Utilizzo dei certificati per l'autenticazione del dispositivo mobile

Ultima modifica dell'argomento: 2008-02-14

Lo scorso mese abbiamo parlato dell'utilizzo di SSL (Secure Sockets Layer) per aumentare la protezione delle comunicazioni tra i client Microsoft Exchange ActiveSync e il computer su cui viene eseguito Microsoft Exchange. Questo mese parleremo di un ulteriore livello di protezione: l'autenticazione client.

L'autenticazione è il processo con cui un client e un server verificano le rispettive identità per la trasmissione di dati. La crittografia delle comunicazioni con SSL racchiude i dati scambiati tra il client e il server in un livello di crittografia che consente di proteggere tali dati. In Microsoft Exchange Server 2007, l'autenticazione viene utilizzata per determinare se l'identità di un utente o di un client che desidera comunicare con il server Exchange corrisponde a quella dichiarata. È possibile utilizzare l'autenticazione per verificare che un dispositivo appartenga a una persona specifica.

È possibile configurare l'autenticazione nella directory virtuale di Exchange ActiveSync. Questa impostazione controllerà se i dispositivi client utilizzeranno i certificati client per l'autenticazione. Per impostazione predefinita, quando si installa il ruolo del server Accesso client per Exchange 2007, la directory virtuale di Exchange ActiveSync viene configurata per l'utilizzo dell'autenticazione di base con SSL. È possibile modificare il metodo di autenticazione modificando le proprietà della directory virtuale di Exchange ActiveSync. In questo articolo vengono fornite una panoramica dei differenti tipi di autenticazione e le istruzioni per la configurazione del metodo di autenticazione per la directory virtuale di Exchange ActiveSync. Inoltre, vengono fornite istruzioni per configurare i certificati client per l'autenticazione dei dispositivi mobili.

Panoramica dei tipi di autenticazione

Sono disponibili tre tipi di autenticazione: di base, basata sui certificati e basata su token. In questa sezione viene fornita una breve panoramica di questi tipi di autenticazione.

Autenticazione di base

L'autenticazione di base è il metodo di autenticazione più semplice. Nell'autenticazione di base il server richiede al client di fornire un nome utente e la password. Il nome utente e la password vengono inviati via Internet al server come testo non crittografato. Il server verifica che il nome utente e la password forniti siano validi, quindi concede l'accesso al client. Questo è il metodo di autenticazione predefinito per Exchange ActiveSync. È consigliabile utilizzare solo questo metodo di autenticazione quando SSL è attivo. Se si intende disattivare SSL nella directory virtuale di Exchange ActiveSync, è consigliabile scegliere un metodo di autenticazione alternativo.

Autenticazione basata sui certificati

L'autenticazione basata sui certificati utilizza un certificato digitale per verificare un'identità. L'autenticazione basata sui certificati fornisce un altro tipo di credenziali, in aggiunta al nome utente e alla password, per dimostrare l'identità dell'utente che sta tentando di accedere alle risorse della cassetta postale archiviate nel server di Exchange 2007. Un certificato digitale è costituito da due componenti: la chiave privata archiviata nel dispositivo e la chiave pubblica installata nel server.

Se si configura Exchange 2007 in modo che venga richiesta l'autenticazione basata sui certificati per Exchange ActiveSync, possono eseguire la sincronizzazione con Exchange 2007 solo i dispositivi che soddisfano i seguenti criteri:

• Nel dispositivo è installato un certificato client valido creato per l'autenticazione utente.

• Il dispositivo dispone di un certificato radice attendibile per il server con il quale si connette per stabilire la connessione SSL.

La distribuzione dell'autenticazione basata sui certificati impedisce agli utenti dotati solo di un nome utente e di una password di eseguire la sincronizzazione con Exchange 2007. Come ulteriore livello di protezione, il certificato client per l'autenticazione può essere installato solo quando il dispositivo è connesso a un computer appartenente al dominio tramite Desktop ActiveSync 4.5 o una versione successiva in Microsoft Windows XP o tramite il Centro gestione dispositivi Windows Mobile in Windows Vista.

Sistemi di autenticazione basati su token

Un sistema di autenticazione basato su token è un sistema di autenticazione a due fattori. L'autenticazione a due fattori si basa su un'informazione nota all'utente, ad esempio la sua password, e un dispositivo esterno, generalmente simile a una carta di credito o a un portachiavi, che l'utente può portare con sé. Ciascun dispositivo è dotato di un numero di serie univoco. In aggiunta ai token hardware, alcuni fornitori offrono token software che è possibile eseguire sui dispositivi mobili.

Sui token viene visualizzato un numero univoco, generalmente a 6 cifre, che viene modificato ogni 60 secondi. Il token viene sincronizzato con il software del server quando viene rilasciato a un utente. Per effettuare l'autenticazione, l'utente immette il proprio nome utente, la password e il numero visualizzato sul token in quel momento. In alcuni sistemi di autenticazione basati su token all'utente viene inoltre richiesto di immettere un PIN.

