Appterix
Menu
Vai al contenuto principale
Come possiamo aiutare?
contenuto
<Tutti gli argomenti
stampa

Utilizzo di modelli di certificati nuovi e personalizzati per la registrazione di Appterix YubiKey

Sfida

La registrazione dei certificati sulle YubiKey per la funzione PIV può richiedere molto tempo ed essere soggetta a errori. Spesso non esistono modelli di certificato per l'accesso tramite smartcard a Windows, oppure gli utenti non possono eseguirli autonomamente per la registrazione dei certificati sulle proprie YubiKey.

Soluzione

Appterix offre la possibilità di generare automaticamente certificati PKI. Gli amministratori stabiliscono se Appterix debba creare i modelli di certificato o utilizzare i modelli di accesso e registrazione tramite smartcard esistenti. Gli utenti ricevono una notifica pop-up oppure possono creare e rinnovare i certificati in base a questi modelli utilizzando la registrazione YubiKey all'interno dell'agente Appterix.

Video Tutorial

Questo video mostra come impostare i modelli di certificato e connettersi ad Active Directory Certificate Services (ADCS) per la funzione YubiKey PIV in Appterix YubiKey LifeCycle Management.

Guarda il video: https://youtu.be/pvvvRTO01Ic

Nota relativa al fornitore di servizi crittografici

Appterix supporta modelli di certificati che utilizzano Key Storage Provider (KSP). I provider di servizi crittografici legacy (CSP) non sono supportati.

Passare da un Crypto Service Provider (CSP) legacy a un Key Storage Provider (KSP) è un passaggio fondamentale se si desidera sfruttare le moderne funzionalità di sicurezza, come la protezione TPM o le curve ellittiche.

Con il modello "Agente di iscrizione", questo aspetto è in qualche modo nascosto durante la duplicazione, poiché le impostazioni di compatibilità determinano quali opzioni sono abilitate nella scheda "Crittografia".

Cambio di categoria del fornitore

Qui troverai istruzioni dettagliate per cambiare la categoria del fornitore:

Regola le impostazioni di compatibilità:
Questo è il passaggio più importante. Se la compatibilità è impostata su "Windows Server 2003", la console consentirà solo i CSP più vecchi.
Fare clic con il pulsante destro del mouse sul modello Registration Agent e selezionare Duplica modello.
Passare alla scheda Compatibilità.
Impostare l'autorità di certificazione almeno su Windows Server 2012 (o versione successiva).
Impostare inoltre il destinatario del certificato almeno su Windows 8 / Windows Server 2012.
Confermare il messaggio di avviso relativo alle modifiche con "OK".

Cambia categoria di fornitore in KSP:
Passare alla scheda Crittografia.
Aprire il menu a discesa in Categoria fornitore.
Selezionare lì il fornitore di archiviazione chiavi.
Nel campo sottostante, seleziona l'algoritmo desiderato (solitamente RSA o ECDH_P256, a seconda dei requisiti).
Nell'elenco dei provider, ora è possibile selezionare KSP specifici, ad esempio Microsoft Software Key Storage Provider.

Wichtiger Hinweis: Assicurarsi che i client che intendono utilizzare questo modello (ovvero le workstation degli amministratori che richiedono certificati per loro conto) supportino effettivamente la versione di Windows selezionata. I sistemi più vecchi (come Windows 7) non possono gestire i modelli basati su KSP.

Edizione
aggiornato
DaEgoMind
Parole chiave: