È possibile utilizzare l'amministrazione basata sui ruoli per organizzare gli amministratori dell'Autorità di certificazione (CA) in ruoli CA predefiniti distinti, ognuno con il proprio gruppo di attività. I ruoli vengono assegnati in base alle impostazioni di sicurezza di ogni utente. All'utente viene infatti assegnato un ruolo assegnandogli le impostazioni di sicurezza specifiche associate a tale ruolo. Un utente che dispone di un tipo di autorizzazione, ad esempio Gestione CA, potrà pertanto eseguire attività CA specifiche che non possono essere eseguite da un utente con un altro tipo di autorizzazione, ad esempio Rilascio e gestione certificati.

Nella tabella seguente vengono descritti i ruoli, gli utenti e i gruppi che possono essere utilizzati per implementare l'amministrazione basata sui ruoli. Per assegnare un ruolo a un utente o a un gruppo, è necessario assegnare all'utente o al gruppo le autorizzazioni di sicurezza, le appartenenze ai gruppi o i diritti utente corrispondenti del ruolo. Le autorizzazioni di sicurezza, le appartenenze ai gruppi e i diritti utente vengono utilizzati per stabilire quali utenti hanno determinati ruoli.

Ruoli e gruppi Autorizzazione di sicurezza Descrizione

Amministratore della CA

Gestione CA

Consente di configurare e gestire la CA. Questo è un ruolo CA e consente di assegnare tutti gli altri ruoli CA e di rinnovare il certificato CA. Queste autorizzazioni vengono assegnate tramite lo snap-in Autorità di certificazione.

Gestore di certificati

Rilascio e gestione certificati

Consente di approvare le richieste di registrazione e revoca dei certificati. Questo è un ruolo CA e a volte viene indicato come responsabile CA. Queste autorizzazioni vengono assegnate tramite lo snap-in Autorità di certificazione.

Backup Operators

Backup di file e directory

Ripristino di file e directory

Consentono di eseguire operazioni di backup e ripristino del sistema. Il backup è una funzionalità del sistema operativo.

Auditor

Gestione file registro di controllo e di sicurezza

Consente di configurare, visualizzare e gestire i registri di controllo. Il controllo è una funzionalità del sistema operativo e l'auditor è un ruolo del sistema operativo.

Iscritti

Lettura

Registrazione

Gli iscritti sono client autorizzati a richiedere certificati a una CA. Questo non è un ruolo CA.

Tutti i ruoli CA vengono assegnati e modificati dai membri del gruppo Administrators, Enterprise Admins o Domain Admins locale. Nelle CA dell'organizzazione (Enterprise) gli amministratori locali, gli amministratori dell'organizzazione e gli amministratori di dominio sono amministratori della CA per impostazione predefinita. In una CA autonoma (Standalone) invece solo gli amministratori locali sono amministratori della CA per impostazione predefinita. Se una CA autonoma (Standalone) è installata in un server che viene aggiunto a un dominio Active Directory, gli amministratori di dominio sono anche amministratori della CA.

I ruoli di amministratore della CA e di gestore di certificati possono essere assegnati agli utenti di Active Directory o agli utenti locali in Gestione account di sicurezza (SAM, Security Accounts Manager) nel computer locale, ovvero nel database degli account di sicurezza locale. È consigliabile assegnare i ruoli ad account di gruppo anziché a singoli account utente.

Solo l'amministratore della CA, il gestore di certificati, l'auditor e Backup Operators sono ruoli CA. Gli altri utenti descritti nella tabella sono importanti per l'amministrazione basata sui ruoli ed è necessario acquisire familiarità con essi prima di assegnare i ruoli CA.

Solo gli amministratori della CA e i gestori di certificati vengono assegnati tramite lo snap-in Autorità di certificazione. Per cambiare le autorizzazioni di un utente o di un gruppo, è necessario cambiare le autorizzazioni di sicurezza, l'appartenenza ai gruppi o i diritti utente dell'utente.

Per impostare le autorizzazioni di sicurezza degli amministratori della CA e dei gestori di certificati per una CA
  1. Aprire lo snap-in Autorità di certificazione.

  2. Nell'albero della console fare clic sul nome della CA.

  3. Scegliere Proprietà dal menu Azione.

  4. Fare clic sulla scheda Sicurezza e specificare le autorizzazioni di sicurezza.

Ruoli e attività

A ogni ruolo CA è associato un elenco specifico di attività di amministrazione delle CA. Nella tabella seguente vengono elencate tutte le attività di amministrazione delle CA insieme ai ruoli a cui sono associate.

