Esporta (0) Stampa
Espandi tutto

Gestire i certificati di insiemi di credenziali

Aggiornamento: aprile 2014

Nei servizi di ripristino di Windows Azure è incluso un set di insiemi di credenziali di Windows Azure che consentono di proteggere la propria organizzazione dalla perdita di dati e fornire continuità alle operazioni. Gli insiemi di credenziali vengono utilizzati per archiviare e proteggere le informazioni specificate durante la configurazione dei servizi di ripristino.

  • Se si utilizza Backup di Windows Azure, si creeranno insiemi di credenziali per il backup per archiviare gli elementi protetti dai server registrati per l'organizzazione.

  • Se si utilizza Gestione ripristino Hyper-V di Windows Azure si creeranno insiemi di credenziali di Gestione ripristino Hyper-V per orchestrare il failover e il ripristino per le macchine virtuali gestite da System Center 2012 R2 - Virtual Machine Manager (VMM). Vengono configurate e archiviate informazioni sui server VMM registrati, sui cloud protetti, sulle reti e sulle macchine virtuali abilitati per la protezione in un percorso di origine, nonché sui server VMM, sui cloud, sulle reti e sulle macchine virtuali utilizzati per il failover e il ripristino in un percorso di destinazione. È possibile creare piani di ripristino tramite cui viene specificato l'ordine di failover delle macchine virtuali e personalizzare questi piani per eseguire script aggiuntivi o azioni manuali.

È possibile configurare sia gli insiemi di credenziali di backup sia quelli di Hyper-V Recovery Manager in base alle proprie esigenze.

Per il certificato di gestione caricato in un insieme di credenziali di servizi di ripristino è richiesto quanto riportato di seguito:

  • È possibile utilizzare qualsiasi certificato SSL (Secure Sockets Layer) valido rilasciato da un'Autorità di certificazione (CA) considerata attendibile da Microsoft, e i cui certificati radice vengono distribuiti attraverso il programma Microsoft Root Certificate. Per ulteriori informazioni, vedere l'articolo Microsoft 931125.

    In alternativa, è possibile utilizzare un certificato autofirmato creato utilizzando lo strumento Makecert.exe.

  • Il certificato deve essere di tipo x.509 v3.

  • La lunghezza della chiave deve essere almeno di 2048 bit.

  • Al certificato deve essere associato un valore EKU ClientAuthentication valido.

  • Il certificato deve avere un periodo di validità non superiore ai tre anni. È necessario specificare una data di scadenza; in caso contrario, verrà utilizzata un'impostazione predefinita che è valida per più di tre anni.

  • Il certificato deve trovarsi nell'archivio certificati Personale del computer locale.

  • La chiave privata deve essere inclusa durante l'installazione del certificato.

  • Per caricare il certificato nel portale, è necessario esportarlo come un file di formato cer in cui è contenuta la chiave pubblica.

  • A ogni insieme di credenziali è associato un solo certificato alla volta. In qualsiasi momento è possibile caricare un certificato per sovrascrivere il certificato corrente associato all'insieme di credenziali.

I certificati vengono utilizzati per crittografare la comunicazione tra i server e gli insiemi di credenziali dei servizi di ripristino e per registrare i server con gli insiemi di credenziali. Configurare un certificato nel modo seguente:

  • Ottenere un certificato: è necessario caricare un certificato di gestione (cer) nell'insieme di credenziali. A questo scopo, è possibile effettuare una delle operazioni seguenti:

    • Ottenere un certificato autofirmato. utilizzando lo strumento Makecert.

    • Utilizzare qualsiasi certificato SSL valido rilasciato da un'Autorità di certificazione (CA) considerata attendibile da Microsoft, i cui certificati radice vengono distribuiti attraverso il programma Microsoft Root Certificate. Per ulteriori informazioni su questo programma, vedere l'articolo Microsoft Membri del programma Windows Root Certificate.

  • Esportare un certificato (pfx): nel server in cui è stato creato il certificato esportare il file con estensione cer come file con estensione pfx contenente la chiave privata. Questo file pfx verrà caricato nei server VMM all'installazione del provider di Gestione ripristino Hyper-V in questi server e verrà utilizzato per registrare i server con l'insieme di credenziali.

  • Importare il certificato (pfx): al termine dell'esportazione del file pfx, importarlo nell'archivio certificati personale in ogni server VMM che contiene le macchine virtuali che si desidera proteggere.

Utilizzare le procedure riportate di seguito per effettuare queste azioni.

