Installazione dei certificati di esempio di CardSpace
Per utilizzare gli esempi di CardSpace, devono essere installati certificati SSL, directory virtuali Web e voci del file host. In questo documento viene illustrato come installare i certificati obbligatori e vengono esaminati i passaggi da utilizzare per installare certificati alternativi.
Prima di iniziare
L'installazione degli esempi di CardSpace dipende dall'installazione riuscita di One-Time Setup Procedure for the Windows Communication Foundation Samples.
Installazione rapida dell'esempio
Per installare i certificati, creare host virtuali per i siti Web e creare le voci host contemporaneamente, è necessario eseguire il file batch Setup.bat nella directory degli esempi. Gli script vengono eseguiti uno alla volta.
Per disinstallare tutto, eseguire il file batch Cleanup.bat nella directory degli esempi. In questo modo script, sito Web e voci host vengono disinstallati. I file non vengono eliminati.
Informazioni sui certificati
In questo documento viene illustrato come installare i certificati obbligatori. Per ulteriori informazioni sui certificati, vedere i documenti seguenti:
Strumenti e impostazioni dei certificati
Per ulteriori informazioni sui certificati CA, vedere i documenti seguenti:
Definizione dei certificati CA
Funzionamento dei certificati CA
Strumenti e impostazioni dei certificati CA
Requisiti
Questa procedura dettagliata è stata creata per Windows XP SP2, Windows Server 2003 SP1e Windows Vista. È necessario installare i componenti seguenti:
Microsoft .NET Framework 3.0.
IIS 5.0 (Windows XP SP2), IIS 6.0 (Windows Server 2003) o IIS 7.0 (Windows Vista).
Nota
Per Windows Vista, controllare che il supporto della compatibilità di IIS 6.0 sia installato con IIS 7.0.
I certificati seguenti si trovano nella cartella dei certificati:
I file seguenti si trovano nella cartella del sito Web seguente:
images\adatum.gif
images\contoso.gif
images\fabrikam.gif
crldata\adatum.crl
CardSpace\default.html
I file di script seguenti si trovano nella cartella degli script:
Install-certificates.vbs
Remove-certificates.vbs
Install-website.vbs
Remove-website.vbs
Install-hosts.vbs
Remove-hosts.vbs
Informazioni su questi certificati
I presenti certificati vengono illustrati solo per scopi dimostrativi. Il certificato CA radice è archiviato come file con estensione sst (Archivio certificati serializzati Microsoft). I certificati del sito Web sono tutti archiviati come file PFX. I certificati vengono utilizzati per due categorie di scenari: scenari browser e scenari Windows Communication Foundation (WCF).
I certificati di esempio sono certificati di garanzia elevata contenenti immagini del logo incorporate. I certificati di garanzia elevata vengono emessi da una CA che ha eseguito passaggi aggiuntivi per verificare l'oggetto per il quale il certificato viene emesso. In Internet Explorer 7.0, questi certificati di elevata garanzia fanno in modo che la barra degli indirizzi cambi colore. Se il browser è in grado di verificare i dettagli e l’estrazione del certificato, la barra degli indirizzi diventa verde:
.gif)
In caso di problemi durante la verifica del certificato (di elevata garanzia e non), Internet Explorer 7.0 farà diventare la barra degli indirizzi gialla:
.gif)
Analogamente, se Internet Explorer 7.0 sospetta la presenza di un sito di phishing, la barra degli indirizzi diventa rossa:
.gif)
Con certificati SSL regolari la barra degli indirizzi resta bianca.
Le estensioni del logo consentono alla CA di incorporare un'immagine grafica nel certificato e di fornire un URL in base al quale verificarla. Gli URL per la grafica del logo nei certificati di esempio vengono configurati a http://www.adatum.com/images/\<logo>.gif, in cui < logo>è il nome del logo.
Per gli scenari del browser di Internet Explorer 7.0 e per gli scenari WCF, i certificati devono essere installati sul server Web e devono avere i logo grafici configurati sotto una directory virtuale in IIS, mentre il file host deve essere modificato per includere i nomi di dominio di esempio (Fabrikam, Contoso e Adatum).
Per tutti gli scenari: per utilizzare gli esempi tra più computer, modificare manualmente il file c:\windows\system32\drivers\etc\hosts utilizzando il Blocco note per modificare il file host:
.gif)
Aggiungere le voci seguenti (sostituzione dell'indirizzo IP appropriato del server invece di 127.0.0.1):
127.0.0.1 www.adatum.com adatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
Siti Web e URL di esempio
Le applicazioni e siti Web di esempio creano directory virtuali in IIS sotto l'applicazione Web predefinita che deve essere associata alla porta 80 e non utilizzano un'intestazione host, consentendo in tal modo a www.fabrikam.com, www.adatum.com e www.contoso.com di condividere lo stesso server Web. Il canale SSL è associato al certificato per www.fabrikam.com e viene utilizzato per le connessioni HTTPS. Gli esempi singoli creano directory virtuali nel sito Web predefinito per illustrare gli esempi.
Installazione dei certificati
Il certificato CA radice della CA fittizia (Adatum) deve essere installato nel percorso “Autorità di certificazione radice attendibili” nell’archivio del computer locale. (localMachine:root).
I certificati della società (Contoso e Fabrikam) devono essere installati nel percorso “Personale” nell'archivio del computer locale. (localMachine:My). Le password per tutti i file PFX sono vuote. Eseguire lo script Install-certificates.vbs dalla cartella degli script. Lo script installa i certificati negli archivi appropriati. Una volta ultimata l’esecuzione dello script, viene richiesto di proseguire:
.gif)
come precauzione di protezione aggiuntiva (da CAPICOM), lo script può mostrare un avviso che un certificato CA è in fase di installazione. Accettare il certificato per procedere.
.gif)
Lo script supporta anche due parametri facoltativi della riga di comando, DEBUG e VERBOSE, che forniscono informazioni aggiuntive durante l'esecuzione.
Utenti esperti: installare i certificati manualmente tramite Microsoft Management Console.
Installazione dei logo grafici e di CRL
Le immagini grafiche per le estensioni del logo nei certificati devono essere disponibili ai client per la verifica.
| Società | URL | Image |
|---|---|---|
Adatum |
http://www.adatum.com/images/adatum.gif |
<Datum-Image> |
Contoso |
https://www.contoso.com/images/contoso.gif |
<Contoso-Image> |
Fabrikam |
http://www.fabrikam.com/images/fabrikam.gif |
<Fabrikam-Image> |
Eseguire lo script Install-website.vbs dalla cartella degli script. Lo script crea le directory virtuali per i logo del certificato e l'elenco di revoche di certificati (CRL).
.gif)
Utenti esperti: creare le directory virtuali manualmente tramite lo snap-in MMC di IIS. Nella tabella seguente viene fornito un elenco delle tre directory che puntano alle cartelle nella cartella di installazione.
| Directory virtuale. | Percorso |
|---|---|
crldata |
.\website\crldata |
CardSpace |
.\website\CardSpace |
immagini |
.\website\images |
Modifica del file host
Il file c:\windows\system32\drivers\etc\hosts viene modificato per gli esempi in modo che gli URL vengano risolti sul computer locale.
Eseguire lo script Install-hosts.vbs dalla cartella degli script. Lo script crea le voci nei file host per gli esempi.
Utenti esperti: creare le voci manualmente modificando il file c:\windows\system32\drivers\etc\hosts e aggiungendo le righe seguenti:
127.0.0.1 www.adatum.com atatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
Verifica della corretta installazione
Per verificare l’installazione del file host e della directory Web virtuale, utilizzare Internet Explorer e spostarsi a http://www.fabrikam.com/CardSpace. Il browser visualizzerà la pagina predefinita per l’esempio.
IIS: elenchi di controllo di accesso per le chiavi private dei certificati
Affinché IIS acceda alle chiavi private dei certificati, gli elenchi di controllo di accesso devono essere impostati per l’account del servizio IIS (ASPNET su Windows XP e Windows Vista, e NETWORK SERVICE su Windows Server 2003) per avere l’accesso in lettura ai file. Ciò viene gestito dallo script di installazione del certificato. Per impostare l'autorizzazione sulle chiavi private per altri certificati, utilizzare Findprivatekey.exe da Windows SDK e Cacls.exe, effettuando la sostituzione nell'identificazione digitale dell'altro certificato:
findprivatekey.exe my localmachine -t "d47de657fa4902555902cb7f0edd2ba9b05debb8" –a
ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120cacls
cacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120 /G ASPNET:R
Are you sure (Y/N)?y
processed file: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120
Disinstalla
Per disinstallare certificati di esempio, directory virtuali e voci host, eseguite gli script seguenti:
Remove-certificates.vbs
Remove-website.vbs
Remove-hosts.vbs
La registrazione dei certificati, sito Web e host verranno rimossi.
Nota
I file non vengono eliminati dalla directory di installazione.
Quando il certificato CA viene rimosso dal sistema, lo script può visualizzare il messaggio seguente:
.gif)
Fare clic su Sì per consentire la rimozione del certificato.
Risoluzione dei problemi
Impostazioni del proxy di Internet Explorer: affinché gli esempi del browser funzionino correttamente potrebbe essere necessario aggiungere alle impostazioni Internet Explorer Explorer quanto di seguito riportato per ignorare il proxy:
www.fabrikam.com;fabrikam.com;www.contoso.com;contoso.com;adatum.com;
www.adatum.com;woodgrovebank.com;www.woodgrovebank.com
Se si utilizza un proxy individuato automaticamente, disattivare l’individuazione automatica e immette manualmente le informazioni del proxy. Chiedere all'amministratore di sistema informazioni sulla configurazione del proxy.
In caso di problemi nella corretta visualizzazione delle modifiche del certificato, cancellare la cache del certificato di SSL in Internet Explorer. Da Internet Explorer, fare clic su Strumenti e quindi su Opzioni Internete selezionare il pulsante Cancella stato SSL . Chiudere quindi tutte le istanze di Internet Explorer.
.gif)
Gli scenari del browser di Internet Explorer 7.0 utilizzano connessioni SSL e richiedono la configurazione del sito Web predefinito con un certificato SSL. Durante la risoluzione dei problemi, le connessioni SSL possono spesso richiedere del tempo, con alcuni suggerimenti rapidi è possibile risolvere facilmente la maggior parte dei problemi.
Per iniziare, scaricare l'utilità SSL Diagnostics per IIS.
Nota
Tutte le schermate visualizzate in questo documento provengono da un computer che sta eseguendo Windows Vista. Se si sta eseguendo su un sistema operativo precedente, è possibile che vengano visualizzate finestre di dialogo leggermente diverse.
Vedere anche
Altre risorse
Using CardSpace in Windows Communication Foundation
.gif)
Invia commenti su questo argomento a Microsoft.
Copyright © 2007 Microsoft Corporation. Tutti i diritti riservati.