (UPN)in Includi queste informazioni nel nome soggetto alternativo
Cryptography - Impostare la categoria provider su Provider di archiviazione chiavi
- Impostare il nome dell'algoritmo su RSA
- Impostare la dimensione minima della chiave su 2048
- Impostare l'hash della richiesta su SHA256
Estensioni Verificare che l'estensione Criteri applicazione includa l'accesso alle smart card Requisiti di rilascio - Selezionare la casella di controllo Numero di firme autorizzate . Digitare 1 nella casella di testo
- Selezionare Criteri applicazione nel tipo di criteri richiesto nella firma
- Selezionare Agente richiesta di certificato nell'elenco Criteri applicazione
- Selezionare l'opzione Certificato esistente valido
Gestione delle richieste Selezionare la casella di controllo Rinnova con la stessa chiave Sicurezza - Selezionare Aggiungi
- Destinato a un gruppo di sicurezza di Active Directory che contiene gli utenti da registrare in Windows Hello for Business. Ad esempio, se si dispone di un gruppo denominato Window Hello for Business Users, digitarlo nella casella di testo Immettere i nomi degli oggetti da selezionare e selezionare OK
- Selezionare gli utenti di Windows Hello for Business dall'elenco Nomi gruppo o utenti . Nella sezione Autorizzazioni per utenti di Windows Hello for Business :
- Selezionare la casella di controllo Consenti per l'autorizzazione Registrazione
- Escludendo il gruppo precedente (ad esempio, Window Hello for Business Users), deselezionare la casella di controllo Consenti per le autorizzazioni Registrazione e registrazione automatica per tutte le altre voci nella sezione Nomi gruppo o utenti se le caselle di controllo non sono già deselezionate
- Selezionare OK
Selezionare OK per finalizzare le modifiche e creare il nuovo modello
Chiudere la console
Contrassegnare il modello come modello di accesso di Windows Hello
Accedere a una CA o a workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione
Aprire un prompt dei comandi con privilegi elevati end eseguire il comando seguente
certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY
Se il modello è stato modificato correttamente, l'output del comando conterrà valori vecchi e nuovi dei parametri del modello. Il nuovo valore deve contenere il CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY
parametro . Esempio:
CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication
Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."
Nota
Se il modello di certificato di autenticazione di Windows Hello for Business è stato assegnato a un nome diverso, sostituire WHFBAuthentication
nel comando precedente con il nome del modello di certificato. È importante che usi il nome del modello anziché il nome visualizzato del modello. Puoi visualizzare il nome del modello nella scheda Generale del modello di certificato utilizzando la console di gestione Modelli di certificato (certtmpl.msc).
Annullare la pubblicazione di modelli di certificato sostituiti
L'autorità di certificazione rilascia solo certificati in base ai modelli di certificato pubblicati. Per motivi di sicurezza, è consigliabile annullare la pubblicazione dei modelli di certificato che la CA non è configurata per il rilascio, inclusi i modelli pre-pubblicati dall'installazione del ruolo e i modelli sostituiti.
Il modello di certificato di autenticazione del controller di dominio appena creato sostituisce i modelli di certificato del controller di dominio precedenti. Pertanto, devi annullare la pubblicazione di questi modelli di certificato per tutte le autorità di certificazione emittenti.
Accedere alla CA o alla workstation di gestione con credenziali equivalenti all'amministratore dell'organizzazione .
- Aprire la console di gestione dell'Autorità di certificazione
- Espandere il nodo padre dal riquadro > di spostamento Modelli di certificato
- Fare clic con il pulsante destro del mouse sul modello di certificato controller di dominio e scegliere Elimina. Selezionare Sì nella finestra Disabilita modelli di certificato
- Ripetere il passaggio 3 per i modelli di certificato Autenticazione controller di dominio e Autenticazione Kerberos
Pubblicare i modelli di certificato nella CA
Un'autorità di certificazione può rilasciare certificati solo per i modelli di certificato pubblicati. Se si dispone di più CA e si desidera che più AUTORITÀ di certificazione eserciino certificati in base al modello di certificato, è necessario pubblicare il modello di certificato in tali autorità.
Accedere alla CA o alle workstation di gestione con credenziali equivalenti a Enterprise Admin .
- Aprire la console di gestione dell'Autorità di certificazione
- Espandere il nodo padre dal riquadro di spostamento
- Selezionare Modelli di certificato nel riquadro di spostamento
- Fai clic con il pulsante destro del mouse sul nodo Modelli di certificato. Selezionare Nuovo > modello di certificato da rilasciare
- Nella finestra Abilita modelli di certificati selezionare i modelli Autenticazione controller di dominio (Kerberos),Agente di registrazione WHFB e Autenticazione WHFB creati nei passaggi > precedenti selezionare OK
- Chiudere la console
Importante
Se si prevede di distribuire dispositivi aggiunti a Microsoft Entra e si richiede l'accesso Single Sign-On (SSO) alle risorse locali durante l'accesso con Windows Hello for Business, seguire le procedure per aggiornare la CA per includere un punto di distribuzione CRL basato su HTTP.
Configurare e distribuire certificati nei controller di dominio
Configurare la registrazione automatica dei certificati per i controller di dominio
I controller di dominio richiedono automaticamente un certificato dal modello di certificato controller di dominio . Tuttavia, i controller di dominio non sono a conoscenza dei modelli di certificato più recenti o delle configurazioni sostituite nei modelli di certificato. Per consentire ai controller di dominio di registrare e rinnovare automaticamente i certificati, configurare un oggetto Criteri di gruppo per la registrazione automatica dei certificati e collegarlo all'unità organizzativa Controller di dominio .
