| piergiorgio.malusardi@microsoft.com |

Microsoft Certificate Lifecycle Manager

| piergiorgio.malusardi@microsoft.com |

Agenda

Introduzione al CLM

Architettura del CLM

CLM e Active Directory

| piergiorgio.malusardi@microsoft.com |

Sistema di Sistema di

gestione 1gestione 1

Sistema di Sistema di

gestione 2gestione 2

Gestione delle credenziali Soluzioni attuali

Per indirizzare le necessità si devono installare diversi sistemi di gestione

I costi e la complessità aumentano al crescere del numero di tecnologie di autenticazioneusate

CertificatiCertificati

digitalidigitaliOTPOTPDevice Device

mobilimobiliCard RFIDCard RFIDBiometriaBiometriaSmart CardSmart Card Token USB Token USB

Sistema di Sistema di

gestione 3gestione 3

| piergiorgio.malusardi@microsoft.com |

Certificate Lifecycle Manager

Microsoft® Certificate Lifecycle Manager (CLM) è una soluzione di gestione

delle identità digitaliche aiuta i clienti Microsoft

nella distribuzione, gestione e mantenimentodei certificati digitali e delle smart card

per aumentare la sicurezza degli ambienti IT

| piergiorgio.malusardi@microsoft.com |

Certificate Lifecycle ManagerOverview delle funzioni

Punto singolo di amministrazione per certificati digitali e smart cards

Workflow configurabile e basato su policy per attività comuni

Rilascio/rinnovo/aggiornamento

Recupero/sostituzione di card

Revoca

Ritiro/disabilitazione di smart card

Rilasci temporanei/duplicati di smart card

Personalizzazione di smart card

Funzioni di reporting e auditing dettagliate

Supporto per scenari di rilascio centralizzato e self-service

Integrato con le infrastrutture esistenti

Windows Active Directory

Windows Certificate Services

| piergiorgio.malusardi@microsoft.com |

MicrosoftCertificateLifecycle Manager

CA Microsoft

Utente finale

CLM Policy Module

CLM Exit Module

Internet Explorer

CLM Browser Control

CLM AD Integration

CLM Web App

Internet Information Server

Architettura fisica Architettura dei componenti

SQLAD

Posta

Certificate Lifecycle Manager *Overview dell’architettura

Microsoft Certificate Authority

Smart Card Middleware

| piergiorgio.malusardi@microsoft.com |

Certificate Lifecycle ManagerComponenti della soluzione

Windows Active Directory

Windows Certificate Services

Hardware Security Module (HSM)

Servizi di posta/SMTP

| piergiorgio.malusardi@microsoft.com |

Componenti della soluzioneWindows Certificate Services

Necessaria la CA di Windows Server 2003 Enterprise Edition

Key Recovery

Rilascio di certificati basati su template v2

Comunicano con la Certificate Authority

CLM Policy Module

CLM Exit Module

RPC per la gestione degli accessi dei CA Manager

| piergiorgio.malusardi@microsoft.com |

Componenti della soluzioneWindows Active Directory

CLM utilizza una infrastruttura AD esistente

Salva i template dei profili CLM

Deve fornire ai Certificate Subscribers e ai Certificate Managers i corretti diritti di accesso

Autenticazione

Usa i permessi degli utenti/gruppi di AD per assegnare i diritti agli utenti

È configurabile l’uso dell’autenticazione integrata

Autorizzazione

Consente a CLM di stabilire cosa un utente può fare e cosa non può fare in una sessione

Tutti i permessi CLM basati su ACL sono assegnati con i tool standard di active directory

| piergiorgio.malusardi@microsoft.com |

Componenti della soluzione *Diritti estesi di ADGruppi di sicurezza di Active Directory possono essere

creati per consentire agli utenti l’accesso ai componenti self-service

Sono disponibili i seguenti permessi e possono essere esplicitamente concessi o negati

