Documentazione di Oracle Cloud Infrastructure

Configurazione dell'autorità di certificazione di Windows Server

Scopri come configurare ADCS nel server Window.

Per memorizzare la chiave privata nel cluster HSM è necessario configurare l'autorità di certificazione (CA, Certificate Authority). Per questa configurazione, è innanzitutto necessario aggiungere il ruolo ADCS (Active Directory Certificate Services) al server Windows. Dopo aver aggiunto il ruolo ADCS, è possibile utilizzare il Key Storage Provider (KSP) per creare e gestire la chiave privata della CA nel cluster HSM. KSP è un'interfaccia che collega Windows Server al cluster HSM.

Prerequisiti

Per impostare Windows Server come autorità di certificazione (CA) con il cluster HSM, sono necessari i prerequisiti riportati di seguito.
  • Cluster HSM attivo.
  • Servizio client KMS dedicato OCI in esecuzione nel sistema operativo Windows Server.
  • Account CU (Crittographic User) per la chiave privata dell'autorità di certificazione del manager nel cluster.

Aggiunta del ruolo Servizi certificato Active Directory

Per creare la CA di Windows Server, è innanzitutto necessario aggiungere il ruolo ADCS (Active Directory Certificate Services) al server Windows. Il ruolo ADCS consente di utilizzare il provider KSP per creare e memorizzare la chiave privata della CA nel cluster.

  1. Dal menu Start di Windows, andare a Windows Server, quindi avviare Server Manager.
  2. Fare clic su Gestisci nell'angolo superiore destro, quindi selezionare Aggiungi ruoli e funzioni.
  3. Nella pagina Prima di iniziare, leggere le informazioni, quindi fare clic su Avanti.
  4. Nella pagina Seleziona tipo di installazione, selezionare Installazione basata sui ruoli o installazione basata sulle funzioni e fare clic su Successivo.
  5. Nella pagina Seleziona server di destinazione selezionare Selezionare un server dal pool di server, quindi fare clic su Avanti.
  6. Nella pagina Seleziona ruoli server, selezionare quanto segue, quindi fare clic su Avanti.
    • Servizi certificati Active Directory
    • Aggiungi funzioni.
  7. Nella pagina Servizi certificati Active Directory, fare clic su Successivo. Nella pagina Servizi ruoli, selezionare quanto segue:
    • Selezionare Autorità di certificazione.
  8. Nella pagina Conferma selezioni di installazione verificare i dettagli, quindi fare clic su Installa.
  9. Al termine dell'installazione, fare clic sul collegamento Configura servizi certificati Active Directory nel server di destinazione.
  10. Nella pagina Credenziali verificare o modificare le credenziali e fare clic su Avanti.
  11. Nella pagina Servizi ruolo, selezionare Autorità di certificazione e fare clic su Successivo.
  12. Nella pagina Tipo di impostazione, selezionare Canada autonoma e fare clic su Avanti.
  13. Nella pagina Tipo di CA, selezionare Root CA e fare clic su Avanti.
  14. Nella pagina Chiave privata, selezionare Crea una nuova chiave privata e fare clic su Avanti.
  15. Nella pagina Crittografia, specificare le seguenti opzioni e fare clic su Avanti:
    • Selezionare un provider crittografico: selezionare Cavium Key Storage Provider.
    • Lunghezza chiave: scegliere una delle opzioni di lunghezza della chiave.
    • Selezionare l'algoritmo hash per la firma dei certificati emessi da questa CA: scegliere un algoritmo hash.
  16. Nella pagina Nome CA fornire i dettagli riportati di seguito e fare clic su Avanti.
    • Nome comune.
    • Suffisso del nome distinto.
    • Anteprima del nome distinto.
  17. Nella pagina Periodo di validità, immettere il periodo di validità in anni, mesi, settimane o giorni, quindi fare clic su Avanti.
  18. Nella pagina Database certificato, fornire la posizione per il certificato e i log e fare clic su Avanti.
  19. Nella pagina Configura fare clic su Configura.
  20. Nella pagina Risultati, fare clic su Chiudi.
    Nota

    È possibile verificare se la CA è stata installata correttamente eseguendo sc query certsvc dalla riga di comando.

Firma di un CSR con una CA di Windows Server

Scopri come firmare un CSR utilizzando Windows Server CA.

Utilizzare l'autorità di certificazione (CA) del server Windows con il cluster HSM per firmare una richiesta di firma certificato (CSR, Certificate Signing Request).

Per completare questo task è necessaria una richiesta di firma certificato (CSR, Certificate Signing Request) valida. Creare un CSR utilizzando uno dei seguenti metodi:

  • Apri SSL
  • Gestione IIS (Internet Information Services) di Windows Server
  • CLI di Windows (utilizzando la utility certreq)

Completare i seguenti passaggi per firmare un CSR con CA del server Windows.

  1. Collegarsi al server Windows e avviare Windows Server Manager.
  2. Nel Dashboard Server Manager fare clic su Strumenti.
  3. Fare clic su Autorità di certificazione.
  4. Nella pagina Autorità di certificazione, effettuare le operazioni riportate di seguito.
    1. Aprire il menu Azioni e selezionare Tutti i task, quindi selezionare Sottometti nuova richiesta.
    2. Selezionare il file della richiesta di firma certificato e fare clic su Apri.
    3. Nella finestra Autorità di certificazione, selezionare Richieste in sospeso e selezionare la richiesta in sospeso.
    4. Nel menu Azione, selezionare Tutti i task, quindi selezionare Problema.
    5. Nella finestra Autorità di certificazione, selezionare Richieste emesse per visualizzare il certificato firmato.
  5. Facoltativo. Per esportare il certificato firmato, fare quanto segue:
    1. Nella finestra Autorità di certificazione, selezionare il certificato.
    2. Selezionare la scheda Dettagli, quindi selezionare Copia in file.
    3. Completare le istruzioni nella Esportazione guidata certificato.
  6. Fare clic su Chiudi.