Professional Documents
Culture Documents
Comunicaciones
Prctica 3:
Infraestructuras de
clave pblica.
Antonio Sanz
ansanz@unizar.es
Jos Luis Salazar
jsalazar@unizar.es
Objetivo de la prctica
Poner en prctica algunos de los conceptos vistos en la teora relativos a la
seguridad proporcionada por las firmas digitales, que implica el uso de una
infraestructura de clave pblica. Se instalar un certificado digital para poder
activar el protocolo SSL en un servidor.
Introduccin
El uso de la criptografa de clave pblica como herramienta de identificacin a
travs de la firma digital tiene la limitacin de que este protocolo slo identifica a
una clave, no a una entidad fsica concreta. Este ltimo paso, slo se puede hacer a
travs de una infraestructura de clave pblica. El primer principio de
funcionamiento de esta infraestructura es la confianza. Una persona que vaya a
utilizar las comunicaciones digitales debe establecer una confianza inicial en alguien
A; para posteriormente trasladar esa confianza a travs de las entidades en las que
confa A. Una entidad en la que se pueda confiar va a ser una Autoridad de
Certificacin (CA) y su labor ser la de certificar la identidad de sus suscriptores por
medio de certificados digitales expedidos (firmados) por la CA.
El protocolo que vamos a utilizar es el SSL (Secure Socket Layer), pensado para el
uso criptogrfico en Internet. La herramienta que usaremos ser el OpenSSL
incrustado en un paquete de software XAMPP que incluye software de servidor
apache, servicios de FTP, base de datos, etc.
Notas previas a la prctica:
Descargar
el
paquete
XAMPP
e
instalarlo
en
el
ordenador
(http://comelec.unizar.es/soft/xampp.exe). La instalacin de XAMPP no
tiene misterio alguno (tan solo se tendr que tener cuidado de no instalar
2 de 7
3 de 7
Common Name: El nombre del dominio de nuestra pgina (es VITAL ponerlo de
forma correcta o de lo contrario nuestro certificado no funcionar de forma correcta).
Los campos que aparecen como Extras o Empresas adicionales no nos interesan.
4 de 7
Mozilla Firefox
Acceder a
Herramientas Opciones Avanzado Certificados Ver
certificados Autoridades, y pulsar sobre la pestaa de Importar, e importar el
certificado directamente
Acto seguido aparecer en la lista junto con las otras CA de las que se tiene
reconocimiento automtico por parte del navegador.
Para poder instalar el certificado junto con la clave privada del navegador, es necesario
emplear otra estructura criptogrfica. Los navegadores principales actualmente aceptan
la estructura PKCS12. PKCS12 es algo as como un saco en el cul podemos meter
informacin criptogrfica, protegido por una contrasea de un solo uso (la que por as
decirlo abre el saco).
El certificado puede instalarse de la misma forma que el de la CA, pero seleccionando la
opcin de Personal en el Internet Explorer. En este caso, se recomienda
encarecidamente no dejar la clave privada sin una contrasea, ya que cualquiera que
usara el equipo podra actuar bajo nuestra identidad.
Para ello, en el Internet Explorer, se debe seleccionar la opcin de Habilitar proteccin
segura de claves privadas, y posteriormente la opcin de Nivel de Seguridad Alto
estableciendo una contrasea que ser la requerida cada vez que sea necesario.
5 de 7
Generacin de la CRL
Se pueden producir casos en los que un usuario pierda el control de su clave privada (y
por tanto, de su identidad), por lo que es vital tener un mecanismo de rescindir la
validez del acceso de una persona.
En las infraestructuras de clave pblica este mecanismo se conoce como revocacin, y
consta de dos partes: una primera en la que se elimina la validez del certificado, y una
segunda en la que se hace pblica esa rescisin del acceso mediante la emisin de una
CRL (Certificate Revocation List o Lista de Certificados Revocados).
6 de 7
7 de 7