La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Certification Authority. Overview Requisiti di progettazione di una gerarchia di CA Progettazione di una.

Presentazioni simili


Presentazione sul tema: "Certification Authority. Overview Requisiti di progettazione di una gerarchia di CA Progettazione di una."— Transcript della presentazione:

1 Certification Authority

2 Overview Requisiti di progettazione di una gerarchia di CA Progettazione di una gerarchia di CA Creazione di una CA Root Offline Validazione dei Certificati Pianificazione della pubblicazioni della CRL Installazione di una CA Subordinata

3 Identificare i requisiti per progettare una gerarchia di CA Scope del Progetto Applicazioni che usano una PKI Quali Account usano applicazioni PKI-Enabled? Come identificare i requisiti tecnici Come identificare i requisiti di Business

4 Tipologie di CA Root Subordinate Stand Alone Enterprise Commerciale / Privata Gerarchia

5 Software Code Signing Encrypting File System Smart Card Logon Smart Card Logon 802.1x IP Security Internet Authentication Secure Applicazioni che usano una PKI Windows 2003 Certificate Services Software Restriction Policy Software Restriction Policy Digital Signatures

6 Quali Account Usano applicazioni PKI-Enabled? Utenti Computer Servizi

7 Come Identificare i requisiti Tecnici PerChiedere Requisiti di sicurezza Quali sono le policy di sicurezza dellazienda? Avete dei Business Partner? Dovete rispettare standard industriali o governativi? Requisiti Amministrativi Chi gestirà le CA? Chi gestirà i certificati? Requisiti di Disponibilità Quante CA richiede lazienda? Come vengono distribuiti i certificati tra le CA?

8 Come Identificare i requisiti di Business PerChiedere Requisiti di Accesso dellEsterno Verranno rilasciati certificati a utenti esterni? I certificati verranno validati da reti esterne? Requisiti di disponibilità Verranno richiesti certificati a qualunque ora? Verranno richiesti servizi in ogni sede? Requisiti Legali Quali sono le politiche di sicurezza aziendali? Qual è la responsabilità dellorganizzazione?

9 Progettazione della gerarchia delle CA: Location Location India Canada United States Root Policy Si usa una gerarchia di CA basata sulla location per: Rispettare i requisiti legali locali (gestione) Rispettare i requisiti di Business per la disponibiltà della CA

10 Come soddisfare i Requisiti di Sicurezza RequisitiAzioni consigliate Mettere in sicurezza la root e la policy CA Rimuovere la root e la policy CA dalla rete Conservare le CA offline in un luogo sicuro Mettere in sicurezza lissuing CA Controllare laccesso alla sala server Rimuovere i servizi non usati sulla issuing CA Proteggere le chiavi private Usare Software CSP Usare smart cards o PC card token con PIN Usare Hardware Security Module Fornire requisiti di rilascio differenti Implementare CA separate per supportare template di certificate diversi per ogni tipo di requisito di rilascio

11 Come supportare i requisiti di Accesso Esterno RequisitiAzioni consigliate Abilitare i client esterni a riconoscere i certificati Usare una CA commerciale Implementare cross certification Implementare qualified subordination Pubblicare le informazioni di CRL e AIA esternamente Gestire i certificati rilasciati agli utenti esterni Rilasciare certificati da una gerarchia di CA privata Trustare i certificati rilasciati da unaltra organizzazione Implementare la certificate trust lists Implementare cross certification o qualified subordination

12 Come supportare i Requisiti delle Applicazioni RequisitiAzioni consigliate Minimizzare il numero di certificati rilasciati Implementare certificati con uso multiplo Minimizzare il numero di CA Pubblicare più certificate da una CA Gestire le CA basandosi sulle applicazioni Pubblicare ogni template di certificato da una CA dedicata

13 Progettazione di una struttura di CA gerarchiche Profondità raccomandata di una Gerarchia di CA Livelli di Sicurezza di una Gerarchia di CA Considerazioni nella scelta di una tipologia di CA Gestione della CA utilizzando la separazione dei Ruoli Linee Guida per la progettazione di una Gerarchia di CA

