Come creare i profili certificati in Configuration Manager

Per avviare la Creazione guidata profilo certificato

1. Nella console di Configuration Manager fare clic su Asset e conformità.

2. Nell'area di lavoro Asset e conformità espandere Impostazioni di conformità, Accesso risorse aziendali e quindi fare clic su Profili certificati.

3. Nella scheda Home del gruppo Crea fare clic su Crea profilo certificato.

Per fornire informazioni generali sul profilo certificato

1. Nella pagina Generale della Creazione guidata profilo certificato specificare le informazioni seguenti:

   - **Nome**: immettere un nome univoco per il profilo certificato. È possibile usare un massimo di 256 caratteri.
   
   - **Descrizione**: fornire una descrizione che offra una panoramica del profilo certificato e altre informazioni rilevanti per facilitarne l'identificazione nella console di Configuration Manager. È possibile usare un massimo di 256 caratteri.
   
   - **Specificare il tipo di profilo del certificato che si desidera creare**: Scegliere uno dei tipi di profilo certificato seguenti:
   
       - **Certificato CA attendibile**: selezionare questo tipo di profilo certificato se si vuole distribuire un certificato CA radice trusted o un certificato CA intermedio per formare una catena di certificati quando l'utente o il dispositivo deve autenticare un altro dispositivo. Ad esempio, il dispositivo potrebbe essere un server RADIUS (Remote Authentication Dial-In User Service) o un server di rete privata virtuale (VPN). È anche necessario configurare un profilo certificato CA attendibile prima di creare un profilo certificato SCEP. In questo caso, il certificato CA attendibile deve essere un certificato radice attendibile per la CA che emetterà il certificato per l'utente o il dispositivo.
   
       - **Impostazioni di Simple Certificate Enrollment Protocol (SCEP)**: selezionare questo tipo di profilo certificato se si vuole richiedere un certificato per un utente o un dispositivo usando Simple Certificate Enrollment Protocol e il servizio del ruolo del servizio Registrazione dispositivi di rete.
   

Per configurare un certificato CA attendibile

1. Nella pagina Certificato CA attendibile della Creazione guidata profilo certificato specificare le informazioni seguenti:

   - **File di certificato**: fare clic su **Importa** e individuare il file di certificato da usare.
   
   - **Archivio di destinazione**: per i dispositivi con più archivi certificati consente di selezionare il percorso in cui archiviare il certificato. Per i dispositivi con un solo archivio, questa impostazione viene ignorata.
   

2. Usare il valore Identificazione personale certificato per accertarsi di aver importato il certificato corretto.

Per configurare le informazioni sul certificato SCEP

1. Nella pagina Registrazione SCEP della Creazione guidata profilo certificato specificare le informazioni seguenti:

   - **Tentativi**: specificare il numero di tentativi di richiesta certificato inviati automaticamente dal dispositivo al server che esegue il servizio Registrazione dispositivi di rete. Questa impostazione supporta lo scenario in cui un CA manager deve approvare una richiesta di certificato prima di essere accettata. Questa impostazione viene in genere usata per gli ambienti ad alta protezione o se si dispone di una CA emittente autonoma invece di una CA globale (enterprise). È anche possibile usare questa impostazione a scopo di test, in modo da poter ispezionare le opzioni di richiesta certificato prima che la richiesta certificato venga elaborata dalla CA emittente. Usare questa impostazione con l'opzione **Intervallo tra tentativi (minuti)**.
   
   - **Intervallo tra tentativi (minuti)**: specificare l'intervallo in minuti tra ogni tentativo di registrazione quando si usa l'approvazione del responsabile CA prima che la richiesta di certificato venga elaborata dalla CA emittente. Se si usa l'approvazione responsabile a scopo di test, potrebbe essere necessario specificare un valore basso in modo da non dover attendere troppo tempo prima di un nuovo tentativo di richiesta certificato dopo che questa è stata approvata. Tuttavia, se si usa l'approvazione responsabile in una rete di produzione, potrebbe essere necessario specificare un valore più elevato per fornire all'amministratore della CA il tempo sufficiente per verificare e approvare o negare le approvazioni in sospeso.
   
   - **Soglia di rinnovo (%)**: specificare la percentuale di durata residua del certificato prima che il dispositivo richieda il rinnovo del certificato.
   
   - **Provider di archiviazione chiavi (KSP)**: specificare dove verrà archiviata la chiave per il certificato. Scegliere tra uno dei seguenti valori:
   
       - **Installa in TPM (Trusted Platform Module) se presente**: installa la chiave in TPM. Se il TPM non è presente, la chiave verrà installata nel provider di archiviazione per la chiave software.
   
       - **Installa in TPM (Trusted Platform Module) in caso di errore**: installa la chiave in TPM. Se il modulo TPM non è presente, l'installazione non riuscirà.
   
