6.5.1 PKI y certificados

Una infraestructura de clave pública o PKI (Public Key Infrastructure) es un sistema que ayuda a establecer comunicaciones seguras utilizando certificados digitales. Puede utilizar una PKI para la autenticación del host y la del usuario.

Como en el caso de la autenticación de clave pública, la autenticación de certificados utiliza pares de claves pública/privada para verificar la identidad del host. Sin embargo, con la autenticación de certificados, las claves públicas se introducen en certificados digitales y, en este caso, se utilizan dos pares de claves. Por ejemplo, para la autenticación del servidor, el host posee una clave privada y la Autoridad de certificación otra. El host obtiene un certificado de la CA. Este certificado contiene información de identificación sobre el host, una copia de la clave pública del host y una firma digital creada utilizando la clave privada de la CA. Este certificado se envía al cliente durante el proceso de autenticación. Para verificar la integridad de la información proveniente del host, el cliente debe poseer una copia de la clave pública de la CA, que se encuentra en el certificado raíz de la CA. No existe la necesidad de que el cliente posea una copia de la clave pública del host.

La autenticación de certificados resuelve algunos de los problemas presentados por la autenticación de claves públicas. Por ejemplo, para la autenticación de claves públicas del host, el administrador del sistema debe distribuir las claves del host para cada servidor a cada almacén de hosts conocidos del cliente, o contar con los usuarios clientes para confirmar la identidad del host correctamente cuando se conectan a un host desconocido. Cuando los certificados se utilizan para la autenticación del host, se puede utilizar un solo certificado raíz de la Autoridad de certificación para autenticar varios hosts. En muchos casos, el certificado necesario ya se encuentra disponible en el Almacén de certificados de Windows.

De manera similar, cuando las claves públicas se utilizan para la autenticación del cliente, cada clave pública de cliente se debe cargar al servidor y el servidor debe estar configurado para reconocerla. Cuando se utiliza la autenticación de certificados, se puede utilizar un solo certificado raíz de la Autoridad de certificación para autenticar varios usuarios cliente.

Almacenes de certificados

Los certificados digitales se guardan en su computadora en almacenes de certificados. Un almacén de certificados contiene los certificados que utiliza para confirmar la identidad de terceras partes remotas, y también puede contener certificados personales que utiliza para identificarse a terceras partes remotas. Los certificados personales están asociados a una clave privada en su computadora.

Puede utilizar los certificados digitales que se encuentran en ambos o en cualquiera de los siguientes almacenes:

  • Almacén de certificados de Windows

    Este almacén se puede utilizar con diversas aplicaciones, navegadores web y clientes de correo electrónico. Algunos certificados de este almacén se incluyen durante la instalación del sistema operativo Windows. Otros pueden agregarse al conectarse a sitios de Internet y establecer la confianza, cuando instala software, o cuando recibe correo electrónico cifrado o con una firma digital. Se pueden importar los certificados manualmente en el almacén de Windows. Para administrar los certificados de este almacén, se utiliza el Administrador de certificados de Windows.

  • Almacén de certificados de Reflection

    Este almacén se utiliza sólo con las aplicaciones de Micro Focus. Para agregar certificados a este almacén, debe importarlos manualmente. Puede importar certificados desde archivos, y también utilizar los certificados que se encuentran en tarjetas de hardware como las tarjetas inteligentes. Para administrar los certificados de este almacén, utilice el Administrador de certificados de Reflection.

Puede configurar la autenticación para utilizar sólo los certificados ubicados en el almacén del Administrador de certificados de Reflection, o en el el almacén de Windows y en el del Administrador de certificados de Reflection. Si se habilita la autenticación del host utilizando el almacén de certificados de Windows, no será necesario importar los certificados porque la autenticación se realizará utilizando los certificados que ya están disponibles. Si se desactiva la autenticación utilizando el almacén de certificados de Windows, se dispondrá de un mayor control sobre los certificados que se utilizarán para la autenticación. Para habilitar o deshabilitar la autenticación con el almacén de certificados de Windows, abra el Administrador de certificados de Reflection y haga clic en la ficha Autoridades de certificación de confianza.

PKI en sesiones de terminal y de Cliente FTP

La Autenticación con PKI se soporta en las sesiones de Secure Shell y de SSL/TLS.

  • Todas las sesiones SSL/TLS requieren certificados para la autenticación del host; sin el certificado necesario, no se podrá establecer una conexión con el host. En función de la configuración del host, es posible que también tenga que instalar certificados para la autenticación del usuario.

  • Las sesiones Secure Shell en general requieren la autenticación tanto del host como del usuario. Los certificados se pueden utilizar para la autenticación del host o para la del usuario, pero no son necesarios de manera predeterminada