6.5.2 Attivazione e disattivazione dell'utilizzo dell'archivio certificati di Windows

Le sessioni Reflection Secure Shell e SSL/TLS supportano l'utilizzo di certificati digitali Parte integrante di una PKI (Public Key Infrastructure). I certificati digitali (chiamati anche certificati X.509) sono emessi da un'autorità di certificazione (CA), che garantisce la validità delle informazioni nel certificato. Ogni certificato contiene informazioni di identificazione sul proprietario del certificato, una copia della chiave pubblica del proprietario del certificato (utilizzata per crittografare e decrittografare messaggi e firme digitali) e una firma digitale (generata dalla CA in base al contenuto del certificato). La firma digitale viene utilizzata da un destinatario per verificare che il certificato non sia stato alterato e che sia attendibile. per l'autenticazione di host e di utenti. Le applicazioni Reflection possono essere configurate per effettuare l'autenticazione utilizzando solo i certificati che si trovano nell'archivio di Reflection oppure per utilizzare sia l'archivio di Windows che quello di Reflection.

Autenticazione dell'host

Se si abilita l'utilizzo dell'archivio certificati di Windows non è necessario importare i certificati utilizzati per l'autenticazione dell'host. Se i certificato dell'host sono stati acquisiti da una autorità di certificazione Server di un'organizzazione attendibile preposto all'emissione di certificati digitali. L'autorità di certificazione CA gestisce l'emissione di nuovi certificati e revoca i certificati non più validi per l'autenticazione. Una CA può inoltre delegare la propria funzione di emissione di certificati a una o più CA intermedie, in modo da creare una catena di attendibilità. Il livello più alto di certificazione CA viene indicato come certificazione principale attendibile. (CA) nota, ad esempio VeriSign o Thawte, l'elenco Autorità di certificazione principale attendibili presente nel sistema dovrebbe già contenere un certificato che identifica l'emittente come CA attendibile. Quando è abilitato l'utilizzo dell'archivio di sistema, i client di Reflection cercano i certificati sia nell'archivio di Reflection che nel sistema.

Disabilitando l'utilizzo dell'archivio certificati di Windows si ottiene un maggiore controllo sui certificati utilizzati per l'autenticazione. I certificati possono essere aggiunti all'archivio di Windows in diversi modi ed è possibile evitare l'utilizzo di tutti questi certificati per autenticare le sessioni di Reflection. Quando l'utilizzo dell'archivio di Windows è disabilitato, per l'autenticazione dell'host vengono utilizzati solo i certificati importati nell'archivio di Reflection.

Per abilitare (o disabilitare) l'autenticazione dell'host utilizzando i certificati nell'archivio di Windows:

  1. Aprire Gestore certificati Reflection.

  2. Fare clic sulla scheda Autorità di certificazione attendibili.

  3. Selezionare (o deselezionare) Utilizza l'archivio locale dei certificati di sistema per le connessioni SSH e/o Utilizza l'archivio locale dei certificati di sistema per le connessioni SSL/TLS.

Autenticazione utente

Reflection utilizza i certificati personali nell'archivio di Windows e nell'archivio di Reflection nello stesso modo. I certificati personali disponibili includono i certificati nell'archivio personale di Windows, l' archivio personale di Reflection e i certificati sui token hardware configurati (ad esempio, smart card).

  • Se è stata configurata una sessione Reflection Secure Shell, è necessario specificare quali certificati utilizzare per l'autenticazione utente nella scheda Chiavi utenti nella finestra di dialogo Impostazioni Reflection Secure Shell.

  • Se è stata configurata una sessione Reflection SSL/TLS, i certificati contenuti nei due archivi saranno automaticamente disponibili per l'autenticazione dell'utente.