Certificados X509

Dani Gutiérrez Porset [email_address]
Certificados digitales X.509

Índice
Introducción
Ciclo de vida
Métodos de validación
Estructura
Aplicaciones
Licencia de uso

Introducción
Método para asociar una clave pública a una identidad (nombre, dirección,...) mediante una firma digital expedida por:
Una CA (certification authority), o
El mismo usuario (self-signed)
Al confiar en la firma pública de la CA se da por válida la firma pública del usuario.
A nivel físico, un certificado es, bien un fichero, o bien un directorio.
Estándar definido en jul-1994. Versión actual: X.509 v3.

Ciclo de vida
CSR (Certificate Signing Request):
Se genera a partir de una pareja de claves privada/pública.
Está sin firmar.
Certificado firmado:
CA. No está online
RA: registration authority. Está online
Caducado
(Revocado)

Métodos de validación
Métodos de validación de certificado digital:
VAs (VA: validation authority) basadas en ldap
CRL (Certificate Revocation Lists)
Protocolo OCSP (Online Certificate Status Protocol)
Netscape URL revocation
Repositorios: LDAP, DNSSec, X.500,...

Estructura
Estructura de un CSR
Versión
Nº de serie
Datos del Subject (Sujeto: persona u organización) en formato DN (Parámetros: cn, l, ou, o, c[ountry], mail), clave pública y algoritmo empleado

Estructura
Estructura de un certificado X.509:
(Los campos del CSR)
Issuer o entidad CA emisora. Si es autofirmado coincide con el Subject
Periodo de validez
Firma digital generada con la clave privada de la CA, y algoritmo empleado (ej. sha1 y RSA)

Estructura
Extensiones opcionales de un certificado X.509, ej:
Propósito de la clave pública (firmar, encriptar claves, encriptar datos,...)
Clase: 1 personas (ej. mail), 2 organizaciones, 3 servidores y software,...
URL de revocación (netscape)

Aplicaciones: correo electrónico
Mozilla thunderbird:
idem que firefox
Ubicación de certificados: ~/.mozilla-thunderbird/<perfil>/cert8.db
Kmail:
Emplea kleopatra, que es un gestor de certificados X.509:
Búsqueda en servidores LDAP
Almacen en GpgSM (semejante a anillos gpg)

Aplicaciones: navegadores
Navegadores (común):
Certificados:
De servidores web (adquiridos al navegar o en Firefox importados)
Personales propios (formato pkcs12)
Lista de entidades certificadoras fiables. Para cada una se puede elegir qué puede verificar:
Sitios web
Correo electrónico
Código

Firefox:
Certificados de otras personas
Listas de revocación
Uso de OCSP
Ficheros de certificados, claves, módulos:
~/.mozilla/firefox/<perfil>/*.db
Paquete ubuntu para gestionarlos: libnss3-tools. Ej: certutil -L -d .mozilla/firefox/<perfil>/

Konqueror:
Cifras SSLv2 y SSLv3 a emplear
Uso opcional de librerías openssl
Certificados de cliente a enviar según servidores a los que se conecte
Ubicación de certificados: ~/.kde/share/config/kssl*

Aplicaciones: smart cards
Tarjetas físicas (smart card) con certificado X.509:
DNI electrónico. Tiene 2 certificados, ambos revocables:
Certificado de Autenticación: autenticación y acceso seguro a sistemas informáticos. No ofrece garantía de no repudio.
Certificado de Firma, garantizando la integridad y el no repudio.
Tarjeta sanitaria ONA
Tarjeta universitaria

Aplicaciones: smart cards
Ejs. de uso:
Local: Login al S.O., control de presencia,...
Remoto: Identidad a través de web, VPNs,...
Requisitos HW/SW:
Lector de tarjeta (integrado o USB) y driver.
GNU/Linux: PCSC-lite, OpenCT
Tarjeta y librerías para el S.O. Teoría: estándar pkcs11.
GNU/Linux: OpenSC
Instalar certificado de la CA emisora

Licencia de uso
http://creativecommons.org/licenses/by-sa/3.0/

Certificados X509

by Dani Gutiérrez Porset

Accessibility

Categories

Upload Details

Usage Rights

1 Embed 22

Statistics

Certificados X509 Presentation Transcript