Certification Authority
Fase I : Setup e
Configurazione
Componenti del gruppo :
Marino Pasquale
Marra Maria Cristina
Molaro Alfonso
Rullo Esterino
Introduzione CA

Una Certification Authority è
 una entità che rilascia certificati digitali verso terze
parti e ha il compito di emettere, consegnare e
revocare i certificati
 una delle componenti più importanti della Public
Key Infrastructure(PKI)
Scambio di messaggi1

Due utenti, Alice e Bob, vogliono scambiarsi messaggi
firmati e crittografati

Alice scrive un messaggio per Bob




firma il messaggio con la sua chiave privata
cripta il messaggio con la chiave pubblica di Bob
il messaggio viene inviato
Quando Bob riceve il messaggio


decripta il messaggio con la sua chiave privata
verifica la firma con la chiave pubblica intestata ad Alice
Scambio di messaggi2

Bob a questo punto sa due cose :



il messaggio era diretto a lui perché è riuscito a decifrarlo
con la sua chiave privata
il messaggio è stato firmato con la chiave privata relativa
alla chiave pubblica che lui ha usato per verificare la firma
Bob, però, non ha alcuna garanzia che la chiave sia
realmente di proprietà di Alice
Scambio di messaggi3


supponiamo che una terza persona, Mallory, riesca ad
intercettare la comunicazione in cui Bob ottiene la
chiave di Alice e riesca a sostituirla con la sua chiave
pubblica in cui si spaccia per Alice.
Bob non ha alcun modo per scoprire l'inganno
Soluzione : CA


Per risolvere situazioni di questo tipo nascono le CA che si fanno
carico di verificare e garantire la corrispondenza fra chiave e
proprietario
Quando un utente richiede un certificato, la CA verifica la sua
identità, quindi crea un documento elettronico in cui sono
contenuti:





i dati personali dell'utente
la chiave pubblica dell'utente
gli estremi della CA che ha rilasciato il certificato
gli indirizzi a cui può essere trovata la CRL
Il documento viene firmato con la chiave pubblica della CA e
pubblicato
Registration Authority1




Le RA costituiscono il contatto diretto tra la CA e
l'entita' che richiede il certificato
La RA si occupa di verificare l'identita' del soggetto
richiedente tramite l'identificazione fisica associata ad
un documento oppure tramite altri criteri di controllo
Dopo aver ricevuto una richiesta dalla RA, la CA
genera il certificato e lo firma con la sua chiave
privata
La CA ora inviera' il certificato alla RA la quale, a sua
volta, lo invierà al richiedente
Registration Authority2
Certificato digitale1



Un certificato digitale è un
documento elettronico che
associa l'identità di una persona
ad una chiave pubblica
I certificati garantiscono la
tutela delle informazioni
personali su Internet e
consentono di proteggere il
sistema da programmi software
non sicuri
Viene emesso da una autorità di
certificazione riconosciuta
secondo standard internazionali
(X.509) e viene firmato con la
chiave privata dell'autorità
Certificato digitale2
Installazione
Installazione1

I software installati sono :
 Knoppix: sistema operativo;
 OpenCA: software principale per la realizzazione
della CA;
 IpTables: firewall usato per impedire accessi
indesiderati;
 Apache: nel toolkit OpenCA, Apache agisce da
interfaccia, in locale, ai programmi di supporto
sull’host CA ;
Installazione2



mod_ssl: fornisce un’eccellente crittografia per il
web server Apache tramite SSL e TLS, servendosi
del toolkit OpenSSL;
OpenSSL: toolkit crittografico che implementa
SSL (acronimo di Secure Socket Layer) e TLS
(acronimo di Transport Layer Security) ed i relativi
standard crittografici da essi richiesti
OpenLDAP: server utilizzato per la pubblicazione
dei certificati
Installazione3


Perl: fornisce un’interfaccia al database MYSQL, si
presta bene a sviluppare applicazioni web perché
può gestire dati cifrati, incluse le transazioni di
commercio elettronico sicuro ;
MySQL: usato come Data Base Management
System.
Installazione4


Per motivi di licenze sono stati utilizzati
esclusivamente prodotti software freeware; ciò ha
facilitato non solo il reperimento del software ma
anche l’utilizzo
La nostra scelta è ricaduta sul software Dartmouth
OpenCa-LiveCD, il quale tramite pochi e semplici
passaggi permette di installare tutto il software
necessario per un Certification Authority, in modo tale
da rendere il sistema veloce e leggero all'avvio
Installazione5


Dartmouth OpenCa-LiveCD è un CD bootable con uno
script di installazione che aiuta le persone ad avere
una Certification Authority OpenCA pronta per essere
installata in pochi minuti
può essere utilizzato sulla maggior parte delle
architetture Intel indipendente dal sistema operativo
installato sul HDD
Sequenza di installazione





Scaricare il file ISO dal link
http://media.dartmouth.edu/~deploypki/opencalivecd.iso
Masterizzare l'immagine del CD
Modificare il boot di avvio dal bios in modo da
priorizzare il CD-ROM
Inserire il CD nel driver e riavviare il PC
A questo punto partirà uno script di configurazione
automaticamente che permette di personalizzare la
propria CA
Inizializzazione CA
Inizializzazione CA
Fase I : Inizializzazione CA1


Digitando nel browser l'indirizzo
http://www.my_ca.it/ca compare una tabella di
informazioni sulle componenti software utilizzate e le
relative versioni
Il passo successivo da compiere è cliccare sul link
Inizialization per passare alla fase di inizializzazione di
OpenCA
Fase I : Inizializzazione CA2
Fase I : Inizializzazione CA3

sono richiesti i seguenti passi per settare la PKI:

DBSetup


Bisogna solo cliccare sul link Inizialize Database ed il
database precedentemente configurato sarà
inizializzato. Tale azione distrugge i dati all'interno del
database se esso già esiste.
Key pair Setup

Bisogna solo cliccare sul link Generate new CA secret
key
Fase I : Inizializzazione CA4

Request Setup


Request Setup


Bisogna solo cliccare sul link Generate new CA Certificate
Request(use generated secred key)
Bisogna solo cliccare sul link Generate new CA Certificate
Request(use generated secred key)
Final Setup
 Ci sono due operazioni da effettuare:


Rebuild CA Chain costruisce la catena di certificati che è
necessaria per verificare le firme digitali e per esportare la
configurazione della CA.
Export Configuration trasferisce su floppy l'intera configurazione
della CA dato che la CA per ragioni di sicurezza gira su un host
offline
Fase II : Creare L’amministratore iniziale1


Tale fase di inizializzazione crea il primo
certificato per l'amministratore della PKI
Bisogna usare come ruolo per questo
certificato "CAoperator" visto che certifica
un'entità che non è un utente comune ma è
l'amministratore della CA
Fase II : Creare L’amministratore iniziale2
Fase II : Creare L’amministratore iniziale3

Sono richiesti i seguenti passi:

Create a new request


Cliccando su questo link viene visualizzata una form in
cui bisogna inserire i dati riguardanti la richiesta
Edit Request

Qui viene data l'ultima possibilità di modificare i campi
della richiesta (Distinguished Name). Cliccando su OK
confermeremo le eventuali modifiche.
Fase II : Creare L’amministratore iniziale4

Issue Certificate


Nella pagina relativa a tale passo, finalmente, c'è la possibilità di
rilasciare il certificato cliccando sul bottone issue certificate o di
cancellare la richiesta cliccando sul bottone delete request
Handle Certificate

La pagina relativa a tale passo permette al richiedente di effettuare
4 operazioni sul certificato
 Download
 Change Passphrase
 Revoke key
 Download Certificate onto Token
Fase III : Creare il certificato iniziale RA1


tale fase permette di creare il certificato per il server
https dell'RA (bisognerebbe usare come role del
certificato Web Server)
I passi con le relative caratteristiche sono gli stessi
della fase 2
Configurazione CA
Configurazione di CA1




La fase di configurazione è importante perchè permette di
customizzare la gestione e aggiungere nuove funzionalità.
Si possono modificare caratteristiche importanti quali:
Roles
 Cliccando sul tale link viene visualizzata una pagina che
contiene i ruoli presenti nella PKI e permette di aggiungerne
di nuovi
Rights
 Cliccando sul tale link viene visualizzata una pagina in cui
compare la ACL (Access Control List) dei moduli della PKI.
Per ogni operazione visualizza l'operatore incaricato ad
effettuare l'operazione ed il proprietario. Inoltre è possibile
aggiungere, cancellare e ricercare diritti
Configurazione di CA2



Operations
 Cliccando sul tale link viene visualizzata una pagina con tutte
le operazioni della PKI (sono le stesse del punto precedente)
e permette di cancellarne o aggiungerne nuove. E' anche
possibile firmare (richiede CA-password), esportare e
importare l'intera configurazione della PKI
Modules
 Cliccando sul tale link viene visualizzata una pagina che
contiene i moduli della PKI e permette di aggiungerne nuovi
Scripts
 Cliccando sul tale link viene visualizzata una pagina che
mostra gli scripts che implementano le operations e
permette di cancellare lo script relativo ad un'operation.
Inoltre mostra una descrizione delle caratteristiche relative
ad ogni script.