Muestra las diferencias entre dos versiones de la página.
sad:t1:practica1 [2017/09/12 11:32] José Manuel Guallar |
sad:t1:practica1 [2019/01/04 13:18] |
||
---|---|---|---|
Línea 1: | Línea 1: | ||
- | ====== PKI y CA ====== | ||
- | |||
- | - Las **CA (Certification Authority)** son los servidores que se encargan de emitir los certificados que luego se utilizarán como medios de identificación | ||
- | - La infraestructura de CAs de una organización se denomina **PKI (Public Key Infrastructure)** | ||
- | - Cuando se crea una CA, el software genera automáticamente un certificado raíz autofirmado | ||
- | * Es el certificado más importante de una CA | ||
- | * La clave privada de este certificado se utilizará para firmar cualquier otro certificado emitido por la CA | ||
- | - En una PKI puede haber varias CA organizadas jerárquicamente pero que dependan de una única CA raíz | ||
- | |||
- | ====== Criterios de confianza de un certificado ====== | ||
- | |||
- | |||
- | Para que el sistema operativo confíe en un certificado se tiene que cumplir: | ||
- | * Que el sistema confíe en la CA que emitió el certificado | ||
- | * Que el nombre que figura en el certificado coincida con el nombre del sistema o la dirección de correo electrónico u otro parámetro en función del tipo de certificado | ||
- | * Que el certificado no esté caducado ni haya sido revocado | ||
- | |||
- | ====== Dos tipos de CA: públicas y privadas ====== | ||
- | |||
- | **CA pública** | ||
- | * Son PKI gestionadas por empresas privadas o gubernamentales que emiten certificados públicos | ||
- | * Los certificados de estas CA suelen venir instalados de serie en los sistemas operativos | ||
- | * Suelen tener un proceso de registro muy exhaustivo | ||
- | * La emisión del certificado tiene un coste económico | ||
- | **CA privada o interna** | ||
- | * Es instalada por el administrador de sistemas para uso privado en su red | ||
- | * Requiere que instalemos el certificado de la CA en todos los sistemas | ||
- | * La emisión del certificado no tiene coste económico | ||
- | |||
- | |||
- | ====== PKI y CA en WS2K8 ====== | ||
- | |||
- | En Windows Server 2008, una CA es un servidor con el rol “AD CS” instalado | ||
- | |||
- | Una CA puede emitir certificados, revocarlos, publicar la lista de certificados revocados (CRL) o la lista de información AIA (Authority Information Access) para que los certificados emitidos a usuarios, sistemas o servicios puedan ser validados | ||
- | |||
- | En las PKI de WS2K8 caben dos tipos de CA: | ||
- | |||
- | **CA raíz**: dispone de certificado autofirmado y puede emitir certificados para otra CA | ||
- | |||
- | **CA subordinada**: dispone de certificado firmado por otra CA raíz | ||
- | |||
- | Pueden estar o no integradas en el Directorio Activo | ||
- | |||
- | **CA Stand-alone**: no requiere Directorio Activo | ||
- | |||
- | **CA Empresarial**: se integra en un Directorio Activo y exige que el servidor forme parte de un Dominio de | ||
- | Directorio Activo | ||
- | |||
- | ===== Recomendación de seguridad en una PKI jerárquica ===== | ||
- | |||
- | * La CA raíz de la PKI se implementa como stand-alone | ||
- | * Las CAs subordinadas de la PKI son certificadas por la CA raíz, pero se recomienda que sean de tipo empresarial (integradas en el Directorio Activo) | ||
- | * Una vez creadas las Enterprise-CAs subordinadas, se desconecta la CA raíz de la red o directamente se apaga el servidor | ||
- | - De este modo protegemos la clave privada de la CA raíz | ||
- | - La CA raíz sólo se encenderá cuando haya que certificar una nueva CA subordinada | ||
- | |||
- | ====== Enunciado ====== | ||
- | |||
- | Trabajaremos con dos servidores WS2K8 Enterprise Edition (tienen un rol de PKI más completo que la versión Standard) | ||
