Beruflich Dokumente
Kultur Dokumente
Certificados SSL:
SSL = Secure Socket Layer
Se utiliza para autenticar al servidor web y proteger el intercambio de informacion con el cliente.
Solo garantiza la autenticidad de la identidad del servidor.
Para proteger la informacion se usa un esquema de cifrado hibrido:
1. El usuario se conecta al servidor web via https://
2. El servidor web envia al usuario su clave publica.
3. El usuario valida que la clave publica es correcta y que el servidor es quien dice ser. La comprobacion la hace
contra una CRL (Certificate Revocation List).
4. El usuario genera una clave de cifrado simetrica. Protege esta clave simetrica con la clave publica del
servidor y se la envia al servidor.
5. El servidor usa su clave privada para descifrar la clave simetrica.
6. A partir de aqu, las comunicaciones entre servidor y usuario van cifradas con la clave simetrica.
Este proceso se denomina SSL Handshake.
Los certificados pueden tener diferentes propositos. En cada caso, el certificado es como un formulario que incluye
diferentes datos. Por ejemplo, ne el caso de SSL:
- Autoridad certificadora
- Fecha de emision y fecha de caducidad.
- Fingerprint o clave publica
- Clave privada.
- URL: no existe este campo en otros tipos de certificado como los de usuario o EFS. Por ejemplo,
www.adatum.com
Los campos que se incluyen en este certificado se recogen en la plantilla de certificado (certificate template).
Ademas, los certificados tienen diferentes formatos, aunque el estandar actual es el X.509
Pedimos el de usuario
Solo se pueden desrevocar certificados cuando los revocamos como hold certificate
Para compartir el archivo con otro usuario, o para crear un DRA (data recovery agent), el proceso es igual:
1. Se cifra la clave simetrica con la clave publica del otro usuario o el DRA.
2. Se aade la clave simetrica cifrada al encabezado del archivo
PKI:
PKI= Public Key Infraestructure
Componentes de una PKI:
- Certification authority: Gestiona y emite certificados y plantillas de certificados.
- Certificados
- Plantillas de certificados
- CRL: Lista en la que aparecen los certificados revocados. Puede accederse a esa lista por diferentes medios:
almacenada en la particion configuracion del AD, via web, almacenada en una carpeta compartida
- CDP: (CRL Distribution Point) guarda y publica las localizaciones de las CRLs
- Online responder: La funcionalidad de comprobar la validez de certificados puede sacarse de la CA para
descargala en el trabajo, o para que esta funcionalidad se accesible desde el exterior sin comprometer la
seguridad de la CA. Esta funcionalidad se llama online responder. OCSP (Online Certificate Status Protocol).
- AIA: (Authorization information Access). Permite a los usuarios encontrar autoridades certificadoras y
certificados de CAs actualizados.
- HSM (Hardware Security Module): hardware especifico que se encarga de hacer las operaciones
criptograficas.
Plantillas de Certificados y versiones
Las version 1 son las que vienen preinstaladas y no se pueden modificar
Cadena de confianza
Esta almacenada en la particion de configuracion por que es enterprise y se distribuye en el DA tambien esta el AIA
CPD: Indica donde estan los puntos de distribucion de CRLs. Por defecto, cada CA tiene la CRL de los
certificados revocados emitidos por ella.
La pKI suele disearse para que la CA root emita certificados para validar las CAs subordinadas, pero no certificados
para usuarios o equipos. Una vez que la CA subordinada ha recibido su certificado de la CA raiz, podemos apagar la
CA raiz. Esto implica que deja de estar disponible su CRL. Si reiniciamos la CA subordinada, no podra comprobar si
su certificado sigue siendo valido y no se reiniciara.
Aunque en la particion de configuracion del AD aparecen los CDP, cada certificado emitido incluye en sus detalles la
localizacion de la CRL donde comprobar si esta revocado o no.
Si queremos guardar las CRLs en localizaciones alternativas, por ejemplo, para que accedan usuarios desde fuera
de la red, o usuarios que no pertenecen al dominio, esto debe hacerse ANTES de emitir los certificados
Si instalamos una CA subordinada, al usar el asistente todos los valores se definiran por defecto. Si necesitamos
cambiar algun parametro antes de desplegarla, tenemos que usar el archivo CAPolicy.inf Este archivo no esta
instalado por defecto y lo tendriamos que guadar en C:\Windows\ antes de empezar a desplegar la CA subordinada
http://blogs.technet.com/b/askds/archive/2009/10/15/windows-server-2008-r2-capolicy-inf-syntax.aspx
En casos extremos, cuando la infraestructura PKI es critica y en organizaciones muy grandes, podria ser necesaria
la separacion de roles administrativos.
Esta separacion de roles implica que un mismo usuario no puede realizar a la vez 2 tareas. Por ejemplo, un mismo
usuario no podria aprobar peticiones y revocaciones, y al mismo tiempo, hacer copia de seguridad de una CA.
Para ejecutar esta separcion de roles, es IMPRESCINDIBLE que antes no haya ningun usuario que tenga mas de 1
rol, de lo contrario, perderia todos los roles.
