In questa sezione viene descritto come installare, configurare e utilizzare Reflection in modo da sfruttarne la funzionalità nell'ambiente DOD (Department of Defense) o in un altro ambiente PKI (Public Key Infrastructure). La configurazione PKI influisce sia sulle connessioni Secure Shell che su quelle SSL/TLS.
Esecuzione di Reflection nella modalità DOD PKI
Per impostazione predefinita, le applicazioni Reflection consentono l'utilizzo di alcune configurazioni non conformi ai requisiti di DOD PKI. Gli amministratori possono utilizzare i criteri di gruppo per Reflection per configurare tutte le sessioni di Reflection in modo che soddisfino i requisiti di DOD PKI.
Per configurare la modalità DOD PKI
Eseguire l'editor Criteri di gruppo con uno dei seguenti metodi:
Nella riga di comando, immettere Gpedit.msc
-oppure-
Nella console Utenti e computer di Active Directory, aprire le proprietà di una Unità organizzativa, fare clic sulla scheda Criteri di gruppo e modificare un oggetto di criteri o crearne uno nuovo.
Installare il modello di Reflection (ReflectionPolicy.adm), se questa operazione non è stata già eseguita.
NOTA:Per informazioni sul download e l'installazione del modello di protezione di Reflection, vedere la Nota tecnica 2216 (in inglese).
In Criterio computer locale > Configurazione utente > Modelli amministrativi > Impostazioni di Reflection, disattivare l'impostazione Consenti modalità non DoDPKI.
La configurazione della modalità DOD PKI produce i seguenti effetti.
È necessario configurare Reflection per utilizzare il controllo CRL Un elenco firmato digitalmente di certificati che sono stati revocati dall'autorità di certificazione (CA). I certificati identificati in un CRL non sono più validi. o un responder OCSP. Un protocollo (che utilizza il trasporto HTTP) che può essere utilizzato quale alternativa al controllo CRL per confermare la validità di un certificato. I responder OCSP rispondono alle richieste sullo stato dei certificati fornendo una delle tre risposte con firma digitale possibili: "good" (corretto), "revoked" (revocato) e "unknown" (sconosciuto). L'uso di OCSP elimina la necessità da parte dei server e/o dei client di recuperare e ordinare CRL di grosse proporzioni. Nella modalità DOD PKI, l'opzione che impedisce l'uso di entrambi i tipi di controllo è disattivata (per le connessioni SSH, la revoca dei certificati viene configurata tramite la scheda PKI della finestra di dialogo Impostazioni Reflection Secure Shell; per le connessioni SSL/TLS, viene configurata tramite la finestra di dialogo Configurazione PKI).
Reflection applica algoritmi di crittografia approvati da FIPS. Per le connessioni SSH, ciò significa che nella scheda Crittografia della finestra di dialogo Impostazioni Reflection Secure Shell sono disponibili soltanto opzioni approvate da FIPS. Per le connessioni SSL/TLS, ciò significa che non è possibile impostare Livello di crittografia su 40 Bit o 56 Bit.
Per riuscire a stabilire una connessione, è necessario che il nome dell'host del certificato corrisponda esattamente al nome dell'host specificato per la connessione di Reflection. Pertanto, l'impostazione Il nome dell'host del certificato deve corrispondere all'host che viene contattato viene selezionata automaticamente e non può essere modificata (per le connessioni SSH, questa impostazione viene configurata tramite la scheda PKI della finestra di dialogo Impostazioni Reflection Secure Shell; per le connessioni SSL/TLS, viene configurata tramite la finestra di dialogo Configurazione PKI).
I certificati CA intermedi firmati utilizzando l'hash MD2 o MD5 non sono supportati per la validazione dei certificati.
Installazione e rimozione dei punti attendibili
Un punto attendibile è un certificato CA Server di un'organizzazione attendibile preposto all'emissione di certificati digitali. L'autorità di certificazione CA gestisce l'emissione di nuovi certificati e revoca i certificati non più validi per l'autenticazione. Una CA può inoltre delegare la propria funzione di emissione di certificati a una o più CA intermedie, in modo da creare una catena di attendibilità. Il livello più alto di certificazione CA viene indicato come certificazione principale attendibile. in una catena di attendibilità.
Per aggiungere un punto attendibile a un archivio certificati di Reflection:
Fare clic sulla scheda Autorità di certificazione attendibili.
Fare clic su Importa, quindi individuare un certificato (in genere, un file *.cer o *.crt).
Per rimuovere un punto attendibile dall'archivio certificati di Reflection:
Fare clic sulla scheda Autorità di certificazione attendibili.
Selezionare il certificato e fare clic su Rimuovi.
