Cliente VPN IPSec TheGreenBow Guía de Instalación Utilización de Certificados Página Web: Contacto: http://www.thegreenbow.es support@thegreenbow.es Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 1/29
Tabla de Contenidos 1 Introducción... 3 2 Introducción al Cliente VPN TheGreenBow... 4 2.1 Qué es el Cliente VPN IPSec TheGreenBow?... 4 2.2 Multisoluciones para Enrutador VPN... 4 2.3 Soporta Aplicaciones Linux... 4 2.4 Características del Cliente VPN TheGreenBow... 4 2.5 Renombrar fabricante del equipo original (OEM) y Software... 5 3 Utilizando Certificados Microsoft Server... 6 3.1 Instalación del Microsoft Certificate Server... 6 3.2 Generación de Certificados... 8 3.2.1 Generación de un Certificado de usuario... 8 3.2.2 Firma de un pedido de Certificado... 11 3.3 Exportación de un Certificado... 14 4 Utilización de OpenSSL... 17 4.1 Generación de Certificados... 17 4.1.1 Generación de un Certificado autofirmado... 17 4.1.2 Generación de un Certificado de usuario... 18 4.1.3 Firma de un pedido de Certificado... 20 4.2 Herramientas adicionales TgbSmallPKI... 22 4.2.1 Visualización de informaciones de Certificado... 22 4.2.2 Conversión de PKCS12 para PEM... 23 5 Como configurar el Cliente VPN IPSec con los Certificados... 25 5.1 Conversión de Certificados para el formato PEM... 25 5.2 Importación de Certificados para el Cliente VPN IPSec TheGreenBow... 26 6 Resolución de problemas... 28 7 Contactos... 29 Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 2/29
1 Introducción El objetivo de este guía es explicar como generar Certificados, convertir Certificados para el formato PEM e importar Certificados para el Cliente VPN IPSec TheGreenBow. Es necesaria la utilización de una Autoridad de Certificación tercera para que sea posible generar Certificados X509 y abrir el túnel VPN con seguridad. Existen muchas opciones para generar Certificados como por ejemplo cuando utilizamos certificados Microsoft Server (es decir, Microsoft Certificate Service) disponible en el Windows 2000/2003 Server, OpenSSL o en algunos enrutadores VPN. Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 3/29
2 Introducción al Cliente VPN TheGreenBow 2.1 Qué es el Cliente VPN IPSec TheGreenBow? El Cliente VPN TheGreenBow es programa VPN IPSec, para todas las versiones de Windows que permitan establecer conexiones seguras a través de Internet normalmente entre un trabajador remoto y la Intranet Corporativa. El IPSec es la manera más segura de conectarse a la empresa ya que proporciona una fuerte autenticación del usuario, una fuerte encriptación del túnel con capacidad de soportar la red existente y los parámetros de cortafuegos. El Cliente VPN IPSec TheGreenBow es el resultado de muchos años de experiencia en seguridad de redes y desarrollo de drivers para redes Windows, así como una extensa investigación en las áreas relacionadas. El Cliente VPN IPSec completa nuestro abanico de productos de seguridad para redes y tal como todos nuestros productos, es extremadamente fácil de instalar y utilizar. 2.2 Multisoluciones para Enrutador VPN La estrategia de TheGreenBow es la de soportar tantos enrutadores VPN y vendedores de aparatos como le sea posible, disponibles ahora en el mercado de manera a ofrecer a sus clientes una verdadera solución multivendedor. Los nuevos Enrutadores VPN IPSec o aplicaciones son probados en nuestros laboratorios. La lista de enrutadores certificados está disponible en nuestra página Web y aumenta a diario, por lo que no dude en verificar a menudo la disponibilidad de nuevos enrutadores VPN certificados. 2.3 Soporta Aplicaciones Linux TheGreenBow soporta muchas aplicaciones de Linux IPSec VPN tales como StrongS/WAN y FreeS/WAN. Por lo tanto, el Cliente VPN IPSec TheGreenBow es compatible con la mayor parte de routers/aplicaciones IPSec basadas en esas aplicaciones Linux. En un futuro soportaremos aún más aplicaciones Linux. La lista de aplicaciones Linux VPN soportadas se encuentra disponible en nuestra Página Web. 2.4 Características del Cliente VPN TheGreenBow Versiones de Windows soportadas Win95, Win98, Me, NT, Win2000, WinXP Modo de conexión Protocolo de Tunelización Travesía NAT Opera como un VPN paritario en un modo "punto a múltiple", sin un enrutador o servidor. Son soportados todos los tipos de conexión Dial up, DSL, Cable, GSM/GPRS y WiFi. Soporta completamente IKE: Nuestra aplicación IKE se basa en la aplicación OpenBSD 3.1 (ISAKMPD), proporcionando de esta manera una mejor compatibilidad con los enrutadores y puertos existentes. Soporta completamente IPSec: Modo normal y modo agresivo Algoritmos MD5 y SHA hash. NAT Traversal Draft 1 (mejorada), Draft 2 y 3 (aplicación completa) Incluye Soporta NAT_OA (puerta flotante para intercambio IKE) Incluye NAT keepalive Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 4/29