Se si desidera utilizzare un certificato autofirmato, crearne uno nel modo seguente:

  1. Ottenere lo strumento Makecert come descritto in MakeCert. Si noti che quando si installa Windows Software Development Kit (Windows SDK), è possibile limitare l'installazione al solo strumento makecert.exe selezionando Strumenti in Sviluppo in .NET e lasciando tutte le altre opzioni deselezionate.

  2. Aprire un prompt dei comandi con privilegi elevati (privilegi di amministratore) e passare al percorso in cui è archiviato makecert.exe. Digitare:

    makecert.exe -r -pe -n CN=CertificateName -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -len 2048 -e 01/01/2016 CertificateName.cer

    Il certificato verrà creato e archiviato nello stesso percorso.

  3. Nell'insieme di credenziali fare clic su Gestisci certificato per caricare il file con estensione cer contenente la chiave pubblica.

Nel server in cui è stato eseguito makecert.exe, completare i passaggi di questa procedura per esportare il file cer nel formato pfx.

  1. Nella schermata iniziale digitare mmc.exe per avviare Microsoft Management Console (MMC).

  2. Nel menu File fare clic su Aggiungi/Rimuovi snap-in. Verrà visualizzata la finestra di dialogo Aggiungi o rimuovi snap-in.

  3. In Snap-in disponibili fare clic su Certificati, quindi su Aggiungi.

  4. Selezionare Account del computer, quindi fare clic su Avanti.

  5. Selezionare Computer locale, quindi fare clic su Fine.

  6. Nell'albero della console di MMC espandere Certificati, quindi Personale.

  7. Nel riquadro dei dettagli fare clic sul certificato che si desidera gestire.

  8. Nel menu Azione scegliere Tutte le attività, quindi fare clic su Esporta. Verrà visualizzata l'Esportazione guidata certificati. Fare clic su Avanti.

  9. Nella pagina Esportazione della chiave privata con il certificato fare clic su Esporta la chiave privata. Fare clic su Avanti. Si noti che questa operazione è necessaria solo se si desidera esportare la chiave privata in altri server dopo l'installazione.

  10. Nella pagina Formato file di esportazione selezionare Scambio di informazioni personali – PKCS #12 (*.PFX). Fare clic su Avanti.

  11. Nella pagina Password digitare e confermare la password utilizzata per crittografare la chiave privata. Fare clic su Avanti.

  12. Seguire le pagine della procedura guidata per esportare il certificato nel formato pfx.

Dopo aver esportato il certificato, copiarlo nel server che si desidera registrare e importarlo come segue. Si noti che non è necessario importare il certificato nel server utilizzato per eseguire MakeCert.exe.

  1. Copiare i file del certificato di chiave privata (con estensione pfx) in un percorso nel server locale.

  2. Nella schermata iniziale digitare mmc.exe, quindi premere INVIO per aprire MMC.

  3. Nella console MMC scegliere Aggiungi/Rimuovi snap-in dal menu File.

  4. Nella finestra di dialogo Aggiungi/Rimuovi snap-in selezionare Certificati, quindi fare clic su Aggiungi.

  5. Verrà visualizzata la finestra di dialogo Snap-in Certificati. Selezionare Account del computer, quindi fare clic su Avanti.

  6. Selezionare Computer locale, quindi fare clic su Fine.

  7. Verrà nuovamente visualizzata la finestra di dialogo Aggiungi/Rimuovi snap-in. Fare clic su OK.

  8. In MMC espandere Certificati, fare clic con il pulsante destro del mouse su Personale, scegliere Tutte le attività, quindi fare clic su Importa per avviare l'Importazione guidata certificati.

  9. Nella pagina di benvenuto dell'Importazione guidata certificati fare clic su Avanti.

  10. Nella pagina File da importare fare clic su Sfoglia e individuare la cartella contenente il file del certificato con estensione pfx in cui è incluso il certificato che si desidera importare. Selezionare il file appropriato, quindi fare clic su Apri.

  11. Nella casella Password della pagina corrispondente digitare la password per il file di chiave privata specificata nella procedura precedente, quindi fare clic su Avanti.

  12. Nella pagina Archivio certificati selezionare Mettere tutti i certificati nel seguente archivio, fare clic su Sfoglia, selezionare l'archivio Personale, fare clic su OK, quindi su Avanti.

  13. Nella pagina Completamento dell'Importazione guidata certificati fare clic su Fine.

Dopo l'importazione, sarà possibile selezionare il certificato quando si esegue Registrazione guidata server.

Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft