Académique Documents
Professionnel Documents
Culture Documents
Objetivos:
Qu es la Criptografa?
Qu es la Criptografa?
Criptografa = Cryptos (oculto) + Graphos (escritura)
Texto cifrado o
Mensaje OriginalLlave criptograma Llve Mensaje Original
Una llave puede ser una cadena de caracteres texto o una serie de dgitos hexadecimales. Cuanto
ms complicado sea el mecanismo de cifrado y cuanto ms larga sea la clave, ms difcil ser
romper el sistema y obtener el mensaje original para un extrao. Pero ms complicado ser
tambin para el destinatario del mensaje cifrado realizar las operaciones de descifrado y obtener
el mensaje original, por lo que se crea el dilema seguridad/tiempo.
Los sistemas criptograficos se basan en algoritmos matemticos y en el uso de llaves. Sin
embargo no debera ser de ninguna ayuda para un hacker conocer el algoritmo que se est usando,
slo si el atacante obtuviera la clave le servira conocer el algoritmo.
Objetivos de la criptografa
Objetivos de la criptografa
Cumplen con los principios bsicos de la
seguridad:
Autentificacin
Control de Acceso
Privacidad
Integridad
No Repudiacin
La seguridad de informacin cubre los siguientes principios. La criptografa se usa para satisfacer
los principios bsicos de la seguridad:
Autentificacin: Garantizar que quien nos enva un mensaje a travs de la red sea quien
realmente dice ser. Nos asegura que la informacin proviene del origen correcto. Validar
la identidad, de tal manera que una entidad pueda estar segura que la otra entidad es
quien dice ser.
Este problema es fundamental en aplicaciones e-commerce, donde los clientes quieren
asegurarse que el vendedor es quien dice ser, y en algunos casos tambin los vendedores
quieren asegurarse que el cliente sea quien dice ser.
Control de acceso: Validar el acceso a los recursos por parte de los usuarios mediante el
uso de contraseas o llaves.
Privacidad: Garantizar que los mensajes sean recibidos e interpretados unicamente por
los destinatarios. La informacin slo podr ser accesible nicamente por las entidades
autorizadas.
Algoritmos de Encriptacin:
Algoritmo Simtrico: Se utiliza una sla llave secreta para encriptar y desencriptar
mensajes.
Algoritmo Asimtrico: Se utilizan dos llaves, una llave pblica y otra privada.
Algoritmo Simtrico:
AlgoritmoSimtrico
1. PepequieredarleunmensajeaCarlos
2. Ambos compartenunamismallavesecreta
Pepe Carlos
Llave Llave
Textoplano secreta
ta
Textocifrado secreta
ta Textoplano
Algoritmo Algoritmo
Seutilizalamismallavesecretaparaencriptar ydesencriptar
Caractersticas:
Se utiliza una sla llave secreta para encriptar y desencriptar mensajes.
Ambas partes tienen que confiar completamente y cada una debe tener la llave secreta.
Por lo tanto la distribucin o trasmisin de la llave es crucial y es a la vez la principal
debilidad. Si la llave es interceptada, la informacin confidencial ya no estara protegida.
Ventajas:
Rpido y sencillo.
Se puede encriptar gran cantidad de informacin en menos de un segundo.
Desventajas:
La trasmisin o distribucin de la llave. Cmo se comparte la misma llave para emisores
y destinatarios entonces debe existir un medio seguro para enviar y recuperar la llave.
Cmo obtener una copia de la llave.
Triple DES:
Para solucionar el problema de la corta longitud de la llave se cre 3DES basado en tres
iteraciones sucesivas del algoritmo DES con lo que se consigue una longitud de llave de 168 bits.
Aqu la descripcin del proceso:
Se aplica al documento a cifrar un primer cifrado mediante la llave A.
Al resultado(denominado ANTIDES) se le aplica un segundo cifrado con la segunda llave
B.
Y al resultado se le vuelve a aplicar un tercer cifrado con la primera llave, A.
