In questo tutorial vedremo come distribuire un certificato su computer e server che sono membri di un dominio Active Directory utilizzando un GPO (Criteri di gruppo).
Ecco alcuni casi in cui potrebbe essere necessario distribuire un certificato utilizzando Criteri di gruppo:
- Autorità di certificazione interna (ADCS)
- Certificato dell’appliance firewall per il filtraggio SSL
- Certificato autofirmato del server web/rds
L’implementazione dei certificati tramite criteri di gruppo consente di installare il certificato sui computer direttamente nell’archivio corretto in modo centralizzato tramite Active Directory.
Sommario
Esportare il certificato da distribuire
Operazione da eseguire sul server su cui è installato il certificato con la chiave privata.
Aprire la console MMC Gestione certificati sul computer locale e andare all’archivio in cui è archiviato il certificato.
Selezionare il certificato 1, fare clic destro su di esso e andare su Tutte le attività 2 > Esporta… 3.
Quando si apre la procedura guidata, fare clic su Avanti 1.
Selezionare No, non esportare la chiave privata 1, quindi fare clic su Avanti 2.
Selezionare uno dei due formati X.509 1 e fare clic sul pulsante Avanti 2.
Il certificato deve avere l’estensione .cer
Fare clic sul pulsante Sfoglia… 1.
Selezionare la cartella 1, immettere il nome del file 2 e premere Salva 3.
Convalidare il percorso e il nome del file 1, quindi fare clic su Avanti 2.
Fare clic sul pulsante Fine 1 per chiudere la procedura guidata.
Controllare la creazione del file.
Posizionare il certificato in una posizione accessibile al controllo del dominio.
Creazione della policy (GPO) per distribuire un certificato
Aprire la console Gestione Criteri di gruppo.
Fare clic con il pulsante destro del mouse su OU 1, quindi fare clic su Crea un GPO in questo dominio e collegalo qui… 2.
Assegnare il nome 1 alla strategia e fare clic su OK 2.
Fare clic con il tasto destro del mouse sulla strategia 1 e fare clic su Modifica… 2.
Accedere all’impostazione Autorità di certificazione radice attendibili 1 che si trova in: Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criterio chiave pubblica. Fare clic con il pulsante destro del mouse 2 e fare clic su Importa 3.
Quando la procedura guidata si avvia, fare clic su Avanti 1.
Fare clic su Sfoglia… 1.
Andare alla posizione del file 1, selezionare il certificato 2 e fare clic su Apri 3.
Torna alla procedura guidata e fai clic su Avanti 1.
Impossibile selezionare il negozio, fare clic su Avanti 1.
Fare clic su Fine 1 per importare il certificato.
Fare clic su OK 1 per confermare l’importazione.
Il certificato importato dovrebbe essere visualizzato sotto i parametri 1.
Impostazioni strategiche:
Testare la distribuzione del certificato
Riavviare un computer su cui è applicato il criterio di gruppo che installa il certificato
Accedere al computer.
Aprire la console MMC Gestione certificati sul computer locale e andare su Autorità di certificazione radice attendibile 1 e verificare la presenza del certificato 2.
In questo tutorial abbiamo visto come distribuire un certificato utilizzando un GPO, ma anche come esportare un certificato dall’archivio certificati di un computer locale.