3.7.7 Configurazione dell'autenticazione X.509

L'autenticazione client X.509 consente ai client di autenticarsi con i server utilizzando certificati anziché nome utente e password, sfruttando lo standard dell'infrastruttura a chiave pubblica (PKI) X.509.

Quando si abilita l'autenticazione client X.509:

  • Quando l'utente accede al client Web mediante TLS, il browser invia un certificato al server di sessione identificando l'utente finale e completando l'handshake TLS.

  • Il server di sessione fa riferimento al proprio archivio attendibilità per verificare il certificato del client e la relativa attendibilità.

  • Quando la negoziazione TLS è stata completata, ossia l'utente finale è considerato attendibile dal server di sessione, questo invia il certificato pubblico dell'utente finale a MSS per ulteriore convalida.

  • Anche MSS conferma l'attendibilità del certificato dell'utente finale confrontandolo con il proprio archivio attendibilità.

  • Quando MSS termina la convalida, l'utente finale sarà stato autenticato correttamente.

La catena completa dei certificati del client deve essere presente negli archivi attendibilità del server di sessione e di MSS oppure deve essere firmata da un'autorità di certificazione presente in tali archivi.

Il browser determina il modo in cui inviare il certificato del client in base alla configurazione specifica del browser o della smart card.

Passaggi di base:

  1. Confermare l'attendibilità dei certificati nel server di sessione e in MSS se questa operazione non è stata ancora eseguita.

  2. Riavviare i server.

  3. Configurare X.509 in MSS Administrative Console.

Passaggio 1. Confermare l'attendibilità del certificato in MSS e nel server di sessione

  • Confermare l'attendibilità del certificato in MSS

    È possibile che l'archivio attendibilità di MSS contenga già il certificato dell'autorità di firma. Questo accade spesso con autorità di firma del certificato note e, in questo caso, ignorare questo passaggio.

    Per verificare:

    Aprire Administrative Console, fare clic su Configure Settings (Configura impostazioni) e aprire la scheda Trusted Certificates (Certificati attendibili). Aprire Trusted Root Certificate Authorities (Autorità di certificazione fonti attendibili) per visualizzare un elenco dei certificati disponibili.

    Se il certificato non è presente nell'elenco, è necessario installare l'autorità di certificazione principale di firma in MSS, seguendo le istruzioni e la documentazione seguenti in Administrative Console.

  • Confermare l'attendibilità del certificato nel server di sessione

    Per installare il certificato nel server di sessione:

    In <directory di installazione>\sessionserver\etc importare il certificato: keytool -importcert -file <file certificato> -alias <alias con cui memorizzare il certificato> -keystore trustcerts.bcfks -storetype bcfks -providername BCFIPS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath ../lib/bc-fips-*.jar -storepass changeit

Passaggio 2. Riavviare tutti i server

Per rendere effettiva la configurazione, è necessario riavviare tutti i server.

Passaggio 3. Configurazione di X.509 con failover LDAP in MSS Administrative Console

Una volta importati i certificati, è possibile abilitare X.509 con l'opzione Fallback to LDAP authentication (Fallback all'autenticazione LDAP) in Management and Security Server Administrative Console | Configure Settings (Configura impostazioni) | Authentication & Authorization (Autenticazione e autorizzazione). Per le descrizioni delle opzioni di configurazione vedere la Guida in linea di Administrative Console.