• Like
  • Save
Openca
Upcoming SlideShare
Loading in...5
×
 

Openca

on

  • 2,040 views

Instalación openca

Instalación openca

Statistics

Views

Total Views
2,040
Views on SlideShare
2,037
Embed Views
3

Actions

Likes
0
Downloads
81
Comments
0

1 Embed 3

http://www.slashdocs.com 3

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Openca Openca Document Transcript

    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com  UNIVERSIDAD PILOTO DE COLOMBIA Especialización en Seguridad Informática Criptografía Instalación de servidor openCa en Linux fedora Autores: DIANA CAROLINA ECHEVERRIA ROJAS HECTOR LEONIDAS DUARTE GARCIAopenCA: Es una infraestructura de Clave Pública (PKI) siendo uno de los demayor aceptación. El problema es que la mayoría de aplicaciones se puedeasegurar con los certificados y claves, pero es realmente difícil y costoso deinstalar las PKI, la razón es que la flexibilidad del software TrustCenter(especialmente para Unix) es caro. Este fue el punto de partida de OpenCA. Elobjetivo es la producción de un sistema de código abierto TrustCenter paraapoyar a la comunidad con una buena solución, de bajo costo y con garantíade futuro para su infraestructura de base.OpenCA comenzó en 1999. La primera idea consistió en tres partes principales- una interfaz web Perl, un backend OpenSSL para la operación de cifrado yuna base de datos. Este simple concepto sigue siendo el lema de hoy en día.Casi todas las operaciones se pueden realizar a través de alguna de lasinterfaces web. OpenCA tiene seis interfaces pre-configuradas y muchas másse pueden crear a partir de ellas, dependiendo de la necesidad. El back-end decifrado aún OpenSSL, que no es en absoluto una situación de desventaja. Sequiere construir una infraestructura de la organización de una PKI, siendo esteel principal objetivo de OpenSSL. La base de datos almacena toda lainformación necesaria acerca de los objetos de los usuarios de cifrado, comosolicitudes de firma de certificado (CSR), certificados, solicitudes de revocaciónde certificados (CRRS) y listas de certificados revocados (CRL).Hay muchos elementos que todavía necesitan ser implementados. Hoy en díaOpenCA cuenta con el apoyo de los siguientes elementos (esto es una listaincompleta solo para darles una idea de la complejidad del tema es): • Public interface • LDAP interface • RA interface • CA interface • SCEP • OCSP • IP-filters for interfacesTrabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com  • Passphrase based login • Certificate based login (including smartcards) • Role Based Access Control • Flexible Certificate Subjects • Flexible Certificate Extensions • PIN based revocation • Digital signature based revocation • CRL issuing • Warnings for soon to expire certificates • support for nearly every (graphical) browserGeneralidades de OpenCALa jerarquía básicaLa idea básica de cada PKI X.509 (Public Key Infrastructure) es unaorganización jerárquica fuerte. Esto se traduce en un árbol de bases de datossi tratamos de crear una arquitectura distribuida PKIFuente: openca-guide for Versions 0.9.2+. Pag 20OpenCA actualmente soporta lo siguiente: • Nodes (for node manager) • CA • RA • LDAP • Pub • SCEPNodes: Esta interfaz maneja la base de datos y maneja todas lasfuncionalidades de exportación y de importación.Trabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com La base de datos se puede inicializar, lo que significa que OpenCA puede creartodas las tablas, pero OpenCA no puede crear la propia base de datos porqueesto es diferente para cada proveedor. Así que necesitamos una base de datoscon los correspondientes derechos de acceso y una nueva base de datos. Lainterfaz incluye algunas funciones para el backup y la recuperación de un nodo,pero por favor, tenga en cuenta que usted debe tener una copia de seguridadindependiente de la clave privada del CA y el certificado. No existe unmecanismo por defecto en OpenCA de copia de seguridad de la clave privada.No ponerlo en práctica porque primero no encontró la forma general deseguridad de copia de seguridad de una clave privada y la