Fundamentos de criptografía y de PKI (II)
En la segunda parte de este artículo se continua desarrollando los conceptos de criptografía e infraestructura de claves públicas (PKI) y proporciona una base para el uso de Certificate Server en el sistema operativo Microsoft Windows 2000 Server.
Entidad emisora de certificados
Una entidad emisora de certificados (CA) es una entidad a la que se confía la emisión de certificados a un individuo, a un equipo o a otra entidad solicitante. Una entidad emisora de certificados acepta una solicitud de certificado, comprueba la información del solicitante de acuerdo con la directiva de la entidad y, a continuación, utiliza su clave privada para aplicar su firma digital al certificado. A continuación, la entidad emite el certificado al tema del mismo para que lo utilice como una credencial de seguridad dentro de una PKI. Puesto que las diferentes entidades emisoras de certificados utilizan métodos variados para comprobar el enlace entre la clave pública y el tema, es importante comprender las directivas de la entidad emisora de certificados (explicadas a continuación) antes de decidirse a confiar en dicha autoridad.
Una entidad emisora de certificados puede ser otra entidad como VeriSign. Por otra parte, puede ser una entidad emisora de certificados que cree para que su organización la utilice, por ejemplo mediante la instalación de Servicios de Certificate Server de Windows 2000. Cada entidad emisora de certificados puede tener distintos requisitos de prueba de identidad a los solicitantes de certificados, como una cuenta de dominio de Windows 2000, una insignia de identificación de empleado, una licencia de conductor, una solicitud notarizada o una dirección física.
Directiva de entidad emisora de certificados
Para la emisión de certificados a los solicitantes, la entidad emisora sigue una serie de criterios establecidos. El conjunto de criterios que utiliza una entidad emisora de certificados a la hora de procesar las solicitudes de certificados (y de emitirlos y revocarlos, y de publicar las CRL) se conoce como directiva de entidad emisora de certificados. Generalmente, una entidad emisora de certificados publica su directiva en un documento conocido como Enunciado de práctica de certificación (CPS).
Una directiva de entidad emisora de certificados no debe confundirse con el término “directiva de grupo” de Windows 2000, que se asocia generalmente con las cuentas de dominio y los servicios de distribución de aplicaciones como IntelliMirror. (Para obtener más información acerca de la directiva de entidad emisora de certificados en Windows 2000 y del papel que desempeña la directiva de grupo en la PKI de Windows 2000, consulte las secciones “Directivas de entidad emisora de certificados de Windows 2000” y “Distribución de certificados de entidad emisora” respectivamente en la nota del producto “Servicios de Certificate Server de Windows 2000”.)
Tipos de entidades emisoras de certificados
Los tres tipos de entidades emisoras de certificados son:
1) Entidad emisora de certificados con autofirma. En una entidad emisora de certificados con autofirma, la clave pública del certificado y la clave utilizada para comprobar el certificado son la misma. Algunas entidades emisoras de certificados con autofirma son entidades emisoras raíz.
2) Entidad emisora de certificados subordinada. En una entidad emisora de certificados subordinada, la clave pública del certificado y la utilizada para comprobar los certificados son diferentes. Este proceso, donde una entidad emite un certificado a otra entidad emisora, se conoce como certificación cruzada.
3) Entidad emisora de certificados raíz. El cliente confía plenamente en una entidad emisora de certificados raíz, que ocupa la posición más alta en una jerarquía de certificados. Todas las cadenas de certificados terminan en una entidad emisora de certificados raíz. La entidad raíz debe firmar su propio certificado porque no existe ninguna entidad emisora de certificados superior en la jerarquía de certificados. Todas las entidades emisoras de certificados con autofirma son entidades raíz, ya que la cadena de certificados termina cuando se alcanza una entidad emisora de certificados con autofirma.
Windows 2000 sólo puede designar una entidad emisora de certificados con autofirma como entidad raíz. El individuo puede tomar la decisión de designar una entidad emisora de certificados como entidad raíz dentro de la empresa o localmente.
Jerarquías de entidades raíz
Un administrador puede crear una jerarquía de entidades emisoras de certificados comenzando por un certificado de entidad emisora raíz y, a continuación, ir agregando entidades intermedias que emitirán certificados a entidades subordinadas. La cadena termina cuando una entidad emite un certificado a una entidad final (un usuario).
