Skip to content

EGRID website

Sections
Personal tools
You are here: Home » GRID@Trieste » CA » Procedure della CA di GRID@Trieste
Log in


Forgot your password?
 

Procedure della CA di GRID@Trieste

Procedure in uso nella CA di GRID@Trieste

Procedure in uso per la CA di GRID@Trieste

Authore:Riccardo Murri; Angelo Leto
Data:$Date$
Revisione:$Revision$

Introduzione

Lo scopo di una Certification Authority (CA) è di emettere certificati digitali che attestino l'identità di un utente in varie forme di comunicazione digitale: e-mail, connessione autenticata ad un server, ecc. In particolare, i sistemi di griglia basati sul sistema GSI di Globus, prevedono che ogni utente di griglia sia univocamente identificato da un certificato digitale in formato X.509. Sulla base di tali credenziali elettroniche vengono implementati meccanismi di autorizzazione all'accesso alle risorse della griglia.

Questo documento descrive le procedure in uso per la CA di GRID@Trieste: la generazione di una richiesta di certificato, la firma da parte della CA, la publicazione di liste di revoca (CRL).

Piccolo glossario

CA
La CA è l'entità (software e operatori) che firma la richiesta di certificato trasformandola in un certificato. L'identità del richiedente un certificato viene garantita da una RA.
Certificato
Un certificato digitale è una coppia di chiavi (pubblica e privata) da usare in un qualche sistema di crittografia a chiave pubblica. Spesso si usa il termine "certificato" solo per indicare la chiave pubblica, mentre il termine "chiave" indica la chiave privata.
RA
La RA è l'entità (software e operatori) che garantisce alla CA l'identità di un richiedente, attraverso un canale sicuro di comunicazione.
CRL
Una Certificate Revocation List o CRL è un elenco strutturato dei certificati digitali invalidati dalla CA che li ha firmati, prima della loro scadenza naturale. Il processo di revoca di un certificato e' irreversibile.
Richiesta di certificato
La richiesta di certificato è il file che contiene la chiave pubblica di un certificato digitale, più alcune informazioni addizionali, secondo un formato specificato in [RFC2511].

Procedura di generazione di un certificato

Ogni istituzione partecipante a GRID@Trieste attiva al suo interno una RA; al funzionamento della RA sono abilitate una o più persone.

L'utente finale comunica esclusivamente con la RA della propria istituzione; non c'è comunicazione diretta degli utenti finali con la CA.

Per il funzionamento del software di griglia, occorrono due tipi di certificati, il terzo tipo di seguito elencato sarà utile solo in casi speciali:

certificati utente
garantiscono l'identità di una persona fisica, che sarà utente dei servizi di griglia; sono protetti da una password nota solo al proprietario.
certificati host
garantiscono l'identità di un host, durante le comunicazioni con altri host ed utenti della rete; non è protetto da password per consentire l'uso del certificato anche quando non c'è un operatore davanti alla console.
certificati per servizi
La condivisione di un certificato da parte di due o piu' servizi implica che questi girino con lo stesso utente proprietario del certificato stesso. Nel caso in cui si vogliano certificare diversi servizi sullo stesso host, in esecuzione con diversi utenti, sarà necessario richiedere un certificato per ognuno di questo servizi.

Certificati utente

Durante il processo di generazione della richiesta di certificato utente, viene chiesto all'utente di impostare una password. Poiché questa password verrà usata per attivare l'accesso in griglia, è importante che nessuno ne venga a conoscenza, salvo l'utente stesso, oppure che all'utente siano date istruzioni per cambiare questa password prima dell'uso in griglia.

La richiesta di un certificato utente procede in questo modo:

  1. La RA attiva il software di richiesta del certificato, ed immette i dati richiesti (nome e indirizzo e-mail dell'utente identificato). La RA è responsabile della correttezza dei dati immessi, un eventuale errore in fase di immisione dei dati deve essere tempestivamente comunicato alla CA, la quale se ha già firmato la richiesta provvederà alla revoca del certificato. In caso di errori nell'immisione dei dati la procedura di richiesta deve essere ripetuta.

  2. L'utente immette la password scelta nel software di gestione della RA.

  3. Il software di gestione della RA spedisce alla CA, con una email firmata con il certificato della persona che gestisce la RA, la richiesta di certificato per l'utente. Per spedire una e-mail firmata occorre la password del certificato della persona che gestisce la RA.

  4. La CA riceve la e-mail, controlla l'autenticità della firma, ed esegue i seguenti controlli addizionali:

    • verifica che l'email di richiesta è stata firmata da un utente il cui certificato appartiene all'elenco delle RA
    • verifica che subject del certificato concorda con il dominio per il quale la RA è autorizzata a richiedere certificati.

  5. La RA consegna all'utente la chiave privata. La chiave privata costituisce l'elemento segreto dell'algoritmo asimmetrico di crittografia; ogni azione firmata dalla suddetta chiave privata sarà attribuibile al proprietario della stessa.

  6. La CA firma la richiesta, e publica il certificato così generato all'url: www.egrid.it/gridats/ca/archivio una mail di firma avvenuta sarà inviata al richiedente il certificato ed in Cc alla RA; tale mail sarà firmata dalla CA.

Certificati host

Durante il processo di generazione della richiesta di certificato host, non viene chiesto di impostare una password.

La richiesta di un certificato host procede in questo modo:

  1. La RA attiva il software di richiesta del certificato, ed immette i dati richiesti (nome DNS completo dell'host e indirizzo e-mail di una persona responsabile del funzionamento dell'host). La RA è responsabile della correttezza dei dati immessi, un eventuale errore in fase di immisione dei dati deve essere tempestivamente comunicato alla CA, la quale se ha già firmato la richiesta provvederà alla revoca del certificato. In caso di errori nell'immisione dei dati la procedura di richiesta deve essere ripetuta.

  2. Il software di gestione della RA spedisce alla CA, con una email firmata con il certificato della persona che gestisce la RA, la richiesta di certificato per l'utente. Per spedire una e-mail firmata occorre la password del certificato della persona che gestisce la RA.

  3. La CA riceve la e-mail, controlla l'autenticità della firma, ed esegue i seguenti controlli addizionali:

    • verifica che il nome DNS dell'host sia canonico ed abbia risoluzione diretta e inversa.
    • verifica che l'email di richiesta è stata firmata da un utente il cui certificato appartiene all'elenco delle RA
    • verifica che subject del certificato concorda con il dominio per il quale la RA è autorizzata a richiedere certificati.

  4. La RA consegna all'utente la chiave privata. La chiave privata costituisce l'elemento segreto dell'algoritmo asimmetrico di crittografia; tale chiave privata deve essere leggibile esclusivamente dal servizio che certifica.

  5. La CA firma la richiesta, e publica il certificato così generato all'url: www.egrid.it/gridats/ca/archivio una mail di firma avvenuta sarà inviata al responsabile dell'host indicato nella richiesta ed in Cc alla RA; tale mail sarà firmata dalla CA.

Certificate Revocation List

La CRL relativa alla CA di GRID@Trieste è publicata sul sito web di egrid all'url www.egrid.it/gridats/ca/ca.crl

Procedura di creazione di una RA

Ogni RA è univocamente identificata da un nome di dominio DNS; questo nome di dominio è il nome di dominio degli host che verranno messi in griglia dall'istituto cui la RA appartiene.

Per la creazione di una RA è dunque necessario:
  • il nome di dominio sotto cui verranno messe in griglia le macchine;
  • il nome e l'indirizzo email della persona a cui verrà consegnato il software di generazione dei certificati, e che per primo sarà abilitato a richiedere certificati alla CA. (Si veda Persone abilitate alla richiesta di certificati per informazioni su come aggiungere altre persone al ruolo di RA).

Uso del software di richiesta dei certificati

Il software di gestione della RA viene distributo in un dischetto o altro supporto rimovibile che contiene il programma di gestione della RA e l'archivio dei certificati emessi.

Per poter generare certificati con caratteri non-ASCII (lettere accentate o con altri segni diacritici, caratteri non europei) il software di gestione della RA dovrebbe essere sempre eseguito da un sistema Linux configurato per usare l'encoding UTF-8. Il Live CD di EGRID ha questo supporto, a partire dalla versione 1.2.6.

Persone abilitate alla richiesta di certificati

Nel software di richiesta dei certificati, viene mantenuto un database con i certificati (parte pubblica e privata) delle persone che possono firmare le richieste di certificato da inviare alla CA.

Il dischetto viene consegnato dalla CA ad una persona della RA, e quella persona può aggiungere le altre identità, con una opzione del menu principale del software; ogni operazione di aggiunta di altre identità al ruolo di RA deve essere comunicata alla CA che procederà ad abilitare della nuova RA.

Occorre dare comunicazione alla CA dell'abilitazione di un certo utente al ruolo di RA con una email firmata con S/MIME da una identità già nota che riveste il ruolo di RA per un certo istituto. Senza tale comunicazione le richieste dell'aspirante RA verranno rigettate.

Due persone abilitate al ruolo di RA per il medesimo dominio possono utilizzare copie distinte del software della RA; in tal caso le RA non hanno il mutuo controllo delle richieste di certificati effettuate.

Non c'è distinzione tra le identità abilitate alla firma: ciascuna ha gli stessi poteri di un'altra: può inviare richieste di certificati alla CA, e può aggiungere altre identità al novero di quelle abilitate.

Una identità è univocamente associata ad un certificato digitale valido (parte pubblica e privata); questo può essere un qualunque certificato utente emesso dalla CA di GRID@Trieste.