Si queremos ejecutarlo:
Certutil setreg ca\rolesseparationenabled 1
Ejercicio 1: Configurar un CDP para la autoridad certificadora adatum-LON-DC1-CA de forma que la CRL completa y
la delta esten en una carpeta compartida accesible via web
Creamos la carpeta donde van a estar la CRL y luego publicarla via web
Ahora si pedimos un certificado y miramos los detalles vemos que aparece la lista que hemos creado
Online Responder:
La tarea que mas recursos consume en un CA es la validacion de certificados, comprobar si un certificado sigue
siendo valido o ha sido revocado.
Para descargar de esta tarea a las CAs, podemos instalar y configurar un Online Responder, que implementa el
protocolo OCSP (Online Certificate Status Protocol).
Esta maquina con el online responder tambien tiene que estar autenticada, por lo que sera necesario darle un
certificado de OCSP.
Le cambiamos el nombre
Como ya hemos creado la plantilla ya nos aparece para solicitar el certificado necesario para online responder
Por seguridad no se pone LDAP por que este servidor no deberia acceder por directorio activo a la CA
Ahora tenemos que aadir el online responder para que se meta en los detalles de los certificados.
Ejercicio2: Configurar el online responder de LON-DC1 de forma que atienda peticiones para adatum-LON-DC2-CA.
Y ya nos aparece
Tambien podemos recrear la configuracion hasta que replique pero eligiendo el certificado a mano
Plantillas de certificados:
Un certificado digital contiene el par de claves e informacion sobre el usuario, el equipo o el servicio que hace uso de
ese certificado:
- Email del usuario
- URL de un servidor web
- Nombre de usuario
-
La informacion que contiene el certificado depende de su tipo y de su proposito.
La plantilla actua a modo de formulario para recoger la informacion necesaria para elaborar el certificado.
Ademas de esta informacion, la plantilla tambien incluye muchos otros parametros:
- DACL en la que se indican los usuarios y los permisos sobre esa plantilla
- Modo de publicacion del certificado
- Periodos de valided
- Formas de renovacion de ese certificado
- Si se almacena la clave privada en el AD para fines de recuperacion (KRA: Key Recovery Agent).
Se esta publicando la clave publica en el AD para que todos los usuarios tengan acceso a ella y con fines de
recuperacion
Aqu podemos definir la plantilla a la que vamos a sustituir por que la hemos actualizado
Autoenrollment:
Cuando tenemos CAs Enterprise, podemos aprovechar las facilidades del AD para distribuir certificados a usuarios y
equipos. De esta forma, los usuarios no tendran que pedir el certificado que necesitan usando el snap-in certificates
en una mmc. Este proceso se conoce como autoenrollment.
Autoenrollment se configura mediante GPOs.
Como es un certificado de usuario nos vamos a configuracion de usuario. En equipo estan las mismas politicas
Estas opciones se utilizarian para usar certificados no emitidos por nosotros o por la CA integrada en DA menos las
3 ultimas
Aplicamos la GPO y actualizamos politicas en el cliente si se aplica la GPO automaticamente apareceran los
certificados que tengan permisos de autoenrollment
Vamos a firmar un script
Primero ponemos la politica de ejecucion en solo firmados
Set-ExecutionPolicy -ExecutionPolicy AllSigned
Enrollment Agent:
En algunos escenarios puede ser necesario disponer de un usuario que pueda solicitar certificados de parte de otros
usuarios o equipos
Este tipo de usuario se denomina Enrollment Agent.
Como es un riesgo importante, suele usarse el Enrollment Agent Restricted, donde tenemos definidas plantillas y los
usuario y equipos de parte de los que puede pedir un certificado. Por ejemplo, podemos restringir el enrollment agent
para que solo pueda pedir certificados para el grupo de logistica del tipo Basic EFS.
Para que un usuario sea enrollment agent, debe tener un certificado del tipo enrollment agent.
Y la publicamos
Desde esta pestaa elegimos los enrollagents que plantillas pueden solicitar y para quien
Ahora mismo el usuario sistemas1 podria perdir el certificado de basic EFS para los usuarios que esten en el grupo
Grupo_Sistemas
Le cambiamos el nombre
OJO con el check de publish certificate in active directory no estamos almacenando la clave privada sino la publica
Ahora configurar la plantilla para que sustituya la anterior para que no se entregen mas sin almacenar en el DA
Por ejemplo, para que los certificados de code signing guarden sus claves privadas en el AD, la plantilla code signing
debe tener activado en request Handling el archivado de claves
Para que un usuario o un grupo pueda trabajar como KRA, debe tener asigando un certificado de KRA (Key
Recovery Agent).
Desde la consola podriamos renovar todos los certificados que ya estaban emitidos con la nueva plantilla
Aqu le estamos dando el certificado de equipo donde se van a poder recuperar las claves y no en cualquier maquina
Tendriamos que darle un certificado computer a la maquina que queramos permitir utilizar para recuperar claves
Ahora vamos a dar permiso al usuario para ser KRA ya que acabamos de emitir su certificado
Vamos a probar la recuperacion pedimos el certificado con la plantilla que tiene habilitada la publicacion en DA