Encriptación Autenticación del usuario Memoria USB Consola de registro Interfaz invisible del usuario Construcción de la configuración Actualización en vivo Proporciona encriptación 3DES, DES y AES 128/192bits Soporta X-AUTH Soporta PreShared keying y Certificados X509. Es compatible con la mayor parte de Enrutadores IPSec actualmente disponibles Soporta Grupo 1, 2, 5 y 14 (es decir, 1536 y 2048) Soporta Certificado Flexible (PEM, PKCS12,...) Las configuraciones VPN y los elementos de seguridad (Certificados, claves compartidas previamente, ) podrán ser guardados en una Memoria USB de manera a remover la información de autenticación del ordenador. Los mensajes de todas las fases son registrados para pruebas o instalaciones por etapas, y filtros múltiples (10) permiten focalizar fácilmente la vista sobre aspectos específicos. La instalación silenciosa y el interfaz gráfico invisible les permiten a los administradores de IT instalar soluciones mientras que previene que el usuario haga mal uso de las configuraciones. Interfaz de usuario y Línea de Comandos Instalaciones adicionales permiten reemplazar los módulos de encriptación o autenticación con nuevas versiones sin necesidad de reiniciar el sistema. Esto funciona adicionalmente a la funcionalidad actualización en vivo la cual permite efectuar la actualización del software desde un servidor central. 2.5 Renombrar fabricante del equipo original (OEM) y Software Nuestra oferta es especialmente diseñada para clientes-objetivo, Fabricantes de Equipos Originales e Integradores de Sistemas. Suministramos una solución de cliente vpn completamente funcional para completar la oferta disponible. Nuestro Cliente VPN IPSec podrá ser renombrado y la licencia del código de fuente estará disponible bajo pedido. Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 5/29
3 Utilizando Certificados Microsoft Server En esta sección, suministramos los pasos completos para generar un Certificado de Usuario, firmar un Pedido de Certificado y exportar certificados utilización de Microsoft Certificate Server. 3.1 Instalación del Microsoft Certificate Server Microsoft Certificate Server forma parte de los paquetes opcionales de Windows NT/2000/2003 server. El servidor del Certificado necesita del Microsoft Internet Information server (IIS) y Microsoft Internet explorer (IE) antes de que pueda ser utilizado. Las Páginas Web de inscripción suministradas por los Servicios de Certificado permiten conectarse con el servicio a través de un Navegador Web, y realizar tareas comunes tales como efectuar pedidos a la autoridad de certificados, procesamiento de un archivo de Pedido de Certificado, o procesamiento de un archivo de inscripción Smart Card. Las Páginas Web estarán localizadas en http://servername/certsrv donde el ServerName es el nombre de la máquina de emisión CA. Para más información de configuración de Microsoft Certificate Services en Windows 2000 server, vea los URLs a continuación: Sobre la creación de una Autoridad de Certificación: http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.asp Sobre las Páginas Web de Microsoft Certificate Services: http://www.microsoft.com/windows2000/techinfo/planning/security/cawebsteps.asp Sobre la Gestión de los Servicios de Certificados de Microsoft: http://www.microsoft.com/windows2000/techinfo/planning/security/adminca.asp A continuación ofrecemos los pasos necesarios para instalar el Internet Information Server (IIS 6.0) y el Microsoft Certificate Server (MCS) con una única raíz CA en Windows 2003 Server. Para instalar el Microsoft Internet Information Server: Haga clic en Start, apunte hacia Control Panel y Haga clic en Add or Remove Programs. Haga clic en el botón Add/Remove Windows Components en la ventana Add or Remove Programs. En la ventana Windows Components, haga clic en la entrada Application Server y haga clic en el botón Details. En la página Application Server, haga clic en la entrada Internet Information Services (IIS) y haga clic en el botón Details. En la caja de diálogo Internet Information Service (IIS), seleccione marcando la caja de selección de World Wide Web Service y haga clic en OK. Haga clic en OK en la caja de diálogo de Application Server. Haga clic en Next en la caja de diálogo de Windows Components. Haga clic en Finish en la página Completing the Windows Components Wizard. Para Microsoft Certificate Server instalados con una única raíz CA haga: Haga clic en Start, apunte hacia Control Panel y haga clic en Add/Remove Programs. En la ventana Add or Remove Programs, haga clic en el botón Add/Remove Windows Components. Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 6/29