segunda de la CAHSM uso y por lo tanto, se necesita una estrategia de copia de seguridadtotalmente diferente y por lo general de propiedad.La exportación e importación correrá a cargo de esta interfaz también. Puedeconfigurar diferentes reglas para la sincronización con los nodos de una mayory un menor nivel de la jerarquía. Esto incluye la configuración de los objetos yel estado que pueden ser intercambiados. Los filtros configurados evitar lasinyecciones de estado de los niveles más bajos de la jerarquíaCA: La interfaz de CA tiene todas las funciones que se necesitan para crearcertificados y listas de certificados revocados (CRL). El CA también incluyetodas las funciones que puede utilizar para cambiar la configuración a travésde una interfaz web. No es posible cambiar la configuración a través de otrainterfaz web.El CA es el hogar de los procesadores por lotes también. OpenCA incluyealgunos procesadores por lotes de gran alcance para la creación decertificados. Estos procesadores por lotes se puede utilizar para la creaciónautomática de certificados de Planificación de varios recursos empresariales(ERP) (por ejemplo SAP, SU NIS o / etc / passwd).RA: OpenCA RA es capaz de manejar todo tipo de solicitudes. Esto incluyecosas como la edición de las solicitudes, aprobar las solicitudes, la creación declaves privadas con tarjetas inteligentes, eliminar solicitudes mal y usuarios decorreo electrónicoLDAP: La interfaz de LDAP se llevó a cabo para separar la gestión de LDAP porcompleto del resto del software. Esto es necesario porque hay muchasfunciones que realmente son específicos para los administradores de LDAP, consólo unos pocos usuarios que necesitan estas características.Trabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com Pub: La interfaz pública incluye todas las pequeñas cosas que los usuariosnecesitan. Esta es sólo una pequeña lista y tal vez es incompleta.• genera CSR (solicitud de certificado de firma) para Microsoft Internet Explorer• genera CSR para Mozilla 1.1 + y Netscape Communicator y Navigator• genera cliente solicita independientes y las claves privadas (por ejemplo, Konqueror de KDE o los administradores de servidores que no saben cómo crear una clave privada y la petición).• recibe con formato PEM PKCS # 10 solicitudes de servidores• certificados de matricula• inscribe CRL• Compatible con dos métodos diferentes de revocación• Búsqueda de certificados• Las pruebas de los certificados de usuario en los navegadores (Microsoft Internet Explorer y Netscape Communicator y Navigator 4.7x)Para el desarrollo de este laboratorio se requiere de:  Distribución Fedora 14  Tener instalados los siguientes paquetes: o Mysql o openSSL o perl o Openldap o Apache o DNS  Se utilizaran dos usaurios: o User hector – pw:claray o User root – pw clara1021.Paso 1: Cambier en el archivo selinux ubicado en /etc/selinux/config el estado deSELINUX asi:Trabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com Paso 2: Instalamos los paquetes requeridos para la instalación de openCA.Mediante el comando “yum” hacemos el proceso de descargar de lasdependencias necesarias para el desarrollo de este laboratorio.# yum install gcc openssl openssl-devel mod_ssl mysql mysql-devel mysql-libs mysql-server perl perl-devel perl-XML-Parser *Authen::SASL**DB_File* *DBD::mysql* perl-Class-DBI perl-BerkeleyDB perl-BDB db4* wgetvim expat expat-devel Ejecución instrucción necesaria para tener todos los paquetes requeridos para montar el servidor openCATrabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com  Número total de paquetes requeridos, de acuerdo a la versión de fedora utilizadaPaso 3: Activar el servicio de mysql, crear la base de datos openca y asignar lospermisos para el usuario openca@localhost.#service mysqld start#mysql –h localhost –u root –pmysql>create database openca;mysql>grant all privileges on openca.