Esporta (0) Stampa
Espandi tutto

Certificati e chiavi

Pubblicato: aprile 2011

Aggiornamento: maggio 2011

Si applica a: Windows Azure

In AppFabric Access Control Service (ACS) in Windows Azure è possibile utilizzare certificati X.509 per firmare, crittografare e decrittografare token SAML e chiavi simmetriche a 256 bit per la firma di token SWT. È possibile aggiungere e configurare i certificati e le chiavi per la firma, la crittografia e la decrittografia dei token utilizzando il servizio di gestione ACS o il portale di gestione ACS.

Firma dei token

ACS firma tutti i token di sicurezza che rilascia utilizzando un certificato X.509 (con una chiave privata) oppure una chiave simmetrica a 256 bit. La scelta del tipo di credenziale di firma (certificato o chiave) dipende dal formato scelto per i token rilasciati da ACS. Per ulteriori informazioni, vedere la sezione "Token signing" in Applicazioni relying party. Quando si sceglie il tipo di credenziale di firma da creare, tenere presente quanto segue:

  • I certificati X.509 sono adatti quando si crea un'applicazione che utilizza i token SAML rilasciati da ACS. I token SAML possono essere rilasciati su più protocolli, ad esempio WS-Federation e WS-Trust. SAML è il formato di token predefinito utilizzato dalle applicazioni basate su Windows Identity Foundation (WIF).

  • Le chiavi di firma simmetriche a 256 bit vengono utilizzate quando si crea un'applicazione che utilizza token SWT rilasciati da ACS. I token SWT possono essere rilasciati su più protocolli, ad esempio OAuth WRAP e WS-Federation, e vengono sempre firmati mediante una chiave simmetrica.

Certificati e chiavi dello spazio dei nomi del servizio o specifici dell'applicazione relying party

In ACS è possibile configurare un certificato di firma o una chiave simmetrica da utilizzare per l'intero spazio dei nomi del servizio o per un'applicazione relying party specifica. La differenza è la seguente:

  • Spazio dei nomi del servizio - Quando si configura un certificato o una chiave di firma per l'intero spazio dei nomi del servizio, ACS utilizza tale certificato o chiave per firmare i token recapitati a tutte le applicazioni relying party dello spazio dei nomi che non hanno un proprio certificato o una propria chiave esplicita configurata. Questo certificato di firma, ovvero il certificato dello spazio dei nomi del servizio, viene quindi utilizzato anche per firmare i metadati WS-Federation di ACS. Per impostazione predefinita, uno spazio dei nomi ACS è dotato di un certificato e di una chiave simmetrica predefiniti per la firma.

  • Applicazione relying party - Se si configura un certificato o una chiave di firma da utilizzare per un'applicazione relying party specifica, ACS utilizza tale certificato o chiave per firmare i token recapitati soltanto all'applicazione relying party in questione.

noteNota
Come procedura consigliata per la sicurezza, è opportuno che le chiavi simmetriche vengano create per la singola applicazione relying party e che non siano condivise da più parti all'interno di uno spazio dei nomi del servizio.

I certificati dello spazio dei nomi del servizio in genere vengono utilizzati per firmare i token SAML rilasciati a tutte le relying party di un determinato spazio dei nomi. Il componente chiave pubblica dei certificati di firma dello spazio dei nomi del servizio viene pubblicato nei metadati WS-Federation di ACS e questo consente alle applicazioni relying party di automatizzare la configurazione. I certificati assegnati a un'applicazione relying party specifica non sono presenti nei metadati WS-Federation di ACS e vengono utilizzati soltanto se è necessario un controllo indipendente sul certificato di firma dell'applicazione relying party. Nel caso delle chiavi simmetriche, il comportamento è ben diverso, in quanto l'utilizzo di chiavi di firma specifiche dell'applicazione relying party costituisce la procedura consigliata.

Certificati e chiavi primari e secondari per la firma dei token

In ACS è possibile configurare i certificati e le chiavi di firma come primari. Se si designa un certificato o una chiave come primaria, ACS inizia immediatamente a firmare i token utilizzando tale certificato o chiave. A seguito di tale designazione, qualsiasi certificato o chiave di firma primaria già esistente diventa secondaria per l'applicazione relying party selezionata (o per lo spazio dei nomi del servizio). Un certificato o una chiave secondaria non viene utilizzata per la firma finché non viene impostata come primaria dall'amministratore. Il componente chiave pubblica dei certificati sia primari che secondari viene pubblicato nei metadati WS-Federation di ACS per consentire il rollover dei certificati stessi a livello di codice. Per firmare i token rilasciati da ACS vengono tuttavia utilizzati solo i certificati e le chiavi primari.

Date di validità e di scadenza delle chiavi di firma simmetriche

Quando si aggiungono chiavi di firma simmetriche a 256 bit, è inoltre necessario specificare una data di validità e una data di scadenza. La prima indica quando la chiave diventa valida, mentre la seconda indica quando la chiave scade e non viene più utilizzata per firmare i token.

Crittografia dei token

In ACS è possibile scegliere di crittografare qualsiasi token SAML 1.1 o SAML 2.0 rilasciato e inviato da ACS alle applicazioni relying party.

ImportantImportante
ACS non supporta la crittografia dei token SWT.

