.
Alla voce Libreria di moduli e documenti si trovano tutti i moduli e i documenti.
Descrizione
I certificati di classe E sono rilasciati da un’autorità di certificazione integrata (Certification Authority, CA) di Microsoft Active Directory. I clienti dei certificati di classe E sono sistemi informatici interni, incorporati nell’Active Directory dell’Amministrazione federale (forest INTRA, ADR).
Anche i sistemi informatici al di fuori di forest, server UNIX e workgroup computer possono acquistare un certificato dalla suddetta CA mediante enrollment manuale, purché i computer in questione non abbiano un public trust. I template messi a disposizione a tal fine sono indicati nei certificati di sistema. Come algoritmo di firma di solito si utilizza sha256 / RSA. Il Controllo federale delle finanze (CDF) e il Dipartimento federale degli affari esteri (DFAE) gestiscono una propria Issuing CA nelle rispettive forest.
I certificati di classe E fanno sostanzialmente parte dei sistemi di utenti. Per impostazione predefinita non possono essere ordinati singolarmente. Ciò è possibile solo con Atlantica. (vedi foglio informativo «Server virtuale Windows»).
Funzione: certificati computer
- Certificati per il sistema
Per i certificati con (EKU): per la Client Authentication, la Server Authentication e la Client/Server Authentication sono messi a disposizione tre certificati template ciascuna:
auto: enrollment automatico di certificati
ManAPP: enrollment manuale di
certificati con Manager Approval
noManAPP: enrollment manuale con
certificati senza (no) Manager Approval
In fondo a questa pagina sono disponibili le istruzioni per l’enrollment manuale dei certificati di sistema di classe E.
Inoltre è riportata una panoramica sui possibili certificati di sistema di classe E. - Kerberos Authentication (Domain Controller)
Questi certificati permettono a un Domain Controller di identificarsi nei confronti di altri computer e utenti. Vengono utilizzati principalmente per l’accesso con le smartcard al dominio Active Directory. - Webserver SSL (not publically trusted)
Le informazioni sono disponibili qui:Certificati standard di classe C.
- Workstation Authentification
Le informazioni sono disponibili qui:Certificati standard di classe C.
- ConfigMgr OS Deployment
Le informazioni sono disponibili qui:Certificati standard di classe C. - Network Policy Server (NPS)
Le informazioni sono disponibili qui:Certificati standard di classe C. - Computer desktop remoto
Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di raggiungere un livello di sicurezza TLS 1.0, che permette di verificare l’identità del server con l’host e di crittografare la comunicazione tra l’host e il client per le sessioni con desktop remoto. - TBA Armasuisse
Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di attivare Windows e i prodotti Office in ambienti speciali mediante Token-Based Activation (TBA). - DC IPSec
Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di trasmettere i dati di backup di Domain Controller attraverso connessioni di rete crittografate.
Funzione: certificati utente
- Code Signing
Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di firmare file in formato binario. Ciò previene l’installazione di software non ammessi. - DC Basic EFS
Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di crittografare i backup dei Domain Controller selezionati. - DC EFS Recovery Agent
Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione servono a decrittare i backup di Domain Controller selezionati in caso di emergenza.
Bontà/Qualità del rilascio di certificati
Media (procedura amministrativa)
Utenti
Computer / utenti
Supporto di memoria del certificato
Certificato soft (nel profilo computer o utente)
Condizione
Nessuna
Acquisizione
In caso di creazione o modifica di un account, in particolare per l’accettazione di un sistema informatico in un Active Directory Domain di Windows di proprietà dell’Amministrazione federale (forests, INTRA ed EDA), la richiesta di un certificato è considerata implicita.
Come base per la procedura di rilascio viene utilizzata la funzionalità di Microsoft Enterprise PKI, che mette a disposizione l’opzione di registrazione e di rilascio automatica (auto-enrollment). Sulla base di autorizzazioni sui template per certificati definiti così come appartenenze a gruppi e Group Policy Object (GPO) si stabilisce in dettaglio quali utenti e sistemi informatici ricevono un determinato certificato.
Per motivi legati alla denominazione, solo i certificati Webserver SSL e ConfigMgr OS Deployment devono essere richiesti individualmente dall’amministratore del server mediante una richiesta elettronica.
Per l’acquisizione di certificati di sistema per computer al di fuori delle seguenti forest, server UNIX o workgroup server è messa a disposizione una procedura con enrollment manuale. Questi computer non devono però presentare un public trust. I certificati in questione vengono rilasciati unicamente dalla CA Admin-CCE-Intra01.
Realizzazione e implementazione
Il rilascio e l’amministrazione dei certificati di classe E PKI si basano su un’infrastruttura gerarchica a due livelli:
Il compito della root CA Admin-CC-Root01 di primo livello è convalidare i certificati delle autorità di certificazione del secondo livello.
Le Issuing CA:
- Admin-CCE-Intra01 per la forest INTRA
- Admin-CCE-EDA01 per la forest DFAE
- Admin-CCE-EFK01 per la forest CDF
- Admin-CCE-ADR01 per la forest ADR
Al secondo livello si generano, convalidano, pubblicano e amministrano i certificati dei titolari.
Moduli / Ordine
- Antragsformular für Code Signing Zertifikate der Swiss Government PKI Klasse E (Windows PKI) (PDF, 719 kB, 24.01.2024)
- Revokationsantrag für Code Signing Zertifikate der Swiss Government PKI Klasse E (Windows PKI) (PDF, 78 kB, 24.01.2024)
- Ticketformular Revokation klasse E Maschinenzertifikate (DOC, 221 kB, 24.01.2024)
Documentazione
- Anleitung: Manuelles Enrollment Zertifikate Klasse E System Templates (PDF, 1 MB, 24.01.2024)
- Klasse E System Templates (PDF, 46 kB, 24.01.2024)
- Manuelles Enrollment Domain Controller Zertifikate (PDF, 94 kB, 24.01.2024)Template BVerwE-KerberosAuthentication-via PKI
- Scripts domain controller enrollment (ZIP, 1 kB, 24.01.2024)
Autorizzazione dei certificati di classe E
Per ordinare l’autorizzazione di un certificato di classe E, si prega di fornire un ticket contenente le seguenti informazioni:
- Dominio (ADR, INTRA ecc.)
- Nome del gruppo (ad es. US-intraCA-nonManApp-BIT-BS-BSC-BA)
- Referente (utente che dispone già di questa autorizzazione)
Autorizzazione per: persone o computer (server o client)