Esportare una catena di certificati dell'autorità di certificazione client attendibile da usare per l'autenticazione client

Per configurare l'autenticazione reciproca per il client o l'autenticazione client, il gateway applicazione richiede che nel gateway venga caricata una catena di certificati dell'autorità di certificazione client attendibile. Se sono presenti più catene di certificati, è necessario creare le catene separatamente e caricarle come file diversi nel gateway applicazione. Questo articolo illustra come esportare una catena di certificati dell'autorità di certificazione client attendibile che è possibile usare nella configurazione di autenticazione client nel gateway.

Prerequisiti

Per generare la catena di certificati dell'autorità di certificazione client attendibile, è necessario un certificato client esistente.

Esportare un certificato dell'autorità di certificazione client attendibile

Per consentire l'autenticazione client nel gateway applicazione, è necessario un certificato dell'autorità di certificazione client attendibile. In questo esempio, si usa un certificato TLS/SSL per il certificato client, si esporta la chiave pubblica quindi si esportano i certificati dell'autorità di certificazione dalla chiave pubblica per ottenere i certificati dell'autorità di certificazione client attendibili. Tutti i certificati dell'autorità di certificazione client vengono quindi concatenati in un'unica catena di certificati dell'autorità di certificazione client attendibile.

La procedura seguente consente di esportare il file PEM o CER per il proprio certificato:

Esportare un certificato pubblico

1. Per ottenere un file con estensione cer dal certificato, aprire Gestire i certificati utente. Individuare il certificato, in genere in "Certificati - Utente corrente\Personale\Certificati" e fare clic con il pulsante destro del mouse. Fare clic su Tutte le attività e quindi su Esporta. Si avvia la procedura di Esportazione guidata certificati. Se non è possibile trovare il certificato in Utente corrente\Personale\Certificati, è possibile aver accidentalmente aperto Certificati - Computer locale" invece di "Certificati - Utente corrente". Se si vuole aprire Gestione certificati nell'ambito dell'utente corrente usando PowerShell, digitare certmgr nella finestra della console.

   

2. Nella procedura guidata fare clic su Avanti.

   

3. Selezionare No, non esportare la chiave privata e quindi fare clic su Avanti.

   

4. Nella pagina Formato file di esportazione selezionare Codificato Base 64 X.509 (.CER) e quindi fare clic su Avanti.

   

5. In File da esportare fare clic su Sfoglia e passare alla posizione in cui si vuole esportare il certificato. Per Nome file, assegnare un nome al file del certificato. Quindi fare clic su Next.

   

6. Fare clic su Fine per esportare il certificato.

   

7. Il certificato è stato esportato correttamente.

   

   Il certificato esportato è simile al seguente:

   

Esportare i certificati dell'autorità di certificazione dal certificato pubblico

Dopo aver esportato il certificato pubblico, si esportano i certificati dell'autorità di certificazione dal certificato pubblico. Se si dispone solo di una autorità di certificazione radice, sarà sufficiente esportare tale certificato. Tuttavia, se si dispone di più autorità di certificazione intermedie, è necessario esportare anche ognuna di queste.

1. Dopo l'esportazione della chiave pubblica, aprire il file.

   

   

2. Passare alla visualizzazione della scheda Percorso certificazione per visualizzare l'autorità di certificazione.

   

3. Selezionare il certificato radice e fare clic su Visualizza certificato.

   

   Verranno visualizzati i dettagli del certificato radice.

   

4. Passare alla scheda Dettagli e fare clic su Copia nel file...

   

5. A questo punto, sono stati estratti i dettagli del certificato dell'autorità di certificazione radice dal certificato pubblico. Viene visualizzata l'Esportazione guidata certificati. Seguire i passaggi da 2 a 7 della sezione precedente (Esportare un certificato pubblico) per completare l'Esportazione guidata certificati.

6. Ripetere ora i passaggi da 2 a 6 della sezione corrente (Esportare i certificati dell'autorità di certificazione dal certificato pubblico) per tutte le autorità di certificazione intermedie per esportare tutti i relativi certificati nel formato X.509 (.CER) con codifica Base 64.

   

   Ad esempio, si ripetono i passaggi da 2 a 6 di questa sezione nell'autorità di certificazione intermedia MSIT CAZ2 per estrarla come certificato.

Concatenare tutti i certificati dell'autorità di certificazione in un unico file

1. Eseguire il comando seguente con tutti i certificati dell'autorità di certificazione estratti in precedenza.

   Windows:

   type intermediateCA.cer rootCA.cer > combined.cer
   

   Linux:

   cat intermediateCA.cer rootCA.cer >> combined.cer
   

   Il certificato combinato risultante deve essere simile al seguente:

   

Passaggi successivi

A questo punto è disponibile la catena di certificati dell'autorità di certificazione client attendibile. È possibile aggiungerlo alla configurazione di autenticazione client nel gateway applicazione per consentire l'autenticazione reciproca con il gateway. Vedere Configurare l'autenticazione reciproca usando il gateway applicazione con il portale o configurare l'autenticazione reciproca usando il gateway applicazione con PowerShell.