Mar0420174 Marzo 20174 Marzo 20170Commentidi Ermanno Goletto

Windows Server 2012/R2 e richiesta HTTP Autentication per il web site della CA

Pubblicato in IT, Security, Tips

In Windows 2012/R2 se si tenta di richiedere un certificato tramite il sito web esposto da un server su cui è stato installato il ruolo Certification Authority Web Enrolment è possibile che venga restituito il seguente avviso:

“In order to complete certificate enrolment, the Web site for the CA must be configured to use HTTPS authentication”

image

Ovviamente il modo migliore per risolvere il problema è quello di impostare il sito web della CA per l’utilizzo di un certificato.

In alternativa è però possibile impostare Internet Explorer per consentire l’utilizzo del sito della CA mediante la seguente procedura.

Passo 1: Aggiunta dell’url del sito della CA tra i siti attendibili.

Passo 2: Consentitre l’esecuzione di Active X non contrassegnati come sicuri (Initialize and script ActiveX controls not marked as safe for scripting).

image

Ovviamente la seconda soluzione è consigliabile solo se si intende richiedere i certificati tramite il sito web da un host predefinito da cui è consigliabile non navigare in Internet.

Per quanto riguarda invece la configurazione del sito web per l’utilizzo di un certificato è possibile eseguirla tramite Internet Information Services Manager mediante la seguente procedura.

1. Generare un certificato autofirmato

E’ possibile generare un certificato autofirmato tramite Internet Information Services Manager, mediante l’opzione del server web Server Certificates.

image

image

image

2. Creazione del Biding HTTPS

E’ possibile creare il biding HTTPS utilizzando il un certificato autofirmato tramite Internet Information Services Manager, mediante l’opzione del sito web Bidings.

image

3. Impostare l’utilizzo di SSL per la virtual directory CertSrv

E’ possibile impostare l’utilizzo di SSL tramite Internet Information Services Manager, mediante l’opzione della virtual directory CertSrv SSL Settings. (in questo modo la virtual directory sarà disponibile solo più tramite HTTPS e non tramite HTTP)

image

image

4. Riavviare IIS

Nel caso le impostazioni non abbiano ancora avuto effetto è possibile riavviare IIS tramite il seguente comando:

iisreset /noforce

Dopo aver riavviato IIS è possibile verificare se il sito della CA è visualizzato correttamente e utilizza SSL.

image

Per ulteriori informazioni si vedano: