Autenticação com certificados no EXTRA!

Nas sessões do EXTRA! que usam protocolos SSL/TLS ou SSH, a autenticação do cliente pode ser manipulada por certificados digitais. Os certificados resolvem alguns dos problemas apresentados pela autenticação da chave pública, como exigir que o cliente carregue uma cópia da chave pública em cada servidor.

O seu computador deve ser configurado para reconhecer o certificado de servidor apresentado pelo seu host e, se necessário, fornecer um certificado de cliente para a autenticação do cliente. Se o computador não for configurado corretamente, ou se os certificados apresentados para a autenticação não forem válidos, você não poderá se conectar.

Certificados autoassinados versus assinados por uma Autoridade de certificados (CA)

O EXTRA! aceita certificados autoassinados ou assinados por uma Autoridade de certificados (CA). Os certificados assinados pela CA incluem um conjunto de sinalizadores de extensão que os identifica como tais. Para os certificados de servidor assinados pela Autoridade de certificados, o campo Assunto identifica o servidor ou usuário pelo nome, e o campo Emissor identifica a CA que assinou o certificado. Os certificados que são usados para autenticar o certificado do servidor da CA devem ser instalados no armazém Autoridades de certificado de raiz confiáveis.

Para certificados autoassinados, o campo Emissor deve corresponder exatamente ao campo Assunto. (Neste caso, o Assunto é um host em vez de uma Autoridade de certificação). Se o usuário aceitar a validade do certificado autoassinado, ele é instalado manualmente no armazenamento de Autoridades de certificação da raiz confiável, ou através de uma política de grupo ou script de logon do Windows.

O processo de autenticação

A autenticação pode envolver um ou mais processos, dependendo do tipo de certificado que você usa e das configurações de segurança selecionadas no EXTRA!. No entanto, em todos os casos, o EXTRA! verifica o certificado para determinar se a data e a assinatura digital são válidas, se as extensões críticas (como o uso da chave estendida) estão corretas e se o uso da chave permite usar o certificado para a autenticação.

A autenticação também pode incluir o seguinte:

  • Se a identidade do servidor precisar ser verificada, o cliente compara o nome do host na sessão com o nome comum no certificado.
  • Se você usar certificados assinados pela CA, o EXTRA! verifica todas as autoridades de certificação incluídas no certificado: qualquer CA intermediária na cadeia de certificação; e por fim, a Autoridade de certificação confiável (ou a CA da raiz). Isso é chamado de validação de caminho.
  • (Somente conexões SSH) Se a verificação da revocação for ativada, o cliente garante que o certificado não foi revogado. Consulte Configurar verificação da revocação do certificado (apenas SSH).
  • Se a autenticação do lado do servidor foi configurada, o servidor exige que o usuário (cliente) apresente um certificado para a autenticação. Os certificados usados para a identidade do cliente são colocados no armazenamento de certificado Pessoal do usuário. Para as conexões SSH, os certificados também podem ser armazenados no Gerenciador de certificados do Reflection.