Enterprise Certification Authority – ADCS: installazione e configurazione con Windows Server


Windows Server 2022

Richiedere un certificato all’autorità di certificazione

Genera un certificato dalla console Certificati

In questa parte vedremo come richiedere un certificato dalla console Certificati MMC di un computer membro del dominio Active Directory. L’account utilizzato è un membro del gruppo Domain Admins.

Per illustrare il tutorial, genereremo un certificato informatico che verrà utilizzato per le connessioni Desktop remoto.

Sulla console, vai alla cartella Personale 1 e fai clic con il tasto destro nell’area centrale e vai su Tutte le attività 2 e fai clic su Richiedi un nuovo certificato 3.

Request certificate

Quando si avvia la procedura guidata, fare clic su Avanti 1.

Wizard request certificate

Selezionare il modello di certificato Computer 1 quindi fare clic su Registrazione 2.

Select computer certificate

Il certificato è stato generato, fare clic su Fine 1.

Request completed

Il certificato è ora disponibile nello store.

installed certificate

Copia/incolla per inserirlo nell’archivio Desktop remoto 1 ed elimina il certificato autofirmato dal server.

Certificate computer by CA

È possibile vedere il certificato generato sull’autorità di certificazione dalla console di amministrazione nella cartella Certificati emessi.

Certificat in AC

Per utilizzare il certificato, è necessario effettuare questo ordine :wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<certificate thumbprint>"

Richiedere il certificato da IIS

In questa parte vedremo come richiedere un certificato di dominio utilizzando la console IIS. Per contattare l’autorità di certificazione aziendale, il server deve essere membro del dominio.

Dalla console IIS di un server, fare clic su Certificati server 1.

IIS Console

Fare clic con il tasto destro nell’area dei certificati e fare clic su Crea certificato di dominio 1 o accedere al menu Azioni.

New certificate

Immettere le informazioni sul certificato 1, il nome comune contiene l’indirizzo che identificherà. È possibile creare un certificato per un altro dominio. Fare clic su Avanti 2.

Certificate Properties

Bisogna ora scegliere l’ente di certificazione aziendale, cliccare su Seleziona 1.

Select autorty

Scegliere l’autorità 1 e fare clic su OK 2.

Select autority

Con l’autorità selezionata, immettere il nome descrittivo del server 1 e fare clic su Fine 2.

Select autorty

Il certificato 1 viene generato ed è disponibile in IIS.

generated certificate

Il certificato è disponibile anche nell’archivio dei certificati emessi dall’autorità di certificazione.

Delivred certificates

Effettua una richiesta di certificato personalizzato

Ora che abbiamo visto come effettuare richieste di certificato per computer e siti Web in IIS, vedremo ora come effettuare una richiesta di certificato personalizzato con più nomi DNS e indirizzi IP.

Dalla console Certificati di un computer membro del dominio, vai alla cartella Personale/Certificati 1. Fare clic con il tasto destro nell’area di visualizzazione e andare su Tutte le attività 2 / Operazioni avanzate 3 e fare clic su Crea richiesta personalizzata 4.

Custom certificate request

Quando si avvia la procedura guidata, fare clic su Avanti 1.

Wizard

Selezionare il criterio di registrazione di Active Directory 1 quindi fare clic su Avanti 2.

Select policy

Scegliere il modello 1 (Web Server) e cliccare su Avanti 2.

Select model

Viene visualizzato un riepilogo del modello di certificato, fare clic su Proprietà 1.

Information certificate

Configurare il nome comune del certificato 1 e fare clic su Aggiungi 2.

Common name

Ora che il nome comune è stato aggiunto, nella sezione Nome alternativo 1, scegli il tipo DNS 2, inserisci il nome desiderato 3 e fai clic su Aggiungi 4.

Add name

Come puoi vedere di seguito, è possibile aggiungere più nomi DNS. Aggiungeremo ora un indirizzo IP, sceglieremo il tipo Indirizzo IP (v4) 1, indicheremo l’indirizzo IP 2 e faremo clic su Aggiungi 3.

address IP

Ora che l’indirizzo IP è stato aggiunto, fare clic su Applica 1 e OK 2 per convalidare le informazioni sul certificato.

Certificat informations

Fare clic su Avanti 1 per continuare la richiesta.

Continue the request

Indicare il percorso e il nome del file 1 (CSR) per salvare la richiesta e fare clic su Fine 2.

Save CSR

Il file di richiesta è stato generato, ora è necessario inviare la richiesta all’autorità di certificazione aziendale. Aprire un browser Internet e immettere l’URL http://nome-server/certsrv/ 1. Fare clic sul collegamento Richiedi un certificato 2.

Webpage request

Fare clic sulla richiesta avanzata di certificato 1.

custom request

Apri il file di query con un editor di test e copia la stringa 1.

CSR

Incolla la richiesta 1 nel campo Richiesta salvata, scegli il modello 2 e clicca su Invia 3.

Submission of the certificate

Recuperare il certificato facendo clic su Scarica certificato 1.

Download certificat

Torna alla console Certificati, vai su Richiesta di registrazione certificato 1 / Certificati 2, fai clic con il pulsante destro del mouse su di esso, quindi Tutte le attività 3 / Importa 4.

Import certificat

Quando si avvia la procedura guidata, fare clic su Avanti 1.

wizard import

Selezionare il certificato scaricato 1 e fare clic su Avanti 2.

Select certificate file

Uscire dal negozio, fare clic su Avanti 1.

select folder

Fare clic su Fine 1 per completare l’importazione.

Finish the import

Il certificato viene generato e vediamo che è stato emesso dall’autorità di certificazione aziendale.

generated certificate

Ora puoi spostare il certificato del negozio su Personale.

Di default non è possibile esportare il certificato con la sua chiave privata, è necessario modificare il modello.




Lascia un commento