La crittografia dei token è necessaria se un'applicazione relying party è un servizio Web che utilizza token proof-of-possession sul protocollo WS-Trust. Se si utilizza ACS per negoziare l'autenticazione per una di queste applicazioni, tutti i token rilasciati da ACS per l'applicazione devono essere crittografati. In tutti gli altri scenari la crittografia dei token è facoltativa.

ACS crittografa i token SAML utilizzando un certificato X.509 contenente una chiave pubblica (file CER). Il token viene quindi ricevuto e decrittografato da un'applicazione relying party utilizzando una chiave privata per tale certificato X.509. Per ulteriori informazioni, vedere la sezione "Token encryption" in Applicazioni relying party.

Decrittografia dei token

ACS può accettare token crittografati da provider di identità WS-Federation, ad esempio AD FS 2.0. In questo scenario viene utilizzato un certificato X.509 ospitato in ACS. Il provider di identità WS-Federation riceve la chiave pubblica di tale certificato X.509 quando importa i metadati WS-Federation da ACS e utilizza questa chiave pubblica per crittografare il token di sicurezza inoltrato a ACS. Quest'ultimo quindi decrittografa il token utilizzando la chiave privata del certificato X.509. Per ulteriori informazioni, vedere Procedura: configurare ADFS 2.0 come provider di identità.

Certificati primari e secondari per la decrittografia dei token

In ACS è possibile impostare qualsiasi certificato di decrittografia dei token come primario per lo spazio dei nomi del servizio ACS in questione. Se un token in ingresso non può essere decrittografato utilizzando il certificato primario, viene eseguito un tentativo con qualsiasi certificato di decrittografia dei token non primario configurato. Designando un certificato di decrittografia dei token come primario, qualsiasi certificato di decrittografia primario già esistente diventa secondario.

Acquisizione di un certificato X.509

Per ottenere un certificato X.509 per la firma, la crittografia o la decrittografia dei token, è possibile procedere in diversi modi. Il metodo da utilizzare dipende dai propri requisiti e dagli strumenti disponibili nella propria organizzazione.

Autorità di certificazione locale - Se la propria organizzazione ha distribuito un'autorità di certificazione (CA) come Servizi certificati Active Directory, è possibile richiedere un certificato X.509. Per le istruzioni o le autorizzazioni, potrebbe essere necessario contattare l'amministratore dell'autorità di certificazione. Per ulteriori informazioni su Servizi certificati Active Directory, vedere Servizi certificati Active Directory (http://go.microsoft.com/fwlink/?LinkID=214102).

Autorità di certificazione commerciale - È possibile acquistare un certificato X.509 da un'autorità di certificazione commerciale.

Generazione di un certificato autofirmato - È possibile generare tramite software il proprio certificato autofirmato da utilizzare con ACS. Questo approccio è consigliato soltanto a scopo di testing, ma può essere adottato se non si dispone dell'accesso a un'autorità di certificazione locale o non si desidera pagare un'autorità di certificazione commerciale. Se si esegue un sistema operativo Windows, è possibile scaricare MakeCert.exe come parte di Microsoft Windows Software Development Kit (http://go.microsoft.com/fwlink/?LinkID=214104) e utilizzarlo per generare un certificato.

Per generare un certificato autofirmato nel proprio archivio certificati personale, è possibile eseguire il comando riportato di seguito.

MakeCert.exe -r -pe -n "CN=<service_namespace_name>.accesscontrol.windows.net" -sky exchange -ss my

dove <service_namespace_name> è il nome dello spazio dei nomi del servizio ACS.

È quindi possibile esportare la chiave privata dall'archivio personale come file PFX e caricarla in ACS mediante il portale di gestione.

Esportazione del certificato autofirmato da un computer in cui è in esecuzione Windows 7 o Windows Vista

Per esportare il certificato autofirmato da un computer in cui è in esecuzione Windows 7 o Windows Vista

  1. In qualità di amministratori, fare clic sul pulsante Start, nella casella di ricerca digitare quanto segue, quindi premere INVIO:
    mmc

  2. Nella Console MMC scegliere Aggiungi/Rimuovi snap-in dal menu File.

  3. Selezionare Certificati, quindi fare clic su Aggiungi.

  4. Selezionare Account dell'utente, quindi fare clic su Fine.

  5. Per chiudere la finestra di dialogo Aggiungi snap-in autonomo, fare clic su OK.

  6. Nella console fare doppio clic su Certificati - Utente corrente.

  7. Nella console espandere Personale, quindi Certificati.

  8. Fare clic con il pulsante destro del mouse sul certificato creato in precedenza. Scegliere Tutte le attività, quindi Esporta per avviare l'Esportazione guidata certificati.

  9. Nella pagina iniziale dell'Esportazione guidata certificati fare clic su Avanti.

  10. Nella pagina Esportazione della chiave privata con il certificato selezionare , esportare la chiave privata, quindi fare clic su Avanti.

  11. Nella pagina Formato file di esportazione verificare che sia selezionata l'opzione Scambio di informazioni personali - PKCS #12 (*.PFX).

  12. Nei campi Password immettere (due volte) una password, quindi fare clic su Avanti.

  13. Nel campo Nome file immettere il nome del file che si desidera esportare, quindi fare clic su Avanti.

  14. Fare clic su Fine.

Vedere anche

Mostra:
© 2014 Microsoft