       - **Installa nel provider di archiviazione chiavi software**: installa la chiave nel provider di archiviazione per la chiave software.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   
   - **Dispositivi per la registrazione dei certificati**: se il profilo certificato viene distribuito in una raccolta utenti, scegliere se consentire la registrazione certificato solo sul dispositivo primario dell'utente o su tutti i dispositivi in cui l'utente esegue l'accesso. Se il profilo certificato viene distribuito in una raccolta dispositivi, scegliere se consentire la registrazione certificato solo per l'utente primario del dispositivo o per tutti gli utenti che accedono al dispositivo.
   

2. Nella pagina Proprietà certificato della Creazione guidata profilo certificato specificare le informazioni seguenti:

   - **Nome modello di certificato**: fare clic su **Sfoglia** per selezionare il nome di un modello di certificato configurato per essere usato dal servizio Registrazione dispositivi di rete e che è stato aggiunto a una CA emittente. Per selezionare modelli di certificato, l'account utente usato per eseguire la console di Configuration Manager deve disporre di autorizzazioni in lettura al modello di certificato. In alternativa, se non è possibile usare **Sfoglia**, digitare il nome del modello certificato.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221339.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Se il nome del modello di certificato contiene caratteri non ASCII (ad esempio, i caratteri dell'alfabeto cinese), il certificato non verrà distribuito. Per garantire la distribuzione del certificato, è necessario creare in primo luogo una copia del modello del certificato nella CA e rinominare la copia usando caratteri ASCII.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
     Tenere presente quanto segue, a seconda del fatto che si selezioni il percorso al modello di certificato o si digiti il nome del certificato:
   
       - Se si seleziona il percorso per scegliere il nome del modello di certificato, alcuni campi nella pagina vengono popolati automaticamente dal modello del certificato. In alcuni casi, non è possibile modificare questi valori, a meno che non si scelga un modello di certificato diverso.
   
       - Se si digita il nome del modello del certificato, assicurarsi che il nome corrisponda esattamente a uno dei modelli del certificato elencati nel registro di sistema del servizio che esegue il servizio Registrazione dispositivi di rete. Accertarsi di specificare il nome del modello del certificato e non il nome visualizzato del modello del certificato.
   
         Per trovare i nomi dei modelli di certificato, individuare la chiave seguente: HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MSCEP. I modelli di certificato verranno visualizzati come i valori per **EncryptionTemplate**, **GeneralPurposeTemplate** e **SignatureTemplate**. Per impostazione predefinita, il valore per i tre modelli di certificato è **IPSECIntermediateOffline**, che è associato al nome visualizzato del modello **IPSec (Offline request)**.
   
         <div class="alert">
   
         <table>
         <colgroup>
         <col style="width: 100%" />
         </colgroup>
         <thead>
         <tr class="header">
         <th><img src="images/JJ906422.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-warning(SC.12).jpeg" title="System_CAPS_warning" alt="System_CAPS_warning" />Avviso</th>
         </tr>
         </thead>
         <tbody>
         <tr class="odd">
         <td><p>Poiché Configuration Manager non è in grado di verificare i contenuti del modello di certificato quando si digita il nome del modello del certificato anziché eseguire una ricerca, potrebbe essere possibile selezionare opzioni che non sono supportate dal modello di certificato e che causano la mancata esecuzione della richiesta certificato. In questo caso, verrà visualizzato un messaggio di errore per w3wp.exe nel file CPR.log per segnalare che il nome modello in CSR e la richiesta di verifica non corrispondono.</p>
         <p>Quando si digita il nome del modello di certificato specificato per il valore <strong>GeneralPurposeTemplate</strong>, è necessario selezionare le opzioni <strong>Crittografia chiave</strong> e <strong>Firma digitale</strong> per il profilo certificato. Tuttavia, se si desidera abilitare solo l'opzione <strong>Crittografia chiave</strong> in questo profilo certificato, specificare il nome modello del certificato per la chiave <strong>EncryptionTemplate</strong>. Analogamente, se si desidera abilitare solo l'opzione <strong>Forma digitale</strong> in questo profilo certificato, specificare il nome modello del certificato per la chiave <strong>SignatureTemplate</strong>.</p></td>
         </tr>
         </tbody>
         </table>
   
