6.5.5 Información DOD PKI

Esta sección describe cómo instalar, configurar y utilizar Reflection para trabajar en el Departamento de Defensa (DOD) o cualquier otro entorno Public Key Infrastructure (PKI). La configuración PKI afecta tanto a las conexiones Secure Shell como a las conexiones SSL/TLS.

Ejecutar Reflection en el modo DOD PKI

De manera predeterminada, las aplicaciones de Reflection permiten algunas configuraciones que no cumplen con los requisitos DOD PKI. Los administradores pueden utilizar las políticas de grupo Reflection para configurar todas las sesiones Reflection con el fin de que cumplan con los requisitos DOD PKI.

Para configurar el modo DOD PKI

  1. Ejecute el Editor de política de grupo mediante una de las siguientes técnicas:

    • En la línea de comandos, ingrese Gpedit.msc

      -o-

    • En la consola Usuarios y equipos de Active Directory, abra las propiedades de una Unidad organizacional, haga clic en la ficha Política de grupo y modifique o cree un nuevo objeto de política.

  2. Si no se ha hecho ya, instale la plantilla de Reflection (ReflectionPolicy.adm).

    NOTA:Para obtener información sobre cómo descargar e instalar la plantilla de política de Reflection, consulte el artículo de Knowledge Base 7021501.

  3. En Política de equipo local > Configuración del usuario > Plantillas administrativas > Configuración de Reflection, desactive la opción Permitir modo no DoDPKI.

La configuración del modo DOD PKI tiene los siguientes efectos.

  • Debe configurar Reflection para usar la comprobación CRL Una lista de certificados firmada digitalmente que ha sido revocada por la Autoridad de Certificación. Los certificados identificados en una CRL ya no son válidos. o un respondedor OCSP Es un protocolo (que utiliza el transporte HTTP) que puede utilizarse como alternativa a la comprobación CRL para confirmar la validez de un certificado. El respondedor OCSP responde a las consultas sobre el estado del certificado con uno de estos tres valores con firma digital: "good" (válido), "revoked" (revocado) y "unknown" (desconocido). Gracias al uso de OCSP, los servidores o clientes ya no necesitan recuperar y clasificar largas listas de revocación de certificados. . En el modo DOD PKI, la opción para no utilizar ninguna forma de comprobación está desactivada. (Para las conexiones SSH, la revocación de certificados se configura mediante la ficha PKI del cuadro de diálogo de configuración de Secure Shell. Para las conexiones SSL/TLS se configura mediante el cuadro de diálogo de configuración de PKI.)

  • Reflection aplica los algoritmos de cifrado aprobados por la norma FIPS. Para las conexiones SSH, esto quiere decir que solamente las opciones aprobadas por la norma FIPS se encuentran disponibles en la ficha Cifrado del cuadro de diálogo Configuración de Secure Shell. Para las conexiones SSL/TLS, esto quiere decir que no puede ajustar el Nivel de cifrado en 40 bits o 56 bits.

  • Para que una conexión se establezca con éxito, el nombre del host del certificado debe coincidir exactamente con el nombre del host especificado para la conexión de Reflection. Esto quiere decir que el parámetro El certificado debe coincidir con el nombre del host contactado se selecciona automáticamente y no se puede modificar. (Para las conexiones SSH, este parámetro se configura mediante la ficha PKI del cuadro de diálogo Configuración de Reflection Secure Shell. Para las conexiones SSL/TLS se configura mediante el cuadro de diálogo Configuración de PKI.)

  • Los certificados CA intermedios firmados con la huella digital MD2 o MD5 no se admiten para la validación de certificados.

Instalar y eliminar los Puntos de confianza

Un punto de confianza es cualquier certificado de Autoridad de certificación La autoridad de certificación es un servidor, en una organización de confianza, que emite certificados digitales. La CA administra la emisión de nuevos certificados y revoca los certificados que ya no son válidos para la autenticación. Una CA puede a su vez delegar la emisión de certificados en otras entidades intermedias, creando así una cadena de confianza. El certificado de CA de mayor nivel se denominará raíz de confianza. de una cadena de confianza.

Para añadir un punto de confianza en el almacén de certificados de Reflection

  1. Abra el Administrador de certificados de Reflection.

  2. Haga clic en la ficha Autoridades de certificación de confianza.

  3. Haga clic en Importar y, a continuación, busque un certificado (normalmente *.cer o *.crt).

Para eliminar un punto de confianza del almacén de certificados de Reflection,

  1. Abra el Administrador de certificados de Reflection.

  2. Haga clic en la ficha Autoridades de certificación de confianza.

  3. Seleccione el certificado y haga clic en Quitar.

NOTA:

  • Los puntos de confianza intermedios de la Autoridad de confianza se pueden recuperar de un servidor LDAP Un protocolo estándar que se puede utilizar para almacenar información en una ubicación central y distribuirla a los usuarios. o HTTP que se puede identificar mediante URI explícitos definidos en la extensión Authority Information Access (AIA) de un certificado o mediante la información del servidor LDAP configurado en la ficha LDAP del Administrador de certificados de Reflection. Estos certificados se almacenan en el archivo cert_cache ubicado o bien en <My Documents>\Micro Focus\Reflection\.pki, o bien en \%programdata%\Micro Focus\Reflection\.pki

  • Cuando Reflection se ejecuta en el modo DOD PKI, solamente se utilizan los certificados de confianza raíz añadidos al Administrador de certificados de Reflection. No es necesario eliminar ningún certificado no DOD PKI que se encuentre en el Almacén de certificados de Windows.

