Vorrei tramite questo articolo riassumere, senza scendere nel dettaglio,  le caratteristiche salienti relative al servizio AD CS presente in Windows Server 2008.

Cos’è una CA?

La CA o Certification Authority su Windows Server 2008 è un computer sul quale è installato il servizio Active Directory Certificate Services. Una CA esamina, accetta o nega richieste di certificato ed elargisce certificati al richiedente come credenziali di sicurezza in una Public Key Infrastructure.

Una CA può anche revocare certificati attraverso la pubblicazione di una Certificate Revocation List (CRL).

Riassumendo i compiti di una CA possiamo dire che:

1) Verifica l’identità di chi richiede un certificato.

2) Distribuisce certificati se la verifica d’identità è andata a buon fine.

3) Gestisce la revoca dei certificati pubblicando una CRL a intervalli regolari.

Una CA può essere legata ad altre seguendo uno schema gerarchico fatto di relazioni di fiducia per motivi che possono essere legati alla sicurezza (es. l’ utente Pippo può gestire solo la CA subordinata che distribuisce certificati utente), oppure ad una questione di fault tolerance (es. una delle CA subordinate non è più attiva ma le altre continuano a distribuire certificati…).

CA pubblica o privata?

Una CA può anche essere pubblica o privata. Una CA Privata è un’ infrasruttura creata in azienda che distribuisce certificati ad utenti e computer del dominio. Si tratta quindi di una CA che il domino aziendale riconosce come sicura e quindi di base solo i client del dominio danno fiducia ai certificati rilasciati. In questo caso utenti o computer esterni non potranno usare questi certificati se non autorizzati (devono  stabilire una relazione di trust con la CA).

Una CA pubblica invece è una CA esterna alle aziende, normalmente un’ autorità di terze parti che elargisce certificati anche a client che non fanno parte necessariamente del dominio aziendale (in questo caso i tutti i client hanno già una relazione di fiducia esplicita con la CA pubblica). Questa utile  funzionalità però è a pagamento: quindi, chi vuole un certificato da una CA pubblica, deve acquistarlo.

Standalone CA vs Enterprise CA

Su Windows Server 2008 (era così anche sui sistemi operativi precedenti) durante l’installazione di una CA  possiamo scegliere se renderla una Enterprise CA o una Standalone CA.

Enterprise CA:

E’ molto utile se devo distribuire molti certificati in una grande organizzazione.

Può essere integrata con Active Directory, utilizzato come database di configurazione e di registrazione.

Consente la distribuzione tramite policy dei certificati root CA (affinchè vengano stabilite relazioni di fiducia tra client e CA).

Pubblica certificati utente e liste di tipo CRL (certifica revocation list) in Active Directory.

Valida certificati automaticamente attraverso dei semplici permessi.

Utilizza per generare certificati, tipologie presenti in Active Directory, sotto forma di templates.

Genera certificati per l’autentica tramite Smart Card.

Eroga, ad utenti e computer,  certificati secondo un sistema automatizzato (auto-enrlollment).

Standalone CA:

Viene utilizzata per distribuire certificati in piccole entità aziendali o quando non ci si trova in un dominio.

I certificati non si trovano in uno storage fatto di templates.

La richiesta di certificati è manuale. Viene fatta tramite interfaccia web, mmc o CertReq.exe

L’amministratore della Ca deve valutare, una per una, le richieste di certificato (rimangono in sospeso fino alla loro validazione) e poi accettarle manualmente.

Cos’è la revoca dei certificati?

I certificati vengono distribuiti con una data di inizio e una data di scadenza. Hanno quindi una validità ristretta. E’ anche possibile revocare un certificato che ha ancora una data valida per ragioni di sicurezza. Per la revoca dei certificati vengono utilizzati i seguenti componenti:

Certificate Revocation List (CRL):

La CRL è un elenco completo, dei certificati che sono revocati prima della loro data di scadenza. Ogni certificato revocato viene iscritto in una CRL attraverso  il suo  numero di serie . Gli elenchi sono pubblicati periodicamente e possono essere recuperati e messi in cache dai cleint in base alla configurazione della durata della CRL. Gli elenchi vengono utilizzati per verificare lo stato di revoca di un certificato.

Delta  CRL:

Delta CRL contiene solo i certificati revocati dopo la pubblicazione del’ultima CRL. Ciò permette ai client di recuperare le modifiche rispetto all’ultima pubblicazione e creare rapidamente un elenco completo dei certificati revocati. È possibile utilizzare il delta CRL per pubblicare i dati di revoca più frequentemente rispetto ad una completa CRL. Quest’ultima infatti potrebbe contenere troppi dati e quindi appesantire la rete.

Online Certificate Status Protocol (OCSP):

Spesso, anche la pubblicazione delle Delta CRL non basta a ridurre il “peso” dei dati di revoca che girano per la rete aziendale. Per ridurre questo traffico possiamo creare un Online Responder: ovvero una macchina 2008 sulla quale abbiamo installato il servizio OCSP. A differenza delle CRL, il servizio è sincrono e questo significa che i client non mantengono localmente una copia locale delle CRL. Quando viene effettuata una richiesta all’Online Responder, questo fornisce informazioni esclusivamente sulla validità del certificato di cui è stato richiesto il controllo.

 L’OCSP può essere installato su qualsiasi computer con Windows Server 2008 Enterprise o Datacenter Edition, mentre i dati relativi alle revoche dei certificati possono essere forniti da qualsiasi CA installata su Windows Server 2008 o Windows Server 2003.  Non tutti i client provvisti di browser web supportano questo utile servizio.Quelli sicuramente supportati sono: Internet Explorer 7 su Vista (non XP) , Tutte le versioni di Firefox  e Safari su Mac OS X.

Fonti utilizzate : Microsoft

Be Sociable, Share!

• 

The Active Directory Certificate Services in Windows Server 2008 by My Beautiful Place, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-Noncommercial-No Derivative Works 2.5 Italy License.