Simple Signing System (S3) : Gestione dei Certificati X.509 e Firma Digitale

Home > Architettura > Database di PKI

Database di PKI

Simple Signing System (S3) prevede tre database di PKI:

Database di Registration e Certification Authority (RA/CA-DB)
Database consultabile mediante SQL, accessibile via ODBC o in modalità embedded, nel quale sono mantenute e gestite tutte le informazioni necessarie alla registrazione notarile degli utenti (RA), la registrazione dei gruppi di utenza (licenze), le CA collegate ai gruppi di utenza, le richieste ricevute dagli utenti, i certificati emessi, le liste di revoca delle CA.
Database del Giornale di Controllo delle Certification Authority (CAJG-DB)
Database consultabile mediante SQL, accessibile via ODBC o in modalità embedded, nel quale sono registrati gli eventi significativi della vita di ogni CA (le richieste ricevute dagli utenti, i certificati emessi, le liste di revoca delle CA).
Database del Giornale di Controllo della Time Stamp Authority (TSAJG-DB)
Database consultabile mediante SQL, accessibile via ODBC o in modalità embedded, nel quale sono registrati tutti gli eventi significativi della vita della TSA (marche temporali rilasciate).

I database di PKI Simple Signing System (S3) sono gestiti tramite il DBMS SQL opensource FireBird (release 2.0 e successive).

Database di Registration e Certification Authority (RA/CA-DB)

Il database RA/CA-DB viene gestito mediante un insieme di CGI di amministrazione operanti sul server WEB centrale di amministrazione, destinato ad operare in un sito protetto, accessibile solo dagli operatori di amministrazione della RA e delle CA. Questo database è accessibile anche ai componenti client di gestione dei certificati tramite un insieme di CGI utente accessibili dalla rete esterna alla rete protetta della RA/CA mediante un insieme di CgiProxy operanti come gateway applicativo.

Il Database RA/CA-DB comprende:

Tabelle di Controllo degli Operatori centrali
Tabelle di Registration Authority (licenze, utenti, utenti/gruppi, ...)
Tabelle di Supporto (nazioni, regioni, province, comuni, ...)
Tabelle delle Certification Authority (CA, CRL, richieste, certificati, storico dei certificati, ...)
Tabelle di log degli Eventi di Sicurezza
Tabelle dei Dispositivi di Firma
Tabelle Varie

Tabelle Operatori
CARA_OPERATORS	Tabella degli Operatori Abilitati e dei relativi Certificati di Accesso
CARA_OPERATOR_TYPES	Tabella delle Tipologie di Operatori
CARA_PROFILES	Tabella dei Profili Funzionali degli Operatori
CARA_ACCESSES	Tabella di Log degli Accessi degli Operatori
Tabelle di RA
S3SG_RA_LICENSES	Tabella delle Licenze Censite
S3SG_RA_LICENSE_ROLES	Tabella dei Ruoli associati alle Licenze
S3SG_RA_USERS	Tabella degli Utenti Censiti
S3SG_RA_UL	Tabella delle Relazioni Utenti-Licenze (entità certificabili)
S3SG_RA_UL_ROLES	Tabella dei Ruoli associati alle Relazioni Utenti-Licenze
S3SG_RA_CERTIDS	Tabella di Assegnamento degli Identificatori dei Certificati
Tabelle di Supporto RA
RA_NATIONS	Tabella delle Nazioni (di supporto)
RA_REGIONS	Tabella delle Regioni Italiane (di supporto)
RA_PROVINCES	Tabella delle Provincie Italiane (di supporto)
RA_LOCALITIES	Tabella dei Comuni Italiani (di supporto)
Tabelle di CA
S3SG_CA	Tabella delle CA gestite
S3SG_POLICIES	Tabella delle Policy associate alle CA
S3SG_CA_ROLES	Tabella dei Ruoli associati alle CA
S3SG_CA_REQUEST	Tabella delle Richieste di Certificazione ricevute (per CA)
S3SG_CA_CERT	Tabella dei Certificati emessi (per CA)
S3SG_CA_CERT_HISTORY	Tabella Storica delle Richieste e di Rilascio dei Certificati
S3SG_CA_CRL	Tabella di Emissione delle Revocation List (CRL)
Tabelle degli Eventi
CARA_EVENTS	Tabella degli Eventi di Attività della RA e delle CA
CARA_EVENTS_CODES	Tabella dei Codici Evento
Tabelle Dispositivi Firma
S3_SIGNATURE_DEVICES	Tabella di Magazzino dei Dispositivi di Firma
S3_USER_DEVICES	Tabella dei Dispositivi di Firma consegnati agli Utenti
Tabelle Varie
CNIPA_ROLES	Tabella di appoggio elencante i Ruoli degli Utenti
S3_SIGNATURE_KITS	Tabella dei Kit di Firma Digitale (per usi futuri)

Lo stesso database RA/CA-DB viene utilizzato per supportare le funzioni di gestione dei certificati degli utenti remoti, tramite un insieme di CGI utente operanti su un server WEB funzionante in modalità blind (senza pagine HTML statiche e dinamiche, eventualmente accessibile tramite un proxy WEB sicuro, ovvero un insieme di CGI mirror accessibili direttamente dagli utenti, che operano in DMZ come filtro trasparente verso le effettive CGI operanti sui server interni).

In pratica le CGI utente operano come componenti server di una semplice applicazione Client/Server in cui i Client sono le funzioni del componente di gestione dei certificati utente, che accedono al server via HTTPS.

Questo database deve rimanere fisicamente separato dagli altri database aziendali, ed essere accessibile solo tramite i componenti software della firma digitale.

Database del Giornale di Controllo delle Certification Authority (CAJG-DB)

In aggiunta al database principale Simple Signing System (S3) gestisce in un database separato il Giornale di Controllo, su cui viene mantenuto il log di tutti gli eventi siginicativi della RA e delle CA. Il Giornale di Controllo comprende le seguenti tabelle:

Tabelle degli Eventi
CARA_EVENTS	Tabella degli Eventi di Attività della RA e delle CA
CARA_EVENTS_CODES	Tabella dei Codici Evento

ed è un replicato logico delle omonime tabelle del database principale. Questo database permette di gestire il giornale delle CA su un supporto separato dal database principale, su un nodo dedicato al mantenimento dei giornali di controllo, secondo le esigenze espresse dalle normative vigenti.

Database del Giornale di Controllo della Time Stamp Authority (TSAJG-DB)

Il terzo database gestito sul server TSA (Time Stamp Authority) mantiene lo stato corrente della TSA e il log di tutti gli eventi siginicativi della TSA (Giornale TSA). Questo database comprende le seguenti tabelle:

Tabella degli Eventi TSA
TSA_STATUS	Tabella di Stato della TSA
TSA_EVENTS	Tabella degli Eventi di Rilascio Marche Temporali della TSA

Questo database può essere gestito sullo stesso nodo TSA o su un nodo dedicato al mantenimento dei giornali di controllo, secondo le esigenze espresse dalle normative vigenti.