Algoritmos simtricos creados por RSA:
El algoritmo de clave pblica RSA fue creado en 1977 por Rivest, Shamir y Adlman. Desde ese
entonces han inventado una serie de algoritmos. Los algoritmos RSA son usados en sistemas
operativos y aplicaciones como Windows y Netscape Navigator.
Es un mtodo pblico de cifrado basado en la dificultad de factorizar nmeros grandes. Nota:
RSA tambin es concoido por su algoritmo de encriptacin asimtrica llamado RSA, no
confundir los los algoritmos simtricos creados por RSA(p.e.: RC2 y RC4) con el algoritmo
asimtrico llamado RSA.
RC2 y RC4 son algoritmos de llaves simtricas. Usan longitudes variables de llaves de hasta 128
bits.
Algoritmo Asimtrico:
Algoritmo Asimtrico
2 llaves matemticamente relacionadas
Llave
Privada
Llave 1 Texto cifrado Llave 2 Texto plano
Texto plano
%&/* Cmo,
Cmo,
ests
ests )-h@
Encriptacin Desencriptacin
Caractersticas:
No se comparte el secreto.
Una pareja de llaves creadas al mismo tiempo.
o Relacionadas matemticamente.
o Se utilizan nmero primos muy grandes.
o Muy difcil determinar el valor de una a partir de la otra.
Ms lenta debido a los clculos requeridos.
Con este algoritmo se soluciona el problema de la distribucin de la llave, al usar un par de llaves
en el proceso de encriptacin. La pareja de llaves est matemticamente relacionada, lo que una
llave A encripta la otra llave B desencripta; y lo que la llave B encripta, la llave A desencripta.
A la encriptacin asimtrica tambin se le suele llamar encriptacin de llave pblica.
Ventajas:
Es ms seguro que el simtrico.
Se resuelve el problema de la distribucin de la llave.
Desventajas:
Es ms lento debido a los clculos matemticos intensivos que el programa requiere.
Qu se puede hacer con este par de llaves?
- Encriptar
- Firmar
Encriptar
Qusepuedehacer coneste
par dellaves? (1)
Encriptar: PepequiereenviarleunmensajeaCarlos
Llave Llave
Pblica Privada
Carlos Carlos
Pepe Carlos
LlavepblicadeCarlos LlaveprivadadeCarlos
% &/* Cmo,
Cmo,
ests
ests Encriptacin )-h@ Desencriptacin
Las dos llaves pertenecen a la misma persona a la que se la ha envado el mensaje. Una llave es
pblica y se le puede entregar a cualquier persona, la otra llave es privada y el destinatario debe
guardarla para que nadie tenga acceso a ella. El remitente usa la llave pblica del destinatario
para cifrar el mensaje, y una vez cifrado, slo la llave del destinatario podr descifrar el mensaje.
Ejemplos:
- Enviar informacin segura por Internet.
- Envo de emails encriptados.
Aplicacin de la encriptacin:
El proceso ms seguro de encriptacin es el que usa una combinacin de la encriptacin
simtrica, asimtrica y algoritmos hash.
Aplicaciones como ISS, Netscape Suite Spot, Pretty Goodo Privay (PCP), Exchange Server y
Windows NT y protocolos como S-MIME, SSL, HTTPS usan esta combinacin.
Firmar
Qusepuedehacer coneste
par dellaves? (2)
Firmar: Pepequierefirmar undocumento
Llave Llave
Pblica Privada
Pepe Pepe
Pepe Carlos
Llavepriv
rivadadePepe LlavepblicadePepe
% &/* Cmo,
Cmo,
ests
ests Encriptacin )-h@ Desencriptacin
Algunos sites requieren autenticacin del cliente con un certificado personal antes de poder ser
accesados. Este tipo de autenticacin es ms confiable que el clsico login con nombre de usuario
y password por las siguientes razones:
Un certificado robado es inutilizable sin la llave privada, mientras que cualquier persona
que obtenga el nombre usuario y password puede ingresar al site.
Un certificado no requiere que el usuario recuerde su nombre de usuario y password.
Un certificado definitivamente asocia a un usuario con sus transacciones, con lo cual
evitamos la no-repudiacin.
