Certifica Dos

Embed Size (px)

Citation preview

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    Creacin y administracin de certificados de seguridadmediante OpenSSL.

    Autor: Enrique V. Bonet Esteban

    Introduccin.

    En ocasiones, servicios que estudiaremos con posterioridad como un servidor deHTTP, un servidor de correo como SMTP, un servidor de entrega final de correo POP3o IMAP, etc., requieren de una seguridad adicional que no proporcionan de formanormal.

    As, por ejemplo, si poseemos una pgina web que solicita informacinconfidencial, como pueden ser datos de una tarjeta bancaria, o un servidor de correoante el cual el usuario debe identificarse mediante su nombre de usuario y contrasea,debemos exigir a dichos servicios una seguridad adicional, consistente en que los datosno circulen por Internet en formato de texto plano (sin cifrar), accesible a cualquierpersona de Internet que pueda interceptar la comunicacin de los datos, sino que solopuedan ser accesibles por el cliente y el servidor.

    Para ello, es necesario introducir las comunicaciones en formato cifrado y unamutua autentificacin entre los clientes y servidores. Este proceso pasa por utilizar unsistema de encriptacin y por tanto, por generar, en primer lugar, un sistemacriptogrfico adecuado.

    De forma general, existen dos tipos de sistemas criptogrficos:

    Convencionales o simtricos, en los cuales ambas partes de la transmisin tienenla misma clave, la cual usan para codificar o decodificar la transmisin del otro

    Criptografa pblica o asimtrica, en la cual existen dos claves, una pblica yotra privada, de forma que la clave pblica es accesible a todo el mundo y laclave privada es guardada en secreto. Los datos codificados con la clave pblicasolo pueden ser decodificados con la clave privada y viceversa.

    La configuracin de servidores seguros utiliza criptografa de clave pblica, deforma que se crean un par de claves pblica y privada1. La clave pblica es enviada alos clientes, siendo utilizada por estos tanto para decodificar los mensajes cifrados porel servidor con su clave privada, como para cifrar los mensajes que sern enviados alservidor, el cual los decodificar utilizando su clave privada.

    Creacin de un par de claves pblica y privada.

    Como hemos visto, el primer paso que es necesario dar para crear un mtodo decomunicacin seguro es poseer un par de claves pblica y privada, claves que debern1 Una descripcin algo ms detallada de la criptografa de clave pblica y privada puede encontrarse enSeguridad Prctica en UNIX e Internet (2 edicin) de Simson Garfinkel y Gene Spafford, publicado enla editorial OReilly.

    Doble Titulacin Informtica + Telemtica 1

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    ser creadas inicialmente y que debern ser sustituidas bien por motivos de seguridad(robo de las mismas, etc.), como por motivos temporales (caducidad de las mismas, porejemplo).

    Para generar un par de claves pblica/privada nuevas mediante OpenSSL2debemos ejecutar el comando:

    openssl genrsa [-des|-des3|-idea] []

    Que generar un par de claves pblica/privada, siendo la clave privada deltamao en bits especificado por . Si no se especifica, el valor pordefecto es de 512 bits3. Si se utiliza el parmetro -des, -des3 o -idea, la clave privada secifrar utilizando el algoritmo DES, 3DES o IDEA, para lo que se solicitar laintroduccin de una contrasea. Por ejemplo, si ejecutamos el comando:

    openssl genrsa -des3 2048 > clave.key

    El programa generar un par de claves pblica/privada de una longitud de 2048bits, solicitando la introduccin de una contrasea4 y guardando la informacin en unfichero llamado clave.key5. Cada vez que el servicio que utilice esta clave seainicializado, se requerir la introduccin de la contrasea antes de habilitar el servicio.

    Si no se desea introducir una contrasea cada vez que se inicia el servicio, bienporque esto sucede de forma frecuente, bien por comodidad, o por cualquier otra causa,se puede generar una clave, cuyo uso no requerir la introduccin de una contrasea,mediante el comando:

    openssl genrsa 2048 > clave.key

    Ahora veremos que el programa no solicita la introduccin de una contrasea yque, por tanto, ninguna contrasea ser requerida al iniciar el uso de la clave por elservidor.

    Los problemas asociados con no usar la contrasea estn relacionados con elmantenimiento de la seguridad en el ordenador. Si un usuario malintencionado es capazde acceder al fichero que contiene la clave que no posee contrasea, dicho usuariopuede utilizar dicha clave para servir, por ejemplo, pginas web cifradas con la clave denuestro servidor y, por tanto, que aparentemente estn en nuestro servidor web.

    El fichero clave.key debe ser propiedad del administrador (usuario root) y nodebe ser accesible por nadie ms. Adems, es necesario hacer una copia de dichofichero y guardarla en un lugar seguro, pues si dicho fichero fuera destruido por un

    2 En estos apuntes nos limitaremos a introducir los comandos necesarios para realizar la funcin deseada.Si se desea obtener ms informacin sobre openssl, etc., puede consultarse el manual de Linux o la pginaweb http://www.openssl.org.3 En la actualidad, una clave privada de 512 bits es insegura para la mayora de usos.4 La contrasea debe tener, como mnimo, ocho caracteres, incluyendo entre los caracteres nmeros ysmbolos de puntuacin, y no debe ser una palabra que est incluida en un diccionario o fcilmentederivable de una palabra existente en el mismo.5 El fichero es creado al redireccionar la salida del comando a un fichero. Si no se redirecciona la salida aun fichero la salida del comando es enviada a la salida estndar, generalmente la pantalla.

    Doble Titulacin Informtica + Telemtica 2

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    borrado, error de disco, etc., despus de crear con l un certificado, este certificado nopodra utilizarse nunca ms y debera ser sustituido por un nuevo certificado.

    Si del certificado creado se desea extraer la clave pblica asociada, se debeejecutar el comando:

    openssl rsa -in clave.key -pubout -out publica.key

    Donde clave.key es el fichero que contiene el par de claves pblica/privadagenerado con cualquiera de los comandos vistos con anterioridad y publica.key es elfichero que contendr la clave pblica extrada. Si el fichero con el par de clavespblica/privada fue generado con la opcin de cifrado, se solicita la contrasea parapoder acceder a la clave privada.

    Creacin de un certificado.

    Una vez se han creado el par de claves pblica y privada, debemos pasar a crearun certificado, tanto para asegurar nuestra identidad ante los clientes, como parainformar a los mismos de nuestra clave pblica.

    Existen dos modelos de certificados, los certificados emitidos por una autoridadde certificacin (Certification Authority)6 y los certificados autofirmados. Los primeros,son aquellos en los que una entidad, conocida con el nombre de autoridad decertificacin, certifica dichos datos, requiriendo dicho tramite el pago de los serviciosefectuados, mientras que los segundos son aquellos en los que el propio servidor crea sucertificado, asegurando el propio servidor su validez y siendo, por tanto, gratuitos.

    Creacin de un certificado para su firma por una autoridad decertificacin.

    Si deseamos crear un certificado para enviarlo a una CA, debemos ejecutar elcomando:

    openssl req -new -key clave.key -out servidor.csr

    Donde clave.key es el fichero con el par de claves pblica y privada que hemosgenerado con anterioridad. Si las claves fueron generadas con la opcin de utilizar unacontrasea, dicha contrasea ser solicitada antes de comenzar la creacin delcertificado.

    A continuacin, el sistema solicitar informacin adicional7 como el pas (ES), laprovincia (Valencia), la localidad (Paterna), el nombre de la organizacin (Universitatde Valencia), el nombre de la unidad (IRTIC), el nombre del ordenador donde seencuentra el servidor y para el cual el certificado ser firmado (ordenador.uv.es), ladireccin de correo del administrador ([email protected]), as como dos

    6 Un listado de las autoridades de certificacin reconocidas puede encontrarse en las opciones deseguridad del navegador web que tengamos instalado en el ordenador.7 Los datos que figuran entre parntesis son aquellos que deberan introducirse para generar la solicitud deun certificado por parte del Instituto de Robtica y Tecnologas de la Informacin y la Comunicacin dela Universitat de Valncia.

