Practica Open Ssl
Páginas: 5 (1212 palabras)
Publicado: 21 de noviembre de 2013
Estándar X.509
Certificado
El Certificado Digital es un documento firmado por una Autoridad Certificadora (AC). El documento contiene, principalmente, el nombre de un sujeto y su llave pública.
Si el Certificado es auténtico y confiamos en la AC, entonces, podemos confiar en que el sujeto identificado en el Certificado Digital posee la llave pública que se señala en dicho certificado. Asípues, si un sujeto firma un documento y anexa su certificado digital, cualquiera que conozca la llave pública de la AC podrá autenticar el documento.
En una red
Un certificado digital también establece la identidad de un usuario en una red. Los servidores pueden ser configurados para permitir el acceso a usuarios con ciertos certificados. Los clientes pueden ser configurados para confiar enservidores que presentan ciertos certificados.
La primera versión apareció en 1988 y fue publicada como el formato X.509v1, siendo la propuesta más antigua para una infraestructura de clave pública (PKI) a nivel mundial. Esto junto con su origen ISO/ITU han hecho de X.509 el PKI más ampliamente utilizado. Más tarde fue ampliada en 1993 por la versión 2 únicamente en dos campos, identificando de formaúnica el emisor y usuario del certificado. La versión 3 de X.509 amplia la funcionalidad del estándar X.509.
Campos X.509
V: Versión del certificado.
SN: Número de serie. (para los CRL)
AI: identificador del algoritmo de firma que sirve única y exclusivamente para identificar el algoritmo usado para firmar el paquete X.509.
CA: Autoridad certificadora (nombre en formato X.500).
TA:Periodo de validez.
A: Propietario de la clave pública que se está firmando.
P: Clave pública más identificador de algoritmo utilizado y más parámetros si son necesarios.
Y{I}:Firma digital de Y por I (con clave privada de una unidad certificadora).
Instalación y configuración entidad certificadora OpenSSL
Para realizar la práctica se utilizó el entorno Debian Squeeze.
Instalación y configuracióndel OpenSSL
Para instalar el OpenSSL se usó el siguiente comando:
apt-get install openssl
Posteriormente se crearon las carpetas para almacenar la información relacionada con los certificados.
mkdir /CA
mkdir /CA/privado
mkdir /CA/certificados
mkdir /CA/newcerts
mkdir /CA/crl
Para configurar openssl, se copió el archivo de configuración predeterminado al directorio CA.
cp/etc/ssl/openssl.cnf /CA
Se ingresa a modo edición del archivo:
nano openssl.cnf
posteriormente se busca la sección de confirguracion de CA llamada [CA Defaults ]y se realizan los siguientes cambios:
./demoCA a ./
$dir/certs a $dir/certificados
$dir/cacert.pem a $dir/cert
$dir/private/cakey.pem a $dir/privado/ca.key
$dir/private/.rand a $dir/privado/.rand
Posteriormente se crearon 2 archivosdonde se almacenará la información del openssl.
touch /CA/index.txt
echo '01' > /CA/serial
Configuración de la entidad certificadora
Después de realizar la instalación y configuración del OpenSSL, se creó un certificado de auto firmado que certificará a la entidad certificadora. Es oportuno mencionar que la entidad certificadora solo puede ser utilizada en un ámbito de pruebas.
openssl req-config openssl.cnf -new -x509 -extensions v3_ca -keyout privado/ca.key -out cert
Al crear el certificado se solicita ingresar información de la entidad que certifica y una contraseña privada, con la cual será posible crear certificados.
Luego de crear el certificado, es necesario configurar el archivo openssl.cnf que fue copiado anteriormente a la carpeta CA. En este archivo se indicarán lasrutas donde se guardarán las certificaciones creadas por la entidad certificadora.
Creando certificaciones
Una vez finalizada la configuración de la entidad certificadora es posible crear certificaciones.
Con el siguiente comando se hace el pedido de un certificado con un periodo de validez de 1 año. Al ejecutar el comando se solicita información del certificado, como el nombre, lugar y correo....
