Herramientas de usuario
sad:t1:practica1
Diferencias
Muestra las diferencias entre dos versiones de la página.
|
sad:t1:practica1 [2017/09/13 08:24] José Manuel Guallar |
sad:t1:practica1 [2019/01/04 13:18] |
||
|---|---|---|---|
| Línea 1: | Línea 1: | ||
| - | ====== PKI y CA ====== | ||
| - | |||
| - | - Las **CA (Certification Authority)** son los servidores que se encargan de emitir los certificados que luego se utilizarán como medios de identificación | ||
| - | - La infraestructura de CAs de una organización se denomina **PKI (Public Key Infrastructure)** | ||
| - | - Cuando se crea una CA, el software genera automáticamente un certificado raíz autofirmado | ||
| - | * Es el certificado más importante de una CA | ||
| - | * La clave privada de este certificado se utilizará para firmar cualquier otro certificado emitido por la CA | ||
| - | - En una PKI puede haber varias CA organizadas jerárquicamente pero que dependan de una única CA raíz | ||
| - | |||
| - | ====== Criterios de confianza de un certificado ====== | ||
| - | |||
| - | |||
| - | Para que el sistema operativo confíe en un certificado se tiene que cumplir: | ||
| - | * Que el sistema confíe en la CA que emitió el certificado | ||
| - | * Que el nombre que figura en el certificado coincida con el nombre del sistema o la dirección de correo electrónico u otro parámetro en función del tipo de certificado | ||
| - | * Que el certificado no esté caducado ni haya sido revocado | ||
| - | |||
| - | ====== Dos tipos de CA: públicas y privadas ====== | ||
| - | |||
| - | **CA pública** | ||
| - | * Son PKI gestionadas por empresas privadas o gubernamentales que emiten certificados públicos | ||
| - | * Los certificados de estas CA suelen venir instalados de serie en los sistemas operativos | ||
| - | * Suelen tener un proceso de registro muy exhaustivo | ||
| - | * La emisión del certificado tiene un coste económico | ||
| - | **CA privada o interna** | ||
| - | * Es instalada por el administrador de sistemas para uso privado en su red | ||
| - | * Requiere que instalemos el certificado de la CA en todos los sistemas | ||
| - | * La emisión del certificado no tiene coste económico | ||
| - | |||
| - | |||
| - | ====== PKI y CA en WS2K8 ====== | ||
| - | |||
| - | En Windows Server 2008, una CA es un servidor con el rol “AD CS” instalado | ||
| - | |||
| - | Una CA puede emitir certificados, revocarlos, publicar la lista de certificados revocados (CRL) o la lista de información AIA (Authority Information Access) para que los certificados emitidos a usuarios, sistemas o servicios puedan ser validados | ||
| - | |||
| - | En las PKI de WS2K8 caben dos tipos de CA: | ||
| - | |||
| - | **CA raíz**: dispone de certificado autofirmado y puede emitir certificados para otra CA | ||
| - | |||
| - | **CA subordinada**: dispone de certificado firmado por otra CA raíz | ||
| - | |||
| - | Pueden estar o no integradas en el Directorio Activo | ||
| - | |||
| - | **CA Stand-alone**: no requiere Directorio Activo | ||
| - | |||
| - | **CA Empresarial**: se integra en un Directorio Activo y exige que el servidor forme parte de un Dominio de | ||
| - | Directorio Activo | ||
| - | |||
| - | ===== Recomendación de seguridad en una PKI jerárquica ===== | ||
| - | |||
| - | * La CA raíz de la PKI se implementa como stand-alone | ||
| - | * Las CAs subordinadas de la PKI son certificadas por la CA raíz, pero se recomienda que sean de tipo empresarial (integradas en el Directorio Activo) | ||
| - | * Una vez creadas las Enterprise-CAs subordinadas, se desconecta la CA raíz de la red o directamente se apaga el servidor | ||
| - | - De este modo protegemos la clave privada de la CA raíz | ||
| - | - La CA raíz sólo se encenderá cuando haya que certificar una nueva CA subordinada | ||
| - | |||
| - | ====== Enunciado ====== | ||
| - | |||
| - | Trabajaremos con dos servidores WS2K8 Enterprise Edition (tienen un rol de PKI más completo que la versión Standard) | ||
| - | |||
| - | La primera maquina se llamara **SRV-RootCA**seguido del numero de lista | ||
| - | |||
