Entitat Certificadora

Publicat el Deixar un comentari Etiquetes: ,

Esta entrada también está disponible en: Castellà

Cada cop es fa més necessari protegir les comunicacions (servidors Web, correu, SQL, Escriptori Remot, connexions VPN), identificar correctament un equip o usuari, xifrar correus o fitxers, firma electrònica, etc… Un dels mètodes que tinc per portar a bon port aquest requisit són els CERTIFICATS.

Els certificats? No és allò d’Hisenda?

Si, però és moltes més coses. L’ús de poder fer la declaració de la Renta a Hisenda és una de les aplicacions que tenen, però n’hi ha moltes més.

Serveix qualsevol certificat?

Depèn del servei que vulgui protegir. Si vull protegir un servei web, com l’OWA, no em serveix un certificat d’usuari, necessito un certificat de servidor Web que identifiqui el lloc (la URL). En canvi si vull signar un document, necessito un certificat d’usuari que permeti signar documents. Podem dir que els certificats es creen amb una finalitat concreta i només es poden utilitzar per aquesta finalitat.

Què és una Entitat Certificadora?

És l’encarregada de gestionar els certificats. Per gestionar s’entén:

  • l’Emissió és la part que genera els certificats. Es basa en permisos i directives que defineixen la finalitat que ha de tenir cada certificat (signatura, identificació, xifrat), el periode de validesa i per a qui o què s’atorga. Generant una clau pública i privada, en cas de no disposar d’un HSM (Hardware Security Module).
  • Revocació s’encarrega de mantenir i publicar la llista de certificats que, tot i tenir un període de validesa vàlid, pel motiu que sigui han estat revocats. És a dir, s’han invalidat (s’ha vist compromès, s’ha robat o manipulat).

He de comprar els certificats o puc utilitzar els meus?

Depèn perquè s’hagin d’utilitzar i la confiança que es tingui a terceres persones o entitats. Tothom pot tenir una Entitat Certificadora pròpia, de fet és el més normal. Però què passa quan intervé un tercer? La confiança que hi pugui tenir o implicacions legals, però això és una altra història que tinc pendent d’explicar de forma més planera, de moment, muntem la nostra pròpia entitat certificadora.

 

La meva Entitat Certificadora

Per poder utilitzar els nostres propis certificats en els diferents serveis que necessitem protegir podem utilitzar l’Entitat Certificadora que aporta Windows Server. D’aquesta forma tinc un control total sobre la pròpia infraestructura sense dependre de tercers.

Hi ha dues formes d’instal·lar l’Entitat Certificadora: de forma independent o integrada en l’Active Directory. La diferència rau on es publiquen les claus privades i públiques. En cas que s’hagin de protegir els certificats d’usuaris a l’hora d’utilitzar-los, és possible generar aquests certificats en dispositius HSM. Aquesta última opció és important valorar-la abans de fer la instal·lació de l’entitat ja què posteriorment, no serà possible fer el canvi.

Instal·lació del rol

Depenent del tipus de xarxa (petita o gran) i l’importància dels certificats a la xarxa, l’entitat certificadora s’instal·la en un dels controladors d’Active Directory o en un servidor independent. No obstant, l’ideal és instal·lar l’entitat certificadora en dos servidors independents. Un per l’entitat certificadora arrel (que guardarem amb pany i forrellat) i l’altre per una entitat certificadora subordinada, per gestionar els certificats. De moment, es descriu el procés d’instal·lació i gestió d’una sola entitat certificadora.

Des del servidor Windows 2012, a l’administrador del servidor, seleccionar Panel > Agregar roles y características.

ca01-01

Seleccionar l’opció Instalación basada en características o en roles i clicar el botó Siguiente.

ca01-02

Seleccionar el servidor al què s’ha d’aplicar el nou rol i clicar el botó Siguiente.

ca01-03

De la llista de rols, marcar Servicios de certificados de Active Directory. Al fer-ho demana per afegir les característiques associades al rol. Assegurar que també instal·lem les eines d’administració i clicar el botó Agregar características. Tornant a la pantalla de rol, clicar el botó Siguiente.

ca01-04

La llista de característiques es deixa tal qual. Clicar el botó Siguiente.

S’ha detectat la instal·lació dels serveis de certificats i s’explica una mica perquè serveix. Clicar el botó Siguiente.

ca01-05

Marcar els serveis del rol a instal·lar:

  • Entidad de certificación
  • Inscripción web de entidad de certificación (al seleccionar, afegeix les característiques IIS necessàries).

