Informazioni sul servizio ruolo Autorità di certificazione
Questo articolo fornisce informazioni sul servizio ruolo Autorità di certificazione per Servizi certificati Active Directory quando viene distribuito nel sistema operativo Windows Server.
Un'autorità di certificazione (CA) è responsabile dell'attestazione dell'identità di utenti, computer e organizzazioni. La CA autentica un'entità e convalida l'identità mediante il rilascio in un certificato firmato digitalmente. La CA può inoltre gestire, revocare e rinnovare i certificati.
Un'autorità di certificazione può essere:
- Un'organizzazione che convalida l'identità di un utente finale.
- Un server usato dall'organizzazione per il rilascio e la gestione di certificati.
L'installazione del servizio ruolo Autorità di certificazione di Servizi certificati Active Directory consente di configurare il server Windows in modo che funga da CA.
Informazioni sui tipi di autorità di certificazione
Windows Server supporta quattro diversi tipi di autorità di certificazione:
- Autorità di certificazione radice dell'organizzazione.
- Autorità di certificazione subordinata dell'organizzazione.
- Autorità di certificazione radice autonoma.
- Autorità di certificazione subordinata autonoma.
Autorità di certificazione aziendali e autonome
LeCA globali (enterprise) sono integrate in Servizi di dominio Active Directory. Pubblicano i certificati e gli elenchi di revoche di certificati (CRL) in Servizi di dominio Active Directory. Le autorità di certificazione aziendali usano le informazioni archiviate in Active Directory Domain Services, inclusi gli account utente e i gruppi di sicurezza, per approvare o negare le richieste di certificati. Le CA globali (enterprise) usano i modelli di certificati. Quando viene rilasciato un certificato, la CA globale (enterprise) usa le informazioni incluse nel modello di certificato per generare un certificato con gli attributi appropriati per il tipo di certificato.
Se si vuole abilitare l'approvazione automatica dei certificati e la registrazione automatica dei certificati utente, usare le CA globali (enterprise) per rilasciare i certificati. Queste funzionalità sono disponibili solo quando l'infrastruttura della CA è integrata con Active Directory. Inoltre, solo le CA globali (enterprise) possono rilasciare certificati che consentono l'accesso tramite smart card, perché questo processo richiede che certificati smart card siano mappati automaticamente agli account utente in Active Directory.
Le autorità di certificazione autonome non richiedono Active Directory Domain Services e non usano modelli di certificati. Se si usano CA autonome, tutte le informazioni relative al tipo di certificato richiesto devono essere incluse nella richiesta di certificato. Per impostazione predefinita, tutte le richieste di certificati inviate alle CA autonome sono vengono inserite in una coda in sospeso fino a quando non vengono approvate da un amministratore della CA. È possibile configurare le autorità di certificazione autonome per il rilascio automatico dei certificati su richiesta, ma si tratta di una soluzione meno sicura e in genere non consigliata perché le richieste non vengono autenticate.
È necessario usare autorità di certificazione autonome per rilasciare certificati quando si usa un servizio di directory non Microsoft o quando Active Directory Domain Services non è disponibile. È possibile usare autorità di certificazione aziendali e autonome nell'organizzazione.
Autorità di certificazione radice e subordinate
È possibile configurare le CA globali (enterprise) e autonome come CA radice o CA subordinate. Le CA subordinate possono essere ulteriormente configurate come CA intermedie (anche denominate CA di criteri) o CA emittenti
Un'autorità di certificazione radice è l'autorità di certificazione che si trova all'inizio di una gerarchia di certificazione, in cui terminano tutte le catene di certificati. Quando il certificato dell'autorità di certificazione radice è presente nel client, l'autorità di certificazione radice è considerata attendibile in modo incondizionato. Sia che si scelga una CA globale (enterprise) o una CA autonoma, è necessario designare una CA radice.
