SG-PKI Classe E IT

I certificati di classe E sono rilasciati da un’autorità di certificazione integrata (Certification Authority, CA) di Microsoft Active Directory. I clienti dei certificati di classe E sono sistemi informatici interni, incorporati nell’Active Directory dell’Amministrazione federale (forest INTRA, ADR).

Anche i sistemi informatici al di fuori di forest, server UNIX e workgroup computer possono acquistare un certificato dalla suddetta CA mediante enrollment manuale, purché i computer in questione non abbiano un public trust. I template messi a disposizione a tal fine sono indicati nei certificati di sistema. Come algoritmo di firma di solito si utilizza sha256 / RSA. Il Controllo federale delle finanze (CDF) e il Dipartimento federale degli affari esteri (DFAE) gestiscono una propria Issuing CA nelle rispettive forest.

I certificati di classe E fanno sostanzialmente parte dei sistemi di utenti. Per impostazione predefinita non possono essere ordinati singolarmente. Ciò è possibile solo con Atlantica. (vedi foglio informativo «Server virtuale Windows»). 

• Certificati per il sistema
  Per i certificati con (EKU): per la Client Authentication, la Server Authentication e la Client/Server Authentication sono messi a disposizione tre certificati template ciascuna:
  auto:              enrollment automatico di certificati
  ManAPP:        enrollment manuale di
                         certificati con Manager Approval
  noManAPP:    enrollment manuale con
                        certificati senza (no) Manager Approval
  In fondo a questa pagina sono disponibili le istruzioni per l’enrollment manuale dei certificati di sistema di classe E.
  Inoltre è riportata una panoramica sui possibili certificati di sistema di classe E.
• Kerberos Authentication (Domain Controller)
  Questi certificati permettono a un Domain Controller di identificarsi nei confronti di altri computer e utenti. Vengono utilizzati principalmente per l’accesso con le smartcard al dominio Active Directory.
• Webserver SSL (not publically trusted)
  Le informazioni sono disponibili qui:Certificati standard di classe C.
  
  
• Workstation Authentification
  Le informazioni sono disponibili qui:Certificati standard di classe C.
  
  
• ConfigMgr OS Deployment
  Le informazioni sono disponibili qui:Certificati standard di classe C.
• Network Policy Server (NPS)
  Le informazioni sono disponibili qui:Certificati standard di classe C.
• Computer desktop remoto
  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di raggiungere un livello di sicurezza TLS 1.0, che permette di verificare l’identità del server con l’host e di crittografare la comunicazione tra l’host e il client per le sessioni con desktop remoto.
• TBA Armasuisse
  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di attivare Windows e i prodotti Office in ambienti speciali mediante Token-Based Activation (TBA).
• DC IPSec
  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di trasmettere i dati di backup di Domain Controller attraverso connessioni di rete crittografate.

• Code Signing
  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di firmare file in formato binario. Ciò previene l’installazione di software non ammessi.
• DC Basic EFS
  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di crittografare i backup dei Domain Controller selezionati.
• DC EFS Recovery Agent
  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione servono a decrittare i backup di Domain Controller selezionati in caso di emergenza.

Media (procedura amministrativa)

Computer / utenti

Certificato soft (nel profilo computer o utente)

Nessuna

In caso di creazione o modifica di un account, in particolare per l’accettazione di un sistema informatico in un Active Directory Domain di Windows di proprietà dell’Amministrazione federale (forests, INTRA ed EDA), la richiesta di un certificato è considerata implicita.

Come base per la procedura di rilascio viene utilizzata la funzionalità di Microsoft Enterprise PKI, che mette a disposizione l’opzione di registrazione e di rilascio automatica (auto-enrollment). Sulla base di autorizzazioni sui template per certificati definiti così come appartenenze a gruppi e Group Policy Object (GPO) si stabilisce in dettaglio quali utenti e sistemi informatici ricevono un determinato certificato.

Per motivi legati alla denominazione, solo i certificati Webserver SSL e ConfigMgr OS Deployment devono essere richiesti individualmente dall’amministratore del server mediante una richiesta elettronica.

Per l’acquisizione di certificati di sistema per computer al di fuori delle seguenti forest, server UNIX o workgroup server è messa a disposizione una procedura con enrollment manuale. Questi computer non devono però presentare un public trust. I certificati in questione vengono rilasciati unicamente dalla CA Admin-CCE-Intra01.

Il rilascio e l’amministrazione dei certificati di classe E PKI si basano su un’infrastruttura gerarchica a due livelli:

Il compito della root CA Admin-CC-Root01 di primo livello è convalidare i certificati delle autorità di certificazione del secondo livello.

Le Issuing CA:

• Admin-CCE-Intra01 per la forest INTRA
• Admin-CCE-EDA01 per la forest DFAE
• Admin-CCE-EFK01 per la forest CDF
• Admin-CCE-ADR01 per la forest ADR

Al secondo livello si generano, convalidano, pubblicano e amministrano i certificati dei titolari.