En la caja de diálogo de Windows Components, haga clic en la entrada Certificate Services y haga clic en el botón Details. En la caja de diálogo Certificate Services, seleccione marcando la caja de selección de Certificate Services CA. Las dos cajas de selección de Certificate Services CA y Certificate Services Web Enrollment Support están comprobadas. Haga clic en OK en la caja de diálogo Certificate Services. Haga clic en Next en la caja de diálogo Windows Components. Actualice la página CA Type como se demuestra a continuación. Haga clic en Next. Actualice/personalice la página Public and Private Key Pair como se demuestra a continuación. Haga clic en Next. Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 7/29
Actualice/personalice la página CA Identifying Information como se demuestra a continuación. Haga clic en Next. En la página Certificate Database Settings, utilice las localizaciones predeterminadas para el Certificate Database y Certificate Database Log. No necesita especificar una carpeta compartida para guardar la información de configuración porque esta información será guardada en la Active Directory. Haga clic en Next. Haga clic en Yes en la caja de diálogo de Microsoft Certificate Services que le informa que el Internet Information Services deberá ser parado durante algún tiempo. Haga clic en Yes en la caja de diálogo de Microsoft Certificate Services que le informa que el Active Server Pages deberá ser permitido en IIS caso usted desee utilizar la página Web de inscripción Certificate Services. Haga clic en Finish en la página Completing the Windows Components Wizard. Cierre la ventana Add or Remove Programs. 3.2 Generación de Certificados En esta sección, suministramos los pasos completos para generar un Certificado de Usuario y firmar un Pedido de Certificado. 3.2.1 Generación de un Certificado de usuario Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 8/29
Esta sección describe como se genera un Certificado de Usuario para el Cliente VPN IPSec TheGreenBow. Esta sección se aplica igualmente a cualquier otra VPN IPSec final, como un enrutadores VPN. Para generar un Certificado de Usuario haga: Conéctese a su Servidor de Certificados (http://servername/certsrv donde el ServerName es el nombre de la máquina de emisión CA) Haga clic en Request a Certificate en la página Welcome. Haga clic en Advanced Certificate Request en la página Request a Certificate. Haga clic en Create and submit a request to this CA en la página Advanced Certificate Request. Llenar la página Advanced Certificate Request (como en el ejemplo demostrado abajo). Debe confirmar las Mark keys as exportable como el Cliente VPN IPSec TheGreenBow necesita la llave privada del certificado para establecer un túnel. Haga clic en Submit. Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 9/29
Después del procesamiento, la página Certificate Pending aparece. Tendrá que esperar hasta que su pedido sea aceptado y validado por su administrador de Microsoft Certificate Server. Para recuperar su certificado, vuelva a la página principal de Microsoft Certificate Server y Haga clic en View the status of a pending Certificate Request. En la página View the Status of a Pending Certificate Request, seleccione el pedido que desea ver. La página Certificate Issued aparece como se demuestra a continuación: Para añadir el Certificado corriente a su Almacén de Certificados, haga clic en Install this Certificate. Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 10/29
Después de este proceso, la página Certificate Installed aparece confirmando el éxito de la instalación del Certificado en el Almacén de Certificados del Internet Explorer. Para exportar un Certificado del Almacén de Certificados del Internet Explorer, vea la sección 3.3 3.2.2 Firma de un pedido de Certificado En esta sección mostramos como firmar un Pedido de Certificado generado por ZyWall 10W (versión del firmware V3.62 WH.3 04/28/2004). Para crear un Pedido de Certificado para un Certificado de Usuario: Conéctese al enrutador utilizando un interfaz de WEB. Haga clic en My Certificates y en seguida en el botón Create Cumplimente el siguiente formulario como se demuestra a continuación: Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 11/29