Certificado
El Certificado Digital es un documento firmado por una Autoridad Certificadora (AC). El documento contiene, principalmente, el nombre de un sujeto y su llave pública.
Si el Certificado es auténtico y confiamos en la AC, entonces, podemos confiar en que el sujeto identificado en el Certificado Digital posee la llave pública que se señala en dicho certificado. Asípues, si un sujeto firma un documento y anexa su certificado digital, cualquiera que conozca la llave pública de la AC podrá autenticar el documento.
En una red
Un certificado digital también establece la identidad de un usuario en una red. Los servidores pueden ser configurados para permitir el acceso a usuarios con ciertos certificados. Los clientes pueden ser configurados para confiar enservidores que presentan ciertos certificados.
La primera versión apareció en 1988 y fue publicada como el formato X.509v1, siendo la propuesta más antigua para una infraestructura de clave pública (PKI) a nivel mundial. Esto junto con su origen ISO/ITU han hecho de X.509 el PKI más ampliamente utilizado. Más tarde fue ampliada en 1993 por la versión 2 únicamente en dos campos, identificando de formaúnica el emisor y usuario del certificado. La versión 3 de X.509 amplia la funcionalidad del estándar X.509.
Campos X.509
V: Versión del certificado.
SN: Número de serie. (para los CRL)
AI: identificador del algoritmo de firma que sirve única y exclusivamente para identificar el algoritmo usado para firmar el paquete X.509.
CA: Autoridad certificadora (nombre en formato X.500).
TA:Periodo de validez.
A: Propietario de la clave pública que se está firmando.
P: Clave pública más identificador de algoritmo utilizado y más parámetros si son necesarios.
Y{I}:Firma digital de Y por I (con clave privada de una unidad certificadora).
Instalación y configuración entidad certificadora OpenSSL
Para realizar la práctica se utilizó el entorno Debian Squeeze.
Instalación y configuracióndel OpenSSL
Para instalar el OpenSSL se usó el siguiente comando:
apt-get install openssl
Posteriormente se crearon las carpetas para almacenar la información relacionada con los certificados.
mkdir /CA
mkdir /CA/privado
mkdir /CA/certificados
mkdir /CA/newcerts
mkdir /CA/crl
Para configurar openssl, se copió el archivo de configuración predeterminado al directorio CA.
cp/etc/ssl/openssl.cnf /CA
Se ingresa a modo edición del archivo:
nano openssl.cnf
posteriormente se busca la sección de confirguracion de CA llamada [CA Defaults ]y se realizan los siguientes cambios:
./demoCA a ./
$dir/certs a $dir/certificados
$dir/cacert.pem a $dir/cert
$dir/private/cakey.pem a $dir/privado/ca.key
$dir/private/.rand a $dir/privado/.rand
Posteriormente se crearon 2 archivosdonde se almacenará la información del openssl.
touch /CA/index.txt
echo '01' > /CA/serial
Configuración de la entidad certificadora
Después de realizar la instalación y configuración del OpenSSL, se creó un certificado de auto firmado que certificará a la entidad certificadora. Es oportuno mencionar que la entidad certificadora solo puede ser utilizada en un ámbito de pruebas.
openssl req-config openssl.cnf -new -x509 -extensions v3_ca -keyout privado/ca.key -out cert
Al crear el certificado se solicita ingresar información de la entidad que certifica y una contraseña privada, con la cual será posible crear certificados.
Luego de crear el certificado, es necesario configurar el archivo openssl.cnf que fue copiado anteriormente a la carpeta CA. En este archivo se indicarán lasrutas donde se guardarán las certificaciones creadas por la entidad certificadora.
Creando certificaciones
Una vez finalizada la configuración de la entidad certificadora es posible crear certificaciones.
Con el siguiente comando se hace el pedido de un certificado con un periodo de validez de 1 año. Al ejecutar el comando se solicita información del certificado, como el nombre, lugar y correo....
Leer documento completo
Regístrate para leer el documento completo.