Per aquesta instal·lació, saltem les opcions següents:

  • Respondedor en línea (permet publicar la llista de revocació en entorns complexes)
  • Servicio de inscripción de dispositivos de red (permet fer sol·licituds de certificats a dispositius de xarxa)
  • Servicio web de directiva de inscripción de certificados (permet assignar directives a equips i usuaris externs al domini de seguretat)
  • Servicio web de inscripción de certificados (permet fer inscripcions a equips i usuaris externs al domini de seguretat)

Clicar el botó Siguiente.

ca01-06

Resum de la instal·lació, clicar el botó Instalar.

ca01-07

Acabada la instal·lació, s’informa que es requereixen de passos addicionals: configurar l’entitat certificadora. Clicar l’enllaç (Configurar Servicios de certificados de Active Directory en el servidor de destino) per iniciar l’assistent.

ca01-08

Configuració de l’entitat certificadora

Al iniciar l’assistent, el primer que es demana és l’usuari amb què es configurarà l’entitat certificadora:

  • Entitat Certificadora independent, ha de ser un administrador local.
  • Entitat Certificadora empresarial (integrada amb l’Active Directory), ha de ser un administrador d’organització (no Admin. del domini, sinó Admin. d’empresa).

Seleccionar l’usuari corresponent i clicar el botó Siguiente.

ca01-09

Marcar els serveis a configurar:

  • Entidad de certificación
  • Inscripción web de entidad de certificación

Clicar l’opció Siguiente.

ca01-10

Seleccionar el tipus d’entitat certificadora: Empresarial o Independent. En aquest cas, seleccionar Empresarial per integrar-la a l’Active Directory. Clicar el botó Siguiente.

ca01-11

Tipus d’entitat certificadora: arrel o subordinada. Com que és la primera, seleccionar arrel i clicar el botó Siguiente. En cas de desplegar la subordinada, òbviament es seleccionaria aquesta altra opció, indicant l’entitat certificadora arrel del què ha de penjar.

ca01-12

Gestió de la clau privada de l’Entitat Certificadora. Com que s’està creant una nova entitat certificadora seleccionar crear una clau privada nova. En cas de recuperació de desastre de l’entitat certificadora o pels motius que siguin, es pot utilitzar una clau privada ja existent. Clicar el botó Siguiente.

ca01-13

Criptografia per l’Entitat Certificadora. Com dius? Cripto què? L’algoritme amb el que es generen les claus i els hash (signatures) dels certificats. Com més alts, més difícils de trencar. Seleccionar RSA#Microsoft Software Key Storage Provider a 4096 amb hash SHA256. Clicar el botó Siguiente.

ca01-14

S’identifica l’entitat certificadora. Per defecte es proporciona el nom del domini, seguit de l’equip i acaba amb les sigles CA. A gust de cada administrador. Jo prefereixo indicar el nom de l’empresa, perquè sigui més fàcil d’identificar per les persones. Clicar el botó Siguiente.

ca01-15

Període de validesa del certificat de l’Entitat Certificadora, per defecte a 5 anys. I sí, s’ha de posar un període de validació que es pugui controlar. No posar molt de temps perquè si es compromet la clau de l’entitat certificadora es tindrien problemes de seguretat seriosos. Clicar el botó Siguiente.

ca01-16

Ubicació de la base de dades i registres dels certificats. En la mateixa unitat o per seguretat millor en una altra unitat o partició. Clicar el botó Siguiente.

ca01-17

Ja està tot a punt, només queda aplicar la configuració a l’entitat certificadora. Clicar el botó Configurar.

ca01-18

S’ha d’acabar la configuració amb un tot correcte. Clicar el botó Cerrar.

ca01-19

 

Primers passos amb l’Entitat Certificadora

Abans de començar a donar certificats, tot i que ja hi ha les plantilles estàndard definides, s’ha de personalitzar una mica, l’Entitat Certificadora segons les necessitats. Obrir la consola de gestió de la pròpia entitat: des de l’administrador del servidor, seleccionar el menú Herramientas > Entidad de certificación.

ca01-20
Botó dret damunt el nom de l’entitat certificadora i seleccionar Propiedades per visualitzar i editar la configuració de la mateixa.

ca01-21

Donant una ullada a les diferents opcions que es poden deixar amb la configuració per defecte:

ca01-22

Mòdul de Directives

ca01-23

Mòdul de sortida

ca01-24

Emmagatzematge

ca01-25

Auditoria

ca01-26

Administradors de certificats

ca01-27

Agents d’inscripció

ca01-28

Seguretat. Qui pot administrar l’entitat certificadora.

 

I els que sí s’han de modificar:

Extensions. On es publica la llista de revocació i des d’on es pot aconseguir el certificat generat per l’entitat.

ca01-29

Agents de recuperació. Si un usuari ha perdut la clau privada del certificat, com el recupero.

ca01-30

 

Visió general de l’Entitat Certificadora. On són les coses?

L’entitat certificadora s’organitza en carpetes:

  • Certificats revocats. Llista dels certificats que tot i que el període de validesa és correcte, l’administrador els ha donat com a no vàlids pels motius que siguin. És a dir, en cas d’utilització i si s’ha consultat correctament la llista de revocació, s’informa que el certificat està revocat.
  • Certificats emesos. Tots els certificats que ha generat l’entitat certificadora i que no s’han revocat. Ull, també inclou els que ja han caducat.
  • Sol·licituds pendents. En cas que les plantilles demanin autorització de l’administrador de l’Entitat Certificadora per emetre el certificat, en aquest apartat es visualitzen els certificats que es demanen. L’Administrador ha d’aprovar o denegar la sol·licitud de cada certificat segons correspongui.
  • Errors en les sol·licituds. Com indica el nom, errors que s’hagin produït al fer la sol·licitud del certificat. Una petició mal formada, problemes amb les plantilles.
  • Plantilles de certificat. Els tipus de certificats que pot generar l’entitat certificadora. Per defecte ja n’inclou uns quants que potser poden servir. Jo recomano modificar amb els que treballo: usuari, equip, servidor web i agent de recuperació.

ca01-31

 

Plantilles de certificat

Clicant amb el botó dret del ratolí damunt la carpeta Plantilles de certificat, permet administrar i publicar les diferents plantilles disponibles a l’entitat certificadora. És important fer-ho abans de generar els certificats per la finalitat escollida. Seleccionar Administrar. Segons el tipus d’Entitat Certificadora i versió del sistema operatiu apareixen més o menys plantilles.

ca01-32

Les plantilles de sistema no es poden modificar. S’ha de generar una còpia de la mateixa i modificar a gust. Clicant damunt la plantilla amb el botó dret del ratolí i seleccionar Plantilla duplicada.

ca01-33

El primer que es demana és per la compatibilitat de la plantilla. És important, ja què segons el sistema operatiu que l’hagi d’utilitzar la veurà o no.

ca01-34

Canviant el sistema operatiu de l’Entitat Certificadora o del destinatari del certificat s’informa dels canvis que es produeixen a la plantilla.

ca01-35

La pestanya general, permet especificar el nom de la nova plantilla, així com el període de validesa i renovació.

ca01-36

En el tractament de la sol·licitud s’especifica el propòsit pel que es genera el certificat. En l’exemple, un certificat d’usuari pot ser per xifrar, per signar, per signar i iniciar sessió amb targeta intel·ligent o per xifrar i signar.

ca01-37

El xifrat del certificat. Com més alt més fort i per tant més difícil de trencar.

ca01-38

Plantilles substituïdes. Si la nova plantilla substitueix una plantilla que ja estava publicada. En aquest cas, afegir la plantilla que substitueix.

ca01-39

Les extensions que s’associen al certificat:

  • Directives d’aplicació. Per a què es pot fer servir el certificat.

ca01-40

  • Directives d’emissió. En quines condicions es pot emetre el certificat.
  • Restriccions bàsiques. Per tornar a emetre certificats a altres entitats.
  • Ús de la clau.

ca01-41

seguretat, s’especifiqui qui pot veure la plantilla i/o demanar el certificat a petició o de forma automàtica.

ca01-42

Nom del subjecte. Especifica com es construeix l’identitat a protegir (adreça de correu electrònic, nom d’usuari, nom d’equip, etc…)

ca01-43

Servidor. Informació referent a la protecció del certificat.

ca01-44

Requisits per l’emissió. Què s’ha de complir per poder emetre el certificat: ha d’estar autoritzat per un administrador? (la petició va a la carpeta de sol·licituds pendents), ho ha d’autoritzar un administrador o més d’un?…

ca01-45

 

Agent de recuperació

A nivell empresarial, és interessant poder recuperar la clau privada d’un certificat emès a partir de l’entitat certificadora. Sobretot en casos que l’usuari pugui haver abandonat l’empresa, eliminat per accident el certificat, etc…

ABANS de generar els certificats susceptibles de poder recuperar la clau privada, s’ha de procedir a generar el certificat de l’Agent de Recuperació.

Des de la consola d’administració de l’Entitat Certificadora, botó dret del ratolí a Plantillas de certificado i seleccionar Administrar. Localitzar la plantilla Key Recovery Agent (o bé agente de recuperación de claves), botó dret del ratolí i seleccionar propiedades. Confirmar el període de validesa segons correspongui.

ca01-46

A compatibilitat, escollir el sistema operatiu de l’entitat certificadora corresponent: Windows Server 2012; i el del destinatari: Windows 8/Windows Server 2012.

ca01-47

A criptografia, augmentar la clau a 4096.

ca01-48

Requisitos de emisión. Segons convingui. Desmarcar o marcar l’opció “Aprobación del administrador de certificados de entidad de certificación”. En cas d’estar marcada, un cop generat el certificat, s’ha d’aprovar la sol·licitud per un administrador de forma manual des de la consola de l’Entitat Certificadora.

ca01-49

Clicar el botó Aceptar i tancar la consola de plantilles de certificat.