         </div>
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   
   - **Tipo di certificato**: specificare se il certificato verrà distribuito a un dispositivo o un utente.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   
   - **Formato nome soggetto**: Nell'elenco selezionare la modalità di creazione automatica del nome del soggetto nella richiesta di certificato di Configuration Manager. Se il certificato è per un utente, è anche possibile includere l'indirizzo di posta elettronica dell'utente nel nome del soggetto.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   
   - **Nome alternativo soggetto**: specificare in che modo verranno creati automaticamente i valori per il nome alternativo del soggetto nella richiesta di certificato di Configuration Manager. Ad esempio, se si seleziona un tipo di certificato utente, è possibile includere il nome dell'entità utente (UPN) nel nome alternativo oggetto.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Gg712310.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Suggerimento</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Se il certificato client verrà usato per eseguire l'autenticazione in un server dei criteri di rete, è necessario impostare il nome alternativo oggetto sul nome dell'entità utente.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221339.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>I dispositivi iOS supportano formati del nome soggetto e nomi alternativi oggetto limitati nei certificati SCEP. Se si specifica un formato non supportato, i certificati non verranno registrati su dispositivi iOS. Quando si configura un profilo certificato SCEP da distribuire nei dispositivi iOS, usare il <strong>Nome comune</strong> per il <strong>Formato del nome soggetto</strong> e <strong>Nome DNS</strong>, <strong>Indirizzo di posta elettronica</strong> o <strong>UPN</strong> per il <strong>Nome alternativo oggetto</strong>.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
   - **Periodo di validità del certificato**: se il comando certutil - setreg Policy\\EditFlags +EDITF\_ATTRIBUTEENDDATE è stato eseguito nella CA emittente, che consente un periodo di validità personalizzato, è possibile specificare la quantità di tempo rimanente prima della scadenza del certificato. Per altre informazioni su questo comando, vedere [Passaggio 1: installare e configurare il servizio Registrazione dispositivi di rete e le dipendenze](dn270539\(v=technet.10\).md) nell'argomento [Configurazione profili certificato in Configuration Manager](dn270539\(v=technet.10\).md).
   
     È possibile specificare un valore inferiore, ma non superiore rispetto al periodo di validità nel modello di certificato indicato. Ad esempio, se il periodo di validità del certificato nel modello di certificato è di due anni, è possibile specificare un valore di un anno ma non un valore di cinque anni. Inoltre, il valore deve essere inferiore rispetto al periodo di validità rimanente del certificato della CA emittente.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   
   - **Uso chiave**: specificare le opzioni di uso delle chiavi per il certificato. È possibile scegliere una delle opzioni seguenti:
   
       - **Crittografia chiave**: consentire lo scambio di chiavi solo quando la chiave viene crittografata.
   
       - **Firma digitale**: consentire lo scambio di chiavi soltanto se una firma digitale consente di proteggere la chiave.
   
         Se è stato selezionato un modello di certificato usando **Sfoglia**, potrebbe non essere possibile modificare queste impostazioni senza selezionare un modello di certificato diverso.
   
     Il modello di certificato selezionato deve essere configurato con una o entrambe le due opzioni di utilizzo della chiave sopra riportate. In caso contrario, verrà visualizzato il messaggio **Utilizzo chiave in CSR e richiesta di verifica non corrispondono** nel file di registro del punto di registrazione certificati, **Reg.cert.**.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   
   - **Dimensioni chiave (bit)**: selezionare le dimensioni della chiave in bit.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   
   - **Utilizzo chiavi avanzato**: fare clic su **Seleziona** per aggiungere valori per lo scopo previsto del certificato. Nella maggior parte dei casi il certificato richiederà l'**Autenticazione Client** in modo che l'utente o il dispositivo possa eseguire l'autenticazione a un server. È comunque possibile aggiungere altri utilizzi di chiavi secondo necessità.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   
   - **Algoritmo hash**: selezionare uno dei tipi di algoritmo hash disponibili da usare con questo certificato. Selezionare il livello di sicurezza più avanzato supportato dai dispositivi che verranno connessi.
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P><STRONG>SHA-1</STRONG> supporta solo SHA-1.<STRONG>SHA-2</STRONG> supporta SHA-256, SHA-384 e SHA-512.<STRONG>SHA-1</STRONG> supporta solo SHA-3.</P>
   
   
     </div>
   
   - **Certificato CA radice**: fare clic su **Seleziona** per scegliere un profilo del certificato della CA già configurato e distribuito all'utente o nel dispositivo. Questo certificato CA deve essere il certificato radice per l'autorità di certificazione che rilascerà il certificato che si sta configurando in questo profilo certificato.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221339.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Se si specifica un certificato CA radice non distribuito all'utente o al dispositivo, Configuration Manager non avvierà la richiesta certificato in fase di configurazione in questo profilo certificato.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
     <div class="alert">
   
   
     > [!NOTE]
     > <P>Se si modifica questo valore dopo aver distribuito il certificato, il certificato precedente viene eliminato e viene richiesto un nuovo certificato.</P>
   
   
     </div>
   

Per specificare le piattaforme supportate per il profilo certificato

• Nella pagina Piattaforme supportate della Creazione guidata profilo certificato, selezionare i sistemi operativi in cui si desidera installare il profilo certificato. In alternativa, fare clic su Seleziona tutto per installare il profilo certificato su tutti i sistemi operativi disponibili.