Dogtag per creare e gestire certificati digitali

di Luigi Santangelo

scritto il

Se la robustezza di un sistema di sicurezza è pari a quella del suo anello più debole, proteggere le password sarà il primo passo: vediamo come con DogTag.

Per ridurre i rischi di attacco informatico causato da chiavi di accesso vulnerabili, i sistemi più moderni adottano nuove modalità di identificazione. Rispetto alla tradizionale combinazione di username e password, oggi è possibile optare per un’autenticazione tramite badge o certificato digitale. Un certificato digitale X.509 può essere paragonato al documento di riconoscimento biometrico e utilizzato per l’identificazione di utenti o sistemi sulla rete Internet. Viene emesso dalle Autorità di Certificazione che, dopo aver verificato l’identità del richiedente, emettono il certificato firmandolo con la propria firma digitale. Oggi molte società offrono servizi di CA ma è possibile anche creare in casa una propria autorità di certificazione, per esempio ricorrendo a Dogtag, soluzione potente e completa per utenti che desiderano implementare una infrastruttura a chiave pubblica.

Dogtag

Il sistema (installabile su Fedora, RedHat e CentOS) ha un’architettura composta da vari elementi che consentono di emettere, rinnovare e revocare i certificati, archiviare e recuperare le chiavi, pubblicare le liste di revoca dei certificati e fornire informazioni ai client sullo stato di ciascun certificato. Vediamo i principali:

  • Certificate Autority è il cuore del sistema consentendo l’emissione, rinnovo, pubblicazione e revoca dei certificati.
  • Registration Authority riceve le richieste di emissione dei certificati da parte di utenti e, dopo averne verificato la validità, le inoltra alla Certificate Authority conservando la comunicazione con l’utente.
  • Data Recovery Manager mantiene in un repository sicuro le coppie di chiavi pubbliche e private utilizzate per l’emissione dei certificati, necessarie per una eventuale riemissione del certificato.
  • Online Certificate Status Manager comunica ai richiedenti la validità di un certificato, la sua scadenza o revoca.

Il sistema offre due differenti interfacce grafiche. La prima è di tipo web e viene utilizzata da utenti e agenti: i primi presentano richiesta di emissione dei certificati e ne visionano lo status ( es. evasa o rigettata), i secondi visionano e valutano le richieste,emettono i certificati, li rinnovano o revocano. La seconda viene utilizzata esclusivamente da Amministratori e Auditor per attività interne come installazione, gestione di sottosistemi, utenti e relativi profili, configurazione di log e processo di pubblicazione, di certificati e liste di revoca.