Mostra Sommario / Indice / Ricerca

Autenticazione con i certificati in EXTRA!

Nelle sessioni di EXTRA! che utilizzano i protocolli SSL/TLS o SSH, l'autenticazione dei client pu˛ essere gestita tramite certificati digitali. I certificati risolvono alcuni dei problemi che si verificano con l'autenticazione con chiavi pubbliche, ad esempio la richiesta che il client carichi una copia della chiave pubblica su ogni server.

╚ necessario che il computer sia configurato per riconoscere il certificato del server presentato dall'host e, se necessario, fornisca un certificato del client per l'autenticazione del client. Se un computer non Ŕ configurato correttamente o se i certificati presentati per l'autenticazione non sono validi, non sarÓ possibile stabilire la connessione.

Certificati firmati dall'autoritÓ di certificazione (CA) e certificati autofirmati

EXTRA! accetta certificati firmati dall'autoritÓ di certificazione (CA) e certificati autofirmati. I certificati firmati dalla CA includono un flag di estensione che li identifica come tali. Per i certificati dei server firmati dall'autoritÓ di certificazione, il campo Oggetto identifica il server o l'utente in base al nome e il campo AutoritÓ emittente identifica la CA che ha firmato il certificato. I certificati utilizzati per autenticare il certificato del server della CA devono essere installati nell'archivio delle autoritÓ di certificazione attendibili.

Per i certificati autofirmati, il campo AutoritÓ emittente deve corrispondere esattamente al campo Oggetto. (In questo caso, l'Oggetto Ŕ un host anzichÚ un'autoritÓ di certificazione.) Se l'utente accetta la validitÓ del certificato autofirmato, il certificato viene installato nell'archivio delle autoritÓ di certificazione attendibili manualmente o tramite i criteri di gruppo di Windows o uno script di accesso.

Il processo di autenticazione

L'autenticazione pu˛ coinvolgere uno o pi¨ processi, a seconda del tipo di certificato che si utilizza e delle impostazioni di protezione selezionate in EXTRA!. In tutti i casi, comunque, EXTRA! verifica il certificato per determinare se la data e la firma digitale sono valide, se le estensioni critiche (ad esempio l'utilizzo chiavi avanzato) sono corrette e se l'utilizzo chiavi consente che il certificato venga utilizzato per l'autenticazione.

╚ inoltre possibile che l'autenticazione includa le condizioni seguenti:

  • Se Ŕ necessario verificare l'identitÓ del server, il client confronta il nome dell'host nella sessione con il nome comune nel certificato.
  • Se si utilizzano certificati firmati dalla CA, EXTRA! verifica che nel certificato siano incluse tutte le autoritÓ di certificazione: la CA che ha emesso il certificato; le eventuali CA intermedie nella catena di certificazione, l'autoritÓ di certificazione attendibile (o CA radice). Questo processo Ŕ denominato validazione del percorso.
  • (Solo connessioni SSH) Se Ŕ abilitata la verifica della revoca, il client verifica che il certificato non sia stato revocato. Vedere Configurazione del controllo della revoca dei certificati (solo SSH).
  • Se Ŕ stata configurata l'autenticazione lato server, il server richiede che l'utente (client) presenti un certificato per l'autenticazione. I certificati utilizzati per l'identitÓ del client vengono memorizzati nell'archivio dei certificati personali dell'utente. Per le connessioni SSH, Ŕ possibile archiviare i certificati nel Gestore certificati Reflection.