Protezione
Uno strumento nuovo e potente per la gestione dei certificati
Kevin Dallmann
Panoramica:
- Architettura di ILM-CM
- Amministrazione e modelli
- Creazione di un flusso di lavoro
Al lavoro è una giornata tranquilla, quando arriva una chiamata dal team del supporto tecnico: è scaduto il certificato di uno dei sistemi di produzione. Ora il sistema non è disponibile e l'azienda sta perdendo produttività e denaro finché non lo si rinnova.
I responsabili della gestione di un ambiente PKI (Public Key Infrastructure, infrastruttura a chiave pubblica) saranno senz'altro sorpresi di sapere che un certificato è scaduto inaspettatamente. E comunque ora addio giornata tranquilla.
Quando Microsoft ha aggiunto i servizi PKI a Windows® 2000 e Windows Server® 2003, implementare un proprio ambiente PKI interno per le aziende era semplice e poco costoso. Purtroppo però i servizi PKI Microsoft® non consentivano di gestire il ciclo di vita dei certificati che venivano generati. Recentemente, tuttavia, Microsoft ha acquisito un prodotto per la gestione dei certificati e ha rilasciato Identity Lifecycle Manager (ILM) che combina la gestione dei certificati con il provisioning di identità e le funzionalità di controllo di Microsoft® Identity Integration Server (MIIS). In quest'articolo verrà illustrato come utilizzare ILM per la gestione dei certificati e delle smart card dell'organizzazione.
Architettura di ILM-CM
Il nucleo dell'architettura di ILM Certificate Management (gestione certificati ILM) è costituito dal server ILM-CM e dai componenti correlati (vedere la Figura 1). Il server ILM-CM può essere installato in una configurazione server singola in modo da interfacciarsi con una o più autorità di certificazione (CA). Per ILM-CM è necessario SQL Server™, in cui sono memorizzate le informazioni sui certificati, i criteri e altri dati correlati, utilizzati per gestire i certificati nell'ambiente. Per gestire gli utenti e le autorizzazioni di protezione, per il server ILM-CM è inoltre necessario Active Directory®. Per le versioni e i componenti necessari vedere la Figura 2.
Figure 2 Supporto dell'infrastruttura ILM-CM
| Componenti | Versioni |
| Active Directory | Windows Server 2003 |
| Server di database | SQL Server 2000 SP3 o successivi oppure SQL Server 2005 |
| Autorità di certificazione | Windows Server 2003 Enterprise Edition o Data Center Edition |
| SMTP | Server SMTP |
Figura 1** Architettura di ILM-CM **
Una volta che l'ambiente ILM-CM sarà stato completamente installato, tutte le richieste di certificati verranno comunicate al server ILM-CM. Il server ILM-CM ha la funzione di archiviare le informazioni relative ai certificati nel database SQL Server, il quale può essere ulteriormente utilizzato per generare report e avvisi, nonché per gestire un ambiente di flusso di lavoro.
L'architettura software di ILM-CM è costituita essenzialmente da tre parti di alto livello: server ILM-CM, plug-in per le autorità di certificazione e componenti del lato client. È possibile installare ed eseguire il software server su una CA o su un server utilizzato principalmente per ILM-CM, il quale comunica con le CA, il database SQL Server e Active Directory. Fornisce inoltre un portale Web utilizzabile dai gestori dei certificati per configurare i criteri e i flussi di lavoro dei certificati e dai sottoscrittori per richiedere e rinnovare certificati software.
Perché la CA comunichi con il server ILM-CM, i moduli uscita e criteri ILM-CM devono essere installati e configurati su tutte le CA che si desidera gestire. Questi due moduli vengono utilizzati per registrare le informazioni dei certificati nel database. Quando una CA emette un certificato, le informazioni vengono inviate al server ILM-CM tramite il modulo uscita e il server, a sua volta, registra le informazioni del certificato nel database.
Se si prevede di gestire smart card nell'ambiente, è necessario installare il software client per le smart card di ILM-CM. Questo software è necessario in tutti i computer client che devono interagire con il server ILM-CM.
Installazione di ILM-CM
L'installazione del server ILM-CM è in effetti piuttosto semplice: è disponibile una procedura guidata che agevola il processo. Prima di eseguire la procedura guidata, è necessario svolgere alcune funzioni di preinstallazione.
In primo luogo per ILM-CM sono necessari Active Directory e un'estensione dello schema ILM-CM. Tramite l'estensione dello schema vengono aggiunti gli attributi di protezione di Microsoft .NET Framework richiesti da ILM-CM per implementare i modelli di profilo.
