Manuale Tecnico Amtec CSP 2.1

Transcript

MANUALE TECNICO
AM CSP 2.1 Manuale d’uso
DIVISIONE ICT
CODICE:
EJ4A54702001
REVISIONE:
0
DATA:
18-02-10
Redatto
Laboratorio SAS Manager
LUCA VENTRESCA
Controllato
Laboratorio SAS Manager
Applicazioni PC: Test di
Funzionalità e di Sistema
FULVIO MONTAUTI
ALESSANDRO BARTOLI
Approvato
Responsabile Laboratorio
SAS Manager
LUCIO COPPI
Documento non pubblicato. Copyright AMTEC SpA. Tutti i diritti riservati.
Il contenuto del presente documento, di proprietà di AMTEC SpA, è riservato e viene reso disponibile senza alcuna responsabilità per eventuali
errori o omissioni. Ne è vietata la riproduzione, la divulgazione e l’utilizzo, anche parziali, in mancanza di una espressa autorizzazione scritta
della stessa AMTEC SpA. Il diritto d’autore relativo e la presente restrizione d’uso debbono ritenersi estese a qualsiasi forma o modalità
espositiva delle informazioni contenute.
Registro delle Revisioni
Rev.
Data
0
18-FEB-10
Redattore/i
Luca Ventresca
Descrizione modifiche
Prima Emissione
File
Nome file aggiornato: EJ4A54702001-0.DOC
Codice:
EJ4A54702001
Copyright – Indicazione su prima pagina
Rev.: 0
Data: .18-Feb-10
Pag.: 2/95
(index)
1
INTRODUZIONE ........................................................................................................................ 5
2
1.1 CONVENZIONI...................................................................................................................... 6
INSTALLAZIONE / DISINSTALLAZIONE ................................................................................... 7
3
2.1 REQUISITI DI SISTEMA .......................................................................................................... 7
2.2 DISINTALLAZIONE DI TOKEN CRITTOGRAFICI OBSOLETI .......................................................... 7
2.3 INSTALLAZIONE DEL TOKEN CRITTOGRAFICO ........................................................................12
2.3.1 TOKEN ALADDIN eTokenPro ............................................................................................13
2.3.2 AMTEC CRYPTOCARD Plus + ..........................................................................................13
2.4 INSTALLAZIONE ..................................................................................................................14
2.5 DISINSTALLAZIONE .............................................................................................................19
AVVIO E CHIUSURA ................................................................................................................20
4
TOOL DI CONFIGURAZIONE/GESTIONE DEL CSP 2.1.........................................................21
5
4.1 AVVIO E CHIUSURA DEL CONFIGURATORE ............................................................................21
4.1.1 Chiusura .............................................................................................................................21
4.1.2 Apertura..............................................................................................................................22
4.2 AGGIORNARE LA LISTA DEI TOKEN........................................................................................27
4.3 EFFETTUARE IL LOGIN/LOGOUT AL TOKEN ............................................................................30
4.4 CAMBIARE IL PIN DEL TOKEN ..............................................................................................34
4.5 SBLOCCARE IL TOKEN .........................................................................................................35
4.6 ANALISI DEI CERTIFICATI UTENTE E CA PRESENTI NEL DISPOSITIVO ........................................37
4.7 IMPORTARE UN CERTIFICATO DI CA .....................................................................................44
4.8 RIMUOVERE UN CONTAINER ................................................................................................48
4.9 IMPOSTARE IL DEFAULT CONTAINER .....................................................................................49
4.10 ABILITARE\DISABILITARE L’INTERAZIONE CON IE DURANTE LE SESSIONI SSL ..........................50
4.11 SW CARD ...........................................................................................................................53
4.12 CRYPTOCARD ....................................................................................................................56
4.13 LOG DI SERVIZIO.................................................................................................................57
4.14 HELP ON-LINE ....................................................................................................................58
4.14.1 About box ...........................................................................................................................59
UTILIZZO DEL CSP ..................................................................................................................61
5.1 WINLOGON .....................................................................................................................61
5.1.1 Esempio di Configurazione di un dominio per attivare Winlogon .........................................61
5.1.1.1
Prerequisiti ........................................................................................................................................ 61
5.2.2.1
5.2.2.2
Memorizzazione del certificato della CA ........................................................................................... 61
Installazione certificato del domain controller ................................................................................... 62
5.2 CONFIGURAZIONE DEL DOMAIN CONTROLLER ......................................................................61
5.2.1 Gestione delle policies ........................................................................................................61
5.2.2 con CryptoCert Amtec ........................................................................................................61
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 3/95
6
5.3 INIZIALIZZAZIONE DEL DISPOSITIVO CRITTOGRAFICO .............................................................62
5.4 ESECUZIONE DEL LOGON CON AMTEC CSP ..........................................................................62
EMAIL FIRMATE E CIFRATE ...................................................................................................64
7
6.1 CONFIGURAZIONE DI OUTLOOK ..........................................................................................64
6.2 INVIO EMAIL ........................................................................................................................66
6.3 DISTRIBUZIONE CERTIFICATI ................................................................................................66
SSL ...........................................................................................................................................67
8
7.1 INIZIALIZZAZIONE W EB SERVER ...........................................................................................67
7.2 INSTAURARE UNA SESSIONE SSL..........................................................................................81
802.1X ......................................................................................................................................82
9
8.1 PASSO1: CONFIGURARE IL SERVER RADIUS ........................................................................82
8.2 PASSO2: CONFIGURARE IL CLIENT RADIUS .....................................................................82
ACRONIMI E DEFINIZIONI .......................................................................................................83