NOTA:
I punti attendibili CA intermedi possono essere recuperati da un server LDAP Protocollo standard utilizzabile per archiviare informazioni in una posizione centrale e distribuirle agli utenti. o HTTP identificabile mediante URI espliciti definiti nell'estensione AIA (Authority Information Access) di un certificato o tramite le informazioni di un server LDAP configurato nella scheda LDAP del Gestore certificati Reflection. Questi certificati vengono archiviati nel file cert_cache contenuto in <Documenti>\Micro Focus\Reflection\.pki o \%programdata%\Micro Focus\Reflection\.pki
Quando Reflection viene eseguito nella modalità DOD PKI, vengono utilizzati soltanto i certificati principali aggiunti al Gestore certificati Reflection. Non è necessario rimuovere i certificati diversi da DOD PKI eventualmente presenti nell'archivio certificati di Windows.
Configurazione del controllo della revoca dei certificati
Il valore predefinito di Reflection per il controllo della revoca dei certificati si basa sull'impostazione attuale utilizzata dal sistema. Se nel sistema è configurata l'esecuzione del controllo CRL, per impostazione predefinita nelle sessioni di Reflection viene controllata la revoca dei certificati mediante CRL. Un elenco firmato digitalmente di certificati che sono stati revocati dall'autorità di certificazione (CA). I certificati identificati in un CRL non sono più validi. È inoltre possibile configurare Reflection in modo che venga utilizzato un responder OCSP Un protocollo (che utilizza il trasporto HTTP) che può essere utilizzato quale alternativa al controllo CRL per confermare la validità di un certificato. I responder OCSP rispondono alle richieste sullo stato dei certificati fornendo una delle tre risposte con firma digitale possibili: "good" (corretto), "revoked" (revocato) e "unknown" (sconosciuto). L'uso di OCSP elimina la necessità da parte dei server e/o dei client di recuperare e ordinare CRL di grosse proporzioni. .
Reflection consente anche di utilizzare un'impostazione per la disattivazione del controllo CRL. Può essere opportuno utilizzare questa impostazione a scopo di verifica, sebbene questa opzione non sia disponibile se Reflection viene eseguito nella modalità DOD PKI.
ATTENZIONE:La disattivazione del controllo CRL mette a rischio la protezione. Utilizzare questa opzione soltanto a scopo di verifica.
È possibile definire uno o più server LDAP Protocollo standard utilizzabile per archiviare informazioni in una posizione centrale e distribuirle agli utenti. da cui recuperare certificati intermedi o CRL.
Per definire un server LDAP
Fare clic sulla scheda LDAP.
Fare clic su Aggiungi, quindi specificare il server utilizzando il seguente formato URL:
ldap://hostname:portnumber
Ad esempio:
ldap://ldapserver.myhost.com:389
Per configurare OCSP
È possibile definire uno o più server OCSP da cui richiedere informazioni sulla revoca dei certificati.
Impostare Revoca certificato su Utilizza OCSP (per le connessioni SSH, utilizzare la scheda PKI della finestra di dialogo Impostazioni Reflection Secure Shell; per le connessioni SSL/TLS, utilizzare la finestra di dialogo Configurazione PKI).
NOTA:Gli URL dei responder OCSP richiesti da un certificato sono indicati nell'estensione AIA del certificato. Se queste informazioni non sono fornite nel certificato, è possibile configurare le informazioni dei responder OCSP procedendo come segue.
Fare clic sulla scheda OCSP.
Fare clic su Aggiungi, quindi specificare il server utilizzando il seguente formato URL:
URL:portnumber
Ad esempio:
https://ocspmachine.host.com:389
Uso degli URI (Uniform Resource Identifier) per i servizi DOD PKI
Reflection consente l'uso di URI Una stringa di caratteri che rappresenta la posizione o l'indirizzo di una risorsa. Gli URI possono essere utilizzati per individuare risorse su Internet o su un server LDAP. per l'aggiornamento ed il recupero automatico di CRL Un elenco firmato digitalmente di certificati che sono stati revocati dall'autorità di certificazione (CA). I certificati identificati in un CRL non sono più validi. , come descritto nella sezione 4.2.1.14 di RFC3280.
Se il controllo CRL è attivato, Reflection consente di verificare la revoca dei certificati nel modo seguente:
Verifica la presenza di informazioni valide sulla revoca nel file crl_cache. Se tali informazioni non vengono trovate, passa al punto 2.
Verifica l'estensione CDP nel certificato relativo agli URI HTTP o LDAP ed esegue una query di questi ultimi nell'ordine specificato (prima HTTP, quindi LDAP). Se rileva che il certificato è stato revocato, chiude la connessione. Se il certificato non viene trovato, passa al punto 3.
Se nella scheda LDAP del Gestore certificati Reflection sono specificati uno o più server LDAP, compone il nome distinto (DN) del CA indicato nell'estensione dell'autorità emittente del certificato ed eseguire una query per il file CRL. Se rileva che il certificato non è stato revocato in alcun CRL, passa alla fase successiva di convalida.
Gli aggiornamenti dei CRL scaduti vengono gestiti in maniera automatica e non richiedono interventi o configurazioni da parte dell'amministratore.
