Mostra Sommario / Indice / Ricerca

Autenticazione con i certificati in EXTRA!

Nelle sessioni di EXTRA! che utilizzano i protocolli SSL/TLS o SSH, l'autenticazione dei client può essere gestita tramite certificati digitali. I certificati risolvono alcuni dei problemi che si verificano con l'autenticazione con chiavi pubbliche, ad esempio la richiesta che il client carichi una copia della chiave pubblica su ogni server.

È necessario che il computer sia configurato per riconoscere il certificato del server presentato dall'host e, se necessario, fornisca un certificato del client per l'autenticazione del client. Se un computer non è configurato correttamente o se i certificati presentati per l'autenticazione non sono validi, non sarà possibile stabilire la connessione.

Certificati firmati dall'autorità di certificazione (CA) e certificati autofirmati

EXTRA! accetta certificati firmati dall'autorità di certificazione (CA) e certificati autofirmati. I certificati firmati dalla CA includono un flag di estensione che li identifica come tali. Per i certificati dei server firmati dall'autorità di certificazione, il campo Oggetto identifica il server o l'utente in base al nome e il campo Autorità emittente identifica la CA che ha firmato il certificato. I certificati utilizzati per autenticare il certificato del server della CA devono essere installati nell'archivio delle autorità di certificazione attendibili.

Per i certificati autofirmati, il campo Autorità emittente deve corrispondere esattamente al campo Oggetto. (In questo caso, l'Oggetto è un host anziché un'autorità di certificazione.) Se l'utente accetta la validità del certificato autofirmato, il certificato viene installato nell'archivio delle autorità di certificazione attendibili manualmente o tramite i criteri di gruppo di Windows o uno script di accesso.

Il processo di autenticazione

L'autenticazione può coinvolgere uno o più processi, a seconda del tipo di certificato che si utilizza e delle impostazioni di protezione selezionate in EXTRA!. In tutti i casi, comunque, EXTRA! verifica il certificato per determinare se la data e la firma digitale sono valide, se le estensioni critiche (ad esempio l'utilizzo chiavi avanzato) sono corrette e se l'utilizzo chiavi consente che il certificato venga utilizzato per l'autenticazione.

È inoltre possibile che l'autenticazione includa le condizioni seguenti:

  • Se è necessario verificare l'identità del server, il client confronta il nome dell'host nella sessione con il nome comune nel certificato.
  • Se si utilizzano certificati firmati dalla CA, EXTRA! verifica che nel certificato siano incluse tutte le autorità di certificazione: la CA che ha emesso il certificato; le eventuali CA intermedie nella catena di certificazione, l'autorità di certificazione attendibile (o CA radice). Questo processo è denominato validazione del percorso.
  • (Solo connessioni SSH) Se è abilitata la verifica della revoca, il client verifica che il certificato non sia stato revocato. Vedere Configurazione del controllo della revoca dei certificati (solo SSH).
  • Se è stata configurata l'autenticazione lato server, il server richiede che l'utente (client) presenti un certificato per l'autenticazione. I certificati utilizzati per l'identità del client vengono memorizzati nell'archivio dei certificati personali dell'utente. Per le connessioni SSH, è possibile archiviare i certificati nel Gestore certificati Reflection.