locked
CA "In order to complete certificate enrollment, the Web site for the CA must be configured to use HTTPS authentication" RRS feed

Tutte le risposte

  • per risolvere il problema devi:

    1) richiedere un certificato per il web server usando il wizard che hai a disposizione nell'IIS Manager

    2) la richiesta alla CA verrà completata automaticamente con l'installazione del certificato che avrò già il common name corretto

    ( qui il dettaglio http://www.entrust.net/knowledge-base/technote.cfm?tn=8713 )

    3) dovrai a questo punto fare il binding del web server sulla porta 443 ed indicare l'utilizzo del certificato richiesto al passo 1)

    al termine potrai richiedere il certificato alla CA direttamente dal'interfaccia web scrivendo

    https://nomeserver/certsrv


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 15 ottobre 2013 12:53
    Moderatore
  • Ciao

    si sono riuscito seguendo la mia guida...ma quando faccio il binding è corretto usare il certificato che crea di default il server dove è situata la ca (ad esempio il pdc) ? oppure ne devo creare uno nuovo?

    la mia esigenza è creare un certificato per firmare digitalmente macro Outlook per fini di sicurezza onde evitare l'abilitazione dell'esecuzione di tutte le macro tramite gpo...come la effettuo una richiesta di questo tipo alla ca ?

    fai conto che la macro deve essere eseguita da n utenti....

    Grazie

    Mattia Lodi



    • Modificato MSalterego martedì 15 ottobre 2013 13:05
    martedì 15 ottobre 2013 13:04
  • stai mettendo assieme troppi problemi diversi e ciascuno di essi richiede un'adeguata spiegazione.

    per quanto riguarda la sicurezza delle Certification Authorities, si dovrebbe in realtà costruire una "catena" di CA "nonno-padre-figlio", spegenere quella "nonno" ed utilizzare le padre figlio per l'emissione dei certificati finali. d'altra parte questa infrastruttura di CA richiede manutenzione e competenza pertanto, in realtà ridotte, ci si accontenta di una sola CA "madre".

    il fatto che la CA sia su un domain controller non è proprio nelle best practices ma permette di tagliare fuori tutte quelle beghe di problemi di connettività tra un member server con la CA e i domain controllers.

    mi pare di capire che tu abbia su un unico server sia il ruolo di dc, sia la CA, sia l'interfaccia web per richiedere i certificati alla CA, giusto ?

    ok, non è proprio il massimo ma se la "n" davanti a utenti è 100 può andar bene, se è 10.000 non va più bene.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 15 ottobre 2013 13:40
    Moderatore
  • ciao

    l'infrastruttura è limitata a 80 user, conosco tra l'altro il funzionamento della certification authority.

    Sul pdc sebbene so che non sia da best practices ho installato una root ca e relativo servizio iis 8 con pubblicata la relativa interfaccia web https:\\nomeserver/certsrv per l'enrollment dei certificati.

    So che se gli utenti fossero di più magari sarebbe meglio installare un member server Root ca ed una catena di ca nonno padre figlio ecc come le chiami tu.

    Mattia Lodi 



    • Modificato MSalterego martedì 15 ottobre 2013 14:16
    martedì 15 ottobre 2013 13:59
  • bene, quindi hai fatto tutto perciò qual'era la domanda ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 15 ottobre 2013 14:44
    Moderatore
  • ciao

    come faccio la richiesta ad un ca interna per firmare una macro Outlook vba ? questo nasce dal fatto che non voglio abilitare l'esecuzione di tutte le macro a livello di dominio, in quanto sarebbe un buco in termini di security e di possibile esecuzione di codice maligno, pertanto vorrei eseguire solo macro firmate digitalmente......ho sempre usato selfcert.exe per creare un certificato self signed per testarla in locale....

    Consigli ?

    Grazie

    ML



    • Modificato MSalterego martedì 15 ottobre 2013 15:06
    martedì 15 ottobre 2013 15:04
  • non si usa quasi mai firmare digitalmente le macro con certificati emessi da certification authorities di Windows, normale o si usa il selfcert.exe o si usa un certificato rilasciato da una CA pubblica.

    è possibile però fare anche quello che chiedi tu: vedi qui

    http://www.ldap389.info/en/2011/09/08/sign-excel-macro-vba-with-certificate-issued-by-enterprise-pki-adcs/

    come procedere.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 16 ottobre 2013 10:37
    Moderatore
  • ok pensavo proprio fosse così....dato la scarsa documentazione in giro, ma se volessi usare selfcert.exe per generare il certificato come dovrei procedere, se la macro deve essere utilizzata da tutti gli utenti di dominio ?

     devo generare n certificati ? 

     

    • Modificato MSalterego mercoledì 16 ottobre 2013 12:29
    mercoledì 16 ottobre 2013 12:26
  • perchè? basta distribuire un unico certificato a tutti.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 16 ottobre 2013 12:30
    Moderatore
  • quando uso selfcert.exe non crea un certificato a livello di utente ? o sbaglio ?
    mi sembra che se usi selfcert il certificato generato te lo ritrovi aprendo mmc nei certicati dell'utente cartella "personale"
    • Modificato MSalterego mercoledì 16 ottobre 2013 12:35
    mercoledì 16 ottobre 2013 12:33
  • ma un certificato può essere esportato anche trai certificati personali di altri utenti quindi ne basta uno solo.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 18 ottobre 2013 09:50
    Moderatore
  • ti invito a provare quello che stai dicendo...non è così...

    assolutamente vero che un certificato personale può essere esportato anche tra i certificati di altri utenti....sempre che riesci a esportare sia chiave privata che chiave pubblica cosa che con selfcert.exe quando generi il certificato non è possibile.....

    se sai qualcosa in più sul da farsi girami dettagliatamente la cosa che provo in ambiente di test virtuale..

    forse si può risolvere con un certificato wilcard forse....devo provare..

    MAttia Lodi


    http://support.microsoft.com/kb/217221/it leggi qui
    • Modificato MSalterego venerdì 18 ottobre 2013 11:52
    venerdì 18 ottobre 2013 11:35
  • hai cominciato dicendo che avevi problemi a far rilasciare un certificato ad una CA su win2k12 poi sei passato a dire che il certificato ti serve per firmare delle macro vba e, ad ogni mia risposta, affermi di sapere già tutto.

    bene, se sai già tutto significa che non hai alcun problema quindi non capisco dove vuoi andare a parare.

    in tutto il thread non hai detto dove deve andare in esecuzione questa macro ossia qual'è l'ambiente in cui dovrà essere trustata per funzionare.

    se la soluzione che hai creato devi venderla, ti devi comprare un certificato da una Certification Authority pubblica, altrimenti puoi accontentarti di selfcert.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    sabato 19 ottobre 2013 09:29
    Moderatore
  • grazie per la risposta e per la soluzione
    • Modificato MSalterego lunedì 21 ottobre 2013 08:04
    lunedì 21 ottobre 2013 07:22