6.5.1 PKI e certificati

Una PKI (Public Key Infrastructure) è un sistema che contribuisce a realizzare comunicazioni protette tramite l'uso di certificati digitali. È possibile utilizzare una PKI sia per l'autenticazione dell'host che per quella dell'utente.

Come per l'autenticazione con chiave pubblica, l'autenticazione con certificato utilizza una coppia di chiavi pubblica/privata per verificare l'identità dell'host. Tuttavia, nell'autenticazione con certificato, le chiavi pubbliche sono contenute all'interno di certificati digitali e in tal caso vengono utilizzate due coppie di chiavi. Ad esempio, per l'autenticazione del server, l'host dispone di una chiave privata e il CA dispone di una seconda chiave. L'host ottiene un certificato dalla CA. Questo certificato contiene informazioni di identificazione sull'host, una copia della chiave dell'host e una firma digitale creata utilizzando la chiave privata della CA. Questo certificato viene inviato al client durante la procedura di autenticazione. Per verificare l'integrità delle informazioni provenienti dall'host, il client deve disporre di una copia della chiave pubblica della CA, contenuta nel certificato principale per la CA. Non è necessario che il client disponga di una copia della chiave pubblica dell'host.

L'autenticazione con certificato risolve alcuni dei problemi presentati dall'autenticazione con chiave pubblica. Ad esempio, per l'autenticazione con chiave pubblica dell'host, l'amministratore del sistema deve distribuire le chiavi dell'host per ogni server a ciascun archivio di host conosciuti del client, oppure deve attendere che gli utenti client confermino correttamente l'identità dell'host quando si connettono a un host sconosciuto. Quando vengono utilizzati i certificati per l'autenticazione dell'host, è possibile utilizzare un unico certificato principale per la CA per l'autenticazione di più host. In molti casi, il certificato richiesto è già disponibile nell'archivio certificati di Windows.

Analogamente, se vengono utilizzate le chiavi pubbliche per l'autenticazione del client, è necessario che ciascuna chiave pubblica del client venga caricata sul server e che il server sia configurato in modo da riconoscere la chiave. Quando viene utilizzata l'autenticazione con certificato, è possibile ricorrere a un unico certificato principale per la CA per l'autenticazione di più utenti client.

Archivi dei certificati

I certificati digitali sono conservati nel computer in appositi archivi. Un archivio di certificati contiene i certificati utilizzati per verificare l'identità di parti remote e può inoltre conservare certificati personali da utilizzare per identificarsi nei confronti delle parti remote. I certificati personali sono associati a una chiave privata del computer.

È possibile utilizzare certificati digitali situati in uno o in entrambi gli archivi seguenti:

  • Archivio certificati di Windows

    Questo archivio può essere utilizzato da numerose applicazioni, browser Web e client di posta elettronica. Alcuni certificati di questo archivio sono compresi nell'installazione del sistema operativo di Windows. Altri certificati possono essere aggiunti durante la connessione a siti Internet e la definizione dell'attendibilità, quando si installa nuovo software o quando si riceve un messaggio di posta elettronica crittografato o dotato di firma digitale. È inoltre possibile importare manualmente i certificati nell'archivio di Windows. La gestione dei certificati di questo archivio deve essere eseguita con il Gestore certificati di Windows.

  • Archivio certificati di Reflection

    Questo archivio viene utilizzato soltanto dalle applicazioni Micro Focus. Per aggiungere certificati a questo archivio, è necessario importarli manualmente. È possibile importare i certificati da file e inoltre utilizzarli su token di hardware come smart card. La gestione dei certificati di questo archivio deve essere eseguita con il Gestore certificati Reflection.

È possibile configurare l'autenticazione per l'uso soltanto dei certificati contenuti nell'archivio gestione certificati di Reflection, oppure mediante l'uso sia dell'archivio di Windows che dell'archivio gestione certificati di Reflection. L'attivazione dell'autenticazione host mediante l'uso dell'archivio certificati di Windows significa che potrebbe non essere necessario importare i certificati, perché l'autenticazione può essere eseguita tramite certificati già disponibili. La disattivazione dell'autenticazione mediante l'uso dell'archivio certificati di Windows consente un maggiore controllo sui certificati da utilizzare per l'autenticazione. Per attivare o disattivare l'autenticazione con l'archivio certificati di Windows, aprire il Gestore certificati Reflection e fare clic sulla scheda Autorità di certificazione attendibili.

PKI in sessioni del terminale e client FTP

L'autenticazione PKI è supportata in entrambe le sessioni Secure Shell e SSL/TLS.

  • Tutte le sessioni SSL/TLS richiedono certificati per l'autenticazione dell'host; non è possibile stabilire una connessione all'host senza il certificato appropriato. A seconda della configurazione dell'host, può inoltre essere necessario installare i certificati per l'autenticazione dell'utente.

  • Le sessioni Secure Shell richiedono in genere l'autenticazione sia dell'host che dell'utente. I certificati possono essere utilizzati per l'autenticazione dell'host e/o dell'utente, tuttavia non sono richiesti per impostazione predefinita.