10 APPENDICE A ..........................................................................................................................84
10.1 CARATTERISTICHE DEL CERTIFICATO PER IL DOMAIN CONTROLLER .......................................84
REQUISITI DEL CERTIFICATO PER WINDOWS LOG-ON ...........................................................84
10.2 CARATTERISTICHE DEL CERTIFICATO PER IL DOMAIN CONTROLLER .......................................84
10.3 CONFIGURARE OPPORTUNAMENTE W INDOWS 2003 SERVER PER IL CORRETTO
FUNZIONAMENTO DELLA STUTTURA DOMAIN CONTROLLER. ...................................................85
11 APPENDICE B ..........................................................................................................................91
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 4/95
1 INTRODUZIONE
Con l’architettura a Cryptographic Service Provider (CSP), viene fornito un modo sicuro di accesso ai servizi
crittografici da parte delle applicazioni. Tre sono le caratteristiche che ne garantiscono sicurezza e portabilità:
1. Le applicazioni non possono direttamente accedere alle chiavi, che sono generate internamente al CSP,
ma possono usarle solo tramite handle.
2. Le applicazioni non possono specificare i dettagli delle azioni crittografiche: il CSP permette solamente di
spedire dei comandi. Esempio: "cifra i dati con il tal metodo".
3. Le applicazioni come anche le chiavi, non possono gestire direttamente le firme digitali.
La figura seguente mostra come le applicazioni non comunicano direttamente con i CSP, ma invece fanno
delle chiamate alle CryptoAPI (esposte dal sistema operativo nel file Advapi32.dll). Il sistema operativo filtra
queste chiamate a funzioni, e le passa all'appropriato CSP attraverso il CryptoSPI (Crypto Service Provider
Interface), un'interfaccia di comunicazione tra il sistema operativo e i CSP.
Il prodotto AMCSP 2.1 permette un’evoluzione di tale architettura, rendendo possibile l’utilizzo di varie
tipologie di Token con sola installazione. In pratica, come indicato dalla figura soprastante, il service Provider
Layer viene garantito da un solo modulo che è AMCSP.dll
Oltre al CSP Amtec sarà installato un tool di gestione dei token con caratteristiche avanzate che
arricchiscono notevolmente l’offerta del prodotto stesso. Per una descrizione dettagliata di tale tool, si
rimanda al capitolo 4.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 5/95
1.1
CONVENZIONI
Il presente manuale adotta le seguenti convenzioni:
ITALICO
Italico
Indica:
• nomi d’elementi d’interfacce utente come controlli, bottoni, ecc.
• terminologia specifica o particolare
• nomi di parametri
Es.:
Cancel
Tracing
ITALICO SOTTOLINEATO
Italico sottolineato
Indica voci di menu.
Il carattere ‘.’ (punto) connette le voci in caso di menu multi-livello
Es.:
File . Save as
Operations . Event log . Initialize
Indica
• Parole, frasi o particolari in evidenza
• Titoli di sezioni
Es.:
NOTA BENE
GRASSETTO
Grassetto
GRASSETTO ITALICO
Grassetto italico
Indica
• nomi di prodotti
• nomi d’elementi d’interfacce utente come controlli, bottoni, ecc.
usati come titolo
Es.:
CryptoDisk
Courier
Indica parti costanti di
• nomi di files, directory e percorsi
• comandi o elementi di linguaggi simbolici
• tasti funzione
Es.:
Sasmand.ini
C:\Program Files\Application
SNMP AGENT ETHERNET2
CTRL + A
Courier italico
Indica parti variabili di
• nomi di files, directory e percorsi
• comandi o elementi di linguaggi simbolici
Es.:
Data_Path\db\dbdev
SNMP AGENT interfaccia
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 6/95
2 INSTALLAZIONE / DISINSTALLAZIONE
In questo capitolo è descritto come installare e disinstallare AMCSP 2.1 su piattaforme Windows 32 bit e 64
bit.
ATTENZIONE:
AMCSP 2.1 necessita dei seguenti prodotti che verranno installati automaticamente se non presenti nel
sistema:
2.1
.NET Framework 3.5 SP1
REQUISITI DI SISTEMA
La seguente configurazione minima è richiesta per installare ed utilizzare i prodotti distribuiti nel pacchetto
crittografico:
• Personal Computer IBM compatibile;
• Processore: Pentium 4.
• Sistema Operativo: Windows XP sp2 32 e 64 bit, Windows 2003 32 e 64 bit, Windows Vista sp1 32 e 64
bit, Windows 2008 sp 1 32 e 64 bit, Windows 7 32 e 64 bit.
• 256 MB ram;
• Hard disk con (almeno) 256 MB liberi;
Inoltre il sistema deve essere equipaggiato con:
• una porta USB per l’utilizzo di token SmartCard pkcs#11 compatibili.
• Uno slot PCMCIA nel caso di uso della CrytpoCard con tale interfaccia (solo su sistemi Windows XP a 32
bit)
2.2
DISINTALLAZIONE DI TOKEN CRITTOGRAFICI OBSOLETI
Nel caso sia presente una precedente versione di AMCSP e, in particolare, token EUTRON 2048 CCID o
token ITSEC CCID installati con pacchetto proprietario EUTRON, è obbligatorio eliminare tutte le tracce
lasciate da tale installazione prima di procedere con il paragrafo 2.3.
La procedura di pulizia consiste nel disinstallare il vecchio CSP, rimuovere il software Eutron e ripulire la
macchina dalle tracce lasciate da quest’ultimo.
Per i primi due passi si rimanda ai rispettivi manuali d’uso dell’AMCSP e del tool marchiato Charismatics
installato per la Eutron.
La pulizia del PC dall’installazione deve essere fatta nel seguente modo:
1) avviare il Pc con utenza amministrativa
2) andare nella cartella %SystemFolder%\inf dove, supponendo c: la root del sistema operativo è :
c:\windows\
3) la cartella inf, è un cartella di sistema, quindi di default non è visibile; occorre in tal caso renderla
visibile dal menù Tools\Folder Options su “My Computer”
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 7/95
Scegliere “Show Hidden files and folder” dal tab “View”
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 8/95
4) fare partire una ricerrca dalla barra dei “Start\Search\For Files and Folders”
5) scegliere “All files and folders”
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 9/95
6) fare una ricerca sul contenuto dei file OEM*.inf dentro la cartella %SystemFolder%\inf; nel campo
“A word or phrase in the file” fare una ricerca con eutron
7) Verificare aprendo con Notepad o con un qualunque altro lettore di testo, che i file risultanti
contengano al loro interno le informazioni relative al driver Eutron, in particolare alla fine del file
dovrebbe esserci la voce ProviderName=”EUTRON”.
8) Cancellare definitivamente i file.
Terminate le operazioni sopra descritte, accertarsi dopo l’installazione del token descritta al paragrafo 2.3,
che il driver installato per il token sia USBCCID.sys e null’altro.
Per fare questo andare su Computer Managment (tasto destro su My Computer dal menu a tendina
scegliere Manage).
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 10/95
Scegliendo Properties apparirà il dialog sotto nel quale dovrete scegliere il tab Driver
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 11/95
Scegliendo Driver Details apparirà il dialog sotto dove si leggerà il driver caricato.
Se il driver è diverso da quello evidenziato sopra, ripetere la procedura di rimozione sopradescritta.
INSTALLAZIONE DEL TOKEN CRITTOGRAFICO
2.3
Oltre all’installazione del prodotto, nel sistema deve anche essere installato il token che si vorrà utilizzare. I
token da noi testati per cui il prodotto sarà rilasciato, sono standard CCID; questo vuol dire che non
richiedono un pacchetto d’installazione proprietario, ma si appoggiano ad un driver scaricabile via WinUpdate
e valido per tutti i dispositivi di tipo CCID.
I token attualmente supportati sono:
ALADDIN eToken Pro (CCID)
AMTEC CRYPTOCARD Plus+
Il prodotto AMCSP è sviluppato per essere compatibile con tutti i token che consentono un interfacciamento
di tipo Pkcs#11, se fosse necessario utilizzare token differenti dai due sopra menzionati, è però necessaria
una sessione di prova presso i nostri laboratori, per “correggere” assieme al produttore di Hardware eventuali
mancanze nella dll che realizza lo standard predetto.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 12/95
2.3.1 TOKEN ALADDIN eTokenPro
Se presente il collegamento ad Internet (Windows Update):
Sistemi operativi supportati
1) WINDOWS XP SP2 e superiori (32 bit e 64 bit)
1) WINDOWS 2003 SP1 o superiori (32 bit e 64 bit)
2) WINDOWS VISTA SP1 (32 bit e 64 bit)
3) WINDOWS 2008 SP1 (32 bit e 64 bit)
4) WINDOWS 7 (32 bit e 64 bit)
Non richiede l’esecuzione di un programma apposito, ma basta inserire il token e attendere che il sistema lo
installi correttamente;
Se non presente il collegamento ad Internet o fallisce la precedente operazione:
alla richiesta del percorso in cui trovare il driver, scegliere disco e farlo puntare alla cartella di istallazione del
CSP, nella sottodirectory USBCCID Driver.
2.3.2 AMTEC CRYPTOCARD Plus +
Versione USB :
1) WINDOWS Xp SP2 e superiori (32 bit e 64 bit)
2) WINDOWS 2003 SP1 o superiori (32 bit e 64 bit)
3) WINDOWS VISTA SP1 (32 bit e 64 bit)
4) WINDOWS 2008 SP1 (32 bit e 64 bit)
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 13/95
5) WINDOWS 7 (32 bit e 64 bit)
Versione PCMCIA:
1) WINDOWS XP 32 bit
L’installazione di tale token, deve essere effettuata successivamente all’installazione del CSP, poiché tale
fase prepara il sistema a riconoscere la CryptoCard. Per abilitare la CryptoCard USB o PCMCIA, si deve
procedere utilizzando l’apposito menù sul configuratore (vedi 4.12 CryptoCard)
2.4
INSTALLAZIONE
Per installare il prodotto AMCSP 2.1 occorre lanciare il programma di setup e premere il bottone Next ogni
qualvolta si presenta.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 14/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 15/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 16/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 17/95
Fig 2.3.1
In generale può essere richiesto il riavvio della macchina e questa procedura assicura il corretto
funzionamento senza dover procedere con operazioni manuali; l’alternativa è selezionare Launch AMCSP
2.1 come in figura 2.3.1, in tal caso si può evitare il riavvio della macchina e il sistema risulta già pronto per
l’utilizzo con i token installati.
Nel caso in cui non viene scelta la soluzione dell’avvio immediato, e il PC non viene riavviato è possibile
comunque utilizzare il CSP, lanciando l’applicativo AmtecCSPConfigurator dalla barra dei programmi. Vedi
Fig. 2.3.2
Fig 2.3.2
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 18/95
2.5
DISINSTALLAZIONE
Per disinstallare il prodotto AMCSP 2.1 occorre selezionarlo dalla schermata “Add/Remove Programs” e
cliccare su Remove. Il prodotto verrà automaticamente disinstallato.
Fig. 2.4.1
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 19/95
3 AVVIO E CHIUSURA
Per avviare AMCSP 2.1 non occorre fare nulla, poiché, essendo una dll, viene utilizzato dagli altri applicativi
quando necessario. E’ già pronto al boot tanto che è possibile effettuare il WinLogon con esso.
Al logon di un utente, viene però eseguito AmtecCertificateInstaller il cui funzionamento è descritto nel
capitolo 4.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 20/95
4 TOOL DI CONFIGURAZIONE/GESTIONE DEL CSP 2.1
Durante l’installazione del prodotto AMCSP 2.1, viene installato anche AmtecCetificateInstaller. Tale
applicativo ha due compiti:
1) Procedere automaticamente alla necessaria installazione nello store di Microsoft, dei certificati
presenti nel token in uso dal CSP, o nel file PKCS#12 (vedi Par 4.1.9);
2) Garantire una serie di funzionalità per la gestione del token.
Le operazioni che verranno descritte, possono essere quasi sempre eseguite da utenza NON amministrativa.
Dove è necessario essere amministratori, apparirà una schermata che chiede le credenziali di
amministrazione, senza tale informazione il sistema non procederà nell’esecuzione del comando richiesto.
4.1
AVVIO E CHIUSURA DEL CONFIGURATORE
Il configuratore, di default, va in esecuzione automaticamente all’avvio del pc (altrimenti si può lanciare dal
menu Programmi->Amtec->AmtecCertificateInstaller) ed è accesibile dalle apposite icone
traybar (nel caso in cui siano o meno certificati installati).
o
nella
Figura 4.1
Figura 4.2
La Figura 4.1 evidenzia l’icona che si vedrà quando almeno un certificato è stato installato, la figura 4.2
quando non ci sono certificati installati.
Cliccando col tasto destro sull’icona suddetta, apparirà un menù a tendina, che permette all’utente di aprire
(Open) o chiudere (Quit) il configuratore.
Figura 4.3
4.1.1 Chiusura
Scegliendo Quit, il prodotto è chiuso (si consiglia di NON effettuare questa operazione, a meno che non
sia strettamente necessario). In questo caso apparirà il messaggio
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 21/95
Figura 4.4
per ricordare all’utente dell’importanza dell’operazione.
La chiusura dell’installatore, infatti, comporterà la rimozione dallo store di tutti i certificati inseriti.
Questo per alcuni applicativi come Crypto Disk Standard 2.0 produrrà l’unmount dei dischi (vedi manuale di
Crypto Disk Standard 2.0)
Se è in corso una sessione SSL, potrebbe essere chiuso bruscamente IExplorer.exe (vedi 4.10)
4.1.2 Apertura
Scegliendo Open dal menù di Figura 4.5 o facendo doppio click sull’icona
Fig 4.2,
di Figura 4.1 o sull’icona
Figura 4.5
Una volta aperto, il tool ha l’aspetto seguente (Figura 4.6):
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 22/95
Figura 4.6
Mediante la parte sinistra si può navigare attraverso gli slot del pc e gli eventuali token presenti, mentre nella
parte destra si potranno leggere informazioni addizionali in funzione dell’elemento selezionato nella parte
sinistra.
Per visualizzare gli slot disponibili sul pc è necessario “esplodere” il nodo “PC Slot”.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 23/95
Figura 4.7
Nel caso di Figura 4.7 è presente un solo slot…Espandendo il nodo si potrà verificare se lo slot contenga
(Figura 4.9) o meno (Figura 4.8) un token.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 24/95
Figura 4.8
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 25/95
Figura 4.9
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 26/95
Figura 4.10
Dal menu principale e/o dal menu contestuale si possono accedere alle diverse funzionalità del tool, come è
descritto nei paragrafi successivi.
4.2
AGGIORNARE LA LISTA DEI TOKEN
Per aggiornare la lista dei token presenti si può:
• Cliccare su Manage->Refresh Slot List del menu principale
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 27/95
Figura 4.11
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 28/95
•
Aprire il menu contestuale (tasto destro del mouse) su PC Slot e cliccare su Refresh Slot List
Figura 4.12
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 29/95
EFFETTUARE IL LOGIN/LOGOUT AL TOKEN
4.3
Ogni token contiene una memoria dove archivia le informazioni che gli vengono passate o che vengono
generate al suo interno; l’accesso alle aree di quest’ultima, dipende dallo stato in cui si trova il token.
Nello stato “Public” è possibile solo leggere i dati pubblici, compresa la parte pubblica della chiave e i
certificati utente.
Nello stato “User” è possibile scrivere dati sul token e usufruire della parte privata della chiave.
Per entrare nello stato “User” è necessario fornire al token un PersonalIdentificationNumber (PIN), questa
operazione si chiama login.
Per effettuare il login al token si può, dopo aver selezionato il token stesso:
•
Cliccare su Token->Login… dal menu principale e fornire il PIN
Figura 4.13
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 30/95
•
