Installazione

Servizi certificati

Una generica autorità di certificazione (Certification Authority o più brevemente CA) è costituita principalmente attorno ad un pacchetto software che memorizza i certificati, contenenti le chiavi pubbliche degli utenti e firmati dall’autorità di certificazione, in una directory.

Nei sistemi Windows questo compito è affidato al componente Servizi certificati, la cui versione 1.0 è stata introdotta quale opzione aggiuntiva ad Internet Information Server con l'Option Pack di MS Windows NT 4.0.

Vediamo adesso quelle che sono le caratteristiche generali di una autorità di certificazione, dopo di che passeremo ad analizzare il funzionamento del componente Servizi certificati 2.0 ed a descriverne la procedura di installazione.

Per quanto riguarda la configurazione e gli aspetti operativi come il backup ed il ripristino, vi rimando alla lettura dell'ottima guida in italiano a corredo del prodotto.

Perchè utilizzare un'autorità di certificazione

Se utilizzata con pacchetti software che ne sfruttano le potenzialità garantisce agli utenti che il mittente sia colui che dice di essere, che il destinatario sia la sola persona a poter leggere la posta e che il messaggio ricevuto corrisponda esattamente a quello inviato.

Un’autorità di certificazione è un’estensione logica di un centro di distribuzione di chiavi. Il centro di distribuzione delle chiavi fornisce la chiave pubblica degli utenti a chiunque ne faccia richiesta, non vi è un periodo di validità per la chiave, né l’utente è sicuro che la chiave sia realmente quella dell’utente richiesto. Quindi, un utente malintenzionato che cerca di rubare informazioni private potrebbe usare un attacco di tipo uomo nel mezzo per intercettare la vera chiave pubblica e sostituirla con la propria, permettendogli quindi di decifrare i dati.

L’autorità di certificazione elimina questi problemi. Invece di fornire chiavi pubbliche, l’autorità di certificazione distribuisce certificati. Questi certificati contengono un periodo di validità, prima e dopo del quale la chiave pubblica non può essere utilizzata per verificare una firma. Oltre a questo, il certificato viene firmato con la chiave privata dell’autorità di certificazione, facendo diventare il tutto difficilmente modificabile da un utente malintenzionato che voglia attuare l’attacco di tipo uomo nel mezzo.

Gerarchia delle autorità di certificazione

In base a quanto abbiamo visto è facile intuire che ogni autorità di certificazione verrà ad essere inserita in un suo ambito operativo o più in generale verrà ad occupare una delle due posizioni evidenziate in questo schema:

potremmo avere cioè autorità con funzione di radice di una gerarchia oppure come appartenenti ad una gerarchia esistente.

Certificati

In base al ruolo assegnato, l'autorità di certificazione è in grado di rilasciare diverse tipologie di certificati:

• Certificati di CA:

  • Utilizzati per validare altri certificati emessi dalla CA;

  • Devono essere caricati nel browser per validare un server.

• Certificati server:

  • Emessi da una CA per validare un server (che sia esso web o altro).

• Certificati client:

  • Emessi da una CA per validare un client (e-mail e browser)