Concetti fondamentali dell'infrastruttura a chiave pubblica di Microsoft Cloud

Microsoft Cloud PKI è una funzionalità Intune Suite che consente ai professionisti IT di gestire l'infrastruttura a chiave pubblica (PKI) nel cloud. È possibile creare, configurare e gestire le autorità di certificazione (CA) e i certificati senza dover installare e gestire l'infrastruttura locale. Il servizio PKI di Microsoft Cloud si integra con Microsoft Entra ID e Microsoft Intune per fornire gestione delle identità e dei dispositivi per i dispositivi e le app basati sul cloud.

Questo articolo descrive i concetti e i concetti fondamentali dell'infrastruttura a chiave pubblica che è necessario conoscere quando si configura l'infrastruttura a chiave pubblica di Microsoft Cloud. È consigliabile esaminare tutte le informazioni prima di configurare il servizio PKI di Microsoft Cloud nel tenant Intune.

Tipi di autorità di certificazione

Un'autorità di certificazione esegue le attività seguenti:

  • Verifica l'identità di un richiedente di certificati
  • Rilascia certificati ai richiedenti
  • Gestisce la revoca del certificato

Microsoft Cloud PKI supporta questi tipi di autorità di certificazione:

  • CA radice
  • Autorità di certificazione emittente

Autorità di certificazione radice

Un'autorità di certificazione radice (CA) è la CA più in alto in una gerarchia di ca. In un'infrastruttura a chiave pubblica, la CA radice funge da punto di attendibilità per i certificati rilasciati dalle CA nella gerarchia. Il certificato viene considerato attendibile se può essere tracciato attraverso la gerarchia ca a una CA radice considerata attendibile da un utente, un computer, un dispositivo di rete o un servizio.

Una CA radice è univoca in quanto il certificato è auto-rilasciato, ovvero il nome dell'autorità di certificazione e il nome del soggetto del certificato contengono lo stesso nome distinto. L'unico modo per verificare se un certificato radice è valido o meno consiste nell'includere il certificato CA radice in un archivio radice attendibile. L'archivio radice attendibile contiene il certificato CA radice effettivo per designare che il certificato è attendibile.

La CA radice può rilasciare certificati ad altre CA o a utenti, computer, dispositivi di rete o servizi in rete. Quando la CA radice rilascia un certificato a un'altra entità, il certificato ca radice firma il certificato con la relativa chiave privata. La firma protegge dalla modifica del contenuto e indica che la CA radice ha emesso il certificato.

Importante

Microsoft Cloud PKI rilascia solo i certificati ai dispositivi di rete registrati con MDM.

Autorità di certificazione emittente

Nota

I termini intermedio, emittente e subordinato sono tutte etichette intercambiabili usate per fare riferimento allo stesso ruolo all'interno di una struttura ca. Microsoft Cloud PKI usa il termine emissione per descrivere questo tipo di CA.

Una CA emittente è una CA subordinata a un'altra AUTORITÀ di certificazione e può:

  • Rilasciare certificati ad altre autorità di certificazione nella gerarchia ca.
  • Rilasciare certificati foglia a un'entità finale, ad esempio un server, un servizio, un client o un dispositivo.

L'autorità di certificazione emittente può esistere a qualsiasi livello della gerarchia ca, tranne che a livello di CA radice.

Concatenamento

Il concatenamento è il processo di elaborazione del percorso di attendibilità migliore per qualsiasi certificato che deve essere verificato e attendibile. Ogni sistema operativo o servizio esegue questo processo di calcolo generalmente definito motore di catena di certificati.

Il processo di creazione della catena è costituito da:

  • Individuazione del certificato: ricerca del certificato ca emittente di un certificato foglia dell'entità finale fino al certificato CA radice attendibile.
  • Convalida del certificato: crea tutte le possibili catene di certificati. Convalida ogni certificato nella catena rispetto a vari parametri, ad esempio nome, ora, firma, revoca e potenzialmente altri vincoli definiti.
  • Restituisce la catena di qualità migliore.

Quando viene presentato un certificato per la verifica, un motore della catena di certificati esamina l'archivio di certificazione e seleziona i candidati del certificato intermedio e radice. Potrebbe essere necessario più di un certificato intermedio per formare una catena completa.

Il motore della catena di certificati tenta di selezionare i certificati usando l'identificatore della chiave del soggetto (SKI) e l'identificatore di chiave dell'autorità (AKI). Un certificato di entità finale emesso da una CA Microsoft contiene l'AKI, quindi il motore della catena di certificati deve selezionare un certificato intermedio con uno SKI corrispondente. Il processo si ripete fino a quando non viene enumerato un certificato autofirmato.

Processo di convalida della catena

Nota

Il supporto per i metodi di convalida della catena di certificati varia in base alla piattaforma del sistema operativo. Questa sezione descrive i metodi supportati nei dispositivi che eseguono Windows.

In Windows sono disponibili tre processi di convalida della catena: corrispondenza esatta, corrispondenza chiave e corrispondenza dei nomi.

  • Corrispondenza esatta: se l'estensione AKI contiene l'oggetto, il numero di serie dell'emittente e l'ID chiave dell'autorità di certificazione, nel processo di compilazione della catena vengono scelti solo i certificati padre che corrispondono al soggetto, al numero di serie e all'ID chiave.

  • Corrispondenza chiave: se l'estensione AKI contiene solo l'ID chiave, solo i certificati che contengono un KEYID corrispondente nell'estensione SKI (Subject Key Identifier) vengono scelti come autorità di certificazione valide.

  • Corrispondenza dei nomi: la corrispondenza dei nomi si verifica quando non sono presenti informazioni nell'AKI o se l'estensione AKI non è presente nel certificato. In questo caso, il nome del soggetto del certificato dell'autorità di certificazione deve corrispondere all'attributo dell'autorità di certificazione del certificato corrente.

Per i certificati che non contengono campi SKI e AKI, il motore di concatenamento tenta di usare la corrispondenza dei nomi per compilare una catena. Quando si hanno due certificati con lo stesso nome, viene selezionato quello più nuovo.

L'individuazione del certificato viene avviata quando l'elemento padre immediato non è locale nel computer. Il client usa questo processo per recuperare i certificati padre mancanti. Gli URL visualizzati nel campo di accesso alle informazioni dell'autorità del certificato vengono analizzati e usati per recuperare i certificati CA padre. Il processo è simile al download CRL.

Dopo la compilazione della catena, vengono eseguiti i controlli seguenti su ogni certificato della catena:

  • Verificare che sia formattato e firmato correttamente. Eseguire un controllo hash del certificato.
  • Controllare i campi da e a nel certificato per assicurarsi che non sia scaduto.
  • Controllare se il certificato viene revocato.
  • Verificare che la catena termini in un certificato presente nell'archivio radice attendibile.

Il certificato e la relativa catena vengono considerati validi dopo il completamento di tutti i controlli e vengono restituiti correttamente.

Una catena di certificati con un elenco ordinato di certificati consente alla relying party di verificare che un mittente sia attendibile. Funziona in entrambi i modi, da client a server e da server a client.

Il diagramma seguente illustra il flusso di convalida della catena di corrispondenza dei nomi .

Diagramma del processo di convalida della catena usando il metodo di corrispondenza del nome.

Garantire una catena di attendibilità

Quando si usano certificati per eseguire l'autenticazione basata su certificati, è necessario assicurarsi che entrambe le relying party abbiano la catena di attendibilità del certificato CA (chiavi pubbliche). In questo caso, le relying party sono il dispositivo Intune gestito e il punto di accesso di autenticazione, ad esempio Wi-Fi, VPN o servizio Web.

La CA radice deve essere presente. Se il certificato ca emittente non è presente, può essere richiesto dalla relying party usando il motore della catena di certificati nativo per la piattaforma del sistema operativo prevista. La relying party può richiedere il certificato ca emittente usando la proprietà di accesso alle informazioni dell'autorità del certificato foglia.

Diagramma della catena del processo di convalida.

Autenticazione basata sui certificati

Questa sezione fornisce informazioni di base sui vari certificati usati quando un client o un dispositivo esegue l'autenticazione basata su certificati.

I passaggi seguenti descrivono l'handshake che si verifica tra un client e un servizio relying party durante l'autenticazione basata su certificati.

  1. Il client invia una forma di pacchetto hello alla relying party.
  2. La relying party risponde, indicando che vuole comunicare tramite TLS/SSL sicuro. Il client e la relying party eseguono l'handshake SSL e viene stabilito un canale sicuro.
  3. La relying party richiede l'uso di un certificato per l'autenticazione client.
  4. Il client presenta il certificato di autenticazione client alla relying party per l'autenticazione.

Diagramma di un handshake tra un client e un servizio relying party.

In un ambiente senza PKI di Microsoft Cloud, una CA privata è responsabile del rilascio del certificato TLS/SSL usato dalla relying party e del certificato di autenticazione client del dispositivo. L'infrastruttura a chiave pubblica di Microsoft Cloud può essere usata per rilasciare il certificato di autenticazione client del dispositivo, sostituendo in modo efficace la CA privata per questa attività specifica.

  • Last updated on