Configurar la comprobación de la revocación de certificados

El valor predeterminado en Reflection para la comprobación de la revocación de certificados depende de la configuración actual del sistema. Si el sistema está configurado para realizar la comprobación de CRL, las sesiones de Reflection comprobarán la revocación de certificados utilizando las listas CRL Una lista de certificados firmada digitalmente que ha sido revocada por la Autoridad de Certificación. Los certificados identificados en una CRL ya no son válidos. de manera predeterminada. También puede configurar Reflection para utilizar un respondedor OCSP Es un protocolo (que utiliza el transporte HTTP) que puede utilizarse como alternativa a la comprobación CRL para confirmar la validez de un certificado. El respondedor OCSP responde a las consultas sobre el estado del certificado con uno de estos tres valores con firma digital: "good" (válido), "revoked" (revocado) y "unknown" (desconocido). Gracias al uso de OCSP, los servidores o clientes ya no necesitan recuperar y clasificar largas listas de revocación de certificados. .

Reflection también es compatible con un parámetro para desactivar la comprobación de CRL. Puede utilizar este parámetro para realizar comprobaciones; no obstante, esta opción no se encuentra disponible si Reflection se está ejecutando en el modo DOD PKI.

CPRECAUCIÓN:si se desactiva la comprobación de CRL, se pone en riesgo la seguridad. Utilice esta opción solamente para realizar comprobaciones.

Puede definir uno o más servidores LDAP Un protocolo estándar que se puede utilizar para almacenar información en una ubicación central y distribuirla a los usuarios. para recuperar certificados intermedios o listas CRL.

Para definir un servidor LDAP

  1. Abra el Administrador de certificados de Reflection

  2. Haga clic en la ficha LDAP.

  3. Haga clic en Agregar y, a continuación, especifique el servidor utilizando el siguiente formato URL:

    ldap://hostname:portnumber

    Por ejemplo:

    ldap://ldapserver.myhost.com:389

Para configurar OCSP

  1. Puede definir uno o más servidores OCSP desde el que solicitar información sobre la revocación de certificados.

  2. Ajuste Revocación de certificados en Utilizar OCSP. (Para las conexiones SSH, utilice la ficha PKI del cuadro de diálogo Configuración de Secure Shell. Para las conexiones SSL/TLS, utilice el cuadro de diálogo Configuración de PKI.)

    NOTA:Las URL del respondedor OCSP necesarias por un certificado se identifican en la extensión AIA del certificado. Si esta información no se proporciona en el certificado, puede seguir los siguientes pasos para configurar información sobre el respondedor OCSP.

  3. Abra el Administrador de certificados de Reflection.

  4. Haga clic en la ficha OCSP.

  5. Haga clic en Agregar y, a continuación, especifique el servidor utilizando el siguiente formato URL:

    URL:portnumber

    Por ejemplo:

    https://ocspmachine.host.com:389

Utilizar Identificadores de recursos uniformes para los Servicios DOD PKI

Reflection es compatible con el uso de URI Una cadena de caracteres que representa la ubicación o dirección de un recurso. Los URI se pueden utilizar para localizar recursos en Internet o en un servidor LDAP. para la actualización y la recuperación automática de CRL Una lista de certificados firmada digitalmente que ha sido revocada por la Autoridad de Certificación. Los certificados identificados en una CRL ya no son válidos. . Según lo definido en la sección 4.2.1.14 de RFC3280.

Si la comprobación CRL está activada, Reflection comprueba las revocaciones de los certificados del siguiente modo:

  1. Comprueba el archivo crl_cache en busca de información de revocación válida. Si no encuentra ninguna, continúa con el paso 2.

  2. Comprueba la extensión CDP en el certificado para URL HTTP o LDAP y las consulta en el orden especificado (primero HTTP y luego LDAP). Si el certificado ha sido revocado, cierra la conexión. Si el certificado no se encuentra, continúa con el paso 3.

  3. Si uno o más servidores LDAP están especificados en la ficha LDAP del Administrador de certificados de Reflection, recopila el Nombre completo (DN) para la Autoridad de certificación indicada en la extensión del Emisor del certificado y realiza una consulta en busca del archivo CRL. Si el certificado no ha sido revocado en ninguna lista CRL, continúa con el siguiente paso de validación.

Las actualizaciones de las listas CRL caducadas se gestionan automáticamente y no requieren la intervención del administrador o una configuración.

