En sesiones de Extra! que utilicen los protocolos SSL/TSL o SSH, la autenticación de cliente se puede administrar mediante certificados digitales Una parte integral de una PKI (Public Key Infrastructure). Los certificados digitales (también llamados certificados X.509) son emitidos por una autoridad de certificación (CA), lo cual garantiza la validez de la información contenida en el certificado. Cada certificado contiene datos de identificación sobre el propietario del certificado, una copia de la clave pública del propietario del certificado (que se utiliza para cifrar y descifrar los mensajes y firmas digitales), y una firma digital (generada por la CA en función del contenido del certificado). El receptor utiliza esta firma digital para verificar que el certificado no ha sido alterado y es de confianza. . Los certificados resuelven algunos de los problemas presentados por la autenticación mediante clave pública, como la obligatoriedad del cliente a transferir una copia de la clave pública a todos los servidores.
Es necesario configurar el equipo para que reconozca el certificado de servidor presentado por el host y, si fuera necesario, proporcionar un certificado de cliente para la autenticación del cliente. Si el equipo no está configurado correctamente o los certificados presentados para la autenticación no son válidos, no se podrá establecer una conexión.
Certificados firmados por autoridades de certificación (CA) frente a certificados autofirmados
Extra! admite tanto los certificados firmados por una autoridad de certificación como los autofirmados Los certificados firmados por una autoridad de certificación contienen una marca de extensión que los identifica como tales. En el caso de los certificados de servidor firmados por una autoridad de certificación, el campo Firmante identifica el servidor o el nombre del usuario, mientras que el campo Emisor se corresponde con la autoridad de certificación. Los certificados utilizados para autenticar el certificado de servidor de autoridad de certificación han de instalarse en un almacén de autoridades de certificación raíz de confianza.
En el caso de los certificados autofirmados, el campo Emisor ha de coincidir exactamente con el campo Firmante. (En este caso, el firmante es un host en lugar de una autoridad de certificación). Si el usuario acepta la validez del certificado autofirmado, se instalará en el almacén de autoridades de certificación raíz de confianza de forma manual o a través de una directiva de grupo o script de inicio de sesión.
El proceso de autenticación
La autenticación puede implicar uno o más procesos en función del tipo de certificado que utilice y los parámetros de seguridad que haya seleccionado en Extra!. Sin embargo, en todos los casos Extra! comprueba el certificado para determinar si la fecha y la firma digital son válidas, que las extensiones críticas sean las correctas (como por ejemplo el uso mejorado de claves) y que el uso de claves permita el uso del certificado para autenticación.
La autenticación también puede implicar el proceso siguiente:
Si fuera necesario comparar la identidad del servidor, el cliente compara el nombre de host de la sesión con el nombre común del certificado.
Si utiliza certificado firmados por una CA, Extra! verifica todas las autoridades de certificación incluidas en el certificado: la CA emisora del certificado, cualesquiera CA intermediarias en la cadena de certificación y, finalmente, la autoridad de certificación de confianza (o CA raíz). Este proceso se conoce como validación de vía.
Si se habilita la comprobación de revocación, el cliente comprobará que el certificado no se haya revocado. Consulte Configuración de comprobación de revocación de certificados.
Si se configura la autenticación del lado servidor, el servidor requerirá que el usuario (cliente) presente un certificado para autenticarse. Los certificados utilizados para la identidad del cliente se guardan en el almacén de certificados personales del usuario. En el caso de las conexiones SSH, los certificados también se pueden almacenar en el Administrador de certificados de Reflection.