Passaggio 1: Come emettere un nuovo certificato usando la propria CA

Le azioni specifiche da intraprendere per emettere un nuovo certificato di autorità subordinata dipendono dal proprio ambiente.

Opzione A: se la propria CA è accessibile in rete

1. Chiudere Security Controls.
2. Utilizzare le strutture del sistema locale per emettere il nuovo certificato dalla CA.
   Assicurarsi che il certificato rispetti tutti i requisiti.
3. Salvare il nuovo certificato nell'archivio Autorità di certificazione intermedie del computer della console.
4. Sulla console, aprire la finestra del prompt dei comandi dell'amministratore, quindi passare alla directory di installazione Security Controls.
   La directory di installazione predefinita è: C:\Program Files\Ivanti\Security Controls.
5. Utilizzando lo strumento della riga di comando STMgmt, emettere il comando select_subauthority -thumbprint <thumbprint> per specificare che il nuovo certificato debba fungere da certificato di autorità subordinata.

Esempio: stmgmt.exe -select_subauthority -thumbprint 3e656d7ca744c131c2daba3e4fb4e8731784824e

Assicurarsi di includere l'argomento -thumbprint, che indica a Security Controls la necessità di utilizzare il certificato come certificato di autorità subordinata. Un metodo per ottenere l’identificazione personale è il seguente:

1. Copiare l’identificazione personale dal nuovo certificato in un’applicazione come Blocco note.
2. Rimuovere qualsiasi spazio o carattere speciale.
3. Salvare il file in un formato con codifica ANSI.
4. Incollare il carattere di identificazione personale dal file del Blocco note al comando select_subauthority.

Per informazioni sull’utilizzo di STMgmt, digitare quanto riportato di seguito da un prompt comando amministratore sul computer della console:

C:\Program Files\Ivanti\Security Controls>stmgmt

6. Consultare Diffusione del certificato all’interno del sistema per informazioni sulla necessità di attendere 30 giorni prima di eseguire il commit del nuovo certificato.

Opzione B: se la propria CA non è accessibile in rete (la CA è offline o si trova in una rete disconnessa)

1. Sulla console, aprire la finestra del prompt dei comandi dell'amministratore, quindi passare alla directory di installazione Security Controls.
   La directory di installazione predefinita è C:\Program Files\Ivanti\Security Controls.
2. Utilizzando lo strumento della riga di comando STMgmt, emettere un comando request_subauthority -of <requestfile> per creare una richiesta di certificato di autorità subordinata.

Esempio: stmgmt.exe -request_subauthority -of samplerequestfilename.req

Si tratta della richiesta associata all’emissione del nuovo certificato di autorità subordinata Security Controls. Crea tutte le informazioni necessarie per un CA, al fine di emettere un certificato e salvarlo come file. Questo file è una richiesta di certificato PKCS10 in formato binario e verrà utilizzato per generare il certificato sulla CA. Potrebbe essere necessario convertire questo file in una codifica Base64, a seconda della propria CA.

3. Trasportare il file alla CA.
4. Far emettere alla CA il nuovo certificato di autorità subordinata e salvarlo in un file.
   Assicurarsi che il certificato rispetti tutti i requisiti.
5. Trasportare il file nel computer della console e salvarlo in una directory locale.
6. Utilizzando lo strumento a riga di comando STMgmt, emettere il comando accept_subauthority -if <issuedcert>.

Esempio: stmgmt.exe -accept_subauthority -if sampleresponsefilename.cer

Questo comando compie svariate operazioni. Tra cui:

• Accetta il nuovo certificato generato dalla CA attendibile
• Si stabilisce così un nuovo legame alla chiave privata sulla console
• Specifica che Security Controls deve utilizzare il certificato come certificato di autorità subordinata.
• Gestisce l'installazione del nuovo certificato
7. Consultare Diffusione del nuovo certificato all’interno del sistema per informazioni sulla necessità di attendere 30 giorni prima di eseguire il commit del nuovo certificato.