* openca@localhost identified by“openca”; Con el commando show database; se visualiza la existencia de la DB opencaPaso 4: Descargar los archivos fuentes de OpenCA en una ruta: Para el desarrollo deeste paso utilizaremos el comando mkdir para crear un fichero en la siguienteposición /opt/openca-archivos/#mkdir /opt/openca-archivos/#cd /opt/openca-archivos/Trabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com Paso 5: Luego utilizaremos el comando wget para descargar los paquetes openca-tools-1.3.0.tar.gz y tar xvzf openca‐base‐1.1.1.tar.gz# wget http://www.openca.org/alby/download?target=openca-tools-1.3.0.tar.gz# wget http://www.openca.org/alby/download?target=openca-base-1.1.1.tar.gz openca-tools-1.3.0.tar.gz openca-base-1.1.1.tar.gzTrabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com Paso 6: Procedemos a descomprimir los archivos openca-tools-1.3.0.tar.gz yopenca-base-1.1.1.tar.gz mediante el comando tar xvzf.# tar xvzf openca-tools-1.3.0.tar.gz# tar xvzf openca-base-1.1.1.tar.gz    openca‐tools‐1.3.0.tar.gz      openca‐base‐1.1.1.tar.gz Paso 7: Ingresamos al fichero openca-tools-1.3.0 mediante la instrucción cd/opt/openca-archivos/openca-tools-1.3.0# cd /opt/openca-archivos/openca-tools-1.3.0 openca-tools-1.3.0Trabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com Paso 8: Instalamos el paquete utilizando las siguientes instrucciones.#./configure#make clean#make#make installPaso 9: Ingresamos al fichero openca-base-1.1.1 mediante la instrucción cd/opt/openca-archivos/openca-base-1.1.1 y en este fichero creamos un archivo.sh donde incluiremos las siguientes instrucciones, luego procederemos aejecutarlo mediante una de estas instrucciones “sh nombreArchivo” ó“./nombreArchivo”../configure --prefix=/opt/openca-1.1.0 --with-ca-organization="HECTORSOFT" --with-httpd-fs-prefix=/var/www --with-httpd-main-dir=pki --with-db-name=openca --with-db-host=localhost --with-db-user=openca --with-db-password= --with-db-type=mysql --with-service-mail-account="hectorlduarte@gmail.com"# cd /opt/openca-archivos/ openca-base-1.1.1# vi script.shPaso 10: Ejecutamos el archivo creado#./script.shTrabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com  Resultado de la ejecución del scriptPaso 11: Ejecutar los siguientes comandos:#make clean#make#make install-offline install-online Resultado luego de utilizar la instrucción make install-offline install-onlinePaso 12: Se crea un enlace simbólico al archivo que inicia el servicio en la ruta donde seponen los archivos que inician los servicios del sistema operativo.# ln –s /opt/ openca-1.1.0/etc/init.d/openca /etc/init.d/opencaTrabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com Paso 13: Descarga de unos archivos que corrigen el error al arrancar el servicio deopenca y los sobrescribimos en sus respectivas rutas.Ya que a la hora de la instalación ha surgido una serie de errores, este error hasido descrito en la wiki oficial de Openca:(http://wiki.openca.org/wiki/index.php/ERR_USER_UNKNOWN)Antes de iniciar es necesario posicionarse en /opt/openca-1.1.0# cd /opt/openca-1.1.0# wget http://ftp.openca.org/openca-base/fixes/v1.1.1/err_user_unknown/User.pm# wget http://ftp.openca.org/openca-base/fixes/v1.1.1/err_user_unknown/initServer# scp User.pm lib/openca/perl_modules/perl5/OpenCA/User.pm# scp initServer lib/openca/functions/initServer Resultado obtenidoPaso 14: Iniciamos los servicios de openCA y httpd#service openca start#service httpd start Resultado obtenidoTrabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com Trabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com  Ingresamos con la clave loguin y el password claray1021. (clave del root) Inicializamos la base de datos de opencaTrabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon  
    • DIANA CAROLINA ECHEVERRIA ROJAS ‐ decheverriar@gmail.com HECTOR LEONIDAS DUARTE GARCIA ‐ hectorlduarte@gmail.com  Verificamos que la base de datos tenga las tablasPaso 15: Si presenta un error por falta de permisos para crear carpetas desde el entornografico se realiza el siguiente paso:Nota: para prevenir error de soket es necesario iniciar en el siguiente orden losservicios:#service mysqld start#service httpd start#service openca startTrabajo realizado para la materia de criptografía ESI‐5 UNIPILOTO – Doc. Jhon Jairo Parra Leon