    Doble Titulacin Informtica + Telemtica 3

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    campos adicionales (otra contrasea y nombre opcional) que deben dejarse en blanco,pues en caso contrario algunas CAs pueden rechazar la solicitud de firma del certificadoal no admitir el uso de dichos campos, no necesarios por otra parte.

    Adems, debe evitarse en el pas, provincia, etc., caracteres especiales como @,#, &, vocales acentuadas, etc., pues algunas CAs rechazan las peticiones de certificadosque contienen dichos caracteres8.

    Una vez introducida la informacin, se crear un fichero llamado servidor.csr, elcual debe enviarse a la CA9. Una vez firmado, la CA enviar, generalmente por correoelectrnico, un fichero con el certificado firmado. Dicho fichero, de nombreservidor.pem, es el que debe instalarse para ser usado por el servidor deseado.

    Creacin de un certificado autofirmado.

    Si lo que deseamos crear es un certificado autofirmado, debemos ejecutar elcomando:

    openssl req -new -key clave.key -x509 -days 365 -outservidor.pem

    Donde, igual que en el caso anterior, clave.key es el fichero con el par de clavespblica y privada que hemos generado con anterioridad, siendo solicitada la contrasea,si la clave ha sido creada con contrasea. A continuacin, el programa solicitar lamisma informacin que en el caso anterior, pudiendo responderse de igual forma queantes y con las mismas restricciones. Como salida, obtendremos un fichero,servidor.pem, el cual puede ya instalarse para ser usado por el servidor deseado.

    Resaltar que en la generacin del certificado autofirmado el argumento -x509indica que se firme como X.509, mientras que el argumento -days 365 indica la validez,en das, del certificado, a partir del instante en que se cre10.

    Instalacin de un certificado.

    La instalacin de un certificado es diferente si se trata del cliente o del servidor.

    Instalacin de un certificado en el servidor.

    La instalacin en el servidor de un certificado es tan sencilla como copiar en losdirectorios adecuados el fichero con el par de claves pblica/privada que se gener paracrear el certificado y el certificado firmado por la CA o autofirmado.

    As, en el caso del servidor web Apache, si deseamos instalar un certificado,deberemos copiar en el directorio /etc/pki/tls/private el fichero con la clave generada,

    8 Si el nombre contiene alguno de dichos smbolos, este debe sustituirse por aquel que refleje de formams fiel el verdadero nombre.9 Para el envo, pago del certificado, etc., deben seguirse las instrucciones que proporcione la autoridad decertificacin en su pgina web.10 Una duracin de un ao (365 das) es un estndar de facto en la validez de los certificados para unservidor.

    Doble Titulacin Informtica + Telemtica 4

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    clave.key en nuestro ejemplo, bajo el nombre localhost.key, y copiar el certificadofirmado o autofirmado en el directorio /etc/pki/tls/certs con el nombre localhost.crt11.

    En el caso de otros servidores, como pueden ser el servidor dovecot que atiendelos servicios de POP3 o IMAP bajo SSL, el proceso es similar, solo que en este caso losficheros anteriores, clave.key y servidor.pem, deben copiarse en el directorio/etc/pki/dovecot/private y /etc/pki/dovecot/certs respectivamente, y asignarles losnombres adecuados (dovecot.pem a ambos ficheros).

    Instalacin de un certificado en el cliente.

    Una vez hemos creado el certificado, nuestro servidor est listo para usarlo, deforma que cada vez que un cliente le solicite hacer uso del servicio encriptado, se leenviar el certificado.

    Si el certificado ha sido firmado por una CA, esta se encontrar, de formageneral, reconocida como tal por el cliente, con lo cual el certificado tan solo sercomprobado y aceptado para su uso.

    Por el contrario, si el certificado ha sido autofirmado, el cliente mostrar alusuario la informacin contenida en el certificado, solicitndole que de su aprobacin ala misma y, por tanto, a seguir utilizando dicho certificado. Esta solicitud se realizarcada vez que el servicio sea requerido.

