La autenticación de cliente X.509 permite a los clientes autenticarse en servidores con certificados en lugar de con un nombre de usuario y una contraseña aprovechando la infraestructura de clave pública X.509 (PKI) estándar.
Al habilitar la autenticación de cliente X.509:
Cuando el usuario accede al cliente Web mediante TLS, el navegador envía un certificado al servidor de sesión que identifica al usuario final y completa el protocolo de enlace TLS.
El servidor de sesión hace referencia a su almacén de confianza para comprobar el certificado del cliente y verificar su confianza.
Una vez completada la negociación TLS (el servidor de sesión confía en el usuario final), el servidor de sesión envía el certificado público del usuario final a MSS para su posterior validación.
MSS también comprueba que se confía en el certificado de los usuarios finales mediante su almacén de confianza.
Cuando MSS finalice la validación, el usuario final se habrá autenticado correctamente.
La cadena de certificado completa del cliente debe estar presente en el servidor de sesión y en los almacenes de confianza de MSS o también puede estar firmada por una autoridad certificadora presente en los almacenes de confianza.
La forma en la que el navegador determina el certificado de cliente que se enviará es una configuración específica del navegador o la tarjeta inteligente.
Pasos básicos:
Confíe en los certificados en el servidor de sesión y MSS si aún no lo ha hecho.
Reinicie los servidores.
Configure X.509 en la Consola Administrativa de MSS.
Paso 1. Confiar en el certificado en MSS y el servidor de sesión
Confiar en el certificado en MSS
El almacén de confianza de MSS puede contener ya su certificado de autoridad firmante. Éste suele ser el caso con autoridades firmantes de certificados bien conocidas y, de ser así, puede saltarse este paso.
Para comprobarlo:
Abra la Consola Administrativa, haga clic en Configurar parámetros y abra la ficha Certificados de confianza. Abra Trusted Root Certificate Authorities (Autoridades certificadoras raíz de confianza) para ver una lista de los certificados disponibles.
Si el certificado no se encuentra en la lista, deberá instalar la CA raíz firmante en MSS mediante las indicaciones y la documentación de la Consola Administrativa.
Confiar en el certificado en el servidor de sesión
Para instalar el certificado en el servidor de sesión:
En <directorio_de_instalación>\sessionserver\etc, importe el certificado: keytool -importcert -file <archivo-certificado> -alias <alias-con-el-que-almacenar-el-certificado> -keystore trustcerts.bcfks -storetype bcfks -providername BCFIPS -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath ../lib/bc-fips-*.jar -storepass changeit
Paso 2. Reinicie todos los servidores
Para que la configuración tenga efecto, deberá reiniciar todos los servidores.
Paso 3. Configurar X.509 con LDAP a prueba de fallos en la Consola Administrativa de MSS
Una vez instalados los certificados, puede habilitar X.509 con la opción para volver a la autenticación LDAP en Consola Administrativa del Servidor de Administración y Seguridad | Configurar parámetros | Autenticación y autorización. Consulte la ayuda en línea de la Consola Administrativa para obtener descripciones de las opciones de configuración.