Autenticação com certificados no Extra!

Nas sessões do Extra! que usam protocolos SSL/TLS ou SSH, a autenticação de cliente pode ser manipulada por certificados digitais Uma parte integrante de um PKI (Infraestrutura de chave pública). Os certificados digitais (também chamados certificados X.509) são emitidos por uma autoridade de certificação (CA) que garante a validade das informações no certificado. Cada certificado contém informações que identificam o proprietário do certificado, uma cópia da chave pública do proprietário (usada para criptografar e descriptografar mensagens e assinaturas digitais) e uma assinatura digital (gerada pela CA com base no conteúdo do certificado). A assinatura digital é usada por um destinatário para verificar se o certificado não foi falsificado e se pode ser confiável. . Os certificados resolvem alguns dos problemas apresentados pela autenticação da chave pública, como exigir que o cliente faça upload de uma cópia da chave pública em cada servidor.

O seu computador deve ser configurado para reconhecer o certificado de servidor apresentado pelo seu host e, se necessário, fornecer um certificado de cliente para a autenticação de cliente. Se o computador não for configurado corretamente, ou se os certificados apresentados para a autenticação não forem válidos, você não poderá se conectar.

Certificados autoassinados versus assinados por uma Autoridade de certificação (CA)

O Extra! aceita certificados autoassinados ou assinados por uma Autoridade de certificados (CA). Os certificados assinados pela CA incluem um conjunto de flags de extensão que os identifica como tais. Para os certificados de servidor assinados pela Autoridade de certificação, o campo Requerente identifica o servidor ou usuário pelo nome e o campo Emissor identifica a CA que assinou o certificado. Os certificados que são usados para autenticar o certificado do servidor da CA devem ser instalados no armazém Autoridades de certificado de raiz confiáveis.

Para certificados autoassinados, o campo Emissor deve corresponder exatamente ao campo Requerente. (Neste caso, o Requerente é um host em vez de uma Autoridade de certificação.) Se o usuário aceitar a validade do certificado autoassinado, ele é instalado manualmente no armazenamento de Autoridades de certificação da raiz confiável, ou através de uma política de grupo ou login script do Windows.

O processo de autenticação

A Autenticação pode envolver um ou mais processos, dependendo do tipo de certificado que você usa e das configurações de segurança selecionadas no Extra!. No entanto, em todos os casos, o Extra! verifica o certificado para determinar se a data e a assinatura digital são válidas, se as extensões críticas (como o uso da chave estendida) estão corretas o uso da chave permite usar o certificado para a autenticação.

A autenticação também pode incluir o seguinte:

  • Se a identidade do servidor precisar ser verificada, o cliente compara o nome de host na sessão com o nome comum no certificado.

  • Se você usa certificados assinados pela CA, o Extra! verifica todas as autoridades de certificação incluídas no certificado: qualquer CA intermediária na cadeia de certificação; e por fim, a Autoridade de certificação confiável (ou a CA da raiz). Isso é chamado de validação de caminho.

  • Se a verificação da revogação estiver habilitada, o cliente garantirá que o certificado não seja revogado. Consulte Configurar verificação da revogação de certificado.

  • Se a autenticação do lado do servidor foi configurada, o servidor exige que o usuário (cliente) apresente um certificado para a autenticação. Os certificados usados para a identidade do cliente são colocados no armazenamento de certificado Pessoal do usuário. Para conexões SSH, os certificados também podem ser armazenados no Reflection Certificate Manager.