    Para evitar esto ltimo, el usuario tiene la posibilidad de instalar el certificadocomo un certificado valido para ese ordenador y servicio12, de forma que, una vezinstalado, dicho certificado tendr validez permanente y no se nos requerir nunca mssu aprobacin.

    Creacin de una autoridad de certificacin.

    A pesar de la posibilidad de instalar de forma permanente los certificadosautofirmados, si una entidad posee un gran nmero de ordenadores y servicios seguros ydesea autofirmarlos, puede ser molesto para un usuario tener que instalar un grannmero de certificados autofirmados, o bien, tener que aceptarlos cada vez.

    Para evitar esto, podemos, utilizando OpenSSL, crear una nueva autoridad decertificacin, lo cual nos permitir firmar cuantos certificados deseemos. En este caso,el cliente solo deber descargarse e instalar nuestro certificado autofirmado que nosacredita como autoridad de certificacin13. A partir de ese momento, todos loscertificados que hayan sido firmados por nuestra propia CA tendrn la misma validezque los firmados por cualquier otra CA.

    11 Los nombres de los ficheros pueden modificarse si se modifican dichos nombres en el fichero deconfiguracin del servidor web Apache, lo que veremos en temas posteriores.12 La instalacin del certificado depende de cada sistema operativo, etc., pero suele resultar muy sencillade realizar.13 El certificado que nos acredita como una autoridad de certificacin puede ser puesto a disposicin delos usuarios que deseen descargrselo en una pgina web, por ejemplo.

    Doble Titulacin Informtica + Telemtica 5

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    La creacin de una autoridad de certificacin es un proceso relativamentesencillo. Para ello, debemos crear un directorio, el cual solo debe ser accesible por eladministrador del sistema. Si suponemos que dicho directorio es creado en el directorioraz del administrador del sistema (directorio /root), y tiene como nombre CA, dentrodel mismo debemos crear los directorios que se detallan a continuacin:

    Directorio Descripcin/root/CA/certs Directorio donde se almacenaran los certificados ya firmados y

    enviados a los clientes./root/CA/newcerts Directorio donde se guardan los certificados que acaban de ser

    firmados./root/CA/crl (Certificate Revokation List). Directorio donde los certificados

    revocados son almacenados./root/CA/csr (Certificate Signing Request). Directorio donde son almacenadas las

    peticiones de certificados pendientes de firmar./root/CA/private Directorio donde se almacenaran la clave privada de la autoridad de

    certificacin, as como las dems claves privadas que seangeneradas para los diferentes servicios.

    Adems de los directorios anteriores, debemos crear tres ficheros, de nombres/root/CA/serial, /root/CA/crlnumber y /root/CA/index.txt. El primero de ellos,/root/CA/serial, ser un fichero que deber contener, inicialmente, el valor 01 seguidode un salto de lnea14. Este fichero indica el nmero de serie que tendr el siguientecertificado que sea firmado. El segundo fichero /root/CA/crlnumber indica el nmeroque tendr la siguiente lista de certificados revocados15 y tambin deber tener,inicialmente, el valor 01 seguido de un salto de lnea. Por su parte, el fichero/root/CA/index.txt deber estar vaco inicialmente y ser una base de datos coninformacin sobre los certificados firmados. Ambos ficheros son actualizados de formaautomtica una vez firmado un nuevo certificado. Por tanto, la estructura de directoriosy ficheros que deber existir inicialmente es:

    /root/CA/

    certs/ newcerts/crl/csr/ private/ serial index.txtcrlnumber

    Una vez creados los directorios y ficheros, debemos modificar el fichero deconfiguracin de OpenSSL16, que es /etc/pki/tls/openssl.cnf. Para no modificar dichofichero, podemos realizar una copia del mismo en el directorio donde se encuentranuestra autoridad de certificacin. As, por ejemplo, puede copiarse a /root/CA/irtic.cnf.

    Dentro del fichero de configuracin, tan solo es necesario modificar,generalmente, tres secciones, [ CA_default ], [ req_distinguished_name ] y [ req ]. Enla seccin [ CA_default ] debemos especificar los siguientes valores17:

    14 Este fichero y el siguiente pueden crearse con el comando echo "01" > fichero.15 En las versiones antiguas de openssl este fichero no er necesario, utilizando en su lugar el valor quecontena el fichero serial.16 Un ejemplo completo de un directorio de CA se encuentra en /etc/pki/CA, mientras que scripts paraejecutar las labores ms comunes de una CA se encuentra dentro del directorio /etc/pki/tls/misc.

    Doble Titulacin Informtica + Telemtica 6

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    Variable Valor Descripcindir /root/CA Directorio raz de la autoridad de

    certificacin.certs $dir/certs Directorio donde se almacenaran los

    certificados ya firmados.crl_dir $dir/crl Directorio donde los certificados revocados

    son almacenados.database $dir/index.txt Archivo con la base de datos de los

    certificados.new_certs_dir $dir/newcerts Directorio donde se guardan los certificados

    que acaban de ser firmados.certificate $dir/irtic.pem Archivo con la clave pblica de la autoridad

    de certificacin.serial $dir/serial Archivo con el nmero de serie de los

    certificados.crlnumber $dir/crlnumber Archivo con el nmero de serie de

    revocacin. Si se desea un funcionamientocomo en versiones antiguas de openssl puedecomentarse esta lnea.

    crl $dir/crl.pem Lista de los certificados revocados.private_key $dir/private/irtic.key Archivo con la clave privada de la autoridad

    de certificacin.RANDFILE $dir/private/.rand Archivo con el nmero aleatorio privado.x509_extensions usr_cert Extensiones que han de aadirse al

    certificado.name_opt ca_default Formato en que se mostrar el nombre del

    certificado antes de que sea firmado.cert_opt ca_default Formato en que se mostrar un certificado

    antes de que sea firmado.default_days 365 Das por defecto para los que se firma el

    archivo.default_crl_days 30 Das por defecto en que debe ser actualizada

    la lista de certificados revocados de estaautoridad de certificacin.

    default_md default Compendio de mensaje utilizado, por defectoes md5 (valor default).

    preserve no Indica si se ha de mantener o no el ordenDomain Name.

    policy policy_match Poltica por defecto a aplicar si no seespecifica ninguna.

    La variable policy de la tabla anterior puede tomar dos valores, policy_math opolicy_anything, que se encuentran definidas como se indica a continuacin:

    [ policy_match ]countryName = matchstateOrProvinceName = matchorganizationName = match

    17 Los valores de configuracin que utilizaremos suponen que el directorio de la autoridad de certificacinse ha creado dentro del directorio /root del sistema.

    Doble Titulacin Informtica + Telemtica 7

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    organizationalUnitName = optionalcommonName = suppliedemailAddress = optional

    [ policy_anything ]countryName = optionalstateOrProvinceName = optionallocalityName = optionalorganizationName = optionalorganizationalUnitName = optionalcommonName = suppliedemailAddress = optional

    Donde el valor match indica que ese campo debe ser igual en la autoridad decertificacin y en el certificado a firmar, mientras que el valor supplied es que esobligatorio que sea proporcionado en el certificado a firmar, aunque puede ser distintodel valor existente en la autoridad de certificacin, y el valor optional es que puede noser proporcionado en el certificado a firmar.

    La poltica policy_match sirve para que una autoridad de certificacin puedafirmar sus propios certificados, mientras que la poltica policy_anything permite queuna autoridad de certificacin firme certificados de cualquier otra organizacin.

    Por otra parte, en la seccin [ req_distinguished_name ] debemos especificar lossiguientes valores:

    Variable Valor DescripcincountryName_default ES Pas de emisin del

    certificadostateOrProvinceName_default Valencia Estado o provincia de

    emisinlocalityName_default Paterna Localidad de emisin del

    certificado0.organizationName_default Universitat de Valencia Nombre de la

    organizacinorganizationalUnitName_default IRTIC Nombre de la seccincommonName_default Autoridad de Certificacion

    del IRTICNombre de la autoridad

    emailAddress_default [email protected] Direccin de correo delresponsable de laautoridad de certificacin

    Por ltimo, en la seccin [ req ] puede ser necesario, en algunos casos, modificarlos valores por defecto:

    Variable Valor por defecto Descripcindefault_bits 2048 Bits por defecto de la clave privada.default_md sha1 Compendio de mensaje usado por defecto.

    Doble Titulacin Informtica + Telemtica 8

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    Una vez configurado el fichero, podemos crear el certificado de la autoridad decertificacin como18:

    openssl req -new -x509 -days 3650 -config /root/CA/irtic.cnf -keyout /root/CA/private/irtic.key -out /root/CA/irtic.pem

    En la ejecucin de la creacin del certificado se solicita una contrasea deacceso a la clave, as como los datos del pas, localidad, etc. Si el fichero deconfiguracin ha sido correctamente configurado, todos los datos por defecto sernvalidos.

    Una vez generados los certificados, podemos comprobar la clave secretagenerada con:

    openssl rsa -in /root/CA/private/irtic.key -text

    As como el certificado generado:

    openssl x509 -in /root/CA/irtic.pem -text

    Y el propsito del mismo con:

    openssl x509 -in /root/CA/irtic.pem -purpose

    Distribucin de la acreditacin de una autoridad decertificacin.

    De forma general, las autoridades certificadoras se instalan con el sistemaoperativo, siendo modificadas por las actualizaciones de los propios sistemas operativosal incluirse nuevas autoridades de certificacin.

    Sin embargo, si hemos creado nuestra propia autoridad de certificacin,desearemos que esta pueda ser instalada como autoridad de certificacin raz, de formaque cualquier certificado firmado por nuestra CA sea admitido automticamente.

    Para ello, la forma ms cmoda consiste en colocar, en un sitio al que seaposible acceder por red (un servidor web, un servidor de FTP, etc.), el fichero irtic.pemobtenido con anterioridad19. Dicho fichero, descargado por la red e instalado en la listade autoridades de certificacin raz de un ordenador, nos confiere la autoridad de unaCA para ese ordenador, por lo que todo certificado firmado por nosotros serautomticamente validado.

    18 Suponemos que todos los comandos se ejecutan desde el directorio dentro del cual se encuentra creadoel directorio raz de la autoridad de certificacin (directorio CA). En caso de no ser as debera cambiarseel comando para indicar el camino adecuado.19 Al fichero irtic.pem puede ser necesario cambiarle la extensin, por ejemplo a irtic.cer, para quealgunos sistemas operativos como Windows realicen de forma automtica la importacin del certificado.

    Doble Titulacin Informtica + Telemtica 9

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    Firma de un certificado por la autoridad de certificacin.

    Una vez hemos creado la autoridad de certificacin, vamos a explicar comofirmar una solicitud de certificado. Recordar, previamente, que dicho certificado servalido para todos aquellos clientes que reconozcan la validez de nuestra autoridad decertificacin.

    Para ello, supongamos que nos ha llegado una solicitud de certificado, quetenemos en el fichero /root/CA/csr/servidor.csr. Dicha solicitud ha sido generada tal ycomo vimos con anterioridad.

    Podemos examinar dicha solicitud que nos ha llegado mediante el comando:

    openssl req -in /root/CA/csr/servidor.csr -text

    Si consideramos que dicha solicitud es correcta, podemos pasar a firmarlamediante:

    openssl ca -config /root/CA/irtic.cnf -in/root/CA/csr/servidor.csr -verbose

    El tiempo de validez del certificado es dado por el valor de la variabledefault_days del fichero de configuracin, 365 das en el ejemplo que estamosutilizando.

    Como salida del comando anterior, obtendremos, dentro del directorio./CA/newcerts un fichero con el nombre .pem, donde es el nmero de serie que en el instante de la firma tuviera el fichero serial.