Utilizzare l’analogo comando dal menu contestuale del token
Figura 4.14
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 31/95
Figura 4.15
Una volta effettuato il login, saranno abilitate le voci di Logout sul menu principale e sul menu contestuale
del token, necessarie per poter tornare nello stato “Public”.
Figura 4.16
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 32/95
Figura 4.17
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 33/95
4.4
CAMBIARE IL PIN DEL TOKEN
Per cambiare il PIN del token, una volta selezionato il token, si deve cliccare su Token->Change User Pin…
del menu principale.
Figura 4.18
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 34/95
Ed inserire il vecchio e il nuovo PIN rispettivamente nel campo Old PIN e New PIN. Il nuovo PIN deve essere
confermato nel campo Confirm New PIN.
Figura 4.19
4.5
SBLOCCARE IL TOKEN
Nel caso in cui sia fatto login con pin errato per un certo numero di volte, potrebbe accadere che il token si
“blocca”, cioè non sia più utilizzabile. Il numero di tentativi affinché tale evento accada, dipende dall’hardware
stesso.
Per procedere allo sblocco del dispositivo, è necessario possedere un PIN di amministrazione, che viene
fornito al momento del rilascio del token stesso. Se non si possiede tale PIN, il token deve essere
reinizializzato direttamente dall’amministratore attraverso tool appositi, che cancellano tutte le informazioni in
esso contenute, comprese, ovviamente, le chiavi.
Se si conosce il PIN amministratore si può utilizzare la funzionalità Unlock Device, selezionando il token,
cliccando su Token->Unlock Device… e fornendo il pin suddetto come Unlock Pin, il nuovo PIN (New PIN e
Confirm New PIN) negli appositi campi del form che compare.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 35/95
Figura 4.20
Figura 4.21
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 36/95
4.6
ANALISI DEI CERTIFICATI UTENTE E CA PRESENTI NEL DISPOSITIVO
All’interno di un token possono essere memorizzati, oltre alle chiavi e ai certificati a esse associati, i certificati
delle CA che hanno firmato quelli utente.
I certificati della CA eventualmente presenti sono tutti raggruppati nel nodo Certificates, mentre i certificati
utenti sono visibili aprendo gli eventuali container presenti nel token.
Le operazioni che l’utente può eseguire su un certificato CA o utente sono le medesime. Di seguito saranno
elencate queste operazioni riferendosi a un certificato utente.
Cliccando su un certificato saranno immediatamente visibili sulla parte sinistra del configuratore delle
informazioni essenziali sul certificato stesso, come si può vedere dalla figura precedente.
Se non si è loggati sul token è possibile solo esaminare nei particolari il certificato (View Certificate) o
esportarlo in formato binario o base64 (Export Certificate…) agendo tramite il menu contestuale o il menu
Certificate una volta selezionato il certificato.
Figura 4.22
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 37/95
Figura 4.23
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 38/95
Figura 4.24
Cliccando su View Certificate (Figura 4.23 o Figura 4.24) si apre una finestra che riporta, nella parte
superiore, tutti i campi del certificato e, nella parte inferiore, il campo selezionato in dettaglio.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 39/95
Figura 4.25
Cliccando sul pulante View Certificate si può visualizzare il certificato tramite il certificate explorer di
Windows.
Se, invece, si desidera esportare il certificato è sufficiente cliccare sul comando Export Certificate…
menzionato poc’anzi e si aprirà una finestra di dialogo che permetterà all’utente di scegliere il formato con cui
esportare il certificato stesso (Binary(der) o Base64 per esportarlo, rispettivamente, in binario o in base64) e
il nome e la posizione su disco in cui salvarlo. Un messaggio informerà l’utente dell’esito dell’operazione.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 40/95
Figura 4.26
Se invece l’utente è loggato, ha anche la facoltà di eliminare il certificato, agendo tramite il comando Delete
Certificate dal menu contestuale o dal menu Certificate. Un messaggio informerà l’utente dell’esito
dell’operazione.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 41/95
Figura 4.27
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 42/95
Figura 4.28
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 43/95
4.7
IMPORTARE UN CERTIFICATO DI CA
Una volta loggati al token e selezionato un container, è possibile importare il certificato di CA che ha firmato il
certificato utente del container in questione e scegliere questo certificato tra i certificati presenti nello store o
su disco (in formato .p7b,.cer,.der). Questo è possibile dal menu contestuale del container agendo sul
comando Import CA Certificate e poi scegliendo From File… o From Personal Store…, oppure dal menu
Certificate utilizzando gli analoghi comandi.
Figura 4.29
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 44/95
Figura 4.30
Se si sceglie di importare il certificato CA da file si aprirà una finestra che permetterà all’utente di selezionare
il file.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 45/95
Figura 4.31
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 46/95
Altrimenti, se il certificato di CA che si desidera importare è tra quelli presenti nel Personal Store, agendo
sull’apposito comando si aprirà una finestra che permetterà, appunto, di scegliere il certificato.
In entrambi i casi un messaggio informerà l’utente sull’esito dell’operazione.
Figura 4.32
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 47/95
4.8
RIMUOVERE UN CONTAINER
L’operazione di rimozione del container può essere effettuata solo dopo aver inserito il pin ed essere
correttamente entrati nello stato “User” (operazione di Login).
L’utente può rimuovere un container selezionandolo con il mouse e agendo sul comando Delete Container
accessibile dal menu contestuale del container o dal menu Certificate. Un messaggio informerà l’utente
dell’esito dell’operazione.
Figura 4.33
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 48/95
Figura 4.34
4.9
IMPOSTARE IL DEFAULT CONTAINER
Per risalire univocamente alla coppia chiave/certificato, viene utilizzato come parametro il valore del
container che è una stringa generata durante la generazione della chiave.
Quando l’applicazione che vuol usare il token, non conosce il valore dei container, il CSP utilizza la chiave
del container di “default”.
Un esempio tipico è il Windows Logon infatti, durante tale processo, l’utente non ha modo di scegliere quale
certificato utilizzare, quindi sarà utilizzato sempre quello di default.
L’operazione sopra descritta può avvenire solo nello stato “User” (operazione di login).
Per fare ciò è sufficiente selezionare il container e agire mediante il comando Set Default Container
accessibile dal menu contestuale del container stesso. Un messaggio informerà l’utente dell’esito
dell’operazione. Si noti che il default container è evidenziato in grassetto.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 49/95
Figura 4.35
4.10 ABILITARE\DISABILITARE L’INTERAZIONE CON IE DURANTE LE SESSIONI SSL
Una operazione molto utile che mette a disposizione questo tool, è quella di forzare la chiusura di IExplorer
durante una session SSL.
Con gli altri CSP, quando IExplorer instaura una sessione SSL con i token, alla rimozione del token stesso,
la sessione rimane in piedi fino a che non viene chiuso IExplorer o cancellata la Cache SSL.
Questo penalizza notevolmente la sicurezza, poiché se un utente si assenta dalla sua postazione, potrebbe
lasciare a un altro utente la possibilità di navigare nell’area sicura alla quale solo lui dovrebbe aver accesso,
anche se il token non è più inserito nel PC.
Il prodotto AmtecCertificateInstaller, chiude forzatamente IExplorer rendendo impossibile l’usufruire del
servizio sicuro a chi non possiede il token crittografico.
È possibile eliminare tale funzionalità agendo sul menu Configuration-> Disable SSL Session,
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 50/95
Figura 4.36
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 51/95
ovviamente i può ripristinare con Enable SSL Session.
Figura 4.37
E’ necessario riavviare l’installatore per rendere effettiva la modifica.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 52/95
4.11 SWCARD
Le
operazioni
descritte
nei
paragrafi
precedenti
riguardano
l’interazione
dell’applicativo
AmtecCertificateInstaller con i token di tipo SmartCard, o cumunque quei token che hanno un’interfaccia
PKCS#11.
In taluni casi potrebbe non essere necessario un token di tipo SmartCard, che garantisce un livello di
sicurezza elevato, ma magari si vuole utilizzare un PKCS#12 file (.Pfx), che è uno standard in grado di
fornire una protezione pur sempre sicura la coppia chiave\certificato.
AMCSP 2.1 è in grado di installare o rimuovere il certificato contenuto nel p12 nello store, facendo un
controllo sulla presenza del dispositivo di memorizzazione.
Un esempio tipico di utilizzo è il seguente:
1) Copiare il p12 in una chiavetta flash standard;
2) Impostare il p12 al CSP, dal menù SwCard->Insert… (Figura 4.38)
3) Inserire la flash e al suo inserimento viene chiesta la password e installato il p12
4) Alla rimozione del token, alla chiusura dell’installatore o al riavvio della macchina, il certificato viene
tolto dallo store e reso quindi inaccessibile.
Se si facesse la normale installazione di windows (doppio click sul file), la chiave ad esso associata, rimane
accessibile fino a che l’utente non cancella il certificato dallo store; neanche il riavvio della macchina cancella
tali informazioni.
Attraverso la voce di menù SwCard, si può impostare un nuovo file p12 o rimuoverlo dalla lista dei presenti.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 53/95
Figura 4.38
Una volta che si è scelto il P12 da impostare o rimuovere, apparirà il seguente messaggio:
Figura 4.39
E’ importante capire che questa operazione necessita il riavvio dell’applicativo e che occorre chiudere le
sessioni SSL aperte o tutto gli applicativi legati alla presenza del certificato nello store (Esempio: il nosttro
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 54/95
prodotto Crypto Disk Standard 2.1), onde evitare spiacevoli sorprese cioè la chiusura di IExplorer (Vedi
3.1.9) o lo smontaggio dei dichi (CDisk).
Si consiglia quindi di procedere alla configurazione della SwCard, nella fase di inizializzazione del prodotto, o
se questo non è possibile, quando gli applicativi crittografici non sono ancora in funzione.
Per conoscere lo stato delle SwCard configurate è necessario fare Refresh sul nodo PC Slot. Verranno
rappresentati tre stati:
1) Disc Card Inserted con icona che indica uno slot pieno, questo stato può diventare come descritto al
punto tre se viene rimosso il p12.
2) Disk Card Added but not inserted con icona con X rossa, che identifica il caso di un P12
compromesso o per non aver inserito correttamente la password o per altri motivi;
3) Disk Card Not Inserted con icona che indica lo slot vuoto. Questo stato può diventare come al punto
1 se viene inserito il p12.
Figura 4.40
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 55/95
4.12 CRYPTOCARD
Un token “particolare” rispetto a quelli descritti nei paragrafi precedenti, è la CryptoCard.
Questo token proprietario Amtec, esiste in due versioni la PCMCIA che ormai è compatibile solo con
Windows XP 32 bit e la versione nuova con lettore USB che permette la installazione e l’utilizzo di tale token
in tutti gli altri sistemi operativi (come descritto nel paragrafo 2.3 installazione token crittografico).
Una volta installato il token suddetto, il comportamento e l’utilizzo è identico alle SmartCard con interfaccia
PKCS#11 e, quindi, per il suo utiilzzo di rimanda ai paragrafi precedenti.
Attraverso la voce di menù CryptoCard, si può attivare/disattivare la versione USB o PCMCIA. Una volta
abilitato il token è pronto allì’uso.
Figura 4.41
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 56/95
4.13 LOG DI SERVIZIO
Le operazioni effettuate dai vari elementi che fanno parte del prodotto AMCSP 2.1, possono essere tracciate
abilitando dal menu Configuration i log con Set Application Log Verbosity o Set Machine Log Verbosity.
Sostanzialmente i due tipi di attivazione si differenziano per agire: il primo sui log del configuratore che
possono essere abilitati con utenze NON amministrative, il secondo per i log del CSP stesso e possono
essere abilitati solo con utenza amministrativa. In caso di abilitazione del log a livello macchina da utente
limitato, apparirà una schermata che chiederà le credenziali di amministrazione, senza tale informazione i log
non potranno essere abilitati.
Quest’ultimi possono essere visualizzati (View Logs…), cancellati (Delete Logs), o salvati (Save Logs…)
(per esempio nel caso in cui l’assistenza chieda l’invio dei log stessi).
Figura 4.42
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 57/95
4.14 HELP ON-LINE
È possibile consultare la guida in linea mediante il comando AMCSPHelp accessibile dal menu Help oppure
cliccando F1.
Figura 4.43
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 58/95
4.14.1 About box
È possibile avere informazioni sulla versione del prodotto dal comando About AMCSP dal menu Help
Figura 4.44
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 59/95
Figura 4.45
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 60/95
5 UTILIZZO DEL CSP
Come già detto in introduzione il CSP è una dll che serve per far interfacciare i token crittografici agli
applicativi che offrono funzioni di crittografia. Nei paragrafi che seguono descriveremo alcune applicazioni
tipo dove il CSP viene utilizzato.
5.1
WINLOGON
Per Winlogon si intende la procedura di login che un sistema effettua verso un dominio. Usualmente tale
procedura avviene attraverso la richiesta delle credenziali dell’utente che vengono “controllate” dal server di
dominio per permettere o negare l’accesso al PC.
Per avere una maggiore sicurezza, è possibile abilitare i sistemi Windows, utilizzando token crittografici.
L’operazione di logon avviene in modo trasparente all’utente, ma sono fondamentali le fasi di configurazione
del dominio e della CA per rendere possibile questo processo.
5.1.1 Esempio di Configurazione di un dominio per attivare Winlogon
5.1.1.1 Prerequisiti
1) Active Directory installato nel windows 2003 Domain server
2) CA Microsoft installata con il modulo Enterprise policy abilitato
3) PC utenti con installato windows 2000 SP4 o superiori.
5.2
CONFIGURAZIONE DEL DOMAIN CONTROLLER
Per maggiori dettagli sulle caratteristiche dei certificati per Domain Controller si rimanda all’appendice A.
5.2.1 Gestione delle policies
1) Aprire “Administrative Tools Domain Security Policies”
2) Scegliere “Windows settings
Local Policies
Security Options”
3) Dalla lista delle policies scegliere “Smart Card Removal Behavior” e settare “Lock Workstation”
5.2.2 con CryptoCert Amtec
Per rendere compatibile la CA Amtec con il processo di WinLogon è necessario seguire alcune semplici
operazioni che descriveremo nei paragrafi a seguire.
5.2.2.1 Memorizzazione del certificato della CA
Prima di procedere alla generazione di qualunque certificato è necessario installare il certificato della CA nel
Domain Controller. Per completare questa operazione occorre avere a disposizione il file contenente il
certificato della CA e questo si può facilmente ottenere scaricandolo da essa con il tool della AMTEC
