La convalida del certificato non riesce quando un certificato ha più percorsi di certificazione attendibili per le CA radice

  • Articolo

Questo articolo fornisce soluzioni alternative per un problema per cui il certificato di sicurezza presentato da un sito Web non viene emesso quando dispone di più percorsi di certificazione attendibili per le CA radice.

Si applica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Numero della Knowledge Base originale: 2831004

Sintomi

Quando un utente tenta di accedere a un sito Web protetto, l'utente riceve il messaggio di avviso seguente nel browser Web:

Si è verificato un problema con il certificato di sicurezza di questo sito Web.

Il certificato di sicurezza presentato da questo sito Web non è stato emesso da un'autorità di certificazione attendibile.

Dopo che l'utente ha fatto clic su Continua su questo sito Web (scelta non consigliata), l'utente può accedere al sito Web protetto.

Causa

Questo problema si verifica perché il certificato del sito Web dispone di più percorsi di certificazione attendibili nel server Web.

Supponiamo, ad esempio, che il computer client utilizzato consideri attendibile il certificato dell'autorità di certificazione radice (CA) (2). Il server Web considera attendibili il certificato CA radice (1) e il certificato CA radice (2). Inoltre, per le CA radice attendibili nel server Web, il certificato dispone dei due percorsi di certificazione seguenti:

  1. Percorso di certificazione 1: Certificato del sito Web - Certificato CA intermedio - Certificato CA radice (1)
  2. Percorso di certificazione 2: Certificato del sito Web - Certificato CA intermedio - Certificato CA radice - Certificato CA radice (2)

Quando il computer trova più percorsi di certificazione attendibili durante il processo di convalida del certificato, Microsoft CryptoAPI seleziona il percorso di certificazione migliore calcolando il punteggio di ogni catena. Un punteggio viene calcolato in base alla qualità e alla quantità delle informazioni che un percorso certificato può fornire. Se i punteggi per più percorsi di certificazione sono gli stessi, viene selezionata la catena più breve.

Se il percorso di certificazione 1 e il percorso di certificazione 2 hanno lo stesso punteggio di qualità, CryptoAPI seleziona il percorso più breve (percorso di certificazione 1) e invia il percorso al client. Tuttavia, il computer client può verificare il certificato solo utilizzando il percorso di certificazione più lungo collegato al certificato CA radice (2). La convalida del certificato ha quindi esito negativo.

Soluzione alternativa

Per risolvere questo problema, eliminare o disabilitare il certificato dal percorso di certificazione che non si vuole utilizzare attenendosi alla seguente procedura:

  1. Accedere al server Web come amministratore di sistema.

  2. Aggiungere lo snap-in Certificato a Microsoft Management Console attenendosi alla seguente procedura:

    1. Fare clic su Start>Esegui, digitare mmc e quindi premere INVIO.
    2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
    3. Selezionare Certificati, fare clic su Aggiungi, selezionare Account del computer e quindi fare clic su Avanti.
    4. Selezionare Computer locale (il computer su cui è in esecuzione questa console) e quindi su Fine.
    5. Fare clic su OK.

  3. Espandere Certificati (computer locale) nella console di gestione e quindi individuare il certificato nel percorso certificato che non si desidera utilizzare.

    Nota

    Se il certificato è un certificato CA radice, è contenuto in Autorità di certificazione radice attendibili. Se il certificato è un certificato CA intermedio, è contenuto in Autorità di certificazione intermedie.

  4. Eliminare o disabilitare il certificato utilizzando uno dei metodi seguenti:

    • Per eliminare un certificato, fare clic con il pulsante destro del mouse sul certificato e quindi scegliere Elimina.
    • Per disabilitare un certificato, fare clic con il pulsante destro del mouse sul certificato, scegliere Proprietà, selezionare Disabilita tutti gli scopi il certificato e quindi fare clic su OK.

  5. Se il problema persiste, riavviare il server.

Inoltre, se l'impostazione dei Criteri di gruppo Disattiva aggiornamento automatico certificati radice è disabilitata o non configurata nel server, il certificato dal percorso di certificazione che non si desidera usare potrebbe essere abilitato o installato quando si verifica la successiva compilazione della catena. Per modificare l'impostazione Criteri di gruppo, attenersi alla seguente procedura:

  1. Fare clic su Start>Esegui, digitare gpedit.msc e quindi premere INVIO.

  2. Espandere Configurazione computer>Modelli amministrativi>Sistema>Gestione comunicazioni Internet e quindi fare clic su Impostazioni di comunicazione Internet.

  3. Fare doppio clic su Disattiva aggiornamento automatico certificati radice, selezionare Abilitato e quindi fare clic su OK.

  4. Chiudere l'Editor Criteri di gruppo locali.

Stato

Si tratta di un comportamento legato alla progettazione del prodotto.