Configurazione profili certificato in Configuration Manager
Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Le informazioni contenute in questo argomento si applicano solo alle versioni di System Center 2012 R2 Configuration Manager.
Prima di poter usare Configuration Manager per registrare i certificati su dispositivi e per utenti, è necessario eseguire i passaggi di configurazione descritti in questo argomento.
Procedura per configurare la registrazione dei certificati in Configuration Manager
Usare la seguente tabella per i passaggi, i dettagli e per ulteriori informazioni su come configurare la registrazione certificato in Configuration Manager. Prima di iniziare, verificare gli eventuali prerequisiti elencati in Prerequisiti per i profili certificato in Configuration Manager.
Dopo avere completato questi passaggi e aver verificato l'installazione, è possibile configurare e distribuire i profili certificato. Per altre informazioni, vedere Come creare i profili certificati in Configuration Manager.
Passaggi |
Dettagli |
Altre informazioni |
||
---|---|---|---|---|
Passaggio 1: Installare e configurare il servizio Registrazione dispositivi di rete e le dipendenze |
Il servizio ruolo Servizio registrazione dispositivi di rete per Servizi certificati Active Directory (AD CS) deve essere in esecuzione sul sistema operativo Windows Server 2012 R2.
|
Vedere Passaggio 1: installare e configurare il servizio Registrazione dispositivi di rete e le dipendenze in questo argomento. |
||
Passaggio 2: Installare e configurare il punto di registrazione certificati |
È necessario installare almeno un punto di registrazione certificati. Il punto di registrazione può essere in un sito di amministrazione centrale o un sito primario. |
Vedere Passaggio 2: installare e configurare il punto di registrazione certificati in questo argomento. |
||
Passaggio 3: Installare il modulo criteri di Configuration Manager |
Installare il modulo criteri sul server che esegue il servizio Registrazione dispositivi di rete. |
Vedere Passaggio 3: installare il modulo criteri di Configuration Manager in questo argomento. |
Procedure aggiuntive per configurare la registrazione dei certificati in Configuration Manager
Usare le seguenti informazioni quando i passaggi indicati nella tabella precedente richiedono procedure aggiuntive.
Passaggio 1: installare e configurare il servizio Registrazione dispositivi di rete e le dipendenze
È necessario installare e configurare il servizio del ruolo Servizio di registrazione dispositivi di rete per Servizi certificati Active Directory (AD CS), modificare le autorizzazioni di sicurezza nei modelli del certificato, distribuire un certificato di autenticazione client PKI (Public Key Infrastructure) e modificare il registro per aumentare il limite della dimensione predefinita di IIS (Internet Information Services). Se necessario, occorre configurare anche l'autorità di certificazione (CA) emittente per consentire un periodo di validità personalizzato.
Importante |
---|
Prima di configurare Configuration Manager per usare il servizio Registrazione dispositivi di rete, verificare l'installazione e la configurazione del servizio stesso. Se queste dipendenze non funzionano correttamente, sarà difficile risolvere problemi di registrazione dei certificati usando Configuration Manager. |
Per installare e configurare il servizio Registrazione dispositivi di rete e le dipendenze
-
Su un server che esegue Windows Server 2012 R2, installare e configurare il ruolo servizio Registrazione dispositivi di rete per il ruolo del server Servizi certificati Active Directory. Per altre informazioni, vedere Informazioni aggiuntive sul servizio Registrazione dispositivi di rete nella libreria Servizi certificati Active Directory in TechNet.
-
Controllare e, se necessario, modificare le autorizzazioni di sicurezza per i modelli di certificato usati dal servizio Registrazione dispositivi di rete:
- Per l'account in cui è in esecuzione la console di Configuration Manager: autorizzazione **Lettura**. Questa autorizzazione è richiesta in modo che durante l'esecuzione di Creazione guidata profilo di certificato è possibile selezionare il modello di certificato che si desidera usare quando si crea profilo delle impostazioni SCEP. La selezione di un modello di certificato implica che alcune impostazioni nella procedura guidata vengano popolate automaticamente. Questo semplifica la configurazione ed evita la selezione di impostazioni che non sono compatibili con i modelli di certificato usati dal servizio Registrazione dispositivi di rete. - Per l'account del servizio SCEP usato dal pool di applicazioni del servizio Registrazione dispositivi di rete: autorizzazioni **Lettura** e **Registrazione**. Questo non è un requisito specifico di Configuration Manager ma è parte della configurazione del servizio Registrazione dispositivi di rete. Per altre informazioni, vedere [Informazioni aggiuntive sul servizio Registrazione dispositivi di rete](https://go.microsoft.com/fwlink/p/?linkid=309016) nella libreria Servizi certificati Active Directory in TechNet.