È inoltre necessario installare .NET Framework 2.0 e devono essere presenti i componenti citati in precedenza: SQL Server, le CA e il server SMTP. Se ILM-CM deve essere installato in un server distinto dalla CA, è necessario installare i moduli ILM-CM nelle CA eseguendo su di esse la procedura guidata di installazione di ILM-CM. Una volta completata l'installazione, puntando il browser su http://nomehost/CLM dovrebbe essere possibile connettersi al portale ILM-CM.
Per attivare la notifica della scadenza/rinnovo dei certificati è necessario configurare il servizio ILM-CM sul server ILM-CM. Iniziare creando un account adatto in Active Directory. Passare ai servizi ILM-CM e aggiungere questo account come account di accesso. Aggiungere quindi l'utente al gruppo degli amministratori locali e IIS_WPG sul server ILM-CM e impostare i privilegi "Agisci come parte del sistema operativo, Generazione controlli di protezione e Sostituzione di token a livello di processo" utilizzando i criteri di gruppo. Una volta impostato il servizio ILM-CM, il server ILM-CM potrà analizzare il database SQL Server alla ricerca di certificati scaduti e inviare una notifica tramite posta elettronica ai proprietari o ai gestori dei certificati.
Amministrazione di ILM-CM
ILM-CM viene gestito tramite un'interfaccia Web, divisa in aree funzionali relative alle attività di gestione degli utenti, dei certificati e delle smart card. Quando si è connessi al portale ILM-CM con privilegi amministrativi adeguati, vengono visualizzate varie attività di amministrazione che consentono di gestire l'ambiente ILM-CM (vedere la Figura 3). Nella sezione relativa alle attività comuni sono presenti opzioni che includono la registrazione di utenti per una nuova serie di certificati o una smart card. È altresì possibile gestire e approvare richieste.
Figura 3** Attività del portale di gestione ILM-CM **(Fare clic sull'immagine per ingrandirla)
Per identificare utenti e certificati si utilizza l'area relativa alla gestione degli utenti e dei certificati. Le attività disponibili in quest'area consentono di trovare, ripristinare, revocare o rinnovare certificati. È inoltre possibile visualizzare un elenco delle revoche.
Se l'organizzazione utilizza le smart card, è utile la sezione relativa alla gestione delle smart card degli utenti. Se, ad esempio, la smart card di un utente è bloccata, da qui è possibile sbloccarla. È inoltre possibile visualizzare le smart card inserite nel lettore locale ed eseguirvi ricerche.
L'area relativa alla richieste dell'interfaccia consente ai gestori dei certificati di riesaminare e approvare le richieste di certificati degli utenti. È ad esempio possibile visualizzare i certificati contenuti in una richiesta con stato in sospeso. L'area relativa all'amministrazione consente di creare e gestire modelli di profilo. Infine, l'area relativa ai report viene utilizzata, come prevedibile, per sviluppare e creare report relativi a utenti e certificati.
Quando l'utente viene autenticato presso il portale ILM-CM, se l'account non dispone di privilegi amministrativi, viene visualizzata una pagina di sottoscrizione dotata di funzionalità di gestione self-service per gli utenti dei certificati (vedere la Figura 4). Dal portale, gli utenti possono visualizzare e gestire i propri certificati e smart card in base alla configurazione di criteri specifici. Sono esempi di attività comuni la richiesta di certificati o smart card, la verifica di certificati esistenti e la modifica del codice PIN delle smart card.
Figura 4** Pagina di sottoscrizione del portale per gli utenti con funzionalità di amministrazione self-service **(Fare clic sull'immagine per ingrandirla)
Fornire un processo di flusso di lavoro delegato di alta qualità per emettere, rinnovare, revocare e sostituire i certificati o le smart card costituisce una sfida in qualunque organizzazione. Con ILM-CM è possibile delegare queste attività con maggiore tranquillità. Supponiamo che un utente abbia dimenticato il codice PIN di una smart card. Utilizzando il modello di flusso di lavoro delegato, l'utente può rivolgersi al supporto tecnico e rispondere a qualche domanda di verifica. Se le risposte alle domande sono corrette, il personale del supporto sblocca la smart card dell'utente. Un altro esempio di flusso di lavoro delegato potrebbe essere costituito dal recupero del certificato EFS (Encrypted File System, file system crittografato) di un utente in caso di eliminazione accidentale o smarrimento di un computer portatile.
Modelli di profilo
Il modello di profilo è il componente fondamentale che attiva un processo di gestione del flusso di lavoro completo per ILM-CM. Un modello di profilo è considerato un unico oggetto amministrativo contenente uno o più modelli di certificato. I modelli di profilo vengono creati e configurati per gestire il funzionamento del processo di flusso nell'ambiente dei certificati. L'aspetto principale di un modello di profilo è la capacità di contenere più modelli di certificato gestibili come un unico elemento, vale a dire che è possibile gestire gli utenti da un modello che tiene traccia del processo del certificato per tutto il ciclo di vita.
