Una infraestructura de clave pública o PKI (Public Key Infrastructure) es un sistema que ayuda a establecer comunicaciones seguras utilizando certificados digitales. Reflection es compatible con la utilización de una PKI para la autenticación del host y del usuario.
Como en el caso de la autenticación de clave pública, la autenticación de certificados utiliza pares de claves pública/privada para verificar la identidad del host. Sin embargo, con la autenticación de certificados, las claves públicas se introducen en certificados digitales Una parte integral de una PKI (Public Key Infrastructure). Los certificados digitales (también llamados certificados X.509) son emitidos por una autoridad de certificación (CA), lo cual garantiza la validez de la información contenida en el certificado. Cada certificado contiene datos de identificación sobre el propietario del certificado, una copia de la clave pública del propietario del certificado (que se utiliza para cifrar y descifrar los mensajes y firmas digitales), y una firma digital (generada por la CA en función del contenido del certificado). El receptor utiliza esta firma digital para verificar que el certificado no ha sido alterado y es de confianza. y, en este caso, se utilizan dos pares de claves. Por ejemplo, para la autenticación del servidor, el host posee una clave privada y la Autoridad de certificación otra. El host obtiene un certificado de la CA. Este certificado contiene información de identificación sobre el host, una copia de la clave pública del host y una firma digital Utilizada para confirmar la autenticidad e integridad de un mensaje transmitido. Habitualmente, el emisor posee la clave privada de un par de claves pública/privada y el receptor posee la clave pública. Para crear la firma, el emisor computa una huella digital del mensaje y, a continuación, cifra este valor con su clave privada. El receptor descifra la firma usando la clave pública del emisor y computa de forma independiente la huella digital del mensaje recibido. Si los valores descifrado y calculado coinciden, el receptor confía en que el emisor posea la clave privada y en que el mensaje no ha sido modificado durante la transmisión. creada utilizando la clave privada de la Autoridad de certificación. Este certificado se envía al cliente durante el proceso de autenticación. Para verificar la integridad de la información proveniente del host, el cliente debe poseer una copia de la clave pública de la CA, que se encuentra en el certificado raíz de la CA. No existe la necesidad de que el cliente posea una copia de la clave pública del host.
La autenticación de certificados resuelve algunos de los problemas presentados por la autenticación de claves públicas. Por ejemplo, para la autenticación de claves públicas del host, el administrador del sistema debe distribuir las claves del host para cada servidor a cada almacén de hosts conocidos del cliente, o contar con los usuarios clientes para confirmar la identidad del host correctamente cuando se conectan a un host desconocido. Cuando los certificados se utilizan para la autenticación del host, se puede utilizar un solo certificado raíz de la Autoridad de certificación para autenticar varios hosts. En muchos casos, el certificado necesario ya se encuentra disponible en el Almacén de certificados de Windows.
De manera similar, cuando las claves públicas se utilizan para la autenticación del cliente, cada clave pública de cliente se debe cargar al servidor y el servidor debe estar configurado para reconocerla. Cuando se utiliza la autenticación de certificados, se puede utilizar un solo certificado raíz de la Autoridad de certificación para autenticar varios usuarios cliente.
Temas relacionados