Panoramica sulla creazione di certificati digitali

Se si desidera utilizzare certificati digitali per eseguire test in applicazioni che richiedono certificati digitali lato client per autenticare utenti, utilizzare amministratori server appropriati per determinare i tipi di certificati che occorre creare.

Nella crittografia, un certificato della chiave pubblica è un documento che utilizza una firma digitale per eseguire il bind di una chiave pubblica con un'identità fisica. Di solito, questi certificati sono definiti anche certificati digitali o certificati digitali del client. Lo standard più comune per i certificati digitali è lo standard X.509.

Nella crittografia della chiave pubblica, ciascun certificato presenta due chiavi associate: una chiave pubblica ed una privata. La chiave pubblica è integrata nel certificato X.509 ed è sempre disponibile con il certificato stesso. La chiave privata resta sempre privata (ossia, non viene mai trasmessa). Per una semplicità di portabilità, è possibile includere le due chiavi (e il certificato) in un formato, codificato e protetto da passphrase, noto come PKCS#12.

Per verificare l'autenticità di un certificato, viene firmato in maniera digitale da un altro certificato, noto come autorità di certificazione (CA). Questo certificato CA potrebbe essere creato (e conservato in luogo sicuro) da una società che ospita un'applicazione sicura o potrebbe essere creato da una società come Verisign.

Quando un'applicazione Web richiede certificati digitali, di solito, un amministratore crea certificati digitali per ciascun utente autorizzato. L'amministratore firma in maniera digitale ciascun certificato utilizzando il certificato CA del sistema. Questi certificati, con le chiavi private e pubbliche, vengono distribuiti agli utenti. Di solito, queste chiavi saranno distribuite nel formato PKCS#12. Quindi gli utenti importano questi certificati nei browser Web. Quando il browser viene messo in discussione dal server, produrrà il certificato.

Durante l'importazione di certificati per le applicazioni Web, selezionare la casella di spunta che indica la possibilità di esportare le chiavi. Con questa indicazione, è possibile esportare il certificato in un file formattato PKCS#12 per un utilizzo futuro da altri programmi.

Non utilizzare i certificati assegnati agli utenti correnti per l'esecuzione di test delle prestazioni. Utilizzare i certificati del test che non corrispondono agli utenti correnti.

Esistono quattro tipi di certificati che possono essere utilizzati durante l'esecuzione di test:

Certificati autofirmati sono utilizzati quando nessuna entità deve attestare l'autenticità del certificato. Questi sono i certificati più semplici da creare e da utilizzare. Di solito, tuttavia, un certificato firmato viene utilizzato per rappresentare un utente particolare.

Certificati firmati vengono utilizzati quando un certificato deve essere creato e inoltrato a un unico utente. I certificati firmati sono firmati da un'autorità di certificazione.

Certificati CA sono certificati autofirmati utilizzati per firmare certificati (certificare).

Certificati non firmati sono certificati che non sono né firmati da un'autorità di certificazione né autofirmati. La maggior parte delle applicazioni Web non utilizza certificati non firmati.

Quando si crea un certificato autofirmato o firmato (compresi i certificati CA) è possibile specificare un soggetto. Il soggetto di un certificato è il set di attributi di un nome DN (Distinguished Name) X.500 che è codificato nel certificato. Il soggetto consente al destinatario di un certificato per visualizzare informazioni sul proprietà del certificato. Il soggetto descrive il proprietario del certificato, ma non è necessariamente univoco. Si considerino i soggetti come voci di una rubrica telefonica; possono esserci più voci per Patel Agrawal, ma ciascuna voce si riferisce a una persona diversa.

Il soggetto può contenere molti tipi diversi di identificazione dei dati. Di solito, il soggetto include le seguenti informazioni:

Attributo Esempio
NOME COMUNE (CN) CN=Patel Agrawal
ORGANIZZAZIONE (O) O=IBM Corporation
UNITÀ ORGANIZZATIVA (OU) OU=IBM Software Group
PAESE (C) C=IN
LOCALITÀ (L) L=Bangalore
STATO o PROVINCIA (ST) ST=Kanataka
INDIRIZZO E-MAIL (emailAddress) emailAddress=agrawal@abc.ibm.com

Queste informazioni possono essere digitate come stringa unica, utilizzando barre per separare i dati.

Ad esempio, il soggetto sopra riportato viene specificato nel modo seguente:

/CN=Patel Agrawal/O=IBM Corporation/OU=IBM Software Group/C=IN/L=Bangalore/ST=Karnataka/emailAddress=agrawal@abc.ibm.com

Per ulteriori informazioni sull'utilizzo del programma della riga comandi per creare certificati, consultare Creazione di un archivio di certificati digitali.


Feedback