CLM Audit

CLM Enroll

CLM Enrollment Agent

CLM Recover

CLM Renew

CLM Revoke

CLM Unblock

| piergiorgio.malusardi@microsoft.com |

Componenti della soluzioneTemplate dei certificati

La CA di Windows Server 2003 EE implementa i template dei certificati per definire il contenuto dei certificati che saranno rilasciati

Ai template dei certificati devono essere associati i corretti permessi per consentire ai manager dei certificati di gestirli e agli utenti di richiederli

| piergiorgio.malusardi@microsoft.com |

Componenti della soluzioneMicrosoft SQL Sever

Database Repository

È necessario Microsoft SQL Server 2000 SP3+ o successivo

Usato per i dati di reporting e specifici dell’applicazione

Nessuna informazione sugli utenti e sui ruoli è scritta nel database

Autenticazione

Mixed Mode

Installazione supportate

Server stand-alone

Server coesistente con CLM

Uso di un’installazione esistente di SQL Server

| piergiorgio.malusardi@microsoft.com |

Componenti della soluzioneServizi di posta/SMTP

Per la consegna delle notifiche e delle one time password

Specifica IP address o host-name del server di posta in grado di ritrasmettere i messaggi SMTP

CLM usa un relay anonimo per spedire tutti i messaggi in uscita

| piergiorgio.malusardi@microsoft.com |

Certificate Lifecycle Manager *Componenti lato server

Certificate Lifecycle Manager

Funzioni di amministrazioni supportate da un’applicazione .NET

Fornisce l’accesso ai portali per i Subscriber e per i Manager

Si appoggia alle ACL di Active Directory (AD) per la definizione dei permessi e dei workflow

Add-on per Windows Server 2003 Certificate Services

Estende le funzionalità del policy module di default con funzioni avanzate di richiesta dei certificati

Sostituisce gli exit module di defaul per consentire la centralizzazione degli audit attraverso la foresta

| piergiorgio.malusardi@microsoft.com |

Certificate Lifecycle Manager *Template dei profili Definiscono le policy per ogni

task che può essere eseguito

Dati aggiuntivi per la gestione delle smart card

Può includere template rilasciati da più di una CA

I template dei profili includono uno o più certificati gestiti come entità singole

L’aggiornamento delle policy è eseguito per utente in base ai gruppi definiti in Active Directory (AD)

Contiene le informazioni necessarie per forzare le policy per più certificati, utenti e gruppi

Conservati in AD e disponibili in tutta la foresta

Template dei certificati

Policy di gestione

Template dei profili

EnrollmentWorkflow

Self-Service Collezione

di dati

RecoveryWork flow

Self-Service Collezione

di dati

Ecc…Work flow

Self-Service Collezione

di dati

Informazioni sulle smart card (se necessarie)

| piergiorgio.malusardi@microsoft.com |

Componenti della soluzione *CLM Policy Module

Comunica con il server CLM

Controlla il comportamento della CA in relazione al Server CLM

Il CLM Policy Module ha un’architettura ‘pluggable’ che consente l’aggiunta di nuovi moduli per l’estensione delle funzionalità

CLM viene fornito con 4 plugin per il Policy Module

| piergiorgio.malusardi@microsoft.com |

Componenti della soluzioneCLM Exit Module

Registra tutta l’attività della CA in SQL

Fornisce un servizio di logging e auditing centralizzato e robusto

| piergiorgio.malusardi@microsoft.com |

Certificate Lifecycle ManagerComponenti lato client

Certificate Lifecycle Manager Client

Controllo self service delle Smart Card

Controllo per la personalizzazione delle Smart Card

Controllo per l’aggiornamento dei profili dei certificati

Smart Card Personalization Control

Integra CLM con il middleware della smart card

Tutte le comunicazioni sono su SSL

Consente modalità avanzate di archiviazione dei dei certificati

Gestione dei PIN delle smart card

Gestione delle applet Java

Tool per il rilascio massivo di smart card

Tool per scenari di rilascio centralizzato in larga scala di smart card

© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.