Mostrar Contenido / Índice / Búsqueda

Autenticación con certificados en EXTRA!

En sesiones de EXTRA! que utilicen los protocolos SSL/TSL o SSH, la autenticación de cliente se puede administrar mediante certificados digitales. Los certificados resuelven algunos de los problemas presentados por la autenticación mediante clave pública, como la obligatoriedad del cliente a transferir una copia de la clave pública a todos los servidores.

Es necesario configurar el equipo para que reconozca el certificado de servidor presentado por el host y, si fuera necesario, proporcionar un certificado de cliente para la autenticación del cliente. Si el equipo no está configurado correctamente o los certificados presentados para la autenticación no son válidos, no se podrá establecer una conexión.

Certificados firmados por entidades de certificación frente a certificados autofirmados

EXTRA! admite tanto los certificados firmados por entidad de certificación como los autofirmados Los certificados firmados por entidad de certificación contienen una marca de extensión que los identifica como tales. En el caso de los certificados de servidor firmados por una entidad de certificación, el campo Firmante identifica el servidor o el nombre del usuario, mientras que el campo Emisor se corresponde con la entidad de certificación. Los certificados utilizados para autenticar el certificado de servidor de entidad de certificación han de instalarse en un almacén de entidades de certificación raíz de confianza.

En el caso de los certificados autofirmados, el campo Emisor ha de coincidir exactamente con el campo Firmante. (En este caso, el firmante es un host en lugar de una autoridad de certificación.) Si el usuario acepta la validez del certificado autofirmado, se instalará en el almacén de entidades de certificación raíz de confianza de forma manual o a través de una directiva de grupo o script de inicio de sesión.

El proceso de autenticación

La autenticación puede implicar uno o más procesos en función del tipo de certificado que utilice y los parámetros de seguridad que haya seleccionado en EXTRA!. Sin embargo, en todos los casos EXTRA! comprueba el certificado para determinar si la fecha y la firma digital son válidas, que las extensiones críticas sean las correctas (como por ejemplo el uso mejorado de claves) y que el uso de claves permita el uso del certificado para autenticación.

La autenticación también puede implicar el proceso siguiente:

  • Si fuera necesario comparar la identidad del servidor, el cliente compara el nombre de host de la sesión con el nombre común del certificado.
  • Si utiliza un certificado firmado por entidad certificadora, EXTRA! comprueba las autoridades incluidas en el certificado: la entidad que emitió el certificado, las entidades de certificación intermedias y finalmente la autoridad de certificación de confianza (o entidad de certificación raíz). Este proceso se conoce como validación de ruta.
  • (Solo conexiones SSH) Si se habilita la comprobación de revocación, el cliente comprobará que el certificado no haya sido revocado. Consulte Configuración de comprobación de revocación de certificados (solo SSH).
  • Si se configura la autenticación del lado servidor, el servidor requerirá que el usuario (cliente) presente un certificado para autenticarse. Los certificados utilizados para la identidad del cliente se guardan en el almacén de certificados personales del usuario. En el caso de las conexiones SSH, los certificados también se pueden almacenar en el Reflection Certificate Manager (Administrador de certificados Reflection).