Botó dret damunt la carpeta Plantillas de certificado, seleccionar Nuevo > Plantilla de certificado que se va a emitir.

ca01-50

Seleccionar Key Recovery Agent, clicar el botó Aceptar.

ca01-51

Comprovar a la llista de plantilles disponibles que apareix Key Recovery Agent.

ca01-52

 

 

Generar el certificat de l’agent de recuperació per l’Administrador

Iniciar una consola d’administració (Windows + R i escriure mmc). Afegir el complement de certificats. Archivo > Agregar o quitar complementos > Certificados > Mi cuenta de usuario. Clicar el botó Finalizar i Cerrar.

ca01-53
Des de l’arbre de carpetes de l’esquerra, seleccionar Certificados: usuario actual > Personal > Certificados. Botó dret del ratolí, seleccionar Todas las tareas > Solicitar un nuevo certificado

ca01-54

S’inicia l’assistent per la sol·licitud d’un certificat, clicar el botó Siguiente.

ca01-55

Permet escollir la directiva per la inscripció de certificats, de moment saltar aquest pas. En entrades posteriors explicaré com generar aquestes directives per inscripcions. Clicar el botó Siguiente.

ca01-56

Seleccionar l’opció Key Recovery Agent per generar la plantilla d’agent de recuperació. Clicar el botó Inscribir.

ca01-57

Es genera la sol·licitud, però queda com a Inscripción pendiente. Clicar el botó Finalizar.

ca01-58

Tornar a la consola d’administració de l’Entitat Certificadora. Seleccionar la carpeta Solicitudes pendientes. Es visualitza la sol·licitud pendent.

ca01-59

Botó dret del ratolí, seleccionar Todas las tareas i l’opció que correspongui: Emitir o Denegar. Seleccionar Emitir.

ca01-60

La sol·licitud pendent desapareix, seleccionant la carpeta de certificats emesos, es pot observar el nou certificat.

ca01-61

Tornar a la consola de certificats que s’ha obert abans (amb la que s’ha fet la petició). Seleccionar la carpeta Solicitudes de inscripción de certificado > Certificados. Botó dret damunt la sol·licitud pendent. Seleccionar Todas las tareas > Exportar

ca01-63

S’inicia l’assistent d’exportació de certificats. Clicar el botó Siguiente.

ca01-64

Indicar si es vol exportar la clau privada o no. Seleccionar l’opció exportar la clau privada i clicar el botó Siguiente.

ca01-65

Seleccionar les opcions d’exportació. Es pot deixar per defecte. Clicar el botó Siguiente.

ca01-66

Al incorporar la clau privada a l’exportació, cal definir una contrasenya pel certificat. Indicar la contrasenya i clicar el botó Siguiente.

ca01-67

Indicar la ruta i el nom del fitxer on guardar el certificat. Clicar el botó Siguiente.

ca01-68

Finalització de l’assistent. Clicar el botó Finalizar. Es confirma l’exportació. Guardar aquesta còpia en un lloc segur!!!

ca01-69

Feta la còpia de seguretat del certificat es pot esborrar la sol·licitud d’inscripció que ha quedat pendent.

Tornar a l’administrador de l’Entitat Certificadora, seleccionar el nom de l’entitat certificadora > propietats > pestanya Agent de recuperació. Seleccionar Archivar la clave. Indicar el número d’agents de recuperació necessaris per recuperar una clau (per exemple 1). Clicar el botó Afegir agent de recuperació amb el que permet seleccionar el certificat de l’agent de recuperació que s’acaba de crear. Clicar el botó Aceptar.

ca01-70

S’adverteix que s’ha de reiniciar l’entitat certificadora, clicar el botó Si.

Tornar a visualitzar les propietats de l’entitat certificadora > Agent de recuperació per verificar que s’ha carregat correctament i és vàlid.

ca01-71

 

 

Al ser un tema que considero molt dens a assimilar i, comença a ser interdisciplinari (intervenen varis serveis), fem una pausa. En una propera entrada es veurà com preparar les plantilles d’usuari, equip i servidor Web; la inscripció automàtica mitjançant Directives de Grup de l’Active Directory, el portal d’inscripció Web i la recuperació de les claus privades.

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

 

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *