A partire dalla R6.x è stata introdotta la Certification Autority . Molti amministratori tutt'oggi utilizzano ancora la "vecchia" gestione dei certificati. In questo articolo andremo ad analizzare quali sono i benefici di migrare la gestione dei certificatori (cert.id) nella nuova Certification Autority e come si migra e si inseriscono le informazioni di Recovery Password.

Inzio con il chiarire un aspetto fondamentale, la nuova CA di Domino gestisce in maniera centralizzata la gestione, il rilascio e la revoca (la Revocation Autority è valida solo per certificati internet) sia di certificati Notes (file.id) sia certificati internet (SSL e x509).

Questo ci permette di avere un unico elemento che controlla quindi l'emissione di tutti i certificati. Detto questo vediamo i vantaggi del uso della CA:
  • Migrando i certificati di Organizzazioni e Unità Organizzative non dobbiamo più preoccuparci di perdere file fondamentali, o di avere in giro copie diverse con informazioni diverse. Prendiamo per esempio il certificatore della Organizzazione. Se inniettiamo al suo interno le Recovery information (fondamentali per lo sblocco di una ID di cui si è persa la password") dobbiamo ricordarci di distribuire la sudetta ID a tutti gli amministratori che gestiscono certificati (e backup). Se così non fosse ci troveremmo amministratori che registrano utenti con le Recovery information ed altri senza. Vi lascio immaginare i problemi collaterali.
  • Quando un certificato viene migrato nella CA abbiamo sul server amministrativo del Dominio un Database che contiene di fatto il certificatore e tutte le informazioni fondamentali. La sua configurazione prevede la definizione dei nomi degli amministratore e quali funzionalità saranno in grado di gestire. Ad esempio posso definire un amministratore che è in grado di procedere alla registrazione di un utente ma non alla Revoca di un certifiacato
  • L’aggiunta delle recovery information e/o una sua qualsiasi modifica scatena in automatico ed in modo silente (senza intervento da parte del utente finale) l’aggiornamento e/o l’inserimento delle RI nelle ID degli utenti che si connettono al server. Senza la CA, sia l’inserimento che l’aggiornamento delle RI nelle ID degli utenti necessita l’invio di una mail e l’accettazione da parte del utente (Edit Recovery Information - Export). In aggiunta un documento con l’ID allegata verrà mandato dal client notes del utente al Recovery DB. Qusto file allegato deve essere scaricato dal amministratore ed eseguendo il comando Extrac recovery Password, senza dover inserire una password di accesso, si otterrà la password di sblocco da notificare al utente.
  • è possibile definire utenti abilitatti alla registrazione di certificati (RA) ma senza l'autorità di gestire o modificare la configurazione della CA (Ruolo CA o CAA).
  • È possibile eseguire tutte le attività di gestione e creazione di certificati (utente e server) direttamente dal interfaccia web di amministrazione (webadmin.nsf) dato che il processo viene demandato in backgroud alla CA.

Migrazione del Certificatore alla CA

La procedura è molto semplice, basta dal client di amministrazione portarsi sul server di amministrazione, quindi spostarsi sulla linguetta CONFIGURATIONS, quindi cliccare sulla destra TOOLS - Certifications - Migrate Certifier

Image:Recovery Information e CA

Selezionare il certificatore da Migrare (se ne avete più di uno ripetere questa procedura per ogni certificatore)

Image:Recovery Information e CA

Compilare come da esempio, inserendo il nome del file (Database) che verrà generato e le persone (amministratori) addetti alla creazione, eliminazione e modifica dei certificati

Image:Recovery Information e CA

Una volata generato la CA è necessario caricare il task CA (load CA) sul server (e aggiungerlo nel notes.ini sotto la voce "servertasks")

A questo punto andando a registrare ad esempio un nuovo utente, nella schermata seguente selezionare la voce “Use the CA Process” e selezionare il certificato appropriato.

Image:Recovery Information e CA

ATTENZIONE
: è caldamente sconsigliato l'uso misto della gestione dei certificati tra il vecchio metodo (accedendo ogni volta al file cert.id) e il nuovo metodo.

Inserire le Recovery Information

Una volta migrato i certificati alla CA è possibile inserire le Recovery Information, Specificando quali sono gli amministratori autorizzati a questo processo e quanti di questi saranno necessari per sbloccare l’ID del utente (se mettete 2, per lo sblocco del ID sara necessario l’intervento di entrambi gli amministratori che dovranno eseguire la procedura spiegata più avanti per generare il codice di sblocco della ID).

Dal Client di Amministrazione  portarsi sulla linguetta Configuration, quindi cliccare sulla destra TOOLS - Certifications - Edit recovery Information

Image:Recovery Information e CA

Inserire quindi l'elenco degli amministratori abilitati a sbloccare le ID e definire quanti di questi sono richiesti affinchè la procedura di sblocco di una ID sia portata a termine con successo

Image:Recovery Information e CA

SOLO R7: Queste immagini si riferiscono alla Release 7. Solo in questa versione è stata aggiunta la possibilità di personalizzare il messaggio al utente ( e la lunghezza della password di sblocco) qualora si venisse a verificare la necessità di utilizzare il processo di recovery del ID. L'amministratore può quindi inserire commenti per aiutare l'utente a portare a termine l'attività di sblocco.

4 Commenti:

  • #1 luca gazzaniga 09/20/2007 3:39:35 PM

    ma avendo 3 certificatori,quando creo una nuova utenza,come faccio a specificare qual cert.usare?

    qui in azienda devono essere ben distinti......

  • #2 claudio meregalli 01/25/2006 5:51:55 PM

    .. non capisco cosa intendi... il certificatore non subisce nessuna modifica ma viene migrato (il certificato vecchio cert.id poi non serve più a nulla) in un database fisico dove a questo punto diventa una vera e propria applicazione collegata direttamente ai processi amministrativi e al db admin4.nsf

  • #3 Morpheus 01/25/2006 8:44:27 AM

    Veramente interessante.

    Nella mia azienda stiamo valutando l'implementazione delle Recovery Information nei certificatori.

    Qualcuno di voi sa cosa viene modificato nello specifico all'interno del certificatore quando abilito le informazioni di Recovery?

    Grazie Mille

    Morpheus

  • #4 Acolaja 12/21/2005 11:30:38 AM

    Veramente utile...a volte alcune funzionalità sono banali da implementare ma se nessuno ne spiega la semplicità (come in questo articolo) rimangono nel cassetto.

Commenta articolo
 

Questo spazio web è stato creato da per un uso pubblico e gratuito. Qualsiasi tipo di collaborazione sarà ben accetta.
Per maggiori informazioni, scrivete a info@dominopoint.it

About Dominopoint
Social
Dominopoint social presence: