Servizio di propagazione dei certificati

Il servizio di propagazione dei certificati (CertPropSvc) è un servizio Windows che viene attivato quando un utente inserisce una smart card in un lettore collegato al dispositivo. L'azione fa sì che i certificati vengano letti dalla smart card. I certificati vengono quindi aggiunti all'archivio personale dell'utente. Le azioni del servizio di propagazione dei certificati vengono controllate tramite Criteri di gruppo. Per altre informazioni, vedere Smart Card Criteri di gruppo e Impostazioni del Registro di sistema.

La figura seguente illustra il flusso del servizio di propagazione dei certificati. L'azione inizia quando un utente connesso inserisce una smart card.

1. La freccia con etichetta 1 indica che Service Control Manager (SCM) notifica al servizio di propagazione del certificato (CertPropSvc) quando un utente accede e CertPropSvc inizia a monitorare le smart card nella sessione utente

2. La freccia con l'etichetta R rappresenta la possibilità di una sessione remota e l'uso del reindirizzamento delle smart card

3. La freccia con etichetta 2 indica la certificazione al lettore

4. La freccia con etichetta 3 indica l'accesso all'archivio certificati durante la sessione client

   

5. Un utente connesso inserisce una smart card

6. CertPropSvc riceve una notifica dell'inserimento di una smart card

7. CertPropSvc legge tutti i certificati da tutte le smart card inserite. I certificati vengono scritti nell'archivio certificati personale dell'utente

Le proprietà del servizio di propagazione del certificato includono:

• CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES aggiunge certificati all'archivio personale di un utente
• Se il certificato ha la CERT_ENROLLMENT_PROP_ID proprietà (come definito da wincrypt.h), filtra le richieste vuote e le inserisce nell'archivio richieste dell'utente corrente, ma non le propaga all'archivio personale dell'utente
• Il servizio non propaga i certificati del computer all'archivio personale di un utente o propaga i certificati utente a un archivio computer
• Il servizio propaga i certificati in base alle opzioni Criteri di gruppo impostate, tra cui:
  • Attivare la propagazione del certificato dalla smart card specifica se il certificato di un utente deve essere propagato
  • Attivare la propagazione del certificato radice dalla smart card specifica se i certificati radice devono essere propagati
  • Configurare la pulizia del certificato radice specifica come vengono rimossi i certificati radice

Servizio di propagazione del certificato radice

La propagazione del certificato radice è responsabile degli scenari di distribuzione delle smart card seguenti quando l'attendibilità dell'infrastruttura a chiave pubblica (PKI) non è ancora stata stabilita:

• Aggiunta al dominio
• Accesso remoto a una rete

In entrambi i casi, il computer non è aggiunto a un dominio e pertanto l'attendibilità non viene gestita da Criteri di gruppo. Tuttavia, l'obiettivo è eseguire l'autenticazione in un server remoto, ad esempio il controller di dominio. La propagazione del certificato radice consente di usare la smart card per includere la catena di attendibilità mancante.

Quando viene inserita la smart card, il servizio di propagazione dei certificati propaga tutti i certificati radice nella scheda agli archivi certificati del computer radice della smart card attendibili. Questo processo stabilisce una relazione di trust con le risorse aziendali. È anche possibile usare un'azione di pulizia successiva quando la smart card dell'utente viene rimossa dal lettore o quando l'utente si disconnette. Questa opzione è configurabile con Criteri di gruppo. Per altre informazioni, vedere Smart Card Criteri di gruppo e Impostazioni del Registro di sistema.

Per altre informazioni sui requisiti del certificato radice, vedere Requisiti del certificato radice della smart card da usare con l'accesso al dominio.

Vedere anche

Come funziona l'accesso tramite smart card in Windows