Cuando accesamos a un site que requiere autenticacin del cliente, el browser enva el certificado
al servidor web permitindole verificar nuestra identidad.
Se puede usar certificados personales en nuestros programas de correo electrnico para firmar un
mensaje, permitindole al destinatario verificar que el mensaje que ha sido envado no ha sido
modificado en el camino. Cuando uno firma un mensaje se agrega un attachment que contiene la
firma electrnica del contenido y el certificado. Este attachmente es verficado por el destinatario.
El proceso de verificacin es generalmente realizado por el programa de correo electrnico.
Existen dos mtodos que el IIS usa para mapear certificados de cliente a las cuentas:
One-to-one:
o Mapea un certificado personal a una sla cuenta especfica de Windows.
o El servidor necesita tener una copia del certificado personal debido a que
compara la copia del certificado con el certificado envado por el cliente. Los dos
certificados deben ser idnticos para que el mapping proceda.
o Cuando un usuario obtiene un nuevo certificado, el antiguo mapping ya no
funcionar y se tendr que crear un nuevo mapping para el nuevo certificado,
esto porque el servidor necesita tener una copia del certificado personal.
Many-to-one:
o Mapea mltipes certificados a una sla cuenta de Windows.
o Uno puede definir reglas con wildcards como aceptar slo los certificados de
una determinada Autoridad Certificadora (CA), o slo aceptar certificados de
un usuario en particular. De esta manera facilmente se pueden mapear muchos
certificados a una cuenta.
o No se requiere una copia del certificado en el servidor, acepta todos los
certificados de cliente que cunplan con la regla.
o Si el usuario obtiene un nuevo certificado, el mapping automticamente lo
aceptar.
2. Seleccionar el tab de Directory Security y hacer click en Edit dentro del marco Secure
communications.
3. Seleccionar el check box: Require secure channel (SSL) . Seleccionar el radio button:
Require client certificates y luego seleccionar el check box Enable cliente certificate
mapping.
4. Hacer click en el botn Edit. Ahora debemos escoger si es que queremos mapear
certificados 1-to-1 o definir una regla que nos permitar mapear muchos certificados a una
sla cuenta de usuario.
5. Seleccionar el tab 1-to-1 y hacer click en Add. Escribir el nombre del archivo del
certificado de usuario que se desea mapear a la cuenta de Windows. Luego seleccionar la
cuenta de usuario y el password.
Si deseas aplicar many-to-one certificate mapping, debes realizar los pasos del 1 al 4 luego
continuar con los siguientes:
Certificados y ASP:
Al habilitar client certificate mapping en el IIS se pueden usar certificados personales. Sin
embargo en algunos casos donde queramos definir reglas con criterios ms complejos podemos
hacerlo de una manera programtica con ASP y la coleccin ClientCertificate.
La coleccin ClientCertificate recupera los campos de certificacin de una solicitud emitida por
un Web Browser.
Antes de usar la coleccin ClientCertificate, se debe configurar el IIS (Client Certificate
Mapping) para que requiera certificados del cliente.
Key Significado
Certificate Una cadena que contiene la tira binaria de todo el certificado
Flags Un conjunto de flags que proveen informacin adicional del certificado de
cliente.
Issuer Cadena que contiene los valores de la lista de subcampos conteniendo
informacin acerca del emisor del certificado. Si este valor es especificado si un
subcampo, la coleccin ClientCertificate retorna una lista de subcampos
separados por comas. P.e.: C=US, O=Versign.
SerialNumber Una cadena que contiene el nmero de serie del certificado.
Subject Una cadena que contiene informacin acerca del usuario del cerificado. Si este
valor es especificado si un subcampo, la coleccin ClientCertificate retorna una
lista de subcampos separados por comas. P.e.: OU=Gerencia Adm., S=Lima
ValidFrom Una fecha que indica cuando el certificado comienza a ser vlido.
ValidUntil Una fecha que indica cuando el certificado expira.
Las llaves Subject e Issuer presentan informacin estrucutrada en subcampos. Los campos son los
siguientes:
Subfield Significado
CN Common name
GN Given name
I Conjunto de iniciales.
L Localidad.
S Estado o provincia.