I modelli di profilo possono essere configurati in modo da memorizzare i certificati in un computer (tramite software) o in una smart card (tramite hardware). È possibile creare questi modelli duplicando un esempio dal portale di amministrazione ILM-CM. Nel modello di profilo, è possibile definire diversi componenti dei criteri di gestione (vedere la Figura 5).
Figura 5** Un modello di profilo **(Fare clic sull'immagine per ingrandirla)
Molti dei componenti dei criteri sono applicabili sia ai profili software sia ai profili smart card (vedere la Figura 6). Alcuni di questi meritano un ulteriore commento. Durante il processo di registrazione del certificato, è possibile utilizzare il componente di registrazione criteri per definire alcuni criteri riguardanti le modalità desiderate per il flusso del processo di registrazione. È ad esempio possibile impostare una raccolta di dati, vale a dire che l'utente deve inserire informazioni quali i codici di reparto, l'indirizzo di posta elettronica e i dati del gestore. È altresì possibile creare definizioni per stampare automaticamente un documento ufficiale una volta che l'utente ha registrato il certificato.
Figure 6 Criteri di profilo software
| Componente | Descrizione |
| Dettagli del profilo | Fornisce i dettagli generali del modello di profilo. Qui è possibile aggiungere uno o più modelli di certificato al modello di profilo. |
| Criterio di duplicazione | Definisce le entità del flusso di lavoro di un certificato esistente. |
| Criterio di registrazione | Definisce il flusso di lavoro del processo di registrazione. |
| Criterio di aggiornamento in linea | È simile al criterio di rinnovo, ad eccezione del fatto che consente di aggiornare i certificati in scadenza, il contenuto di certificati, modelli e applet di smart card. |
| Criterio Recupero per conto altrui | Consente di recuperare la chiave privata o i certificati di un utente. |
| Criterio di rinnovo | Consente di definire il flusso di lavoro di rinnovo quando un certificato scade. |
| Criterio di reintegro | Consente di definire il processo per reintegrare un certificato. |
| Criterio di ripristino | Consente di definire il flusso di lavoro per ripristinare un certificato utente memorizzato su un computer che viene eliminato, ricreato o rubato. |
| Criterio di revoca | Consente di definire il flusso di lavoro per revocare tutti i certificati di un profilo. |
I criteri di aggiornamento in linea possono essere molto utili per l'organizzazione. Sono simili ai criteri di rinnovo, a eccezione del fatto che con questo metodo è possibile aggiornare il contenuto dei certificati, i modelli di certificato, gli applet contenuti nelle smart card, nonché il certificato in sé quando sta per scadere. Per utilizzare appieno questi criteri, è necessario attivare il servizio ILM-CM e il file web.config per consentire l'accesso a un attributo con più valori in Active Directory. Sarà inoltre necessario installare il servizio di aggiornamento in linea nel computer client.
Il criterio Recupero per conto altrui può essere utile se l'azienda utilizza la crittografia EFS. Supponiamo che qualcuno elimini accidentalmente il certificato di crittografia. È possibile utilizzare questo componente dei criteri per impostare un flusso di lavoro in cui il team del supporto tecnico che si occupa della protezione richiede la chiave privata dell'utente. L'utente potrebbe così recuperarla ricevendo un messaggio di posta elettronica contenente una password segreta generata dal server ILM-CM e accedere a un collegamento Web privato sul server ILM-CM per recuperare il certificato con le chiavi private associate. Il criterio Recupero per conto altrui è particolarmente utile anche nel caso un dipendente abbia lasciato l'organizzazione, ma sia necessario recuperarne i dati a fini normativi, di archiviazione o altro.
Per proteggere maggiormente il processo di rinnovo, il relativo criterio consente di impostare e inviare per posta elettronica la chiave privata, necessaria per il rinnovo dei certificati, che gli utenti utilizzeranno come password una sola volta. Se si revoca un certificato e in seguito si desidera reintegrarlo e rimuoverlo dall'elenco di revoche di certificati (CRL), è possibile definire tale processo di flusso di lavoro tramite il criterio di reintegrazione.
Due componenti univoci, associati esclusivamente ai criteri di certificati software e non alle smart card, costituiscono i criteri di ripristino e revoca. Se un certificato utente memorizzato in un computer viene eliminato, il computer viene rubato o ne viene modificata la configurazione hardware, il processo per ripristinare il certificato o le chiavi, se archiviate sulla CA, potrebbe essere definito tramite il criterio di ripristino. Il criterio di revoca consente all'amministratore di impostare una motivazione statica per la revoca o alla persona che esegue la richiesta di indicarne la motivazione al momento della revoca.