Poiché l'autorità di certificazione radice è l'autorità di certificazione principale nella gerarchia di certificazione, il campo Oggetto del certificato ha lo stesso valore del campo Emittente. Allo stesso modo, poiché tutte le catene di certificati terminano quando raggiungono una CA autofirmata, tutte le CA autofirmate sono CA radice. La decisione di designare una CA come CA radice attendibile può essere presa a livello aziendale o localmente dal singolo amministratore IT.
Una CA radice costituisce la base del modello di attendibilità dell'autorità di certificazione. Garantisce che la chiave pubblica del soggetto corrisponda alle informazioni sull'identità visualizzate nel campo soggetto del certificato che emette. Autorità di certificazione diverse possono inoltre verificare questa relazione mediante standard diversi. È quindi importante capire i criteri e le procedure dell'autorità di certificazione radice prima di scegliere di considerare attendibile un'autorità specifica per la verifica delle chiavi pubbliche.
La CA radice è la CA più importante nella gerarchia. Se la CA radice è compromessa, tutte le CA nella gerarchia e tutti i certificati che questa emette vengono considerati compromessi. È possibile ottimizzare la sicurezza della CA radice mantenendola disconnessa dalla rete e usando CA subordinate per rilasciare certificati ad altre CA subordinate o agli utenti finali. Un'autorità di certificazione radice disconnessa è nota anche come autorità di certificazione radice offline.
Le autorità di certificazione che non sono autorità di certificazione radice sono considerate subordinate. La prima CA subordinata in una gerarchia ottiene il certificato dalla CA radice. Questa prima CA subordinata può usare questa chiave per rilasciare certificati che verificano l'integrità di un'altra CA subordinata. Queste CA subordinate più elevate vengono definite CA intermedie. Una CA intermedia è subordinata a una CA radice, ma funge da autorità di certificazione più elevata per una o più CA subordinate.
Un'autorità di certificazione intermedia viene spesso definita come autorità di certificazione di criteri perché in genere viene usata per separare classi di certificati che possono essere distinte in base a criteri. Ad esempio, la separazione in base ai criteri include il livello di verifica fornito da una CA o la posizione geografica della CA per distinguere diverse popolazioni di entità finali. Una CA di criteri può essere online o offline.
Chiavi private dell'autorità di certificazione
La chiave privata fa parte dell'identità della CA e deve essere protetta da eventuali compromissioni. Molte organizzazioni proteggono le chiavi private delle CA tramite un modulo di protezione hardware. Se non viene usato un modulo di protezione hardware, la chiave privata viene archiviata nel computer dell'autorità di certificazione.
Le CA offline devono essere archiviate in posizioni sicure e non essere connesse alla rete. Le CA emittenti usano le relative chiavi private per il rilascio di certificati, quindi è necessario che le chiavi private siano accessibili (online) durante il funzionamento della CA. In tutti i casi, la CA e la relativa chiave privata sulla CA devono essere protette a livello fisico.
Moduli di protezione hardware
L'uso di un modulo di protezione hardware può migliorare la sicurezza dell'autorità di certificazione e dell'infrastruttura a chiave privata.
Un modulo di protezione hardware è un dispositivo hardware dedicato che è gestito separatamente dal sistema operativo. I moduli di protezione hardware offrono un archivio hardware sicuro per le chiavi dell'autorità di certificazione, oltre a un processore di crittografia dedicato che consente di accelerare le operazioni di firma e di crittografia. Il sistema operativo usa il modulo di protezione hardware tramite le interfacce CryptoAPI e il modulo di protezione hardware funzione come dispositivo del provider del servizio di crittografia (CSP).
I moduli di protezione hardware sono in genere costituiti da adapter PCI ma sono anche disponibili come dispositivi di rete, dispositivi seriali e dispositivi USB. Se un'organizzazione prevede di implementare due o più CA, è possibile installare un singolo modulo di protezione hardware di rete e condividerlo tra più CA.
I moduli di protezione hardware devono essere installati e configurati prima di configurare le autorità di certificazione con chiavi che devono essere archiviate nel modulo di protezione hardware.