Ejemplos:
El siguiente ejemplo usa la llave Subject para verificar si un certificado de cliente ha sido
envado.
<%
If Len(Request.ClientCertificate("Subject")) = 0
Response.Write("No client certificate was presented")
End if
%>
El siguiente ejemplo recupera el common name la Autoridad Certificadora (CA) que emiti el
certificado de cliente.
<%= Request.ClientCertificate("IssuerCN") %>
EL protocolo SSL provee encriptacin, autenticacin del servidor, integridad del mensaje.
El protocolo SSL provee una conexin segura que tiene tres propiedades bsicas:
1. La conexin es privada. La encriptacin es usada despus de un handshake para definir
una llave secreta. La data es encriptada usando la llave secreta y un algoritmo simtrico
como DES, RC4,..
2. La identidad del par es autenticada usando encriptacin asimtrica.
3. Se usan funciones Hash para asegurar la integridad de la data.
Pasos del SSL:
Para establecer una comunicacin segura utilizando SSL se tienen que seguir una serie de pasos.
Primero se debe hacer una solicitud de seguridad. Despus se realiza el protocolo SSL Handshake
donde se establecen los parmetros que se utilizarn para SSL.
1. Solicitud de SSL:
El web browser establece una comunicacin segura con el servidor web usando el protocolo
HTTPS.
Una vez que se ha hecho la solicitud, el cliente y el servidor empiezan a negociar la conexin
SSL, es decir hacen el SSL Handshake.
2. SSL Handshake:
SSL Handshake:
Client Hello : El "saludo de cliente" tiene por objetivo informar al servidor que
algoritmos de criptografa puede utilizar y solicita una verificacin de la identidad del
servidor. El cliente enva el conjunto de algoritmos de criptografa y compresin que
soporta y un nmero aleatorio.. El propsito del nmero aleatorio es para que en caso de
que el servidor no posea un certificado para comprobar su identidad, an se pueda
establecer una comunicacin segura utilizando un conjunto distinto de algoritmos. Dentro
de los protocolos de criptografa hay un protocolo de intercambio de llave que define
como cliente y servidor van a intercambiar la informacin, los algoritmos de llave secreta
que definen que mtodos pueden utilizar y un algoritmo de hash de una sola va. Hasta
ahora no se ha intercambiado informacin secreta, solo una lista de opciones.
Aprobacin del Cliente: El cliente verifica la validez del identificador digital o certificado
enviado por el servidor. Esto se lleva a cabo desencriptando el certificado utilizando la
llave pblica del emisor y determinando si este proviene de una entidad certificadora de
confianza. Despus se hace una serie de verificaciones sobre el certificado, tales como
fecha, URL del servidor, etc. Una vez se ha verificado la autenticidad de la identidad del
servidor. El cliente genera una llave aleatoria y la encripta utilizando la llave pblica del
servidor y el algortmo criptogrfico y de compresin seleccionado anteriormente. Esta
llave se le enva al servidor y en caso de que el handshake tenga xito ser utilizada en el
envo de futuros mensajes durante la sesin.
Verificacin: En este punto ambas partes conocen la llave secreta, el cliente por que la
gener y el servidor por que le fu enviada utilizando su llave pblica, siendo la nica
forma posible de desencriptarla utilizando la llave privada del servidor. Se hace una
ltima verificacin para comprobar si la informacin transmitida hasta el momento no ha
sido alterada. Ambas partes se envan una copia de las anteriores transacciones encriptada
con la llave secreta. Si ambas partes confirman la validez de las transacciones, el
handshake se completa, de otra forma se reinicia el proceso.
Ahora ambas partes estn listas para intercambiar informacin de manera segura
utilizando la llave secreta acordada y los algoritmos criptogrficos y de compresin. El
handshake se realiza solo una vez y se utiliza una llave secreta por sesin.
Intercambio de datos:
Cuando el cliente deja una sesin SSL, generalmente la aplicacin presenta un mensaje
advirtiendo que la comunicacin no es segura y confirma que el cliente efectiva,mente
desea abandonar la sesin SSL.
