1  

Autenticação de Cliente e Certificados Digitais

Utilizando o Portal de Auto Registro Corporativo (AEG)

2  

Conteúdo

Introdução ‐ Características do Portal de Auto Registro Corpora (AEG)  ................................................. 3

O que é a Autenticação de Cliente? .....…………………....................…………………………………………………. 5

Os Benefícios da Autenticação de Cliente...............................................................................................5

Suporte para Autenticação de Cliente......................................................................................................6

Certificados Digitais para Autenticação de Cliente.................................................................................6

Certificados Digitais S/MIME....................................................................................................................7

AEG - Como Funciona................................................................................................................................9

Inscrição Automática e Instalação Silenciosa..........................................................................................9

Exemplo: Login com Autenticação de Cliente........................................................................................11

Conclusão.................................................................................................................................................14

3  

Características do Portal de Auto Registro Corporativo (AEG)

O Portal de Auto Registro Corporativo, aproveita a capacidade do Servidor Windows e do Diretório Ativo, para prover uma experiência transparente de gerenciamento de certificados, através da inscrição automática e instalação silenciosa dos mesmos. O AEG pode ser utilizado para solicitar e emitir certificados para todos os tipos de Objetos do Diretório Ativo, incluindo usuários e máquinas.

Integração do Diretório Ativo

Utilize investimentos já realizados pela organização na implementação do Diretório Ativo e Serviços de Certificado do Windows para solicitar e emitir certificados para todos os usuários e máquinas conectados aos domínios.

Benefício: aproveite investimentos já realizados e políticas de segurança pré-estabelecidas, diminuindo os custos de implementação e gestão de uma ICP (PKI).

Gerenciamento de ICP (PKI) Automatizado

Emita e gerencie automaticamente seus certificados, assim como todo seu ciclo de vida, incluindo a renovação dos mesmos.

Benefício: A automação dos processos significa uma grande economia nos gastos significantes com recursos de TI, além de reduzir os riscos de certificados expirados e interrupção no fluxo dos negócios, que podem gerar inúmeros problemas para a organização.

Impacto Zero na implementação da Autenticação de Múltiplos Fatores

Não há nenhum software a ser instalado para permitir a Autenticação de Cliente, e os certificados são automaticamente solicitados e silenciosamente instalados para todos os usuários e máquinas dentro da organização.

Benefício: As organizações podem facilmente substituir o uso de senhas fracas, aumentando consideravelmente seu nível de segurança de acessos, e gerando um impacto mínimo ao usuário final.

Impacto Mínimo na implementação da Segurança de Correios Eletrônicos

Os certificados de correio eletrônico, para assinatura e criptografia de conteúdo, são emitidos e instalados silenciosamente para todos os usuários. A importação deste

4  

certificado para o cliente de e-mail (Outlook, Thunderbird, Apple, etc) é simples e fácil, podendo ser realizado em poucos minutos pelo próprio usuário. O AEG também permite o armazenamento das chaves públicas no perfil do usuário no Diretório Ativo, permitindo uma base de dados consistente para a troca de informações encriptadas, além de contar com Recuperação de Chaves.

Benefício: As organizações podem facilmente proteger suas comunicações, aumentando consideravelmente seu nível de segurança e confidencialidade, e gerando um impacto mínimo ao usuário final.

Autoridade Certificadora SaaS

Terceirize os serviços de criptografia e gerenciamento de certificados a uma CA publicamente altamente confiada ao redor do mundo.

Benefício: A terceirização dos serviços de certificados reduz o risco associado ao gerenciamento local das operações de uma AC, e permite que os recursos de TI foquem nas competências essenciais e projetos de TI que conduzem os negócios da organização. Além disso a organização tem a possibilidade de utilizar a AC pública da GlobalSign, ou uma AC Privada desenvolvida em seu nome, sem resultar nos custos de desenvolvimento e manutenção de uma AC local.

Flexibilidade

O AEG permite a utilização de uma grande variedade de modelos de segurança, baseada em PKI, para diferentes casos de uso, incluindo a autenticação de usuários e máquinas, SSL para websites públicos, S/MIME e login de smartcard.

Benefício: As organizações podem atender de maneira rápida e eficaz, às necessidades de segurança de suas diferentes unidades de negócios, em relação às operações de chave pública (PKO), implementando diferentes níveis de garantia e proteção em toda a organização.

5  

O que é a Autenticação de Cliente? A Autenticação de Cliente é o processo pelo qual os usuários acessam com segurança servidores ou computadores remotos utilizando um Certificado Digital. A Autenticação de Cliente vincula por criptografia a identidade de um usuário, funcionário ou parceiro, a um único Certificado Digital (normalmente incluindo o nome do usuário, nome da empresa e localização do mesmo). Assim, o Certificado Digital pode ser associado a uma identidade ou à conta de um usuário, sendo utilizado para fornecer controle de acesso a diferentes recursos da rede ou serviços web.

As empresas precisam não apenas ter controle de seus usuários de maneira individual, mas também ter a capacidade de identificar e controlar as máquinas e servidores que têm acesso à sua rede e aos recursos da organização. A implementação da autenticação de dispositivos permite que somente as máquinas contendo as credenciais apropriadas possam acessar, comunicar e operar nas redes corporativas.

As empresas podem aproveitar as políticas pré-estabelecidas no Diretório Ativo (Active Directory) para emitir automaticamente certificados para seus usuários, máquinas e servidores, sejam eles contidos em um único domínio ou em vários domínios, com uma configuração única ou múltipla.

A Autenticação de Cliente pode ser utilizada para prevenir acessos não autorizados ou simplesmente adicionar um segundo nível de segurança à sua atual combinação de nome de usuário e senha. A Autenticação de Cliente e Controle de Acesso, ajudam às organizações estar em conformidade com os regulamentos de privacidade, assim como cumprir as políticas internas de segurança, utilizando a autenticação de dois fatores baseada em ICP (PKI) - algo que você possui (um Certificado Digital da GlobalSign) e algo que você conhece (uma senha internamente gerenciada).

Os Benefícios da Autenticação de Cliente A Autenticação de Cliente possui múltiplos benefícios como método de autenticação, especialmente quando comparado ao método básico de usuário e senha:

O usuário não precisa inserir nome de usuário e senha. Criptografa transações através da rede, identifica o servidor e valida qualquer mensagem

enviada. Valida a identidade do usuário utilizando uma terceira parte (a CA) e concede o

gerenciamento centralizado dos certificados permitindo uma fácil revogação. É exclusivo para o dispositivo em que está instalado - não pode ser exportado para outros

dispositivos Restringe o acesso por usuário, grupo, funções ou dispositivo, baseando-se no Diretório

6  

Ativo (utilizando o Portal de Auto Registro Corporativo (AEG)). Possui más propósitos que apenas a autenticação, garantindo a integridade e a

confidencialidade. Previne ataques/problemas, incluindo, mas não limitando-se, a phishing, registro de teclas,

e ataques MITM. Para mais informações sobre os benefícios da Autenticação de Cliente, visite www.globalsign.com Suporte para Autenticação de Cliente Muitas aplicações e redes das organizações, suportam Certificados Digitais X.509, o formato padrão para certificados de chave pública. Isto significa que com poucas mudanças na configuração, a organização pode habilitar a Autenticação de Cliente para muitos casos de uso popular, incluindo o início da sessão do Windows, Google Apps, Salesforce, SharePoint, SAP e acesso a servidores remotos através de portais como o Citrix ou SonicWALL.

Isto significa:

Uma configuração mínima necessária para implementar uma autenticação forte. Fácil ativação da autenticação de dois fatores em diversas aplicações e redes. Suporte à força de trabalho móvel/ remota.

Certificados Digitais para Autenticação de Cliente A Autenticação de Cliente requer um certificado de cliente no formato x.509 de uma Autoridade Certificadora (CA). Você pode utilizar tanto uma CA interna quanto externa, dependendo de suas necessidades. Entretanto, por motivos de segurança, o recomendado é utilizar uma CA externa como a GlobalSign, que tem experts em segurança digital assegurando que os certificados emitidos estejam de acordo com os padrões de segurança da indústria, evitando vulnerabilidades com o uso de algoritmos e tecnologias fracas e obsoletas. Além disso, a GlobalSign suporta totalmente a Autenticação de Clientes e possui dois métodos para emitir e gerenciar certificados ICP (PKI).

Manualmente - ICP Empresarial (ePKI): O ICP Empresarial (ePKI) é um serviço baseado em nuvem que permite a emissão e gerenciamento de Certificados de Cliente GlobalSign. O portal ePKI/APIs oferece aos administradores uma solução com custo efetivo e de fácil utilização, para simplificar a implementação PKI e eliminar a necessidade de hospedar sua própria Autoridade Certificadora. Para mais informações sobre o ePKI, visite: https://www.globalsign.com/enterprise-pki/

Automaticamente - Portal de Auto Registro Corporativo (AEG): Este é o método preferido para a organização que utiliza o ambiente Windows e Diretório Ativo. O AEG é um software

7  

que atua como um proxy entre os serviços de certificado SaaS da GlobalSign e o ambiente Windows da organização, simulando aspectos de uma Autoridade Certificadora sob premissa (ex.: CA da Microsoft) enquanto encaminha todos os pedidos de certificado para a GlobalSign. A GlobalSign gerencia a segurança, alta disponibilidade e operações da CA enquanto as organizações retêm o controle de seus usuários e políticas. O portal pode ser utilizado para solicitar e emitir certificados para todos os tipos de Objetos do Diretório Ativo, incluindo usuários, servidores, desktops, laptops e Controladores de Domínio. Certificados Digitais S/MIME

O portal AEG também pode ser utilizado para solicitar, emitir e instalar certificados Digitais S/MIME.

O que é um S/MIME

Você já deve ter ouvido o termo S/MIME ao pesquisar por assinaturas de email e criptografia. S/MIME ou Seguro/Extensão de Multi-Propósito para Correio da Internet, é o padrão do mercado para criptografia de chave pública de dados baseados em MIME. O S/MIME oferece dois componentes:

Vamos analisar o que cada componente pode lhe oferecer.

O que é uma assinatura digital?

Utilizar uma assinatura digital em um email é como a antiga tradição de usar selos de cera ao enviar cartas. Cada indivíduo possuía um selo único, assim o destinatário da carta saberia quem a enviou. Quando você utiliza seu certificado digital, emitido pela Autoridade Certificadora, para assinar digitalmente um email, o destinatário sabe que o email realmente foi enviado por você.

Por que eu devo assinar digitalmente os meus emails?

Quando você assina digitalmente um email, uma operação criptográfica transforma seu certificado digital e o conteúdo de seu email em uma única impressão digital. A singularidade dos dois componentes da assinatura - seu certificado e o conteúdo do email - oferece os seguintes benefícios:

Único para o assinante

Autenticação – quando o seu certificado (validado por una Autoridade Certificadora) for utilizado para assinar um email, os destinatários saberão, que você é quem o assinou e

8  

enviou. Confirmando a sua identidade.

Único para o documento

Integridade da mensagem - quando a assinatura é verificada, há a confirmação de que o conteúdo do email no momento da verificação corresponda ao conteúdo no momento em que a assinatura foi aplicada. Mesmo uma mudança mínima no documento original fará com que esta verificação falhe.

Por que eu devo criptografar meus emails?

Criptografar um email é como selar a mensagem em uma caixa trancada à qual somente o destinatário desejado tem acesso. Qualquer pessoa que intercepte a mensagem, seja em trânsito ou no servidor onde a mesma está armazenada, não conseguirá visualizá-la. Criptografar um email oferece os seguintes benefícios:

Confidencialidade - O processo de criptografia utiliza informações particulares ao remetente e os detsinatários desejados. Assim, apenas estes poderão visualizar o conteúdo não criptografado.

Integridade da mensagem - parte do processo de descriptografia envolve a verificação de que o conteúdo do email criptografado originalmente e o novo email descriptografado correspondam um ao outro. Mesmo uma mudança mínima no documento original fará com que o processo de descriptografia falhe.

Observação: A criptografia em si não fornece nenhuma informação sobre o remetente da mensagem. Recomendamos sempre incluir a assinatura digital ao criptografar emails para provar a identidade do remetente.

A seguir iremos analisar como o AEG funciona, incluindo um exemplo de inclusão de um novo funcionário e exemplificando o login através da Autenticação de Cliente no Google Apps.

9  

AEG - Como Funciona

Inscrição Automática e Instalação Silenciosa O AEG possibilita a inscrição automática para usuários e também uma instalação silenciosa para dispositivos. Os passos a seguir exemplificam o quão simples é o processo de adesão de um novo funcionário utilizando o AEG. Note que não há telas neste processo, já que todas as etapas ocorrem nos bastidores e de maneira transparente ao usuário.

1. O AEG funciona como um proxy entre o ambiente Windows da sua organização e a CA SaaS da GlobalSign. O AEG potencializa a capacidade do seu Servidor Windows e do Diretório Ativo.

10  

2. Isto permite uma experiência transparente de gerenciamento de certificados.

3. O AEG pode então fornecer a inscrição automática e instalação silenciosa dos certificados.

Vamos verificar o processo realizado ao aderir um novo funcionário:

1. O novo funcionário passa pelo processo de inicialização designado pela sua organização.

2. Parte desta inicialização é inserir o usuário no Diretório Ativo, junto à suas permissões definidas.

3. O certificado digital é gerado e instalado pelo AEG com os detalhes da conta do Diretório Ativo, utilizado para habilitar sua identidade.

4. É entregue ao funcionário um novo dispositivo corporativo que possui o certificado digital pré-instalado. O certificado também pode ser instalado durante o primeiro uso do dispositivo, ou seja, quando o funcionário realizar seu primeiro login na rede. Ambos os cenários envolvem uma instalação silenciosa e acontecem automaticamente sem a necessidade de interação do usuário.

11  

O certificado de cliente do usuário agora está instalado e ligado ao dispositivo que ele está utilizando. Agora, ele pode acessar quaisquer aplicações ou recursos que tenham o certificado de cliente habilitado. Este processo acontece nos bastidores e oferece um grande equilíbrio entre usabilidade e segurança para a organização. Para verificar como funciona o login utilizando a Autenticação de Cliente, por favor, siga para a próxima seção, Exemplo: Login de Autenticação de Cliente. Para mais informações sobre como o AEG funciona, você também pode assistir a este breve vídeo da solução: https://www.globalsign.com/en/auto-enrollment-gateway/how-it-works/ Exemplo: Login com Autenticação de Cliente. A Autenticação de Cliente é facilmente utilizada para permitir o login em aplicações baseadas na web. Os exemplos a seguir mostram como é simples para o usuário entrar no Google Apps utilizando a Autenticação de Cliente:

Primeiramente é necessário observar o fato de que o certificado digital foi silenciosamente instalado no dispositivo do usuário utilizando o AEG. Este processo acontece sem o envolvimento do usuário. Para visualizar o certificado instalado (este processo varia dependendo do navegador que você esteja utilizando - neste caso o Google Chrome será utilizado como exemplo):

1. Clique no menu ao lado direito do navegador. Clique em Configurações.

2. Desça a barra de rolagem e selecione Exibir Configurações Avançadas. Clique em Gerenciar Certificados... na seção HTTPS/SSL

12  

3. Agora você pode visualizar os certificados que estão instalados e disponíveis para Autenticação de Cliente. Após finalizada a visualização, clique em Fechar para fechar a janela dos Certificados

Agora que você visualizou os certificados que estão instalados no dispositivo e disponíveis para Autenticação de Cliente, vamos verificar a experiência do usuário ao fazer login:

1. O usuário vai até a aplicação baseada na web a qual ele planeja acessar, neste caso, o Google Apps.

13  

2. O usuário insere seu nome de usuário no campo fornecido.

3. O usuário clica em Entrar e é logado com sucesso sem nem mesmo precisar inserir uma senha. O certificado digital foi utilizado de maneira transparente, para verificar a identidade do usuário e lhe permitir acesso. Este processo é simples e rápido para o usuário e não requer a memorização de senhas complexas. Ao mesmo tempo, ele provê um aumento na segurança de acessos da

14  

organização, pois o certificado é único ao usuário, impedindo ataques por interceptação/descoberta/quebra de senha. Para mais informações sobre os benefícios da utilização da Autenticação de Cliente, veja a seção anterior Os Benefícios da Autenticação de Cliente

Conclusão

Aproveitando a capacidade do Servidor Windows e do Diretório Ativo, o portal de Auto Registro Corporativo oferece uma experiência transparente de gerenciamento de certificados, através da inscrição automática e instalação silenciosa dos mesmos. Ajudando à organização a diminuir seus custos, aumentar sua segurança e aproveitar investimentos já realizados, utilizando políticas fortes já estabelecidas.

Entre em contato conosco para saber como podemos trabalhar em conjunto atendendo às suas necessidades de segurança, otimizando o uso do Diretório Ativo e os serviços de certificados do Windows.

Informações de Contato da GlobalSign:  

GlobalSign Américas 

Tel: 1‐603‐570‐7060 

www.globalsign.com 

contato@globalsign.com