Los costos de distribución de los certificados de entidades raíz son los más elevados, ya que si se cambian las raíces hay que crear de nuevo toda la PKI. Si un certificado raíz cambia, debe revocar el antiguo certificado y agregar el nuevo para todos los clientes de la organización. Además, deberán volverse a emitir todos los certificados que las entidades raíz han emitido y que, a continuación, han pasado de las entidades subordinadas a las finales. Por tanto, el uso de un reducido número de certificados de larga duración emitidos por entidades raíz ofrece la solución más rentable a la hora de distribuir su jerarquía de entidades emisoras de certificados. Las entidades raíz son importantes porque se confía en ellas plenamente y porque se
Entidad emisora de certificados
Una entidad emisora de certificados (CA) es una entidad a la que se confía la emisión de certificados a un individuo, a un equipo o a otra entidad solicitante. Una entidad emisora de certificados acepta una solicitud de certificado, comprueba la información del solicitante de acuerdo con la directiva de la entidad y, a continuación, utiliza su clave privada para aplicar su firma digital al certificado. A continuación, la entidad emite el certificado al tema del mismo para que lo utilice como una credencial de seguridad dentro de una PKI. Puesto que las diferentes entidades emisoras de certificados utilizan métodos variados para comprobar el enlace entre la clave pública y el tema, es importante comprender las directivas de la entidad emisora de certificados (explicadas a continuación) antes de decidirse a confiar en dicha autoridad.
Una entidad emisora de certificados puede ser otra entidad como VeriSign. Por otra parte, puede ser una entidad emisora de certificados que cree para que su organización la utilice, por ejemplo mediante la instalación de Servicios de Certificate Server de Windows 2000. Cada entidad emisora de certificados puede tener distintos requisitos de prueba de identidad a los solicitantes de certificados, como una cuenta de dominio de Windows 2000, una insignia de identificación de empleado, una licencia de conductor, una solicitud notarizada o una dirección física.
Directiva de entidad emisora de certificados
Para la emisión de certificados a los solicitantes, la entidad emisora sigue una serie de criterios establecidos. El conjunto de criterios que utiliza una entidad emisora de certificados a la hora de procesar las solicitudes de certificados (y de emitirlos y revocarlos, y de publicar las CRL) se conoce como directiva de entidad emisora de certificados. Generalmente, una entidad emisora de certificados publica su directiva en un documento conocido como Enunciado de práctica de certificación (CPS).
Una directiva de entidad emisora de certificados no debe confundirse con el término “directiva de grupo” de Windows 2000, que se asocia generalmente con las cuentas de dominio y los servicios de distribución de aplicaciones como IntelliMirror. (Para obtener más información acerca de la directiva de entidad emisora de certificados en Windows 2000 y del papel que desempeña la directiva de grupo en la PKI de Windows 2000, consulte las secciones “Directivas de entidad emisora de certificados de Windows 2000” y “Distribución de certificados de entidad emisora” respectivamente en la nota del producto “Servicios de Certificate Server de Windows 2000”.)
Tipos de entidades emisoras de certificados
Los tres tipos de entidades emisoras de certificados son:
1) Entidad emisora de certificados con autofirma. En una entidad emisora de certificados con autofirma, la clave pública del certificado y la clave utilizada para comprobar el certificado son la misma. Algunas entidades emisoras de certificados con autofirma son entidades emisoras raíz.
2) Entidad emisora de certificados subordinada. En una entidad emisora de certificados subordinada, la clave pública del certificado y la utilizada para comprobar los certificados son diferentes. Este proceso, donde una entidad emite un certificado a otra entidad emisora, se conoce como certificación cruzada.
3) Entidad emisora de certificados raíz. El cliente confía plenamente en una entidad emisora de certificados raíz, que ocupa la posición más alta en una jerarquía de certificados. Todas las cadenas de certificados terminan en una entidad emisora de certificados raíz. La entidad raíz debe firmar su propio certificado porque no existe ninguna entidad emisora de certificados superior en la jerarquía de certificados. Todas las entidades emisoras de certificados con autofirma son entidades raíz, ya que la cadena de certificados termina cuando se alcanza una entidad emisora de certificados con autofirma.
Windows 2000 sólo puede designar una entidad emisora de certificados con autofirma como entidad raíz. El individuo puede tomar la decisión de designar una entidad emisora de certificados como entidad raíz dentro de la empresa o localmente.
Jerarquías de entidades raíz
Un administrador puede crear una jerarquía de entidades emisoras de certificados comenzando por un certificado de entidad emisora raíz y, a continuación, ir agregando entidades intermedias que emitirán certificados a entidades subordinadas. La cadena termina cuando una entidad emite un certificado a una entidad final (un usuario).
Los costos de distribución de los certificados de entidades raíz son los más elevados, ya que si se cambian las raíces hay que crear de nuevo toda la PKI. Si un certificado raíz cambia, debe revocar el antiguo certificado y agregar el nuevo para todos los clientes de la organización. Además, deberán volverse a emitir todos los certificados que las entidades raíz han emitido y que, a continuación, han pasado de las entidades subordinadas a las finales. Por tanto, el uso de un reducido número de certificados de larga duración emitidos por entidades raíz ofrece la solución más rentable a la hora de distribuir su jerarquía de entidades emisoras de certificados. Las entidades raíz son importantes porque se confía en ellas plenamente y porque se