| - | Servidor stand-alone donde se instalará la CA raíz | ||
| - | |||
| - | El servidor está en un grupo de trabajo (GW-PKI) | ||
| - | |||
| - | La segunda maquina se llama **DC1** | ||
| - | |||
| - | Controlador de dominio del dominio **EMBOSA** | ||
| - | |||
| - | En él se instalará una CA subordinada e integrada en el Directorio Activo | ||
| - | |||
| - | También se usarán los servicios web de este servidor como rutas para publicar los AIA (Authority Information Access) y los RDP (Revocation List Distribution Point) de las dos CAs | ||
| - | |||
| - | |||
| - | Nota | ||
| - | ** Una vez instalada una CA en un servidor, éste ya yo puede cambiar de nombre** | ||
| - | |||
| - | comprobación inicial de nombres NetBIOS | ||
| - | |||
| - | {{:sad:t1:imagen1.png?400|}} | ||
| - | |||
| - | Instalación de los servicios DS CA en SRV-RootCA | ||
| - | |||
| - | |||
| - | {{:sad:t1:imagen2.png?400|}} | ||
| - | |||
| - | |||
| - | {{:sad:t1:imagen3.png?400|}} | ||
| - | |||
| - | Instalación de los servicios web para la inscripción de certificados, lo que requerirá IIS | ||
| - | |||
| - | {{:sad:t1:imagen4.png?400|}} | ||
| - | {{:sad:t1:imagen5.png?400|}} | ||
| - | |||
| - | Comenzamos la configuración de la CA raiz (no está en dominio, sólo podemos elegir Independiente) | ||
| - | |||
| - | {{:sad:t1:imagen6.png?400|}} | ||
| - | |||
| - | Elegimos CA raiz | ||
| - | |||
| - | {{:sad:t1:imagen7.png?400|}} | ||
| - | |||
| - | Creamos una nueva clave privada | ||
| - | |||
| - | {{:sad:t1:imagen8.png?400|}} | ||
| - | |||
| - | Definimos del CSP (Proveedor de Servicios de Cifrado) que utilizamos | ||
| - | |||
| - | {{:sad:t1:imagen9.png?400|}} | ||
| - | |||
| - | Asignamos nombre a la CA raiz | ||
| - | |||
| - | {{:sad:t1:imagen10.png?400|}} | ||
| - | |||
| - | Establece el periodo de validez del certificado de la CA raíz autofirmado | ||
| - | |||
| - | {{:sad:t1:imagen11.png?400|}} | ||
| - | |||
| - | Definimos la ruta de la base de datos de certificados y del registro de emisión | ||
| - | |||
| - | {{:sad:t1:imagen12.png?400|}} | ||
| - | |||
| - | Configuración por defecto propuesta de la instalación de IIS | ||
| - | |||
| - | {{:sad:t1:imagen13.png?400|}} | ||
| - | |||
| - | Por seguridad, asegurar una copia de la clave privada de la CA raiz | ||
| - | |||
| - | {{:sad:t1:imagen14.png?400|}} | ||
| - | {{:sad:t1:imagen15.png?400|}} | ||
| - | {{:sad:t1:imagen16.png?400|}} | ||
| - | |||
| - | Obtención del certificado público de la CA raíz para la distribución: accedemos http://localhost/certsrv | ||
| - | |||
| - | {{:sad:t1:imagen17.png?400|}} | ||
| - | |||
| - | Descargamos el certificado de CA | ||
| - | |||
| - | {{:sad:t1:imagen19.png?400|}} | ||
| - | {{:sad:t1:imagen20.png?400|}} | ||
| - | {{:sad:t1:imagen21.png?400|}} | ||
| - | |||
| - | ====== Instalación del certificado público de la CA raíz ====== | ||
| - | |||
| - | |||
| - | * Debe instalarse en todos los sistemas que necesiten confiar en los certificados emitidos por la CA raíz y todas sus subordinadas | ||
| - | * En su instalación hay que incluirlo en el contenedor de Entidades de certificación raíz de confianza | ||
| - | * Puesto que finalmente se apagará la CA raíz habrá que publicar en algún servidor web las rutas de AIA (Authority Information Access) y CDP (o RDP o CRL, Certification-List Distribution Point) | ||
| - | |||
| - | |||
| - | Deben configurarse las rutas de publicación antes de emitir ningún certificado ya que la información se incluye en los certificados emitidos | ||
| - | |||
| - | Modificación de las rutas AIA y CDP (propiedades CD, pestaña Extension) | ||
| - | |||
| - | Se agregan rutas para CDP y para AIA que apunten al servidor en que se publicarán | ||
| - | Ejemplo de ruta: http://dc1.embosa.com/certenroll/<Nombre DNS del Servidor>_<Nombre de CA><Nombre del Certificado>.crt | ||
| - | |||
| - | 22 23 | ||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
sad/t1/practica1.txt · Última modificación: 2019/01/04 13:18 (editor externo)
Herramientas de la página
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Share Alike 4.0 International
