Autenticación con certificados en EXTRA!

En sesiones de EXTRA! que utilicen los protocolos SSL/TSL o SSH, la autenticación de cliente se puede administrar mediante certificados digitales. Los certificados resuelven algunos de los problemas presentados por la autenticación mediante clave pública, como la obligatoriedad del cliente a transferir una copia de la clave pública a todos los servidores.

Es necesario configurar el equipo para que reconozca el certificado de servidor presentado por el host y, si fuera necesario, proporcionar un certificado de cliente para la autenticación del cliente. Si el equipo no está configurado correctamente o los certificados presentados para la autenticación no son válidos, no se podrá establecer una conexión.

Certificados firmados por autoridades de certificación (CA) frente a certificados autofirmados

EXTRA! admite tanto los certificados firmados por una autoridad de certificación como los autofirmados Los certificados firmados por una autoridad de certificación contienen una marca de extensión que los identifica como tales. En el caso de los certificados de servidor firmados por una autoridad de certificación, el campo Firmante identifica el servidor o el nombre del usuario, mientras que el campo Emisor se corresponde con la autoridad de certificación. Los certificados utilizados para autenticar el certificado de servidor de autoridad de certificación han de instalarse en un almacén de autoridades de certificación raíz de confianza.

En el caso de los certificados autofirmados, el campo Emisor ha de coincidir exactamente con el campo Firmante. (En este caso, el firmante es un host en lugar de una autoridad de certificación). Si el usuario acepta la validez del certificado autofirmado, se instalará en el almacén de autoridades de certificación raíz de confianza de forma manual o a través de una directiva de grupo o script de inicio de sesión.

El proceso de autenticación

La autenticación puede implicar uno o más procesos en función del tipo de certificado que utilice y los parámetros de seguridad que haya seleccionado en EXTRA!. Sin embargo, en todos los casos EXTRA! comprueba el certificado para determinar si la fecha y la firma digital son válidas, que las extensiones críticas sean las correctas (como por ejemplo el uso mejorado de claves) y que el uso de claves permita el uso del certificado para autenticación.

La autenticación también puede implicar el proceso siguiente:

  • Si fuera necesario comparar la identidad del servidor, el cliente compara el nombre de host de la sesión con el nombre común del certificado.
  • Si utiliza certificados firmados por una CA, EXTRA! verifica todas las autoridades de certificación incluidas en el certificado: la CA emisora del certificado, cualesquiera CAs intermediarias en la cadena de certificación y, finalmente, la autoridad de certificación de confianza (o CA raíz). Este proceso se conoce como validación de ruta.
  • (Sólo conexiones SSH) Si se habilita la comprobación de revocación, el cliente comprobará que el certificado no haya sido revocado. Consulte Configuración de comprobación de revocación de certificados (sólo SSH).
  • Si se configura la autenticación del lado servidor, el servidor requerirá que el usuario (cliente) presente un certificado para autenticarse. Los certificados utilizados para la identidad del cliente se guardan en el almacén de certificados personales del usuario. En el caso de las conexiones SSH, los certificados también se pueden almacenar en el Reflection Certificate Manager (Administrador de certificados Reflection).