14 Profondità Raccomandata di una Gerarchia di CA RequisitiProfondità Raccomandata Bassa Sicurezza (1 livello) Root CA singola Poche richieste di certificati Bassi requisiti di sicurezza per la Sicurezza della CA Media Sicurezza (2 livelli) Root offline e subordinata online Una singola CA offline (disconnessa dalla rete) Una Issuing CA online Due o più CA per rilasciare ogni modello di certificato Alta Sicurezza (3-4 livelli) Offline root e offline policy Più issuing CA subordinate online Massimizzare la sicurezza Organizzazione grandi e geograficamente distribuite o a alta sicurezza

15 Livelli di sicurezza nella Gerarchia di CA Sicurezza per la root CA: Richiede i più alti livelli di sicurezza Richiede accesso minimo Allaumentare della distanza dalla root CA: Diminuisce la Sicurezza Aumenta laccesso alle issuing CA Root CA Policy CA Issuing CA Maggiore Minore Maggiore Facilità di accesso Sicurezza

16 Considerazioni per la scelta di un tipo di CA Decision pointStandaloneEnterprise Quando usarlaCA OfflineIssuing CA Active Directory Non richiede Active Directory Richiede Active Directory Tipo di Certificate Fornisce supporto per tipi di certificati standard Implementa i modelli di certificato Gestione della richiesta del Certificato Rilasciato o negato da un certificate manager Rilasciato o negato basandosi sulle permission del modello di certificato

17 Creazione di una gerarchia di CA Creazione di una CA Root Offline Validazione dei Certificati Pianificazione della pubblicazioni della CRL Installazione di una CA Subordinata

18 Creazione di una CA Root Offline: file CAPolicy.inf Il file CAPolicy.inf file definisce la configurazione dei Certificate Service Il file CAPolicy.inf definisce il: Certificate Practice Statement (CPS) Intervallo di pubblicazione della CRL Le impostazioni di rinnovo dei certificati La dimensione della chiave Il periodo di validità del certificato I percorsi CrlDP (Crl Distribution Point), AIA (Authority Information Access)

19 Definire le impostazioni per una CA Root Offline Offline Root CA Standalone CA Policy Validity Period Key Length Database and Log Settings Cryptographic Service Provider CA Name Computer Name

20 Mettere in sicurezza una CA Offline con un HSM Un Hardware Security Module (HSM) fornisce: Key Storage e backup sicuro (HW) Accelerazione delle operazioni di crittografia Protezione e gestione delle chiavi private Load Balancing e failover tramite moduli HW

21 Linee Guida per distribuire una CA Root Offline Per distribuire una CA Root Offline: Non collegare la CA alla rete Implementare CDP e AIA extension vuote Implementare un CSP HW o un HSM Scegliere una lunghezza di chiave supportate da tutti i protocolli e le applicazioni Usare un unico distinguished name per la CA Implementare un periodo di validità lungo ( anni)

22 Come le applicazioni verificano lo stato dei Certificati Processo Azione Certificate discovery 1. Raccolgono i certificati delle CA dalla cache (CryptoAPI), Group Policy, applicazioni, AIA URL Path validation 2. Validano i certificati con le chiavi pubbliche e i certificati che li rilasciano Revocation checking 3. Verificano che nessun certificato sia revocato

23 Il Certificate Chaining Engine Root CA Issuing CA Policy CA Computer or User Certificate Lapplicazione che riceve il certificato chiama il Certificate Chaining Engine per la verifica dei certificati Il Certificate Chaining Engine verifica: - il certificato presentato allapplicazione - il certificato della CA che lo ha rilasciato: lIssuing CA - il certificato della CA che ha autorizzato lIssuing CA - e così via fino a raggiungere una Root CA I certificati sono raccolti da - Cache delle CryptoAPI - Group Policy (NIENTE SCORCIATOIE !!!) - Authority Information Access (AIA) presente nei diversi certitificati In Parallelo si verificano le CRL (W2k3/win XP/W2k)

24 Test di validazione dei Certificati TestCriterio Time validity La data corrente cade tra la data di partenza e di scadenza del certificato Certificate recognitionIl certificato usa un formato X.509 valido Certificate contentsTutti i campi richiesti sono completati Signature check Il contenuto del certificato non è stato modificato Revocation checkIl certificato non è stato revocato Root check Il Certificato è concatenato a una trusted root CA Policy validation Il Certificato deve contenere le certificate o application policy richieste dallapplicazione Critical extensionsLapplicazione riconosce le estensioni critiche

