1.1. Un
diagrama de una RED Corporativa (local o global)
Diagrama de una red corporativa de una compañía
estándar
Diagrama de una red corporativa
de una gran compañía
1.2. Los
elementos requeridos para el montaje de una PKI
Los componentes de una PKI
1.
Autoridad de certificación (CA): Es el
componente responsable de establecer las identidades de los usuarios y realizan
la creación de los certificados que forman una asociación entre la identidad y
el conjunto de claves pública y privada.
2.
Autoridad de registro (RA): Es el responsable
del registro y de la autenticación inicial de los usuarios a quienes se les expide
un certificado posteriormente si cumplen todos los requisitos.
3.
Servidor de certificados: Este componente es
encargado de expedir los certificados aprobados con la autoridad de registro.
La generación de la clave pública para el usuario es compuesto con los datos
del usuario y finalmente se firma digitalmente con la clave privada de la
autoridad de certificación.
4.
Repositorio de certificados: Este componente es
encargado de hacer disponibles las claves públicas de las identidades
registradas. Cuando se requiere validar un certificado se realiza la consulta
en el repositorio, se verifica la firma, el estado del certificado.
5.
Autoridad de sellado de tiempo: Es encargado de
firmar los documentos con el objetivo de comprobar si existían antes de En el
siguiente diagrama de RED, se muestra un ejemplo de los elementos.
En el siguiente diagrama de RED, se muestra un
ejemplo de los elementos requeridos para el montaje de una PKI.
1.3. Implementación de cada componente dentro del diagrama dered
Elementos que la componen:
La PKI se basa en el cifrado de clave pública y
está formada por:
•
Certificados Digitales, por ejemplo X509.
•
Una estructura jerárquica para la generación y
verificado de estos certificados formada por las Agencias de Certificación (CA)
y las Autoridades de Registro (RA) (que cumplen la función de sucursales de las
primeras). Donde la CA es una organización independiente y confiable.
•
Directorios de certificados, que son el soporte
software adecuado (bases de datos) para el almacenamiento de los certificados.
Por ejemplo directorios X.500 o LDAP (simplificación del primero). Aunque no
tienen por qué estar localizados en un servidor central (modelo de Tercera
Parte Confiable) y estar distribuidos entre los usuarios como hace PGP (modelo
de Confianza Directa).
•
Un sistema de administración de certificados,
que es el programa que utiliza la Agencia de Certificación o la empresa donde
se ha instalado la PKI para que realice la comprobación, la generación, la
revocación de certificados, etc.... Y este es el producto que cada compañía
intenta vender en el mercado. Mercado al
que se le augura un prometedor crecimiento
1.4. Política
para la emisión de certificados en una organización
Este es un prototipo de las políticas de
certificado dictadas por la compañía certificadora de firma digitales para una
corporación.
La autoridad certificadora registrada debe
implementar las políticas en los servicios de certificación que incluyen la
emisión, gestión, suspensión y renovación de los certificados.
Se debe desarrollar conforme a lo estipulado en el
RFC 3647 Internet X.509 Public Key Infraestructure.
La política debe incluir:
• Nombre
e identificación del documento
• Participantes
en la PKI
- Autoridades
certificadoras
- Autoridades
de registro
- Suscriptores
- Partes
que confían
- Otros
participantes
• Uso
del certificado
- Usos
apropiados del certificado
- Usos
prohibidos del certificado
• Administración
de la política
- Organización
que administra el documento
- Persona
de contacto
- Persona
que determina la adecuación de a PKI
- Procedimientos
de aprobación de la PKI
• Definiciones
y acrónimos
• Responsabilidades
de publicación y del repositorio
- Repositorios
- Publicación
de información de certificación
- Tiempo
o frecuencia de la publicación
- Control
de acceso a los repositorios
• Identificación
y autenticación
- Nombres,
tipos de nombres
- Contraseñas
seguras
- Validación
inicial de identidad
- Autenticación
de identidad dentro de la organización
- Autenticación
de identidad individual
- Validación
de la autoridad
- Criterios
para interoperabilidad
• Reemision
de llaves
- Identidicacion
y autenticación para reemision de llaves y para solicitudes de renovación.