Configurazione del server SMTP

Per mandare e-mail verso l'esterno è necessario configurare un relay mail server che accetti connessioni SMTP dal computer in uso. Questa configurazione può essere fatta una volta per tutte: una volta terminata viene salvata sul dischetto.

Il programma di richiesta dei certificati usa il programma msmtp per inviare le e-mail; il file di configurazione ra/conf/msmtp.conf può essere modificato secondo la sintassi dei file di configurazione di msmtp; tuttavia il programma di richiesta dei certificati è in grado di leggere solo una piccola parte della sintassi di questo file e sovrascriverà il file, per cui, una volta modificato a mano, è bene non usare l'interfaccia grafica per modificarlo ancora.

Esecuzione del programma di richiesta dei certificati

Il software di gestione della RA si lancia con lo script ra-request-certificate.sh, nella directory ra/ del supporto di distribuzione. Il programma richiede il sistema grafico X Windows.

Una volta lanciato, il programma ra-request-certificate.sh esegue una serie di controlli, che a volte possono richiedere un tempo sensibile:

  • che tutti i programmi necessari siano installati;
  • che la rete sia attiva e che sia possibile risolvere i nomi DNS;
  • che il locale corrente usi l'encoding UTF-8;

Quando questi controlli sono stati eseguiti, verrà chiesto di scegliere una delle identità personali abilitate a usare la RA; la password corrispondente alla identità qui scelta verrà chiesta al momento di firmare la richiesta di certificato per la CA. Questa scelta non può essere cambiata! L'unico modo di cambiare identità è di cambiare identità è di uscire dal programma e lanciarlo un'altra volta.

Dopo la scelta dell'identità, comparirà una finestra con un menù con le seguenti scelte; il programma è molto verboso nella sua esecuzione, e guida l'utente passo passo nella generazione dei certificati.

newuser

Per richiedere un nuovo certificato utente.

La richiesta di certificato e la chiave privata generata sono salvati nella directory ra/priv/certs/ou=people; la chiave privata dovrà essere consegnata all'utente al momento della richiesta.

newhost

Per richiedere un nuovo certificato host.

La richiesta di certificato e la chiave privata generata sono salvati nella directory ra/priv/certs/ou=host; la chiave privata dovrà essere consegnata al responsabile dell'host al momento della richiesta.

passphrase

Per cambiare la passphrase su una delle identità personali di RA, non necessariamente quella attualmente selezionata.

Attenzione! questa voce di menu non cambia l'identità attiva, anche se si cambia la passphrase per una altra identità.

import
Permette di aggiungere una nuova identità personale a quelle che possono usare il software della RA e firmare le richieste per la CA; si veda Persone abilitate alla richiesta di certificati.
netconfig
Lancia una script di configurazione dell'interfaccia di rete (funzionerà solo con il Live CD di EGRID).
smtpconfig
Configura il mailer per spedire le email di richiesta di un certificato alla CA; si veda Configurazione del server SMTP.
poweroff
Spegne il computer; funzionerà solo con il Live CD di EGRID.
exit
Termina l'esecuzione del programma ra-request-certificate.sh.

Custodia dell'archivio certificati

Nel supporto con il software viene tenuto anche l'archivio certificati; e questo è l'unico archivio completo (la CA non ha le chiavi private dei certificati emessi). Perciò è soprattutto importante tenere la copia su un mezzo affidabile (si consiglia l'utilizzo di una chiavetta USB anziche' di un floppy disk).

Ogni copia del software gestisce il suo archivio, quindi se una RA è gestita da più persone, queste possono usare lo stesso supporto per l'emissione dei certificati, oppure ciascuna avrà accesso solo ai certificati che ha richiesto.

Anche se i certificati sono protetti dalla passphrase, è bene custodire l'archivio dei certificati e tutte le sue copie di backup in un luogo sicuro e non facilmente accessibile (p.es., un cassetto sempre chiuso a chiave).

Caveats

Il dischetto con il software deve essere formattato con filesystem ext2, perché il programma msmtp richiede permessi stretti sul file di configurazione, che i filesystem di derivazione DOS (vfat) non possono garantire.

Non è possibile cambiare l'identità scelta al lancio del programma, per via di un bug nel mailer mutt ( http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=318470 ).

Bibliografia

[RFC2511]Internet X.509 Certificate Request Message Format, M. Myers, C. Adams, D. Solo, D. Kemp; ftp://ftp.rfc-editor.org/in-notes/rfc2511.txt
[RFC3851]Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specification, B. Ramsdell, Ed.; ftp://ftp.rfc-editor.org/in-notes/rfc3851.txt
Created by rmurri
Contributors : Riccardo Murri, Angelo Leto
Copyright (c) 2005 Riccardo Murri and the EGRID Project
Last modified 2005-11-18 07:19
 
Powered by Plone

This site conforms to the following standards: