PDF de programación - Certificación Cruzada - Confianza entre organizaciones

Universidad de Buenos Aires



Facultades de Ciencias Económicas, Ciencias

Exactas y Naturales e

Ingeniería



Carrera de Especialización en Seguridad Informática



Trabajo Final



Certificación Cruzada

Confianza entre organizaciones



Autor:



Edy Javier Milla Reyes

Cohorte 2012



Tutor de Trabajo Final:



Ingeniero Hugo Pagola



Fecha de presentación



11 de octubre de 2013



i





ii

Declaración jurada

Por medio de la presente, el autor manifiesta conocer y aceptar el

Reglamento de Trabajos Finales vigente (v.8.6) y se hace responsable que

la totalidad de los contenidos del presente documento son originales y de su

creación exclusiva, o bien pertenecen a terceros u otras fuentes, que han

sido adecuadamente referenciados y cuya inclusión no infringe la legislación

Nacional e Internacional de Propiedad Intelectual.



FIRMADO

Edy Javier Milla Reyes

No. Documento 14392



iii



Resumen

En el presente trabajo, se expone el modelo de Certificación Cruzada

como una solución para establecer confianza entre organizaciones que

cuentan con sus Infraestructuras de Clave Pública (PKI). De esta forma, se

extiende su uso para establecer una relación de confianza utilizando

certificados digitales cruzados entre ellas. Se plantea una prueba de

concepto utilizando los sistemas operativos Windows Server 2008 y Linux

Debian OpenSSL, cada cual representa una organización. Se han

establecido Autoridades Certificantes (AC) raíz y subordinadas con dos

niveles jerárquicos, el primer nivel representa la AC raíz y el segundo nivel la

AC subordinada.



Para una mejor comprensión, se ha creado un escenario donde se

plantea que el personal de la Facultad de Ingeniería (FI), desea intercambiar

información con la Facultad de Ciencias Económicas (FCE). La FCE tiene a

cargo el sistema de presupuesto de la UBA en un portal WEB, por lo que

personal de

la FI, accede para consultar y modificar

las partidas

presupuestarias. En la siguiente ilustración se muestra una representación

gráfica del ambiente.



iv

FI CA RaÍz (offline)FCE CA Raíz (offline)Servidor WebFI Sub CAJerarquia de CertificaciónFIFCE SubCAJerarquia de CertificaciónFCEServidor WebO P

En la prueba de concepto, la certificación cruzada se realiza en el

segundo nivel de la jerarquía entre las AC subordinadas, La FI firma el

certificado del certificado de la AC Subordinada de la FCE, estableciendo de

esta manera la relación de confianza. El certificado cruzado se emite

incluyendo políticas que se establecen de acuerdo a las necesidades o nivel

de la confianza que se desea lograr.



Lo presentado, es parte de una solución de seguridad, y no una

solución completa en si misma que abarque todos los aspectos de seguridad

en las organizaciones.



Este mismo trabajo, ha sido enviado a manera de artículo a TIBETS

2013, siendo aceptado para su presentación en el taller a realizarse en

octubre de este mismo año. En el anexo se incluye el artículo enviado.



Palabras clave: Certificación Cruzada, Confianza, Autoridades

Certificantes, Certificados Digitales, Modelos de Certificación.



v

Tabla de contenido


Declaración jurada ......................................................................................... iii

Resumen ....................................................................................................... iv

Agradecimientos ............................................................................................ ix

Nómina de abreviaturas .................................................................................. x

Introducción .................................................................................................... 1

Objetivos ..................................................................................................... 3

Alcance ....................................................................................................... 4

Estructura ................................................................................................... 5

Enfoque ...................................................................................................... 5

Relevancia .................................................................................................. 6

I Confianza entre organizaciones.................................................................... 7

1.1 Confianza ............................................................................................. 7

1.2 Elementos importantes para establecer confianza ............................... 8

1.3 PKI como solución tecnológica para establecer confianza ................. 11

1.4 Componentes de la Infraestructura de Clave Pública ......................... 11

1.5 Certificados digitales ........................................................................... 12

1.6 Autoridades Certificantes .................................................................... 13

1.7 Listas de revocación de certificados ................................................... 13

II Modelos de Confianza ............................................................................... 14

2.1 Modelo Jerárquico .............................................................................. 15

2.3 Interoperabilidad de certificados PKI .................................................. 18

2.4 Elementos requeridos para la implementación de un modelo de
certificación cruzada. ................................................................................ 19

III Proceso de certificación cruzada .............................................................. 21

3.1 Creación de la plantilla del Agente para la solicitud de firmado (req) . 22

3.2 Incorporación de las plantillas de certificación cruzada a la lista de
emisión de certificados ............................................................................. 23

3.3 Emisión del certificado Cross Certification Enrollment Agent ............. 24

3.4 Creación y parametrización del archivo de políticas de certificación .. 25

3.5 Firmado de la solicitud del certificado (req) ........................................ 27

3.6 Emisión del Certificado Cruzado ........................................................ 28

3.7 Verificación de las propiedades del certificado cruzado ..................... 28

vi

3.8 Distribución de la cadena de certificación ........................................... 29

3.9 Consideraciones que se deben tomar en cuenta al momento de
implementar este modelo ......................................................................... 30

3.10 Procedimiento para la gestión de los certificados digitales que se han
cruzado. .................................................................................................... 31

3.11 Mejores prácticas para la gestión de certificados digitales cruzados 33

3.12 Prueba de concepto de la solución ................................................... 33

3.13 Problemas encontrados en el proceso ............................................. 34

Conclusiones ................................................................................................ 36

Glosario ........................................................................................................ 38

Bibliografía Específica .................................................................................. 41

Bibliografía General ...................................................................................... 43

Anexos .......................................................................................................... 44

Laboratorio 1: Creación de una autoridad certificante (CA) subordinada
integrada con Active Directory Domain Services (ADDS). ........................ 44

Objetivo ................................................................................................. 44

Autoridad Certificante Subordinada Integrada ....................................... 44

Proceso de creación de la autoridad certificante subordinada integrada
con ADDS en Windows server 2008 ..................................................... 45

Proceso de firmado de la CA integrada ................................................. 54

Verificaciones del proceso de instalación de la CA operacional. ........... 61

Laboratorio 2: Creación de una autoridad certificante (AC) Raíz y AC
subordinada en Linux para la FCE. .......................................................... 64

Objetivo ................................................................................................. 64

Proceso de creación de la autoridad certificante raíz ............................ 65

Proceso de creación de la autoridad certificante subordinada .............. 66

Proceso de creación de un certificado de servidor ................................ 67

Proceso de configuración del Apache para una conexión SSL ............. 68

Laboratorio 3: Proceso de Certificación Cruzada entre la Autoridad
Certificante (CA) Subordinada Integrada con ADS FI y CA subordinada
Linux OpenSSL FCE. ............................................................................... 71

Objetivo ................................................................................................. 71

Creación de la plantilla del Agente para la solicitud de firmado (req) .... 71

Incorporación de las plantillas de certificación cruzada a la lista de
emisión de certificados .......................................................................... 77

vii

Emisión del certificado Cross Certification Enrollment Agent ................ 7