    Con el comando comentado en la lnea anterior, al no especificar ningunapoltica, utilizamos la poltica por defecto, por lo que solo podemos firmar certificados,de nuestra propia organizacin, que es la poltica por defecto. Si deseamos firmarcertificados con nuestra autoridad de certificacin para cualquier organizacin externa,debemos ejecutar el comando:

    openssl ca -config /root/CA/irtic.cnf -in/root/CA/csr/servidor.csr -verbose -policy policy_anything

    El cual indica que no es necesario que coincida el nombre de la autoridad decertificacin con el nombre de la autoridad que solicita la firma del certificado20.

    Revocacin de certificados por una autoridad de certificacin.

    Toda autoridad certificadora tiene la posibilidad de revocar algn certificadoemitido. El motivo de revocar un certificado puede ser tan sencillo como la caducidaddel mismo21, el extravo de algn certificado, etc.

    20 Este comando lo que hace es seleccionar la poltica "policy_anything" del fichero de configuracin enlugar de la poltica por defecto "policy_match".21 Una autoridad de certificacin no puede firmar dos certificados para el mismo ordenador sin haberrevocado previamente el certificado anterior, obteniendo, en caso de no hacerlo, un mensaje de error

    Doble Titulacin Informtica + Telemtica 10

  • Administracin y Gestin de Redes Creacin y administracin de certificados de...

    Para revocar un certificado, se introduce el certificado en el directorio ./CA/crl yse actualiza el fichero ./CA/crl.pem que contendr los certificados revocados por nuestraautoridad de certificacin. Esto se realiza mediante el comando:

    openssl ca config /root/CA/irtic.cnf -revoke/root/CA/certs/servidor.crt

    Que genera la revocacin del certificado servidor.crt y la incluye en el directoriode certificados revocados. Por su parte, el comando:

    openssl ca config /root/CA/irtic.cnf -gencrl -out/root/CA/crl/crl.pem

    Que actualiza la lista de certificados revocados. Podemos examinar la lista decertificados revocados mediante el comando:

    openssl crl -in /root/CA/crl/crl.pem -text

    La lista de certificados revocados debe ser puesta a disposicin de los usuariosde la red de forma similar a como ponemos nuestra autoridad de certificacin. Estopermite a los usuarios descargarse la lista de certificados revocados e instalarla en suordenador, pudiendo comprobar que los certificados que le llegan, adems de haber sidofirmados por nuestra CA, continan siendo validos para nuestra CA que los ha firmado.

    Ejercicios.

    1- Ejecutar los comandos necesarios para crear un certificado autofirmado con la claveprivada protegida por contrasea, para un servidor de nombre mi_servidor.

    2- Una empresa, de nombre mi_empresa, posee un gran nmero de servidores seguros,por lo que desea convertirse en una autoridad de certificacin. Ejecutar los comandosnecesarios para establecer dicha empresa como autoridad de certificacin.

    3- Una empresa, que es una autoridad de certificacin, desea crear un certificado paraun nuevo servidor que acaba de adquirir y cuyo nombre es mi_nuevo_servidor. Ejecutartodos los comandos necesarios para crear el certificado del servidor y firmarlo por partede la autoridad de certificacin.

    4- Deseamos firmar un nuevo certificado, ya creado, para un servidor llamadomi_servidor, al cual ya hemos firmado un certificado con anterioridad. Ejecutar loscomandos necesarios para firmar el nuevo certificado.

    indicando que no es posible actualizar el fichero ./CA/index.txt.

    Doble Titulacin Informtica + Telemtica 11

    Creacin y administracin de certificados de seguridad mediante OpenSSL.Introduccin.Creacin de un par de claves pblica y privada.Creacin de un certificado.Creacin de un certificado para su firma por una autoridad de certificacin.Creacin de un certificado autofirmado.

    Instalacin de un certificado.Instalacin de un certificado en el servidor.Instalacin de un certificado en el cliente.

    Creacin de una autoridad de certificacin.Distribucin de la acreditacin de una autoridad de certificacin.Firma de un certificado por la autoridad de certificacin.Revocacin de certificados por una autoridad de certificacin.Ejercicios.