Suggerimento Per identificare i modelli di certificato utilizzati dal servizio Registrazione dispositivi di rete, visualizzare la seguente chiave del Registro di sistema sul server che esegue il servizio Registrazione dispositivi di rete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.
Nota
Queste sono le autorizzazioni di sicurezza predefinite appropriate per la maggior parte degli ambienti. Tuttavia, è possibile usare una configurazione di protezione alternativa. Per altre informazioni, vedere Pianificazione per autorizzazioni modello di certificato per profili certificato in Configuration Manager.
-
Distribuire a questo server un certificato PKI che supporta l'autenticazione client. Un certificato adatto potrebbe essere già disponibile sul computer in uso oppure potrebbe essere necessario o preferibile distribuire un certificato in modo specifico per questo scopo. Per altre informazioni sui requisiti richiesti per questo certificato, fare riferimento alle informazioni per "Server su cui è in esecuzione il modulo criteri di Configuration Manager con il servizio ruolo del servizio Registrazione dispositivi di rete" nella sezione Certificati PKI per server nell'argomento Requisiti dei certificati PKI per Configuration Manager.
Suggerimento Per distribuire più facilmente questo certificato, è possibile usare le istruzioni per Distribuzione del certificato client per punti di distribuzione nell'argomento Esempio dettagliato di distribuzione dei certificati PKI per Configuration Manager: Autorità di certificazione di Windows Server 2008, perché i requisiti del certificato sono gli stessi, con un'eccezione:
Non selezionare la casella di controllo Rendi la chiave privata esportabile nella scheda Gestione richiesta delle proprietà dei modelli di certificato.
Non è necessario esportare questo certificato con la chiave privata perché sarà possibile accedere all'archivio del computer locale e selezionarlo quando si configura il modulo criteri di Configuration Manager.
-
Individuare il certificato principale a cui è collegato il certificato di autenticazione client. Quindi esportare questo certificato CA radice in un file di certificato (.cer). Salvare questo file in un percorso protetto a cui sarà possibile accedere in modo sicuro quando si installa e si configura il server di sistema del sito per il punto di registrazione certificati.
-
Sullo stesso server usare l'editor del Registro di sistema per incrementare il limite dimensione URL predefinito IIS impostando i seguenti valori DWORD delle chiavi del Registro di sistema in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters:
- Impostare la chiave **MaxFieldLength** su **65534**. - Impostare la chiave **MaxRequestBytes** su **16777216**.
Per altre informazioni, vedere l'articolo 820129: Impostazioni del Registro di sistema Http.sys per Windows nella Microsoft Knowledge Base.
-
Sullo stesso server, in Gestione Internet Information Services (IIS), modificare le impostazioni del filtro richieste per l'applicazione /certsrv/mscep, quindi riavviare il server. Nella finestra di dialogo Modifica impostazioni di filtro richieste, verificare che le impostazioni Limiti richiesta corrispondano alle seguenti:
- **Lunghezza contenuto massima consentita (byte)**: **30000000** - **Lunghezza massima URL (byte)**: **65534** - **Lunghezza massima stringa di query in (byte)**: **65534**
Per altre informazioni su queste impostazioni e sulla loro configurazione, vedere Limiti richiesta nella Raccolta informazioni di riferimento IIS.
-
Per poter richiedere un certificato il cui periodo di validità è inferiore a quello del modello di certificato in uso: Questa configurazione è disabilitata per impostazione predefinita da una CA globale (enterprise). Per abilitare questa opzione in una CA globale (enterprise), usare lo strumento della riga di comando Certutil, quindi arrestare e riavviare il servizio certificati usando i seguenti comandi:
certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc
Per altre informazioni, vedere Strumenti e impostazioni servizi certificati nella libreria PKI Technologies in TechNet.
-
Verificare che il servizio Registrazione dispositivi di rete sia in funzione usando il seguente collegamento come esempio: https://server.contoso.com/certsrv/mscep/mscep.dll. Verrà visualizzata la pagina Web incorporata del servizio Registrazione dispositivi di rete. Questa pagina Web illustra il servizio e spiega che i dispositivi di rete usano l'URL per inviare richieste di certificati.
Ora che il servizio Registrazione dispositivi di rete e le dipendenze sono configurate, è possibile installare e configurare il punto di registrazione certificati.
Passaggio 2: installare e configurare il punto di registrazione certificati
È necessario installare e configurare almeno un punto di registrazione certificato nella gerarchia Configuration Manager ed è possibile installare questo ruolo del sistema del sito nel sito dell'amministrazione centrale oppure in un sito primario.
Importante |
---|
Prima di installare il punto di registrazione del certificato, vedere la sezione nell'argomento per i requisiti del sistema operativo e le dipendenze per il punto di registrazione certificati.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq |
Per installare e configurare il punto di registrazione certificati
-
Nella console di Configuration Manager, fare clic su Amministrazione.
-
Nell'area di lavoro Amministrazione espandere Configurazione del sito, fare clic su Server e ruoli del sistema del sito, quindi selezionare il server che si desidera usare per il punto di registrazione certificati.
-
Nella scheda Home, nel gruppo Server, fare clic su Aggiungi ruoli del sistema del sito.
-
Nella pagina Generale specificare le impostazioni generali per il sistema del sito e quindi fare clic su Avanti.
-
Nella pagina Proxy fare clic su Avanti. Il punto di registrazione certificati non usa le impostazioni del proxy Internet.
-
Nella pagina Selezione ruolo del sistema selezionare Punto di registrazione certificati dall'elenco dei ruoli disponibili, quindi fare clic su Avanti.
-
Nella pagina Punto di registrazione certificati accettare o modificare le impostazioni predefinite, quindi fare clic su Aggiungi.
-
Nella finestra di dialogo Aggiungi URL e certificato CA radice, specificare quanto segue, quindi fare clic su OK:
URL per il servizio di registrazione dispositivi di rete: Specificare l'URL nel formato seguente: https://<server_FQDN>/certsrv/mscep/mscep.dll. Ad esempio, se il FQDN del server che esegue il servizio Registrazione dispositivi di rete è server1.contoso.com, digitare https://server1.contoso.com/certsrv/mscep/mscep.dll.
Certificato CA radice: Individuare e selezionare il file del certificato (con estensione cer) creato e salvato nel Passaggio 1: Installare e configurare il servizio Registrazione dispositivi di rete e le dipendenze. Questo certificato CA radice consente al punto di registrazione certificati di convalidare il certificato di autenticazione client che verrà usato dal modulo criteri di Configuration Manager.
Nota
Se si usano più server che eseguono il servizio Registrazione dispositivi di rete, fare clic su Aggiungi per specificare i dettagli per gli altri server.
-
Fare clic su Avanti e completare la procedura guidata.
-
Attendere qualche minuto per consentire il completamento dell'installazione, quindi verificare che il punto di registrazione certificati sia installato correttamente usando uno dei seguenti metodi:
Nell'area di lavoro Monitoraggio espandere Stato del sistema, fare clic su Stato componente e cercare i messaggi di stato dal componente SMS_CERTIFICATE_REGISTRATION_POINT.
Nel server del sistema del sito usare il file <Percorso di installazione di ConfigMgr>\Logs\crpsetup.log e il file <Percorso di installazione di ConfigMgr>\Logs\crpmsi.log. Una corretta installazione restituirà un codice di uscita pari a 0.
Usando un browser, verificare che sia possibile connettersi all'URL del punto di registrazione certificati, ad esempio, https://server1.contoso.com/CMCertificateRegistration. Accertarsi che venga visualizzata una pagina di Errore server per il nome dell'applicazione con una descrizione HTTP 404.
