Strumenti Utente

Strumenti Sito


infrastructure:certification_authority

Certification Authority

Il Lilik vorrebbe avere una Certification Authority, un oracolo di cui terzi possono fidarsi per ricevere materiale in modo sicuro, verificandone la genuinità.

La sicurezza è per l'utente che, una volta accettata la CA, è sicuro che le chiavi firmate da quella CA sono genuine ed oneste.

I nostri usi per la CA sono:

  • Firmare le chiavi SSH, attribuendo il possesso alla persona che richiede la firma
  • Firmare i certificati SSL per web, mail, im, …
  • Firmare le chiavi SSH per l'autenticazione lato client e lato server

Firmare la chiave SSH pubblica del server

Un server presenta la sua chiave pubblica quando si instaura una connessione ssh, se non viene riconosciuta dal client viene chiesto all'utente se continuare.

Usare una chiave ssh pubblica firmata permette di accettare subito su tutti i client che hanno accettato la Certification Authority

Firmare la chiave SSH pubblica del client

Il client si autentica tramite chiave pubblica.

Possiamo aggiungere dei dati alla chiave quando la firmiamo, ad esempio “Questa chiave è di 'Duplicatore termoionico'”.

Un nuovo utente che non ha una chiave firmata può accedere soltanto con la password di root e non viene distinto dagli altri utenti che si loggano come root.

Avere una chiave pubblica privata firmata permette di registrare nei log chi fa il login come root grazie a queste informazioni in più di cui il server può fidarsi.

Questo naturalmente avviene se il server ha accettato la CA.

Nell'utopia che vorremmo ottenere tutti i server accettano la CA e quindi firmare una volta una chiave pubblica ad un utente gli permette l'accesso a tutti i server.

infrastructure/certification_authority.txt · Ultima modifica: 2016/05/14 16:51 da edoput