Requisiti ed eccezioni
Questa sezione identifica i requisiti da soddisfare se si sceglie di utilizzare la propria CA per generare un nuovo certificato di autorità.
Non è possibile utilizzare un certificato SSL del server (ad esempio un certificato wild card) come certificato di autorità secondaria.
Requisiti del nuovo certificato di autorità subordinata
In fase di emissione del certificato
- Deve possedere un'estensione dei vincoli base
- Deve possedere le estensioni di utilizzo per le chiavi KeyCertSign e CrlSign
- È necessario utilizzare DER ASN.1
- Per ogni server console deve essere emesso un certificato separato; non è possibile emettere un unico certificato per più server console
L'estensione indica che il certificato è in grado di emettere altri certificati. È inoltre possibile scegliere di specificare che la lunghezza del parametro sia 0 (ciò significa che il certificato non può essere utilizzato per creare un certificato emittente). Per ulteriori informazioni, consultare la sezione RFC 5280.
In fase di installazione del certificato sul computer della console
- Deve presentare una chiave privata associata
- Deve essere posizionato nell’archivio certificati Autorità di certificazione intermedie dell'account del computer
Eccezioni
Quando si configura il proprio ambiente per l’utilizzo con una CA di terze parti, la console non aggiornerà più automaticamente un certificato radice in scadenza. Security Controls emetterà un avviso quando il certificato sta per raggiungere la relativa data di scadenza, tuttavia starà all’amministratore locale creare manualmente il nuovo certificato usando la propria CA.