Classe E (Windows PKI)

I certificati di classe E sono rilasciati da un’autorità di certificazione integrata (Certification Authority, CA) di Microsoft Active Directory. I clienti dei certificati di classe E sono sistemi informatici interni, incorporati nell’Active Directory dell’Amministrazione federale (forest INTRA).
Anche i sistemi informatici al di fuori di forest, server UNIX e workgroup computer possono acquistare un certificato dalla suddetta CA mediante enrollment manuale, purché i computer in questione non abbiano un public trust. I template messi a disposizione a tal fine sono indicati nei certificati per il sistema. Come algoritmo di firma di solito si utilizza sha256 / RSA. Il DFAE gestisce una propria CA di emissione nella sua foresta.

I certificati di classe E fanno sostanzialmente parte dei sistemi di utenti. Per impostazione predefinita non possono essere ordinati singolarmente. Ciò è possibile solo con Atlantica. (vedi foglio informativo Server virtuale Windows).

• Libreria di moduli e documenti

  Nella libreria di moduli e documenti troverete tutti i moduli e i documenti disponibili pubblicamente per i certificati di classe E.

Lifecycle

Acquisizione

In caso di creazione o modifica di un account, in particolare per l’accettazione di un sistema informatico in un Active Directory Domain di Windows di proprietà dell’Amministrazione federale (forests, INTRA ed EDA), la richiesta di un certificato è considerata implicita.

Come base per la procedura di rilascio viene utilizzata la funzionalità di Microsoft Enterprise PKI, che mette a disposizione l’opzione di registrazione e di rilascio automatica (auto-enrollment). Sulla base di autorizzazioni sui template per certificati definiti così come appartenenze a gruppi e Group Policy Object (GPO) si stabilisce in dettaglio quali utenti e sistemi informatici ricevono un determinato certificato.

Per motivi legati alla denominazione, solo i certificati Webserver SSL e ConfigMgr OS Deployment devono essere richiesti individualmente dall’amministratore del server mediante una richiesta elettronica.

Per l’acquisizione di certificati di sistema per computer al di fuori delle seguenti forest, server UNIX o workgroup server è messa a disposizione una procedura con enrollment manuale. Questi computer non devono però presentare un public trust. I certificati in questione vengono rilasciati unicamente dalla CA SwissGovernment-E-Intra01.

Realizzazione e implementazione

Il rilascio e l’amministrazione dei certificati di classe E PKI si basano su un’infrastruttura gerarchica a due livelli:

Il compito della root CA SwissGovernment-E-Root01 di primo livello è convalidare i certificati delle autorità di certificazione del secondo livello.

Le Issuing CA:

• SwissGovernment-E-Intra01 per la forest INTRA
• SwissGovernment-E-EDA01 per la forest DFAE

al secondo livello si generano, convalidano, pubblicano e amministrano i certificati dei titolari.

Certificati computer

• Certificati per il sistema

  Per i certificati con (EKU): per la Client Authentication, la Server Authentication e la Client/Server Authentication sono messi a disposizione tre certificati template ciascuna:

  • auto:              enrollment automatico di certificati;
  • ManAPP:        enrollment manuale di certificati con Manager Approval;
  • noManAPP:    enrollment manuale con certificati senza (no) Manager Approval

  In fondo a questa pagina sono disponibili le istruzioni per l’enrollment manuale dei certificati di sistema di classe E.
  Inoltre è riportata una panoramica sui possibili certificati di sistema di classe E.

• Kerberos Authentication (Domain Controller)

  Questi certificati permettono a un Domain Controller di identificarsi nei confronti di altri computer e utenti. Vengono utilizzati principalmente per l’accesso con le smartcard al dominio Active Directory.

• Webserver SSL (not publically trusted)

  Le informazioni sono disponibili qui:Certificati standard di classe C.

• Workstation Authentification

  Le informazioni sono disponibili qui:Certificati standard di classe C.

• ConfigMgr OS Deployment

  Le informazioni sono disponibili qui:Certificati standard di classe C.

• Network Policy Server (NPS)

  Le informazioni sono disponibili qui:Certificati standard di classe C.

• Computer desktop remoto

  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di raggiungere un livello di sicurezza TLS 1.0, che permette di verificare l’identità del server con l’host e di crittografare la comunicazione tra l’host e il client per le sessioni con desktop remoto.

• TBA Armasuisse

  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di attivare Windows e i prodotti Office in ambienti speciali mediante Token-Based Activation (TBA).

• DC IPSec

  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di trasmettere i dati di backup di Domain Controller attraverso connessioni di rete crittografate.

Certificati utente

• Code Signing

  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di firmare file in formato binario. Ciò previene l’installazione di software non ammessi.

• DC Basic EFS

  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione consentono di crittografare i backup dei Domain Controller selezionati.

• DC EFS Recovery Agent

  Le chiavi e i certificati che vengono rilasciati nell’ambito di questa direttiva per la certificazione servono a decrittare i backup di Domain Controller selezionati in caso di emergenza.