Firmas Digitales:
Algoritmo Hash:
Se usa para aseguridad la integridad de la data: Firmar una documento. Las firmas digitales se
implementan al aplicar al texto un algoritmo de encripcin, el resutlado ser un valor hash.
Caractersticas:
Se usa para las firmas digitales (verificar si la data ha sido modificada en el camino).
Se utilizan digest de 128 bits o 160 bits.
El contenido no necesariamente est encriptado, normalmente se encripta el digest.
El digest es la firma digital que le pone la persona.
Firma Digital:
Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la
identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje est
encriptado, es decir, que este no pueda ser ledo por otras personas; al igual que cuando se firma
un documento hologrficamente este puede ser visto por otras personas.
El procedimiento utilizado para firmar digitalmente un mensaje es el siguiente: el firmante genera
mediante una funcin matemtica una huella digital del mensaje. Esta huella digital se encripta
con la clave privada del firmante, y el resultado es lo que se denomina firma digital la cual se
enviar adjunta al mensaje original. De esta manera el firmante va a estar adjuntando al
documento una marca que es nica para ese documento y que slo l es capaz de producir.
El receptor del mensaje podr comprobar que el mensaje no fue modificado desde su creacin y
que el firmante es quin dice serlo a travs del siguiente procedimiento: en primer trmino
generar la huella digital del mensaje recibido, luego desencriptar la firma digital del mensaje
utilizando la clave pblica del firmante y obtendr de esa forma la huella digital del mensaje
original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el
firmante es quien dice serlo.
Firma Digital:
Cliente Servidor
Mensaje
Mensaje
Funcin
Funcin Mensaje HASH
HASH
Apendice Llave
Publica
Digest
Llave
Privada
Cifrado
Descrifrar
Apendice Digest
Digest
Son demasiados problemas e incertidumbres como para dejar las cosas como estn. Se haca
necesaria la existencia de un protocolo especfico para el pago, que superase todos los
inconvenientes y limitaciones anteriores, motivo por el que se cre el SET.
Entonces, si todo son alabanzas, ventajas y puntos fuertes, por qu SET no termina de
implantarse? Por qu no goza de la popularidad de SSL, si se supone mejor adaptado? En
primer lugar, su despliegue est siendo muy lento. Exige software especial, tanto para el
comprador (aplicacin de monedero electrnico) como para el comerciante (aplicacin POST
o terminal de punto de venta), que se est desarrollando con lentitud. En segundo lugar,
aunque varios productos cumplan con el estndar SET, esto no significa necesariamente que
sean compatibles. Este es un problema que exige mayores esfuerzos de coordinacin y ms
pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos fuertes son tambin
su taln de Aquiles: la autenticacin de todas las partes exige rgidas jerarquas de
certificacin, ya que tanto los clientes como comerciantes deben adquirir certificados
distintos para cada tipo de tarjeta de crdito, trmites que resultan engorrosos, cuando no
esotricos, para la mayora de los usuarios.
Microsoft Certificate Server (NT 4.0) Certificate Services (W2K) provee servicios para la
administracin (emisin, renovacin y revocacin) de certificados digitales.
Con Certificate Services nos convertimos en una autoridad certificadora(CA), ya no
dependemos de una autoridad certificadora externa, es decir recibimos la solicitudes de
certificados, verificamos la informacin del solicitante y su identidad, emitimos el
certificado, revocamos el certificado y publicamos una lista de certificados revocados(CLR).
Certificate Server est diseado para aplicaciones web que requieren autenticacin y
comunicaciones seguras basadas en el protocolo SSL. Certificate Server tambin soporta
otras aplicaciones basadas en certificados como Secure/Multipurpose Internet Mail
Extensions (S/MIME), pagos seguros como Secure Electronic Transactions(SET) y firmas
digitales como Microsoft Authenticode. En el caso de SSL, una organizacin puede usar
Certificate Server o Certificate Services para emitir certificados del servidor y del cliente
usando el estndar X.509.
En trminos generales, el rol del Certificate Server es recibir una solicitud PKCS #10 (Public
Key Cryptography Standard), verificar la informacin de la solicitud y emitir el
correspondiente certificado X.509 con el par de llaves y en un formato PKCS #7.
