Gestire l'attendibilità dei certificati

I certificati svolgono un ruolo fondamentale nella protezione e nella convalida dell'autenticazione e in altre attività relative alla sicurezza. Uno dei principi fondamentali che abilitano queste funzionalità è l'attendibilità del certificato. Affinché un certificato sia efficace, ogni utente, dispositivo o applicazione che ne fa uso deve considerare attendibile la CA da cui è stato rilasciato.

Che cosa si intende per attendibilità dei certificati?

Quando si usano i certificati, è importante considerare chi o che cosa può essere necessario per valutarne l'autenticità e la validità. È possibile usare tre tipi di certificati:

• I certificati interni rilasciati da una CA aziendale, come nel caso di un server che ospita il ruolo Servizi certificati Active Directory.
• I certificati esterni rilasciati da una CA pubblica, come nel caso di un'organizzazione che fornisce software commerciale di cybersecurity e servizi di gestione delle identità.
• Un certificato autofirmato.

Se una CA radice globale (enterprise) viene distribuita e usata per registrare i certificati nei dispositivi aggiunti a un dominio degli utenti, tali dispositivi accetteranno i certificati registrati come attendibili. Tuttavia, i dispositivi del gruppo di lavoro considereranno gli stessi certificati come non attendibili. Per risolvere questo problema, è possibile:

• Ottenere certificati pubblici da una CA esterna per i dispositivi del gruppo di lavoro. Questa soluzione comporta un costo aggiuntivo per il rilascio dei certificati pubblici.
• Configurare i dispositivi del gruppo di lavoro in modo da considerare attendibile la CA radice globale (enterprise). In questo caso, è necessario svolgere un'attività di configurazione aggiuntiva.

Gestire i certificati e la relativa attendibilità in Windows

È possibile gestire i certificati archiviati nel sistema operativo Windows usando una serie di strumenti, tra cui Windows Admin Center, lo snap-in Certificati di Microsoft Management Console, Windows PowerShell e lo strumento da riga di comando certutil. Ognuno di questi strumenti consente di accedere agli archivi certificati dell'utente corrente, del computer locale e dei relativi servizi. Ogni archivio è costituito da diverse cartelle, tra cui:

Per verificare che i dispositivi del gruppo di lavoro considerino attendibile la CA radice globale (enterprise), esportare il certificato dalla cartella Autorità di certificazione radice disponibile nell'elenco locale in un computer aggiunto al dominio e importarlo nella stessa cartella di tali dispositivi.

Creare un certificato autofirmato a scopo di test

Anche se i certificati autofirmati non sono adatti agli scenari di produzione, possono essere utili a scopo di test. Per creare un certificato autofirmato, è possibile usare il cmdlet New-SelfSignedCertificate di Windows PowerShell. Se si include il parametro CloneCert e si fornisce un certificato esistente, il nuovo certificato avrà le impostazioni corrispondenti ad eccezione della chiave pubblica. In alternativa, il cmdlet creerà una nuova chiave con lo stesso algoritmo e la stessa lunghezza.

Nell'esempio seguente viene creato un certificato server SSL autofirmato nell'archivio personale del computer locale con il nome alternativo del soggetto impostato su www.fabrikam.comwww.contoso.com e il nome del soggetto e dell'emittente impostati su www.fabrikam.com.

New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"