CryptoIniDev o accedendo direttamente con CA Client e RA Client alla CA o alla RA.
Fatto questo, si può utilizzare il PKI Health tool della Microsoft, che è installato con il Resource Kit o
utilizzando CertUtil.exe che è installato con l’Admin Pack della Microsoft.
Per il primo si deve procedere cosi:
1) Far partire mmc.exe
2) Nel Console menu, scegliere Add/Remove Snap-in
3) Scegliere Standalone e Add.
4) Nella lista che si presenterà scegliere Enterrprise PKI
5) Cliccare Add e Close
6) Cliccare OK
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 61/95
Col tasto destro su Enterprise PKI scegliere Manage AD containers e infine NTAuthCertificate dove
sceglierò Add e aggiungerò il certificato precedentemente scaricato.
Per il secondo tool occorre digitare:
certutil –dspublish –f – nomedelfilecertificato NTAuthCA
Entrambe le operazioni agiscono sull’ActiveDirectory e vanno ad aggiungere il certificato della CA nel
repository corretto.
5.2.2.2 Installazione certificato del domain controller
Per poter generare un certificato e, prima ancora, una coppia di chiavi per un domain controller, si possono
utilizzare dei tools della Microsoft che sono installati con il pacchetto Resource Kit sia per windows 2000 che
2003.
Per prima cosa occorre generare una richiesta di certificato utilizzando il tool CertReq:
certreq -new request.inf request.req
Il file .inf deve avere una sintassi precisa. Per facilitare il compito ci viene in aiuto il tool cscript:
cscript reqdccert.vbs
per la descrizione del file reqdccert.vbs si rimanda all’appendice B.
Una volta generata la richiesta e’ necessario farla processare da una CA che sia riconosciuta valida dal Domain
Controller per la cui installazione si rimanda al par 5.2.2.1.
Fatta questa operazione si procede come segue:
preparazione del domaincontroller a ricevere il certificato che deve essere in formato base64
certreq -accept certificato.cer
installazione del certificato
certutil -f -dspublish certificato.cer machine
A questo punto si puo controllare la correttezza dell’installazione e del certificate installato con il tool gia descritto
nel Par 3.1, dsstore :
dsstore –Dcinfo con l’opzione deleteBad (dsstore –Dcinfo deleteBad) cancella automaticamente i cetificati (e le
sue chiavi) che hanno dei problemi.
5.3
INIZIALIZZAZIONE DEL DISPOSITIVO CRITTOGRAFICO
Per inizializzare il dispositivo crittografico, è necessario il prodotto CryptoIniDev per il cui uso si rimanda al
rispettivo manuale.
5.4
ESECUZIONE DEL LOGON CON AMTEC CSP
Quando tutto quello che abbiamo descritto nei paragrafi precedenti, è stato correttamente eseguito, si può
procedere con il “logon con SmartCard”.
Basta inserire la carta alla schermata di ctrl-alt-delete (Fig.5.4.1).
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 62/95
Fig 5.4.1
A questo punto se l’installazione del dispositivo criittografico é andata a buon fine, apparirà un dialog dove
viene chiesto il PIN. Inserendo il PIN e procedendo sul tasto OK, partirà il processo di autenticazione
completamente trasparente all’utente.
Il Logon avverrà, anche se il Domain controller non e’ raggiungibile, utilizzando le credenziali memorizzate in
locale proprio per questo scopo..
Il logoff avverrà appena si estrae la carta o, se abilitato, durante l’attivazione dello screen saver.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 63/95
6 EMAIL FIRMATE E CIFRATE
AMCSP 2.1 è perfettamente integrato nei client di posta elettronica supportanti le CryptoAPI di Microsoft.
Al fine di spiegarne il funzionamento e la relativa configurazione si porta l’esempio di come utilizzare email
cifrate in Microsoft OutLook tramite AMCSP 2.1. e token crittografico.
6.1
CONFIGURAZIONE DI OUTLOOK
Dal menu TOOLS/OPTIONS, selezionare il tab SECURITY:
Controllare che siano spuntati i campi indicati e premere quindi il bottone SETTINGS:
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 64/95
Inserire un nome su SECURITY SETTINGS NAME e quindi premere i bottoni CHOOSE per firma (signing) e
poi per cifratura (Encryption) per associare il certificato del proprio token.
L’associazione avviene attraverso la seguente interfaccia:
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 65/95
6.2
INVIO EMAIL
Quando si creano nuove mail, sono visibili, nella tool bar di outlook, le due icone per firmare e cifrare il
messaggio. Impostarle correttamente prima dell’invio di ciascuna mail:
6.3
DISTRIBUZIONE CERTIFICATI
Ogni utente deve inviare una mail SOLO FIRMATA a tutti gli altri membri del gruppo. La mail conterrà anche
il certificato del mittente e chi riceve dovrà inserire il certificato nella rubrica relativamente al mittente.
In questo modo si crea l’associazione rubrica-certificato che sarà poi utilizzata nella pratica per inviare email
cifrate.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 66/95
7 SSL
Il modulo SSL (Secure Socket Layer) utilizzato dal browser Microsoft supporta le CryptoAPI di Microsoft e di
conseguenza risulta perfettamente integrato con AMCSP 2.1.
Al fine di spiegarne il funzionamento e la relativa configurazione si porta l’esempio di come abilitare le
sessioni SSL in Microsoft IE.
7.1
INIZIALIZZAZIONE WEB SERVER
L’inizializzazione di un server web per abilitare SSL, richiede una serie di passi che vengono descritti con le
schermate che seguono:
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 67/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 68/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 69/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 70/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 71/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 72/95
La richiesta di certificato va inoltrata quindi ad una Certification Authority che deve inserirvi un EXTENDED
KEY USAGE di tipo SERVER AUTHENTICATION. Normalmente, per poter utilizzare il server anche come
client, nel certificato per il Server viene inserito anche l’ EXTENDED KEY USAGE di tipo CLIENT
AUTHENTICATION.
Di seguito le schermate che mostrano le rimanenti operazioni da compiere una volta ricevuto il certificato
emesso dalla Certification Authority:
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 73/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 74/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 75/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 76/95
Tramite la schermata precedente si carica il certificato della Certification Authority che lo ha emesso.
Quindi:
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 77/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 78/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 79/95
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 80/95
7.2
INSTAURARE UNA SESSIONE SSL
Per provare il corretto funzionamento è sufficiente aprire Microsoft IE e collegarsi con un server che utilizzi la
CLIENT AUTHENTICATION.
La sessione SSL utilizza il token solo in precisi momenti, di conseguenza, la sessione continua ad operare
correttamente anche in caso di estrazione del token.
Per ovviare a questa mancanza il prodotto AMCSP controlla il token e, all’estrazione di questo interagisce
con Microsoft IE, lo fa se si legge “Disable SSL Session” (vedi Par.4.10), in particolare:
1. se la dicitura è “Enable SSL Session”, non effettua alcuna operazione
2. se non ci sono IE aperti, oppure non hanno sessioni SSL, non effettua alcuna operazione
3. su ogni IE su cui risulta attiva una sessione SSL, chiude automaticamente l’applicazione, onde
evitare che si possa continuare a lavorare in SSL
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 81/95
8 802.1X
IEEE 802.1x è uno standard IEEE basato sul controllo delle porte di accesso alla rete LAN e WAN. Fa parte
dell'insieme di standard IEEE 802. Questo standard provvede ad autenticare ed autorizzare i dispositivi
collegati alle porte della rete (switch e access point) stabilendo un collegamento punto a punto e prevenendo
collegamenti non autorizzati alla rete locale. Viene utilizzato dalle reti locali wireless per gestire le
connessioni agli access point e si basa sul protocollo EAP, Extensible Authentication Protocol, (RFC 2284).
La specifica 802.1x definisce il passaggio dell’autenticazione tra il client wireless (supplicant), un access
point wireless (autenticatore) e un RADIUS (Remote Authentication Dial-In User Service) server (server di
autenticazione). In pratica, il client wireless viene autenticato dal server RADIUS, e l’access point gioca un
ruolo di intermediario.
8.1
PASSO1: CONFIGURARE IL SERVER RADIUS
Come già illustrato per il server SSL, il server RADIUS deve possedere un certificato che lo abiliti alla
autenticazione lato server, ovvero deve contenere un EXTENDED KEY USAGE di tipo SERVER
AUTHENTICATION.
8.2
PASSO2: CONFIGURARE IL CLIENT RADIUS
Windows permette di configurare, da “MY NETWORK PLACES” delle connessioni verso server Radius.
Come anche in altri casi, l’autenticazione può avvenire tramite i classici LOGIN e PASSWORD che l’utente
dovrà digitare all’inizio della connessione, oppure tramite un token crittografico associato al CSP che l’utente
abilita tramite l’inserimento del PIN.
Una volta inserito il PIN, l’autenticazione avviene su base certificato sfruttando il protocollo EAP-TLS ,
estensione di SSL e che, come questo, sfrutta le Microsoft CryptoAPI e quindi il CSP associato.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 82/95
9 ACRONIMI E DEFINIZIONI
API
CA
CRL
DES
DLL
PEM
PIN
RSA
SCBC
SO
Application Program Interface
Certification Authority
Certificate Revocation List
Data Encryption Standard
Dynamic Link Library
Private Enhanced Mail
Personal Identification Number
Rivest – Shamir – Adleman algorithm
Smart Card Base Components
Sistema Operativo
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 83/95
10 APPENDICE A
10.1 CARATTERISTICHE DEL CERTIFICATO PER IL DOMAIN CONTROLLER
REQUISITI DEL CERTIFICATO PER WINDOWS LOG-ON
Il certificato che sta dentro la smart card oltre ai requisiti standard di compatibilità dovrà presentare l’EKU
“Smart Card Logon” come mostrato in figura.
Il certificato che sta dentro la smart card oltre ai requisiti standard di compatibilità dovrà presentare l’EKU
“Smart Card Logon” ed UPN (Universal Principal Name) corrispondente ad una utenza di dominio valida
come mostrato in figura.
10.2 CARATTERISTICHE DEL CERTIFICATO PER IL DOMAIN CONTROLLER
Il processo di autenticazione avviene attraverso il protocollo Kerberos versione 5 e necessita di due
certificati: quello del Domain Controller e quello dell’utente che si vuole loggare. Naturalmente a questi
certificati deve essere associata una chiave segreta memorizzata in un dispositivo crittografico che verrá
utilizzata durante il processo di autenticazione.
Il certificato del domain controller deve essere “ben formato” e contenere i seguenti campi :
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 84/95
1)
2)
3)
4)
5)
Un CRL Distribution point che identifichi un percorso valido e associato ad una CRL valida.
Il KeyUsage deve contenere Digital Signature e Key Enchipherment
Le Enhanced Key Usage settate devono essere la Client Authentication e la Server Authentication
Il Subject Alternative name deve contenere il GUID del Domain controller e il DNS
Il certificate template deve avere una estensione del tipo “Domain Controller”
Per controllare la validitá di un certificato di Domain Controller installato su una macchina, si può utilizzare il
tool della Microsoft dsstore nel seguente modo :
dsstore.exe – dccom
Verrà chiesto cosa si vuole fare, noi scegliamo l’opzione display, durante la visualizzazione, il tool verificherà
anche la validità del certificato e della catena a cui esso appartiene (CA certificate).
Il certificato del domain controller per la CA Microsoft viene generato automaticamente quando si installa la
CA microsoft. Se cosi non fosse si può procedere come descritto nel paragrafo successivo.
10.3 CONFIGURARE OPPORTUNAMENTE WINDOWS 2003 SERVER PER IL CORRETTO
FUNZIONAMENTO DELLA STUTTURA DOMAIN CONTROLLER.
E’ molto importare che nel certificato domain-controller l’estensione CRL Distribution Point (CDP) che
serve per validare il certificato in ingresso del client. Tale CDP può essere fondamentalmente di tre tipi:
•
•
•
File system
File delle CRL raggiungibile via protocollo http (URL)
URL tramite protocollo LDAP nel repository dove viene posto il file delle CRL (Certificate Revocation
List)
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 85/95
Il domain controller, per validare il certificato in ingresso, legge all’interno del certificato l’informazione CDP e
si scarica il file CRL memorizzandolo in una sua memoria cache interna. Questo processo è fondamentale
per il funzionamento del tunnel SSL e winlogon altrimenti il client in ingresso non riuscirebbe a instaurare
correttamente la transazione con il server in quanto il server non sa se il certificato è attendibile o meno.
In genere l’utenza con cui il server web si presenta per scaricarsi questo file è quella anonima (anonymous
logon). Per quando riguarda il CDP su file system e http in genere non ci sono problemi in quanto questi
repository sono accessibili dall’utenza anonima, qualche problema invece può presentarsi per CDP tramite
URL LDAP che necessita di alcune accortezze. Qualunque CA ha in genere il suo repository LDAP su cui
scrive il file delle CRL e anche la Certification Authority Amtec ha questa possibilità. L’URL LDAP in genere è
del tipo:
URL=ldap:///CN=Crl%20Amtec%201024,CN=amteccontroller,CN=CDP,CN=Public%20Key%
20Services,CN=Services,CN=Configuration,DC=testpki,DC=dom?certificateRevocationList?bas
e?objectClass=cRLDistributionPoint
CDP LDAP all’interno del certificato web server
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 86/95
Come si può vedere dalla figura il repository delle CRL dove in questo caso la Certification Authority Amtec
scrive sta all’interno della cartella “Crl Amtec 1024” che ha come object class “cRLDistributionPoint” ed è
in questa locazione che l’utenza anonima deve essere abilitata.
La prima cosa da fare all’interno del Domain Controller è abilitare l’utenza anonima nella sezione “Security
settings”->”Local Policies”->”Security Options”->”Network access: Let Everyone permissions apply
to anonymous users” come mostrato in figura successiva.
Default Domain Security Settings
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 87/95
Il passo successivo è quello di abilitare un flag denominato “DsHeuristics=0000002” che sta sulle proprietà
del repository “CN=Windows NT”->“Directory Service”. Il settagio è possibile aprendo la console come
spiegato nelle sezioni precedenti ed utilizzando lo strumento ADSI Edit che consente di navigare all’interno
dell’albero LDAP di dominio. ADSI Edit non è presente di default all’interno di Windows 2003 Server ma
occorre installare un tool chiamato “Windows Resource Kit Tools”.
Console Root
A questo punto sempre tramite ADSI Edit posizionarsi sopra la cartella-repository che contiene il file delle
CRL a cui il CDP punta ed abilitare i permessi di lettura\scrittura per l’utenza anonima e l’utenza
everyone attribuendo per sicurezza i pemessi di “full control” vedere figure successive.
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 88/95
Console Root
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 89/95
Console Root
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 90/95
11 APPENDICE B
Di seguito il dettaglio di quanto indicato al paragrafo 3.3.5.
Set oArgs = WScript.Arguments