Sono presenti cinque criteri di gestione aggiuntivi specifici per i modelli di profilo delle smart card, come illustrato nella Figura 7.
Figure 7 Criteri di profilo smart card
| Componente | Descrizione |
| Criterio di sostituzione | Consente di definire il profilo nel caso la smart card di un utente venga smarrita o rubata. |
| Criterio di disattivazione | Consente di definire il processo di disattivazione di certificati contenuti in una smart card prima della loro scadenza. |
| Criterio di ritiro | Consente di definire il processo per revocare tutti i certificati su una smart card. |
| Criterio di sblocco | Consente di definire chi può sbloccare il codice PIN dell'utente di una smart card. |
| Criterio per smart card temporanee | Consente di definire una smart card sostitutiva per un breve periodo. L'utente riceve nuovi certificati di firma ma sarebbe in grado di decrittografarne i dati ottenendo i certificati di crittografia del profilo esistenti. |
È possibile definire varie operazioni diverse per il criterio di ritiro, come cancellare i dati dell'utente dalla smart card, bloccare l'utente e i codici PIN di amministrazione e ripristinare il PIN amministrativo. Il criterio di sblocco viene in genere utilizzato se un utente ha dimenticato il PIN o ha ricevuto una nuova smart card con un PIN assegnato da ILM-CM. In questi casi l'utente richiede lo sblocco della smart card.
Come in qualunque prodotto amministrativo, i report sono uno strumento molto utile. La possibilità di acquisire un'istantanea dell'ambiente dei certificati o delle smart card è molto importante per qualsiasi organizzazione. In ILM-CM sono incorporati diversi report standard, fra cui inventari delle smart card, riepiloghi delle richieste, utilizzo e scadenze dei certificati e altro ancora. Come avviene con altri sistemi, se sono necessari report aggiuntivi, è possibile scrivere query personalizzate poiché tutti i dati sono memorizzati in un database SQL Server.
Sviluppo di un flusso di lavoro
Vediamo ora come ILM-CM può essere utile per definire un processo di flusso di lavoro produttivo. Supponiamo che vi siano vari amministratori di sistema, responsabili della gestione e della manutenzione dei certificati SSL per i propri sistemi. La prima domanda è: quali sono gli aspetti principali del processo?
A seconda del tipo di sistema, il processo può richiedere metodi diversi per la creazione del file di richiesta del certificato. La prima operazione consiste nello sviluppare una pagina intranet con istruzioni dettagliate su come creare la richiesta del certificato per tutti i sistemi.
Dopo avere creato il file di richiesta, l'amministratore potrà inoltrarlo al portale ILM-CM degli utenti per l'approvazione del certificato. Utilizzando il processo di flusso di lavoro di ILM-CM, l'amministratore può definire vari approvatori che dovranno verificare e approvare le richieste di certificati. Dopo l'approvazione di un certificato, l'utente potrà recuperarlo da ILM-CM. Poiché le informazioni dei certificati vengono inserite in un database SQL Server, gli amministratori possono recuperare le informazioni cronologiche.
Un anno dopo, quando il certificato si avvicinerà alla scadenza, il richiedente riceverà una notifica tramite posta elettronica da ILM-CM per informarlo che il certificato sta per scadere e deve essere rinnovato. La messa in atto di questo processo di flusso di lavoro contribuirà a scongiurare la scadenza imprevista di certificati evitando così di rovinare la giornata agli amministratori.
Riepilogo
Se l'azienda utilizza un ambiente Microsoft PKI, ILM-CM può essere utile per gestirlo. ILM-CM consente alle organizzazioni di migliorare i processi di autenticazione per la protezione e di ridurre i costi e le complessità derivanti dalla gestione di smart card e certificati digitali. ILM-CM sarà inoltre l'elemento di base su cui sviluppare i processi di flusso di lavoro per certificati e smart card di cui oggi molte aziende sentono la mancanza.
Microsoft ha inoltre implementato il supporto di un'API esterna per ILM-CM. Se l'organizzazione utilizza applicazioni personalizzate, potrebbe essere possibile interfacciare queste applicazioni per trarre vantaggio dal supporto di API ILM-CM.
Per ulteriori informazioni su ILM-CM, vedere microsoft.com/technet/clm. Una guida introduttiva è disponibile anche all'indirizzo (go.microsoft.com/fwlink/?LinkId=87336).
Kevin Dallmann è consulente come Senior Systems Engineer presso Accenture ed è responsabile in primo luogo del supporto di ambienti Active Directory e PKI per grandi imprese. Kevin ha conseguito le certificazioni MCSE e MCT ed è docente di corsi Microsoft.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.