- Aprire la Console Gestione Criteri di gruppo (gpmc.msc)
- Espandere il dominio e selezionare il nodo Oggetto Criteri di gruppo nel riquadro di spostamento
- Fai clic con il pulsante destro del mouse su Oggetto Criteri di gruppo e seleziona Nuovo.
- Digitare Registrazione automatica certificato controller di dominio nella casella nome e selezionare OK
- Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Registrazione automatica certificati controller di dominio e scegliere Modifica
- Nel riquadro di spostamento espandere Criteri in Configurazione computer
- Espandere Impostazioni di Windows Impostazioni >> di sicurezza Criteri chiave pubblica
- Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Client servizi certificati - Registrazione automatica e scegliere Proprietà
- Selezionare Abilitato dall'elenco Modello di configurazione
- Selezionare la casella di controllo Rinnovare i certificati scaduti, aggiornare i certificati in sospeso e rimuovere i certificati revocati
- Selezionare la casella di controllo Aggiorna certificati che usano modelli di certificato
- Selezionare OK
- Chiudere l'Editor gestione Criteri di gruppo
Distribuire l'oggetto Criteri di gruppo di registrazione automatica del certificato del controller di dominio
Accedere alle workstation di gestione o controller di dominio con credenziali equivalenti all'amministratore di dominio .
- Avvia la Console Gestione Criteri di gruppo (gpmc.msc)
- Nel riquadro di spostamento espandere il dominio ed espandere il nodo con il nome di dominio di Active Directory. Fare clic con il pulsante destro del mouse sull'unità organizzativa Controller di dominio e scegliere Collega un oggetto Criteri di gruppo esistente...
- Nella finestra di dialogo Seleziona oggetto Criteri di gruppo selezionare Registrazione automatica certificato controller di dominio o il nome dell'oggetto Criteri di gruppo per la registrazione del certificato del controller di dominio creato in precedenza
- Selezionare OK
Convalidare la configurazione
Windows Hello for Business è un sistema distribuito che all'apparenza sembra complesso e difficile. La chiave per una distribuzione riuscita consiste nel convalidare le fasi di lavoro prima di passare alla fase successiva.
Verificare che i controller di dominio registrino i certificati corretti e non tutti i modelli di certificato sostituiti. Verificare che ogni controller di dominio ha completato la registrazione automatica del certificato.
Usare i log eventi
Accedere alle workstation di gestione o controller di dominio con credenziali equivalenti all'amministratore di dominio .
- Usando il Visualizzatore eventi, passare al registro eventiMicrosoft>Windows>CertificateServices-Lifecycles-System per applicazioni e servizi>
- Cercare un evento che indica una nuova registrazione del certificato (registrazione automatica):
- I dettagli dell'evento includono il modello di certificato in cui è stato emesso il certificato
- Il nome del modello di certificato usato per rilasciare il certificato deve corrispondere al nome del modello di certificato incluso nell'evento
- Anche l'identificazione personale del certificato e le EKU per il certificato sono incluse nell'evento
- L'EKU necessario per l'autenticazione corretta di Windows Hello for Business è l'autenticazione Kerberos, oltre ad altre EKU fornite dal modello di certificato
I certificati sostituiti dal nuovo certificato del controller di dominio generano un evento di archivio nel registro eventi. L'evento di archiviazione contiene il nome del modello do certificato e l'identificazione personale del certificato che è stato sostituito dal nuovo certificato.
Gestione certificati
Puoi utilizzare la console Gestione certificati per convalidare il controller di dominio ha registrato correttamente il certificato in base al modello di certificato corretto con gli EKU corretti. Usa certlm.msc per visualizzare il certificato negli archivi certificati computer locali. Espandi l'archivio Personale e visualizza i certificati registrati per il computer. I certificati archiviati non vengono visualizzati in Gestione certificati.
Certutil.exe
È possibile usare il certutil.exe
comando per visualizzare i certificati registrati nel computer locale. Certutil mostra i certificati registrati e archiviati del computer locale. Da un prompt dei comandi con privilegi elevati eseguire il comando seguente:
certutil.exe -q -store my
Per visualizzare informazioni dettagliate su ogni certificato nell'archivio e per convalidare la registrazione automatica del certificato ha registrato i certificati appropriati, usare il comando seguente:
certutil.exe -q -v -store my
Risoluzione dei problemi
Windows attiva la registrazione automatica dei certificati per il computer durante l'avvio e gli aggiornamenti di Criteri di gruppo. Puoi aggiornare i Criteri di gruppo da un prompt dei comandi con privilegi elevati utilizzando gpupdate.exe /force
.
In alternativa, puoi attivare in modo forzato la registrazione automatica dei certificati usando certreq.exe -autoenroll -q
da un prompt dei comandi con privilegi elevati.
Usa i registri eventi per monitorare la registrazione e l'archiviazione dei certificati. Esaminare la configurazione, ad esempio la pubblicazione di modelli di certificato nell'autorità di certificazione emittente e le autorizzazioni di registrazione automatica consentite .
Revisione della sezione e passaggi successivi
Prima di passare alla sezione successiva, verificare che i passaggi seguenti siano completati:
- Configurare i certificati del controller di dominio
- Sostituire i certificati del controller di dominio esistenti
- Annullare la pubblicazione di modelli di certificato sostituiti
- Configurare un modello di certificato dell'agente di registrazione
- Configurare un modello di certificato di autenticazione
- Pubblicare i modelli di certificato nella CA
- Distribuire i certificati ai controller di dominio
- Convalidare la configurazione dei controller di dominio