4.7 Autenticazione con i certificati in Extra!

Nelle sessioni di Extra! che utilizzano i protocolli SSL/TLS o SSH, l'autenticazione dei client può essere gestita tramite certificati digitali Parte integrante di una PKI (Public Key Infrastructure). I certificati digitali (chiamati anche certificati X.509) sono emessi da un'autorità di certificazione (CA), che garantisce la validità delle informazioni nel certificato. Ogni certificato contiene informazioni di identificazione sul proprietario del certificato, una copia della chiave pubblica del proprietario del certificato (utilizzata per crittografare e decrittografare messaggi e firme digitali) e una firma digitale (generata dalla CA in base al contenuto del certificato). La firma digitale viene utilizzata da un destinatario per verificare che il certificato non sia stato alterato e che sia attendibile. . I certificati risolvono alcuni dei problemi che si verificano con l'autenticazione con chiavi pubbliche, ad esempio la richiesta che il client carichi una copia della chiave pubblica su ogni server.

È necessario che il computer sia configurato per riconoscere il certificato del server presentato dall'host e, se necessario, fornisca un certificato del client per l'autenticazione del client. Se un computer non è configurato correttamente o se i certificati presentati per l'autenticazione non sono validi, non sarà possibile stabilire la connessione.

Certificati firmati dall'autorità di certificazione (CA) e certificati autofirmati

Extra! accetta certificati firmati dall'autorità di certificazione (CA) e certificati autofirmati. I certificati firmati dalla CA includono un flag di estensione che li identifica come tali. Per i certificati dei server firmati dall'autorità di certificazione, il campo Oggetto identifica il server o l'utente in base al nome e il campo Autorità emittente identifica la CA che ha firmato il certificato. I certificati utilizzati per autenticare il certificato del server della CA devono essere installati nell'archivio delle autorità di certificazione attendibili.

Per i certificati autofirmati, il campo Autorità emittente deve corrispondere esattamente al campo Oggetto. (In questo caso, l'Oggetto è un host anziché un'autorità di certificazione.) Se l'utente accetta la validità del certificato autofirmato, il certificato viene installato nell'archivio delle autorità di certificazione attendibili manualmente o tramite i criteri di gruppo di Windows o uno script di accesso.

Procedura di autenticazione

L'autenticazione può coinvolgere uno o più processi, a seconda del tipo di certificato che si utilizza e delle impostazioni di protezione selezionate in Extra!. In tutti i casi, comunque, Extra! verifica il certificato per determinare se la data e la firma digitale sono valide, se le estensioni critiche (ad esempio l'utilizzo chiavi avanzato) sono corrette e se l'utilizzo chiavi consente che il certificato venga utilizzato per l'autenticazione.

È inoltre possibile che l'autenticazione includa le condizioni seguenti:

  • Se è necessario verificare l'identità del server, il client confronta il nome dell'host nella sessione con il nome comune nel certificato.

  • Se si utilizzano certificati firmati da CA, Extra! verifica tutte le autorità di certificazione incluse nel certificato: la CA che ha emesso il certificato; eventuali CA intermedie nella catena di certificazione e infine l'Autorità di certificazione attendibile (o CA radice). Questo processo è denominato validazione del percorso.

  • Se è abilitata la verifica della revoca, il client verifica che il certificato non sia stato revocato. Vedere Configurare il controllo della revoca dei certificati.

  • Se è stata configurata l'autenticazione lato server, il server richiede che l'utente (client) presenti un certificato per l'autenticazione. I certificati utilizzati per l'identità del client vengono memorizzati nell'archivio dei certificati personali dell'utente. Per le connessioni SSH, è possibile archiviare i certificati nel Gestore certificati Reflection.