Se il controllo OCSP è attivato, Reflection verifica sempre tutti i responder OCSP disponibili per fare in modo che la connessione non venga stabilita nel caso in cui uno dei responder sia al corrente della revoca del certificato. Per consentire la riuscita della connessione, è necessario che almeno uno dei responder OCSP sia disponibile e restituisca un valore di accettazione per lo stato del certificato. Reflection consente di eseguire tali verifiche nel modo seguente.
Verifica l'estensione AIA nel certificato di uno o più responder OCSP ed esegue una query di ciascuno di questi responder. Se uno dei responder indica lo stato revocato del certificato, chiude la connessione.
Verifica uno o più responder OCSP configurati specificati mediante la scheda OCSP del Gestore certificati Reflection e invia una query a ciascun responder. Se uno dei responder indica lo stato revocato del certificato, chiude la connessione.
Se tutti i responder forniscono lo stato sconosciuto, chiude la connessione. Se viene fornito un valore di accettazione per lo stato del certificato da parte di almeno uno dei responder OCSP a cui è stata inviata una query, passa alla fase di convalida successiva.
Uso degli URI per il recupero di certificati intermedi
Come descritto nella sezione 4.2.2.1 di RFC3280, Reflection consente di utilizzare gli URI Una stringa di caratteri che rappresenta la posizione o l'indirizzo di una risorsa. Gli URI possono essere utilizzati per individuare risorse su Internet o su un server LDAP. per il recupero di CA Server di un'organizzazione attendibile preposto all'emissione di certificati digitali. L'autorità di certificazione CA gestisce l'emissione di nuovi certificati e revoca i certificati non più validi per l'autenticazione. Una CA può inoltre delegare la propria funzione di emissione di certificati a una o più CA intermedie, in modo da creare una catena di attendibilità. Il livello più alto di certificazione CA viene indicato come certificazione principale attendibile. intermedi nel modo seguente:
Verifica la presenza del certificato intermedio richiesto nel file cert_cache. Se non viene trovato, passa al punto 2.
Se gli URI HTTP o LDAP sono definiti nell'estensione AIA (Authority Information Access) di un certificato, tenta di utilizzarli (prima HTTP, quindi LDAP) per recuperare i certificati CA intermedi.
Se i suddetti tentativi si rivelano inefficaci, compone un nome distinto (DN) dal nome dell'oggetto del certificato emittente ed eseguire una query del server LDAP per richiedere il contenuto dell'attributo cACertificate.
Poiché Reflection non applica l'estensione dei criteri di protezione di un certificato, la configurazione dei criteri di protezione non è necessaria.
Configurazione e protezione di certificati e chiavi private
Per configurare l'autenticazione del client mediante certificati:
Nella scheda Personale fare clic su Importa, quindi individuare un certificato (in genere, un file *.pfx o *.p12). Viene richiesta la creazione di una passphrase da immettere ogni volta in cui viene utilizzata questa chiave. L'immissione di una passphrase è consigliata per garantire la protezione della chiave nel sistema.
Per le connessioni Secure Shell, aprire la finestra di dialogo Impostazioni Reflection Secure Shell, fare clic sulla scheda Chiavi utente e selezionare il/i certificato/i da utilizzare per l'autenticazione del client all'host attualmente specificato (questa fase non è richiesta per le connessioni SSL/TLS).
Misure di sicurezza per la chiave privata
Se la chiave privata di un client viene intercettata, i file presenti su qualsiasi server accessibile da tale client potrebbero essere utilizzati da utenti malintenzionati. Per ridurre al minimo questo rischio, è necessario che ciascun utente client protegga sempre la propria chiave privata con una passphrase. In tal modo, l'autenticazione con questa chiave può essere eseguita soltanto da chi è a conoscenza della passphrase. Gli utenti devono creare e proteggere le passphrase in base alle specifiche sulle password indicate dai criteri di protezione dell'organizzazione.
Procedura da seguire in caso di intercettazione di una chiave
Una chiave viene considerata intercettata se viene identificata da un'entità non autorizzata o se si ritiene che le operazioni eseguite da una persona che accede alla chiave non siano attendibili.
Se la chiave del client viene intercettata, revocare il certificato del client.
Per sostituire una chiave intercettata:
Generare una nuova chiave privata e un nuovo certificato e importare la chiave nel Gestore certificati Reflection.
Sul server, aggiornare la riga del file di mappa relativa al client nel caso in cui le informazioni di identificazione siano variate.
Per rimuovere la chiave intercettata dal computer client:
Rimuovere la chiave dalla scheda Personale del Gestore certificati Reflection. In tal modo, la chiave viene rimossa dal file identity_store.p12.
Se il file originale contenente la chiave e il certificato precedenti (*.pfx o *.p12) si trova ancora nel computer client, utilizzare un'utilità di cancellazione dei file approvata da DOD per eliminare questo file.