Adopcin de Estndares:
Acepta los estndares PKCS#10(Public Key Cryptography Standard) para las solicitudes y
emite certificados X.509 versin 3.0.
Certificate Services tambin puede trabajar con browsers y servidores web que no sean
Microsoft.
Certificado Digital:
Llave Privada:
Llave Pblica:
LABORATORIO No 1
Lo primero que tenemos que hacer para obtener un certificado del servidor es crear un archivo
Certificate Signing Request (CSR).
9. Seleccionar la opcin Prepare a New Request but Send it Later y hacer click en
Next.
NOTA : La opcin Send the request immediately to an online certification authority
aparece deshabilitada a menos que el IIS tenga acceso a un Enterprise CA, el cual debe
tener instalado Certificate Server 2.0 sobre Microsoft Windows 2000 con Active
Directory.
10. Escribir un nombre sencillo para el certificado (puede ser el nombre del site o el nombre
del propietario del certificado).
13. Ingresar el Common Name (CN) para el site. Este nombre debe ser la URL del site por
ejemplo: www.cibertec.edu.pe y hacer click en Next.
NOTA: Si el site es intranet se puede ingresar el computer name del servidor.
14. Ingresar Pas /Regin /Ciudad /Estado y hacer click en Next. Es muy importante que no
se abrevie el nombre de la Ciudad o Estado.
15. Ingresar el nombre del certificate request file y hacer click en Next.
Aparecer la siguiente ventana con los campos del certificado.
Conclusin: Hemos generado un archivo de solicitud Certificate Signing Request CSR- con
nuestros datos de identificacin y la url del site. Tambin se gener el par de llaves, sin embargo
slo la llave pblica es includa en el CSR y envada a la Autoridad Certificadora (CA).
El archivo CSR es un archivo ASCII que contiene la informacin del certificado en un formato
estndar conocido como PKCS #10.
El siguiente paso es enviar el archivo CSR a la CA escogida. El contenido de este archivo puede
ser envado por correo o mediante una pgina web de enrollment publicada por el CA.
El contenido de este archivo debe tener un formato similar a:
4. El Certificate Wizard nos gener un CSR con el formato PKCS #10, por lo tanto se debe
seleccionar la opcin Submit a certificate request using a base64 encoded PKCS #10
file or a renewal request using a base64 encoded PKCS #7 file. Hacer click en Next.
5. The Web Site Certificate Wizard that generates your key request file uses the standard
PKCS #10 (Certificate Request file) format. Choose the Submit a certificate request
using a base64 encoded PKCS #10 file or a renewal request using a base64
encoded PKCS #7 file option, and then click Next .
6. En la siguiente pgina aparece el formulario para pegar el contenido de nuestro archivo
de texto CSR. Es importante no modificar el contenido del archivo!!!. Hacer click en
Submit.
Primero es necesario aprobar el request, para lo cual se deben realizar los siguientes pasos:
4. Debe aparecer el certificado que envamos desde el browser. Hacer click derecho en el
certificado, seleccionar All Tasks, y luego hacer click en Issue (o Resubmit). El certificado
debe desaparecer de la lista y aparecer en la carpeta de Issued Certificates (certificados
emitidos).
El siguiente paso es recibir el certificado firmado, para lo cual se deben realizar los
siguientes pasos:
8. La siguiente pantalla nos permite hacer un download del certificado. Guardar el archivo del
certificado en nuestra carpeta de trabajo.
Despus de recibir el archivo de certificado del servidor procedemos a instalarlo en el web server.
NOTA: El archivo de respuesta contiene los datos de identificacin del servidor y la llave pblica
firmada por la CA.
7. Seleccionar Process the Pending Request and Install the Certificate y hacer Click en
Next.
9. Debe aparecer la siguiente ventana de confirmacin, verificar los datos del certificado y
hacer click en next.
10. Deber aparecer una pantalla de confirmacin.
Parte 5: Configurar el puerto seguro 443 y SSL para el web site en el IIS.