Si la comprobación OCSP está activada, Reflection siempre comprueba todos los respondedores OCSP disponibles para garantizar que la conexión fallará si alguno de estos respondedores reconoce que el certificado ha sido revocado. Para que la conexión tenga éxito, al menos un respondedor OCSP debe estar disponible y devolver un valor de "bueno" para el estado del certificado. Reflection realiza estas comprobaciones del siguiente modo.

  1. Comprueba la extensión AIA en el certificado para uno o más respondedores OCSP y consulta cada uno de ellos. Si el estado del certificado se devuelve como "revocado" desde cualquier respondedor, cierra la conexión.

  2. Comprueba uno o más respondedores OCSP especificados configurados por el usuario mediante la ficha OCSP del Administrador de certificados de Reflection y consulta cada uno de dichos respondedores. Si el estado del certificado se devuelve como "revocado" desde cualquier respondedor, cierra la conexión.

  3. Si todos los respondedores devuelven "desconocido", cierra la conexión. Si se devuelve una respuesta "bueno" de al menos uno de los respondedores OCSP consultados, continúa con el siguiente paso de validación.

Utilizar URI para recuperar certificados intermedios

Como se define en la sección 4.2.2.1 de RFC3280, Reflection puede utilizar URI Una cadena de caracteres que representa la ubicación o dirección de un recurso. Los URI se pueden utilizar para localizar recursos en Internet o en un servidor LDAP. para recuperar certificados intermedios de una Autoridad de certificación La autoridad de certificación es un servidor, en una organización de confianza, que emite certificados digitales. La CA administra la emisión de nuevos certificados y revoca los certificados que ya no son válidos para la autenticación. Una CA puede a su vez delegar la emisión de certificados en otras entidades intermedias, creando así una cadena de confianza. El certificado de CA de mayor nivel se denominará raíz de confianza. del siguiente modo:

  1. Comprueba el archivo cert_cache en busca del certificado intermedio necesario. Si no se encuentra, pasa al paso 2.

  2. Si un URI de HTTP o LDAP se encuentra definido en la extensión Authority Information Access (AIA) de un certificado, trata de utilizarlo (primero HTTP y luego LDAP) para recuperar los certificados intermedios de la Autoridad de certificación.

  3. Si los intentos anteriores fallan, recopila un Nombre completo (DN) del nombre del asunto del certificado saliente y consulta el servidor LDAP en busca del contenido del atributo del certificado de Autoridad de certificación.

Como Reflection no obliga a cumplir con la extensión de la política de seguridad de un certificado, la configuración de la política de seguridad no es necesaria.

Configurar y proteger los certificados y las claves privadas

Para configurar la autenticación del cliente utilizando certificados:

  1. Abra el Administrador de certificados de Reflection

  2. En la ficha Personal haga clic en Importar, luego debe buscar un certificado (normalmente *.pfx o *.p12). Se le solicitará que cree una frase de paso que será necesaria siempre que se utilice. La introducción de la frase de paso es recomendable para ayudar a proteger esta clave en el sistema.

  3. Para las conexiones Secure Shell, abra el cuadro de diálogo Configuración de Reflection Secure Shell haga clic en la ficha Claves de usuario y seleccione los certificados que desea utilizar para la autenticación de cliente con el host actualmente especificado. (Este paso no es necesario para las conexiones SSL/TLS.)

Resguardos de clave privada

Si se roba la clave privada de un cliente, un usuario mal intencionado puede obtener acceso a los archivos de cualquier servidor al que dicho usuario tenga acceso. Con el fin de reducir este riesgo, cada usuario cliente debería proteger siempre su clave privada con una frase de paso. De esta manera se garantiza que solamente alguien que conozca la frase de paso pueda realizar una autenticación con dicha clave. Los usuarios deberían crear y proteger las frases de paso siguiendo las especificaciones de contraseñas de la Política de seguridad de su organización.

Medidas a seguir si una clave se ve comprometida

Una clave privada se ve comprometida si una entidad no autorizada ha obtenido acceso a ella o si tiene motivos para desconfiar de las acciones de cualquier persona que tenga acceso a la clave.

Si la clave del cliente se ve comprometida, revoque el certificado del cliente.

Para sustituir una clave comprometida:

  1. Genere una clave privada nueva y certifique e importe la clave al Administrador de certificados de Reflection.

  2. En el servidor, actualice la línea del archivo de asignación de dicho cliente en el caso de que la información de identificación haya cambiado.

Para eliminar la clave comprometida de la computadora del cliente:

  1. Elimine la clave de la ficha Personal del Administrador de certificados de Reflection. De esta forma se elimina la clave del archivo identity_store.p12.

  2. Si el archivo original con la clave y el certificado antiguos (*.pfx o *.p12) aún se encuentra en la computadora del cliente, recurra a una utilidad de eliminación de archivos aprobada por el DOD para borrarlo.

Temas relacionados