Attività Amministratore della CA Gestore di certificati Auditor Operatore di backup Amministratore locale Note

Installare CA

 

 

 

 

X

 

Configurare moduli criteri e di uscita

X

 

 

 

 

 

Arrestare e avviare il servizio Servizi certificati Active Directory

X

 

 

 

 

 

Configurare estensioni

X

 

 

 

 

 

Configurare ruoli

X

 

 

 

 

 

Rinnovare chiavi CA

 

 

 

 

X

 

Definire agenti di recupero chiavi

X

 

 

 

 

 

Configurare limitazioni per i gestori di certificati

X

 

 

 

 

 

Eliminare una singola riga nel database CA

X

 

 

 

 

 

Eliminare più righe nel database CA (eliminazione di massa)

X

X

 

 

 

L'utente deve essere sia amministratore della CA che gestore di certificati. Questa attività non può essere eseguita se viene applicata la separazione dei ruoli.

Attivare la separazione dei ruoli

 

 

 

 

X

 

Rilasciare e approvare certificati

 

X

 

 

 

 

Negare certificati

 

X

 

 

 

 

Revocare certificati

 

X

 

 

 

 

Riattivare certificati in attesa

 

X

 

 

 

 

Rinnovare certificati

 

X

 

 

 

 

Attivare, pubblicare o configurare pianificazioni di elenchi di revoche di certificati (CRL, Certificate Revocation List)

X

 

 

 

 

 

Recuperare chiavi archiviate

 

X

 

 

 

Solo un gestore di certificati può recuperare dal database CA la struttura dati delle chiavi crittografata. È necessaria la chiave privata di un agente di recupero chiavi valido per decrittografare la struttura dati delle chiavi e generare un file PKCS #12.

Configurare parametri di controllo

 

 

X

 

 

Per impostazione predefinita, l'amministratore locale dispone del diritto utente system audit.

Controllare registri

 

 

X

 

 

Per impostazione predefinita, l'amministratore locale dispone del diritto utente system audit.

Eseguire il backup del sistema

 

 

 

X

 

Per impostazione predefinita, l'amministratore locale dispone del diritto utente system backup.

Ripristinare il sistema

 

 

 

X

 

Per impostazione predefinita, l'amministratore locale dispone del diritto utente system backup.

Leggere il database CA

X

X

X

X

 

Per impostazione predefinita, l'amministratore locale dispone dei diritti utente system audit e system backup.

Leggere le informazioni di configurazione delle CA

X

X

X

X

 

Per impostazione predefinita, l'amministratore locale dispone dei diritti utente system audit e system backup.

Ulteriori considerazioni

  • Gli iscritti sono autorizzati a leggere le proprietà delle CA e i CRL, nonché a richiedere certificati. In una CA dell'organizzazione (Enterprise) un utente deve disporre delle autorizzazioni di lettura e registrazione per il modello di certificato per poter richiedere un certificato. Gli amministratori delle CA, i gestori di certificati, gli auditor e i membri del gruppo Backup Operators dispongono implicitamente delle autorizzazioni di lettura.

  • Un auditor dispone del diritto utente system audit.

  • Un membro del gruppo Backup Operators dispone del diritto utente system backup. È inoltre autorizzato ad avviare e arrestare il servizio Servizi certificati Active Directory.

Assegnare ruoli

L'amministratore di una CA assegna gli utenti ai diversi ruoli dell'amministrazione basata sui ruoli applicando all'account dell'utente le impostazioni di sicurezza richieste da un ruolo. L'amministratore della CA può assegnare un utente a più ruoli, ma la CA risulterà più sicura se ogni utente verrà assegnato a un solo ruolo. Questa strategia di delega consente di limitare il numero delle attività CA che possono essere compromesse in caso di violazione dell'account di un utente.

Responsabilità degli amministratori

Come impostazione di installazione predefinita, per una CA autonoma i membri del gruppo Administrators locale sono amministratori della CA. Per una CA dell'organizzazione (Enterprise) invece sono amministratori della CA i membri dei gruppi Administrators, Enterprise Admins e Domain Admins locali. Per limitare il potere di questi account, rimuoverli dai ruoli di amministratore della CA e di gestore di certificati al momento dell'assegnazione di tutti i ruoli CA.

È consigliabile che gli account di gruppo a cui vengono assegnati ruoli di amministratore della CA o di gestore di certificati non siano membri del gruppo Administrators locale. È opportuno inoltre assegnare i ruoli CA solo ad account di gruppo piuttosto che a singoli account utente.

Nota

Per rinnovare un certificato CA, è necessaria l'appartenenza al gruppo Administrators locale della CA. I membri di tale gruppo possono avere autorità amministrativa su tutti gli altri ruoli CA.