- | La primera maquina se llamara **SRV-RootCA** | ||
- | |||
- | Servidor stand-alone donde se instalará la CA raíz | ||
- | |||
- | El servidor está en un grupo de trabajo (GW-PKI) | ||
- | |||
- | La segunda maquina se llama **DC1** | ||
- | |||
- | Controlador de dominio del dominio **EMBOSA** | ||
- | |||
- | En él se instalará una CA subordinada e integrada en el Directorio Activo | ||
- | |||
- | También se usarán los servicios web de este servidor como rutas para publicar los AIA (Authority Information Access) y los RDP (Revocation List Distribution Point) de las dos CAs | ||
- | |||
- | |||
- | Nota | ||
- | ** Una vez instalada una CA en un servidor, éste ya yo puede cambiar de nombre** | ||
- | |||
- | comprobación inicial de nombres NetBIOS | ||
- | |||
- | {{:sad:t1:imagen1.png?400|}} | ||
- | |||
- | Instalación de los servicios DS CA en SRV-RootCA | ||
- | |||
- | |||
- | {{:sad:t1:imagen2.png?400|}} | ||
- | |||
- | |||
- | {{:sad:t1:imagen3.png?400|}} | ||
- | |||
- | Instalación de los servicios web para la inscripción de certificados, lo que requerirá IIS | ||
- | |||
- | {{:sad:t1:imagen4.png?400|}} | ||
- | {{:sad:t1:imagen5.png?400|}} | ||
- | |||
- | Comenzamos la configuración de la CA raiz (no está en dominio, sólo podemos elegir Independiente) | ||
- | |||
- | {{:sad:t1:imagen6.png?400|}} | ||
- | |||
- | Elegimos CA raiz | ||
- | |||
- | {{:sad:t1:imagen7.png?400|}} | ||
- | |||
- | Creamos una nueva clave privada | ||
- | |||
- | {{:sad:t1:imagen8.png?400|}} | ||
- | |||
- | Definimos del CSP (Proveedor de Servicios de Cifrado) que utilizamos | ||
- | |||
- | {{:sad:t1:imagen9.png?400|}} | ||
- | |||
- | Asignamos nombre a la CA raiz | ||
- | |||
- | {{:sad:t1:imagen10.png?400|}} | ||
- | |||
- | Establece el periodo de validez del certificado de la CA raíz autofirmado | ||
- | |||
- | {{:sad:t1:imagen11.png?400|}} | ||
- | |||
- | Definimos la ruta de la base de datos de certificados y del registro de emisión | ||
- | |||
- | {{:sad:t1:imagen12.png?400|}} | ||
- | |||
- | Configuración por defecto propuesta de la instalación de IIS | ||
- | |||
- | {{:sad:t1:imagen13.png?400|}} | ||
- | |||
- | Por seguridad, asegurar una copia de la clave privada de la CA raiz | ||
- | |||
- | {{:sad:t1:imagen14.png?400|}} | ||
- | {{:sad:t1:imagen15.png?400|}} | ||
- | {{:sad:t1:imagen16.png?400|}} | ||
- | |||
- | Obtención del certificado público de la CA raíz para la distribución: accedemos http://localhost/certsrv | ||
- | |||
- | {{:sad:t1:imagen17.png?400|}} | ||
- | |||
- | Descargamos el certificado de CA | ||
- | |||
- | {{:sad:t1:imagen19.png?400|}} | ||
- | {{:sad:t1:imagen20.png?400|}} | ||
- | {{:sad:t1:imagen21.png?400|}} | ||
- | |||
- | ====== Instalación del certificado público de la CA raíz ====== | ||
- | |||
- | |||
- | * Debe instalarse en todos los sistemas que necesiten confiar en los certificados emitidos por la CA raíz y todas sus subordinadas | ||
- | * En su instalación hay que incluirlo en el contenedor de Entidades de certificación raíz de confianza | ||
- | * Puesto que finalmente se apagará la CA raíz habrá que publicar en algún servidor web las rutas de AIA (Authority Information Access) y CDP (o RDP o CRL, Certification-List Distribution Point) | ||
- | |||
- | |||
- | Deben configurarse las rutas de publicación antes de emitir ningún certificado ya que la información se incluye en los certificados emitidos | ||
- | |||
- | Modificación de las rutas AIA y CDP (propiedades CD, pestaña Extension) | ||
- | |||
- | Se agregan rutas para CDP y para AIA que apunten al servidor en que se publicarán | ||
- | Ejemplo de ruta: http://dc1.embosa.com/certenroll/<Nombre DNS del Servidor>_<Nombre de CA><Nombre del Certificado>.crt | ||
- | |||
- | 22 23 | ||
- | |||
- | |||
- | |||
- | |||
- | |||