Set oShell = WScript.CreateObject("WScript.Shell")
'
' Parse command line
'
if oArgs.Count < 1 then
sTemplateName = "DomainController"
sType = "E"
else
if ((oArgs(0) = "-?") or (oARgs.Count < 2)) then
Wscript.Echo "Usage: reqdccert.vbs [Templatename] [Type]"
Wscript.Echo "[Templatename] is the name of a V2 template"
Wscript.Echo "[Type]
can be E for Email and A for Authentication certificate"
Wscript.Echo "If no option is specified, the DomainController certificate template is used."
Wscript.Quit 1
else
sTemplateName = oArgs(0)
sType = oArgs(1)
end if
end if
Set oFilesystem = CreateObject("Scripting.FileSystemObject")
Set objSysInfo = CreateObject("ADSystemInfo")
Set objDC = GetObject("LDAP://" & objSysInfo.ComputerName)
sGUID = objDC.GUID
sDNShostname = objDC.DNShostname
sHostname = objDC.cn
'##############################################################################
'
' Create the ASN.1 file
'
'##############################################################################
Dim aASNsubstring(2, 5)
Const HEX_DATA_LENGTH = 1
Const ASCIIDATA = 2
Const HEXDATA = 3
Const HEX_BLOB_LENGTH = 4
Const HEX_TYPE = 5
aASNsubstring(0, ASCIIDATA) = sDNShostname
aASNsubstring(0, HEX_TYPE) = "82"
'
' Convert DNS name into Hex
'
For i = 1 to Len(aASNsubstring(0, ASCIIDATA))
aASNsubstring(0, HEXDATA) = aASNsubstring(0, HEXDATA) & _
Hex(Asc(Mid(aASNsubstring(0, ASCIIDATA), i, 1)))
Next
aASNsubstring(0, HEX_DATA_LENGTH) = ComputeASN1 (Len(aASNsubstring(0, HEXDATA)) / 2)
'
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 91/95
' Build the ASN.1 blob for DNS name
'
sASN = aASNsubstring(0, HEX_TYPE) & _
aASNsubstring(0, HEX_DATA_LENGTH) & _
aASNsubstring(0, HEXDATA)
'
' Append the GUID as other name
'
if (sType = "E") then
aASNsubstring(1, HEXDATA) = sGUID
aASNsubstring(1, HEX_TYPE) = "A0"
aASNsubstring(1, HEX_DATA_LENGTH) = ComputeASN1 (Len(aASNsubstring(1, HEXDATA)) / 2)
sASN = sASN & _
"A01F06092B0601040182371901" & _
aASNsubstring(1, HEX_TYPE) & _
"120410" & _
aASNsubstring(1, HEXDATA)
end if
'
' Write the ASN.1 blob into a file
'
Set oFile = oFilesystem.CreateTextFile(sHostname & ".asn")
'
' Put sequence, total length and ASN1 blob into the file
'
oFile.WriteLine "30" & ComputeASN1 (Len(sASN) / 2) & sASN
oFile.Close
'
' Use certutil to convert the hex string into bin
'
oShell.Run "certutil -f -decodehex " & sHostname & ".asn " & _
sHostname & ".bin", 0, True
'
' Use certutil to convert the bin into base64
'
oShell.Run "certutil -f -encode " & sHostname & ".bin " & _
sHostname & ".b64", 0, True
'##############################################################################
'
' Create the INF file
'
'##############################################################################
Set iFile = oFilesystem.OpenTextFile(sHostname & ".b64")
Set oFile = oFilesystem.CreateTextFile(sHostname & ".inf")
oFile.WriteLine "[Version]"
oFile.WriteLine "Signature= " & Chr(34) & "$Windows NT$" & Chr(34)
oFile.WriteLine ""
oFile.WriteLine "[NewRequest]"
oFile.WriteLine "KeySpec = 1"
oFile.WriteLine "KeyLength = 1024"
oFile.WriteLine "Exportable = TRUE"
oFile.WriteLine "MachineKeySet = TRUE"
oFile.WriteLine "SMIME = FALSE"
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 92/95
oFile.WriteLine "PrivateKeyArchive = FALSE"
oFile.WriteLine "UserProtected = FALSE"
oFile.WriteLine "UseExistingKeySet = FALSE"
oFile.WriteLine "ProviderName = " & Chr(34) & _
"Microsoft RSA SChannel Cryptographic Provider" & Chr(34)
oFile.WriteLine "ProviderType = 12"
oFile.WriteLine "RequestType = PKCS10"
oFile.WriteLine "KeyUsage = 0xa0"
oFile.WriteLine ""
oFile.WriteLine "[EnhancedKeyUsageExtension]"
oFile.WriteLine "OID=1.3.6.1.5.5.7.3.1"
oFile.WriteLine "OID=1.3.6.1.5.5.7.3.2"
oFile.WriteLine ";"
oFile.WriteLine "; The subject alternative name (SAN) can be included in the INF-file"
oFile.WriteLine "; for a Windows 2003 CA."
oFile.WriteLine "; You don't have to specify the SAN when submitting the request."
oFile.WriteLine ";"
oFile.WriteLine "[Extensions]"
iLine = 0
Do While iFile.AtEndOfStream <> True
sLine = iFile.Readline
If sLine = "-----END CERTIFICATE-----" then
Exit Do
end if
if sLine <> "-----BEGIN CERTIFICATE-----" then
if iLine = 0 then
oFile.WriteLine "2.5.29.17=" & sLine
else
oFile.WriteLine "_continue_=" & sLine
end if
iLine = iLine + 1
end if
Loop
oFile.WriteLine "Critical=2.5.29.17"
oFile.WriteLine ";"
oFile.WriteLine "; The template name can be included in the INF-file for any CA."
oFile.WriteLine "; You don't have to specify the template when submitting the request."
oFile.WriteLine ";"
oFile.WriteLine ";[RequestAttributes]"
oFile.WriteLine ";CertificateTemplate=" & sTemplateName
oFile.Close
iFile.Close
'##############################################################################
'
' Create the certreq.exe command-line to submit the certificate request
'
'##############################################################################
Set oFile = oFilesystem.CreateTextFile(sHostname & "-req.bat")
oFile.WriteLine "CERTREQ -attrib " _
& Chr(34) & "CertificateTemplate:" & sTemplateName _
& Chr(34) & " " & sHostname & ".req"
'
' The GUID structure needs to be reconstructed. The GUID is read
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 93/95
' as a string like f4aaa8576e6828418712b6ca89fbf5bc however the
' format that is required for the certreq command looks like
' 57a8aaf4-686e-4128-8712-b6ca89fbf5bc. The bytes are reordered
' in the following way:
'
'
11111111112222222222333
'
Position 12345678901234567890123456789012
'
|------|--|--|--|--------------|
' Original GUID:
f4aaa8576e6828418712b6ca89fbf5bc
'
'
11 1 1111 1112 222222222333
'
Position 78563412 1290 5634 7890 123456789012
'
|------- |--- |--- |--- |----------|
' Reformatted GUID: 57a8aaf4-686e-4128-8712-b6ca89fbf5bc
'
oFile.WriteLine "REM "
oFile.WriteLine "REM !!! Only valid for Windows 2003 or later versions !!!"
oFile.WriteLine "REM If you do not specify certificate extensions in the *.INF file"
oFile.WriteLine "REM they can be specified here like the following example"
oFile.WriteLine "REM "
oFile.WriteLine "REM CERTREQ -submit -attrib " _
& Chr(34) & "CertificateTemplate:" & sTemplateName _
& "\n" _
& "SAN:guid=" _
& Mid(sGUID, 7, 2) _
& Mid(sGUID, 1, 2) & "-" _
& Mid(sGUID, 11, 2) _
& Mid(sGUID, 9, 2) & "-" _
& Mid(sGUID, 15, 2) _
& Mid(sGUID, 13, 2) & "-" _
& Mid(sGUID, 17, 4) & "-" _
& Mid(sGUID, 21, 12) _
& "&DNS=" & sDNShostname & Chr(34) & " " & sHostname & ".req"
oFile.Close
'##############################################################################
'
' Create the certificate verification script
'
'##############################################################################
Set oFile = oFilesystem.CreateTextFile(sHostname & "-vfy.bat")
oFile.WriteLine "certutil -viewstore " & Chr(34) & objDC.distinguishedname & _
"?usercertificate" & chr(34)
oFile.Close
'##############################################################################
'
' Compute the ASN1 string
'
'##############################################################################
Function ComputeASN1 (iStrLen)
If Len(Hex(iStrLen)) Mod 2 = 0 then
sLength = Hex(iStrLen)
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 94/95
else
sLength = "0" & Hex(iStrLen)
end if
if iStrLen > 127 then
ComputeASN1 = Hex (128 + (Len(sLength) / 2)) & sLength
else
ComputeASN1 = sLength
End If
End Function
Codice:
EJ4A54702001
Rev.: 0
Data: .18-Feb-10
Pag.: 95/95

Manuale Tecnico Amtec CSP 2.1

Transcript

Documenti analoghi

atm garibaldi Milano_ITA

PDF

4B Inglese PROGRAMMA Dal libro di testo `Performer Culture and

Literature

curcuma alismatifolia

Inglese_4H

2 Finish Line Inc. è riconosciuto come leader mondiale nella

Fairline Targa 48 - Yacht Charter Croatia

Kartab OROLOGIO MICKEY MOUSE

SeaClub insotel Cala Mandia 55 BaLeari