• Procesamiento
de solicitud de la PKI
- Aprobación
o rechazo
- Tiempo
de para procesar solicitudes
- Emisión
del certificado,
- Renovación
del certificado, requisitos y procesamiento.
- Notificación
al suscriptor
- Modificación de certificados
- Suspensión
de la PKI
1.5. Funcionamiento de cada componente dentro del
diagrama de red Corporativa citando ejemplos y haciendo un flujo de actividades
A continuación se muestra del proceso cuando se
realiza una petición por parte del usuario:
AUTORIDAD DE CERTIFICACION
ü Entidad
fiable, encargada de garantizar de forma unívoca y segura la identidad asociada
a una clave pública
ü Recibe
y procesa peticiones de certificados de los usuarios finales
ü Consulta
con una Autoridad de Registro para determinar si acepta o rehúsa la petición de
certificado
ü Emite
el certificado
ü Gestiona
Listas de Revocación de Certificados (CRLs)
ü Renueva
certificados
ü Proporciona:
• Servicios
de backup y archivo seguro de claves de cifrado
• Infraestructura
de seguridad para la confianza, políticas de operación segura, información de
auditoría.
ü Nomenclatura
CNI: Entidad de Certificación (EC)
AUTORIDAD DE REGISTRO
ü Gestiona
el registro
de usuarios y sus peticiones
de certificación/revocación, así como
los certificados respuesta a dichas peticiones
ü Indica
a la CA si debe emitir un certificado
ü Autoriza
la ASOCIACIÓN entre una clave pública y el titular de un certificado
ü Gestión
del ciclo de vida de un certificado:
• Revocación
• Expiración
• Renovación
(extensión periodo validez del certificado, respetando el plan de claves)
• Reemisión
del par claves del usuario
• Actualización
de datos del certificado
ü Nomenclatura
CNI: Entidad de Registro (ER)
TITULARES CERTIFICADOS
ü Entidades
finales
ü Usuarios
finales
ü Suscriptores
PARTES UTILIZADORAS
Una vez la entidad final tiene
un certificado...
Hay partes que confían en el
certificado para comunicarse y realizar transacciones con sus suscriptores.
Las partes utilizadoras
verifican los certificados, las firmas electrónicas y los caminos de
certificación.
REPOSITORIO/DIRECTORIO
Los directorios proporcionan
almacenamiento & distribución de certificados & listas de revocación
(CRLs)
Cuando la CA emite un
certificado o CRL, lo envía al Directorio
La CA también guarda el
certificado o CRL en su base de datos local
La CA utiliza LDAP (Light-weight
Directory Access Protocol) para acceder a los directorios.
El usuario puede obtener
certificados de otros usuarios y comprobar el estado de los mismos.
AUTORIDAD DE VALIDACION
Suministra información
de forma online
acerca del estado
de un certificado.
La VA suele proporcionar dos
servicios de validación:
el tradicional, permitiendo la descarga de CRLs para que el usuario las
interprete él mismo, o a través del protocolo OCSP (Online Certification Status
Protocol).
Los usuarios y las aplicaciones
que deseen obtener el estado de un certificado, sólo tienen que realizar una
petición OCSP contra la VA para obtener dicho estado.
La CA actualiza la información
de la VA cada vez que se modifica el estado de un certificado, con lo que, a
diferencia de las CRLs, se dispone de información en tiempo real.
Nomenclatura CNI: Entidad de
Validación (EV)
FLUJO DE ACTIVIDADES
EJEMPLO DE FUNCIONAMIENTO DE UNA PKI
No hay comentarios:
Publicar un comentario