25 Tipi di CRL CaratteristicheCRL BaseCRL Delta Certificati Contiene tutti i certificati revocati Contiene solo i certificati revocati dallultima CRL base Intervallo di Pubblicazione Pubblicata meno frequentemente Pubblicata più frequentemente DimensioneGrandePiccola Computer Client Riconosciuta da qualunque versione di Windows Riconosciuta da Windows XP o Windows Server 2003

26 Come vengono pubblicate le CRL Time Revoke Cert5 Revoke Cert7 Base CRL #4 Cert3 Cert5 Cert7 Delta CRL #2 Delta CRL #3 Cert5 Cert7 Base CRL #1 Cert3

27 Dove creare i Publication Point Offline Root CA Active Directory External Web Server Internal Web Server Internet Firewall FTP Server File Server Active Directory Web servers FTP servers File servers Active Directory Web servers FTP servers File servers Firewall Pubblicare il certificato della root CA e la CRL in:

28 Lab Installazione di una CA Root Offline Creazione del %SYSTEMROOT%\CAPolicy.inf Installazione CA Configurazione AIA e CDP Extension tramite script Ripubblicare CRL Esportare certificati della CA

29 CA Subordinata: preparare lIssuing CA Per preparare lIssuing CA a rilasciare un certificato di CA subordinata Verificare che le estensioni AIA e CDP siano valide Configurate il periodo di validità massimo per tutti i certificati rilasciati Confgurate il periodo di validità per il modello di certificato della CA Subordinata

30 Passi per installare una CA Enterprise Subordinata Per installare una CA Enterprise Subordinata Determinate la tipologia della parent CA Installate i Certificate Services Sottoponete la richiesta di certificato della CA Subordinata alla CA immediatamente superiore nella gerarchia di CA Installate il certificato della CA Subordinata

31 Considerazioni per configurare le estensioni AIA e CDP Utenti Strategia Esterni Pubblicate CRL e AIA esternamente Configurate il DNS perche faccia riferimento allindirizzo IP esterno di pubblicazione della CRL Interni Non modificate la pubblicazione di default: – Active Directory – Il Web server della CA enterprise

32 Lab C: Implementazione di una CA Enterprise Subordinata Distribuire Certificati delle CA Root e Intermediate tramite GPO Pubblicare CRL e AIA nel Web Server e in AD

33 Passi per progettare i Requisiti Legali Security Policy 1 1 Sviluppare la security policy 1 1 Root CA Policy CA Issuing CA 4 4 Pubblicare il CPS sulla policy CA 4 4 Creare la certificate policy 2 2 Certificate Policy 2 2 Creare il Certificate Practice Statement (CPS) 3 3 Certificate Practice Statement 3 3

34 Security Policy Definisce le classi di dati da proteggere e le misure da adottare: tra queste i certificati Tra laltro stabilisce: Quali dati/applicazioni/servizi devono essere protetti con i certificati digitali Quali misure adottare per proteggere le chiavi private associate ai certificati (smart card, token, Hardware Security Module,...) Quali misure usare per verificare lidentità di chi richiede un certificato

35 Certificate Policy Descrive le procedure adottate per validare lidentità di chi richiede un certificato prima della sua emissione È la policy di emissione del certificato che determina se ci si può fidare del certificato stesso Dovrebbe contenere le seguenti informazioni: Comè verificata lidentità del richiedente Luso dei certificati rilasciati dalla CA Il device in cui le chiavi private devono essere conservate La responsabilità del subject nel caso la chiave privata sia compromessa o persa Le policy di revoca, le procedure e le responsabilità

36 Certification Practice Statement Definisce le misure usate per rendere sicure le operazioni della CA e la gestione dei certificati È un documento pubblico che deve essere accessibile a tutte le entità che usano i certificati rilasciati dalla CA Deve contenere le seguenti informazioni: Come la CA applica le misure per la verifica delle identità prima del rilascio dei certificati La responsabilità dellorganizzazione in caso di frode verso un servizio protetto dal certificato nel caso in cui si dimostri il problema essere nel certificato Le circostanze che possono portare ad una revoca preventiva dei certificati Quando il CPS è inserito nel certificato di una CA si applica alla CA stessa e a tutte le subordinate


Scaricare ppt "Certification Authority. Overview Requisiti di progettazione di una gerarchia di CA Progettazione di una."

Presentazioni simili


Annunci Google