Servizi certificati: per le chiavi di crittografia verrà utilizzato il provider predefinito.
Servizi certificati Active Directory (AD CS) richiede certificati degli agenti di recupero chiavi, certificati di scambio (XCHG) e chiavi al fine di supportare l'archiviazione delle chiavi. Il funzionamento dei certificati degli agenti di recupero chiavi, dei certificati XCHG e dei provider del servizio di crittografia necessari per la loro creazione è fondamentale per un'infrastruttura a chiave pubblica.
Utilizzo di un provider del servizio di crittografia che supporta l'archivio e il recupero chiavi
Potrebbe non essere possibile utilizzare gli strumenti di amministrazione per risolvere i problemi causati da provider di crittografia, il componente software che esegue la crittografia e le attività correlate per la generazione dei certificati di crittografia. Tuttavia, le seguenti attività possono rivelare informazioni di diagnostica a supporto del processo di risoluzione:
Identificare e testare il provider del servizio di crittografia.
Se continuano a verificarsi problemi e si utilizza un provider non Microsoft, contattare il fornitore per informazioni sulla risoluzione dei problemi.
È inoltre possibile ripristinare il provider di chiavi di crittografia predefinito, ma sarà anche necessario revocare il certificato di scambio CA in modo che ne venga emesso uno nuovo basato sul nuovo provider.
Se continuano a verificarsi problemi e si utilizza un provider Microsoft, contattare il supporto tecnico Microsoft.
Identificare e verificare un provider di crittografia
Per eseguire questa procedura è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Per identificare e testare il provider del servizio di crittografia che si sta utilizzando:
Aprire una finestra del prompt dei comandi.
Digitare certutil -getreg ca\EncryptionCSP e premere INVIO.
Digitare certutil -csp <nomeprovider> -csptest e premere INVIO. Sostituire providername con il provider individuato nell'output del passaggio 2.
Se si utilizza un provider del servizio di crittografia non Microsoft, contattare il fornitore per l'assistenza. Altrimenti, contattare il supporto tecnico Microsoft.
Reimpostare il provider di chiavi di crittografia predefinito
Per eseguire questa procedura, è necessario essere membri del gruppo Administrators locale o avere ricevuto in delega l'autorità appropriata.
È possibile configurare l'autorità di certificazione (CA) in modo che utilizzi il provider dei certificati di crittografia predefinito di Microsoft impostando la seguente chiave del Registro di sistema su Provider di archiviazione chiavi del software Microsoft.
Nota: potrebbe essere necessario revocare il certificato di Exchange CA corrente, se ne esiste uno, in modo che ne venga rilasciato uno nuovo basato sul nuovo provider. Quindi riavviare la CA.
Per modificare un provider di chiavi di crittografia configurato:
Attenzione: modifiche non corrette del Registro di sistema potrebbero danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è necessario eseguire il backup di tutti i dati rilevanti.
Nel computer in cui si trova la CA fare clic sul pulsante Start, digitare regedit, quindi premere INVIO.
Passare a HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\nome CA\EncryptionCSP\Provider.
Modificare il valore elencato in Provider di archiviazione chiavi del software Microsoft.
Aprire lo snap-in Autorità di certificazione.
Nell'albero della console fare clic su Certificati emessi.
Nel riquadro dei dettagli selezionare il certificato di Exchange CA.
Nel menu Azione, scegliere Tutte le attività, quindi fare clic su Revoca certificato.
Selezionare il motivo della revoca del certificato, regolare l'ora della revoca, se necessario, e quindi fare clic su Sì.
Riavviare la CA.
Per verificare che l'archiviazione e il recupero delle chiavi funzioni correttamente:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Nell'albero della console, fare clic con il pulsante destro del mouse sul nome dell'autorità di certificazione (CA), quindi fare clic su Proprietà.
Fare clic sulla scheda Agenti recupero dati.
Verificare che tutti i certificati degli agenti di recupero chiavi siano elencati come Valido.
Nel contenitore Modelli di certificato, verificare che un certificato di crittografia disponga dell'opzione Archivia chiave privata di crittografia del soggetto configurata nella scheda Gestione richiesta.
Aprire lo snap-in Certificati per un account utente che disponga di autorizzazioni per la registrazione di un certificato basato su questo modello di certificato.
Nell'albero della console menu, fare clic su Personale, scegliere Tutte le attività, quindi fare clic su Richiedi nuovo certificato per avviare la procedura guidata di registrazione certificato.
Registrare un certificato basato sul modello di crittografia e verificare che la registrazione venga completata correttamente e senza la segnalazione di errori.
Quando la registrazione è completa, aprire lo snap-in Autorità di certificazione.
Nell'albero della console, fare clic su Certificati emessi.
Individuare la voce per il certificato appena emesso e aggiungere la colonna Chiave archiviata all'elenco di visualizzazione degli snap-in.
Verificare che la parola Sì venga visualizzata nella colonna Chiave archiviata per il certificato appena emesso.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 88 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.88" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">88</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>