-
Individuare il file del certificato esportato per la CA radice che il punto di registrazione certificati ha creato automaticamente nella seguente cartella del computer del server del sito primario: <ConfigMgr Installation Path>\inboxes\certmgr.box. Salvare questo file in un percorso protetto a cui sarà possibile accedere in modo sicuro quando si installerà il modulo criteri di Configuration Manager sul server che esegue il servizio Registrazione dispositivi di rete.
Suggerimento Questo certificato non è immediatamente disponibile in questa cartella. Potrebbe essere necessario attendere (ad esempio, mezz'ora) prima che Configuration Manager copi il file in questo percorso.
Ora che il punto di registrazione certificati è installato e configurato, è possibile installare il modulo criteri di Configuration Manager sul server che esegue il servizio Registrazione dispositivi di rete.
Passaggio 3: installare il modulo criteri di Configuration Manager
È necessario installare e configurare il modulo criteri di Configuration Manager su ogni server specificato nel Passaggio 2: Installare e configurare il punto di registrazione certificati come URL per il servizio Registrazione dispositivi di rete nelle proprietà del punto di registrazione certificati.
Per installare il modulo criteri
-
Sul server che esegue il servizio Registrazione dispositivi di rete accedere come un amministratore di dominio e copiare i seguenti file dalla cartella <SupportodiInstallazioneConfigMgr>\SMSSETUP\POLICYMODULE\X64 nei supporti di installazione di Configuration Manager in una cartella temporanea:
- PolicyModule.msi - PolicyModuleSetup.exe
Inoltre, se si dispone di una cartella LanguagePack sul supporto di installazione, copiare questa cartella e il relativo contenuto.
-
Dalla cartella temporanea, eseguire PolicyModuleSetup.exe per avviare Installazione guidata del modulo criteri di Configuration Manager.
-
Nella pagina iniziale della configurazione guidata, fare clic su Avanti, accettare le condizioni di licenza, quindi fare clic su Avanti.
-
Nella pagina Cartella di installazione accettare la cartella di installazione predefinita per il modulo criteri o specificare una cartella alternativa, quindi fare clic su Avanti.
-
Nella pagina Punto di registrazione certificati, specificare l'URL del punto di registrazione certificati usando l'FQDN del server del sistema del sito e il nome dell'applicazione virtuale specificato nelle proprietà del punto di registrazione certificati. Il nome dell'applicazione virtuale predefinito è CMCertificateRegistration. Ad esempio, se il nome di dominio qualificato (FQDN) del server del sistema del sito è server1.contoso.com ed è stato usato il nome dell'applicazione virtuale, specificare https://server1.contoso.com/CMCertificateRegistration.
-
Accettare la porta predefinita 443 o specificare un numero di porta alternativo usato dal punto di registrazione certificati, quindi fare clic su Avanti.
-
Nella pagina Certificato client per il modulo criteri individuare e specificare il certificato di autenticazione client distribuito nel Passaggio 1: Installare e configurare il servizio Registrazione dispositivi di rete e le dipendenze e quindi fare clic su Avanti.
-
Nella pagina Certificato punto di registrazione certificati fare clic su Sfoglia per selezionare il file del certificato esportato per la CA radice individuata e salvata alla fine del Passaggio 2: Installare e configurare il punto di registrazione certificati.
Nota
Se non è stato salvato in precedenza, il file di certificato si trova in <Percorso di Installazione di ConfigMgr>\inboxes\certmgr.box nel computer del server del sito.
-
Fare clic su Avanti e completare la procedura guidata.
Ora che sono stati completati i passaggi di configurazione per installare il servizio Registrazione dispositivi di rete e le dipendenze, il punto di registrazione certificati e il modulo criteri di Configuration Manager, è possibile distribuire i certificati agli utenti e ai dispositivi creando e distribuendo profili certificato. Per altre informazioni su come creare profili certificato, vedere Come creare i profili certificati in Configuration Manager.
Se si desidera disinstallare il modulo criteri di Configuration Manager, usare Programmi e funzionalità nel Pannello di controllo.