L'autenticazione basata su token è un metodo di autenticazione complessa. Lo svantaggio dell'autenticazione basata su token è rappresentato dal fatto che occorre installare nel server il software di autenticazione e distribuire tale software su ciascun computer e dispositivo mobile dell'utente. Esiste anche il rischio che l'utente perda il dispositivo esterno. Ciò può risultare finanziariamente costoso dal momento che comporta la sostituzione dei dispositivi esterni. Tuttavia, il dispositivo esterno non può essere utilizzato da terze parti senza le informazioni di autenticazione originali dell'utente. Numerose società offrono sistemi di autenticazione basata su token. Per ulteriori informazioni su questi sistemi, incluso il modo per configurarli, vedere la documentazione per ogni specifico sistema.

Come configurare l'autorizzazione basata su certificato per la directory virtuale di Exchange ActiveSync

Per configurare la directory virtuale di Exchange ActiveSync per l'autenticazione basata su certificato, utilizzare una delle seguenti procedure.

Per utilizzare Exchange Management Console per configurare l'autenticazione basata su certificato per Exchange ActiveSync

1. Espandere Configurazione server, quindi selezionare Accesso client.

2. Nel riquadro dei risultati, fare clic sulla scheda Exchange ActiveSync.

3. Selezionare la directory virtuale Microsoft-Server-ActiveSync.

4. Nel riquadro azioni, in Microsoft-Server-ActiveSync, fare clic su Proprietà.

5. Fare clic sulla scheda Autenticazione.

6. Deselezionare la casella di controllo accanto a autenticazione di base (la password inviata non è crittografata).

7. Fare clic su Richiedi certificati dei client. In alternativa, per consentire ma non richiedere l'autenticazione del certificato client, è possibile fare clic su Accetta certificati dei client.

8. Fare clic su Applica per salvare le modifiche oppure su OK per salvare le modifiche e chiudere la finestra di dialogo Proprietà di Microsoft-Server-ActiveSync.

Per utilizzare Exchange Management Shell per configurare l'autenticazione basata su certificato per Exchange ActiveSync

• Eseguire il comando riportato di seguito:

  Set-ActiveSyncVirtualDirectory -Identity :"ExchSrvr\Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthEnabled:$false -ClientCertAuth:"Required"
  

Per ulteriori informazioni sulla sintassi e sui parametri, vedere Set-ActiveSyncVirtualDirectory.

Come configurare l'autenticazione basata su certificato in dispositivi mobili Windows

Per eseguire la procedura riportata di seguito su un dispositivo basato su Windows Mobile, assicurarsi di disporre della connessione ActiveSync tra il dispositivo e il computer desktop o portatile. Inoltre, il computer desktop o portatile deve fare parte del dominio. Per computer Windows XP utilizzare Desktop ActiveSync per creare la connessione. Per computer Windows Vista utilizzare Centro gestione dispositivi Windows Mobile.

Per utilizzare lo strumento di registrazione dei certificati desktop è necessario che il dispositivo sia inserito nell'alloggiamento di un computer connesso alla rete aziendale. Nella seguente procedura viene utilizzato Desktop ActiveSync o Centro gestione dispositivi Windows Mobile per registrare un certificato da un server aziendale.

Per utilizzare ActiveSync e registrare un certificato da un server aziendale

1. Con il dispositivo connesso al computer, in ActiveSync o Centro gestione dispositivi Windows Mobile fare clic su Strumenti, Strumenti avanzati, quindi Ottieni certificati dispositivo.

2. Dalla casella a discesa Visualizza selezionare Tipi di certificato di Active Directory, quindi fare clic su Registra.

3. In Ottieni certificato dispositivo fare clic su Sì per continuare.

4. Verrà richiesto di confermare il processo di installazione. Fare clic su Continua sul dispositivo.

5. Potrebbe essere visualizzato un secondo prompt sul dispositivo. In tal caso, selezionare Installa.

6. Dopo che è stata visualizzata la finestra di dialogo di conferma dell'esecuzione corretta al termine del processo di registrazione, fare clic su OK sul computer, quindi su Chiudi.

Conclusione

È possibile implementare diverse funzionalità di protezione per Exchange ActiveSync. L'autenticazione basata su certificato è una di esse. È consigliabile configurare Exchange ActiveSync per l'autenticazione di base con SSL o l'autenticazione basata su certificato. Per ulteriori informazioni sulle opzioni di autenticazione e crittografia, vedere i seguenti argomenti:

• Gestione della protezione di Exchange ActiveSync

• Gestione di un server Exchange ActiveSync

• Gestione dei dispositivi Exchange ActiveSync