5. Escoger el tab de Web Site, y en la seccin de Web Site Identification escribir 443 en el
campo de SSL port.
6. Hacer click en Advanced. Deben aparecer dos campos: Multiple identities for this web
site y Multiple SSL identities for this web site. La direccin IP y el puerto del web site
deben estar listados en el campo Multiple identities for this web site. En el campo
Multiple SSL identities for this web site, verificar que aparezca la direccin IP del
servidor y el puerto seguro 443.
Luego debemos configurar SSL:
8. Seleccionar el check box Require Secure Channel (SSL) y hacer click en Ok.
Please try the following: Try again by typing https:// at the beginning of the
address you are attempting to reach. HTTP 403.4 - Forbidden: SSL required
Internet Information Services
Technical Information (for support personnel) Background: This error
indicates that the page you are trying to access is secured with Secure
Sockets Layer (SSL).
Parte 1: Solicitar el certificado a una Autoridad Certificadora, en este caso a nuestro servidor de
certificados: Certificate Server.
3. Seleccionar el radio button: User certificate request y el item Web Brower Certificate.
4. Ingresar los datos solicitados: Nombre, e-mail, Compaa, departamento, ciudad, estado,
pas. Hacer click en submit.
NOTA: En el momento que es enva la data un control activeX genera el par de llaves y el
CSR, la llave privada se almacena en el registry.
Parte 2: Generar el certificado (firmado) con nuestro servidor de certificados (Certificate Server).
Primero es necesario aprobar el request, para lo cual se deben realizar los siguientes pasos:
12. Debe aparecer el certificado que envamos desde el browser. Hacer click derecho en el
certificado, seleccionar All Tasks, y luego hacer click en Issue (o Resubmit). El certificado
debe desaparecer de la lista y aparecer en la carpeta de Issued Certificates (certificados
emitidos).
El siguiente paso es recibir el certificado firmado, para lo cual se deben realizar los
siguientes pasos:
15. Debe aparecer una lista de los certificados pendientes aprobados. Escoger el certificado que
aprobamos en los pasos anteriores y hacer click en Next.
Parte 3: Instalarlo en el browser.
16. La siguiente pantalla nos permite realizar la instalacin del certificado en el browser. Hacer
click en Install this certificate. Luego aparecer una pgina de confirmacin.
Mapeo One-to-One
Antes de proceder con el mapeo debemos exportar el certificado personal (del browser).
3. Seleccionar el certificado que desea exportar y hacer click en Export para iniciar el
Certificate Export Wizard.
5. Seleccionar No, do not export the private key. Hacer click en Next.
1. Abrir Internet Services Manager, en el web site al cual deseamos aplicarle cerficate
mapping, hacer click derecho y seleccionar Properties.
2. Seleccionar el tab de Directory Security y hacer click en Edit dentro del marco Secure
communications.
3. Seleccionar el check box: Require secure channel (SSL) . Seleccionar el radio button:
Require client certificates y luego seleccionar el check box: Enable client certificate
mapping.
4. Hacer click en el botn Edit y aparecer la siguiente pantalla:
4. Seleccionar el tab 1-to-1 y hacer click en Add. Escribir el nombre del archivo del
certificado de usuario que se desea mapear a la cuenta de Windows. Luego escribir la
cuenta de usuario y el password. Al final deber quedar la siguiente pantalla:
NOTA: Si deseas aplicar many-to-one certificate mapping, debes realizar los pasos del 1 al 4
luego continuar con los siguientes:
2. Hacer click en el botn Add, en la ventana ingresar el nombre de la regla: Rule1 y hacer
click en Next . Luego aprecer la ventana de reglas.
5. Aparecer una ventana con dos opciones en caso el certificado envado por el cliente
cumpla con la regla: (Seleccionar la opcin segn sea el caso)
a. Aceptar el certificado para autenticacin en el logon.
b. Rechazar el acceso.
Preguntas:
2. Si tengo tres sites seguros en mi servidor web, cuntos certificados digitales como
mnimo se deben instalar si deseo minimizar costos?
a. Un certificado
b. Dos certificados
c. Tres certficados
d. Cuatro certificados