Serie PKI – Parte 1 di 3
– Parte 1: Root CA offline (questo articolo)
– Parte 2: Intermediate CA con Step-CA (prossimamente)
– Parte 3: Certificati e distribuzione ai client (prossimamente)
Che cos’è una PKI?
Quando visiti un sito con il lucchetto verde in cima al browser, stai usando un certificato digitale. Quel certificato garantisce che stai parlando davvero con quel sito e che nessuno può intercettare la comunicazione.
Una PKI (Public Key Infrastructure) è l’infrastruttura che emette, gestisce e revoca questi certificati all’interno di una rete. È il sistema che decide di quali certificati ci si può fidare e di quali no.
In un’infrastruttura IT senza una PKI interna, ogni servizio web usa certificati auto-firmati, il browser li segnala come non attendibili, gli utenti vedono avvisi di sicurezza e la gestione diventa caotica. Con una PKI interna tutti i certificati sono riconosciuti automaticamente dai sistemi, le connessioni HTTPS sono pulite e la sicurezza è centralizzata.
Che cos’è una Root CA e perché è offline?
La Root CA è il vertice della gerarchia di fiducia è l’autorità che certifica tutte le altre. Se venisse compromessa, tutta la PKI andrebbe ricostruita da zero.
Per questo motivo la Root CA è tenuta offline: la VM è disconnessa dalla rete e viene avviata solo quando strettamente necessario. In produzione vive su hardware dedicato conservato fisicamente in un luogo sicuro. Nel lab usiamo una VM Debian con la scheda di rete rimossa dopo l’installazione.
Schema PKI a due livelli
Il lab TRK adotta uno schema PKI a due livelli, standard in qualsiasi infrastruttura IT strutturata:
– Root CA offline (rca001) – firma esclusivamente la Intermediate CA. Si avvia solo per questo scopo, poi si rispegne.
– Intermediate CA online (ica001, Step-CA) – emette i certificati per tutti i servizi del lab: OPNsense, Webmin, NethServer, Nextcloud e altri.
Separare i due ruoli protegge la chiave radice: anche se la Intermediate CA venisse compromessa, la Root CA resta intatta e si può emettere una nuova Intermediate CA senza ricostruire tutto.
Utilizzo nel Lab TRK (vlab.trk.lab)
La Root CA è il primo servizio costruito nella sequenza dell’infrastruttura, prima ancora del domain controller e dei servizi applicativi. Senza una CA interna operativa, tutti i servizi HTTPS userebbero certificati auto-firmati una situazione inaccettabile in qualsiasi ambiente IT che simula o gestisce un’infrastruttura reale.
In questo tutorial viene installata e configurata la Root CA su una VM Debian 13 Trixie con disco cifrato LUKS, utilizzando OpenSSL. Al termine la scheda di rete viene rimossa e la VM rimane spenta fino alla firma della Intermediate CA (Parte 2).
Inventario VM – Lab TRK (vlab.trk.lab)
– rca001- Root CA offline (Debian 13 Trixie, OpenSSL)
– ica001 – Intermediate CA online (Debian 13 Trixie, Step-CA)
– ons001 – Router e firewall (OPNsense 26.1.6)
– dnsl001 – DNS (Debian 13 Trixie, BIND9, Webmin)
– dcl001 – Domain Controller (NethServer 8)
– mis001 – Mail server (NethServer 8)
– nxc001 – Nextcloud (NethServer 8)
– cet001 – Client Linux (Linux Mint MATE)
– cet002 – Client Windows (Windows 11 Pro)
YouTube
Per scaricare la guida PDF presente nel video clicca su: Download
Link
Inf.: https://www.openssl.org/
Inf.: https://openssl.foundation/
Inf.: https://www.debian.org/
Doc.: https://www.openssl.org/docs/
Doc.: https://jamielinux.com/docs/openssl-certificate-authority/
Inf.: https://en.wikipedia.org/wiki/X.509
Inf.: https://en.wikipedia.org/wiki/Public_key_infrastructure
Doc.: https://www.debian.org/releases/trixie/
Donate: https://secure.lglforms.com/form_engine/s/CeRymaaOCf2VCgn1WNzKqg
Donate: https://www.debian.org/donations