Después del procesamiento volverá a la tabla My Certificates. Seleccione el Pedido de Certificado recientemente creado y haga clic en Details. Copie y pegue los datos en el campo Certificate in PEM (base-64) Encode Format para un archivo, ZyCert.pem por ejemplo. Para firmar un Pedido de Certificado utilizando el Microsoft Certificate Server haga lo siguiente: Conéctese a su Servidor de Certificados (http://servername/certsrv donde el ServerName es el nombre de la máquina de emisión CA) Haga clic en Request a Certificate en la página Welcome. Haga clic en Advanced Certificate Request en la página Request a Certificate. Haga clic en el archivo Submit a Certificate Request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7. Haga clic en Browse for a file to insert y busque ZyCert.pem después el botón Read! La página Submit a Certificate Request or Renewal Request se parece a la siguiente: Haga clic en Submit. Después del procesamiento, la página Certificate Pending aparece. Tendrá que esperar hasta que su pedido sea aceptado y validado por su administrador de Microsoft Certificate Server. Para recuperar su Certificado, vuelva a la página principal de Microsoft Certificate Server y Haga clic en View the status of a pending Certificate Request. En la página View the Status of a Pending Certificate Request, seleccione el pedido que desea ver. La página Certificate Issued aparece, como lo demostrado a continuación: Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 12/29
Haga clic en Download Certificate. Un archivo de descarga aparece, presione el botón Save (El nombre predefinido del archivo es certnew.cer). El Certificado de Usuario ZyXel User está ahora validado. Para instalarlo en el enrutador haga lo siguiente: Conéctese al enrutador utilizando un interfaz de WEB. Para actualizar los certificados ZyWall almacenados, haga clic en Certificados, después en My Certificates y por último en el botón Import. Busque el archivo anteriormente guardado (certnew.cer) y haga clic en Apply. Después del proceso la tabla de Certificados deberá ser parecida con la siguiente: Necesita instalar el Certificado de Raiz en el enrutador, para completar la instalación del Certificado de Usuario ZyXel. Conéctese a su Servidor de Certificados Haga clic en Download a CA Certificate, Certificate chain, or CRL. En Download a CA Certificate, Certificate chain, or CRL, como se demuestra a continuación, haga clic en Download CA Certificate y guarde el archivo como, por ejemplo, certroot.cer: Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 13/29
Conéctese al enrutador utilizando un interfaz de WEB. Haga clic en la tabla Trusted Cas, en seguida en el botón Import, a continuación busque certroot.cer (nuestro Certificado de Raiz), y por fin aplique las alteraciones. Después del procesamiento la tabla Trusted CAs deberá ser parecido con la siguiente: En este nivel el Pedido de Certificado ZyWall s ha sido firmado y el usuario que le corresponde y los Certificados de Raiz han sido añadidos al almacen de certificados. 3.3 Exportación de un Certificado Certificados instalados en el Almacén de Certificados del Internet Explorer pueden ser exportados utilizando el formato de archivo PKCS12. Las secciones 4.2.2 y 5.1 explican como extraer certificados y llaves privadas de un formato de archivo PKCS12. Para exportar Certificados del Almacén de Certificados de Internet Explorer Certificate haga: Corra el Internet Explorer. Abra Internet Options en el menú Tools. Seleccione la tabla Content y haga clic en el botón Certificates. En la caja de diálogo Certificates, abra la tabla Personal. Seleccione el Certificado a exportar como se demuestra a continuación: Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 14/29
Haga clic en Export. En Certificate Export Wizard haga clic en Next. En Export Private Key seleccione Yes, Export Private Key como necesario por el Cliente VPN IPSec TheGreenBow. En la página Export File Format seleccione Include all Certificados in the certification path if possible. La Raiz CA también es exportada tal como necesita el Cliente VPN IPSec TheGreenBow. Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 15/29
Haga clic en Next. En la página Password, escriba y confirme su contraseña, en seguida haga clic en Next. En la página File to Export especifique la ruta del archivo de destino y en seguida haga clic en Next. En Completing the Certificate Export Wizard haga clic en Finish. Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 16/29
4 Utilización de OpenSSL OpenSSL es una herramienta no comercial que proporciona un gran abanico de operaciones criptográficas. También es útil para la gestión de Certificados. Más detalles sobre la construcción y utilización de OpenSSL pueden ser encontrados en http://www.openssl.org. Desde que el programa openssl es una herramienta de línea de comandos, hemos escrito varios guiones de lotes para la creación y gestión de Certificados. Descomprima TgbSmallPKI.zip para C:\TgbSmallPKI, por ejemplo, (en las secciones a continuación, asumiremos que esta ruta será nuestra carpeta de trabajo). La carpeta de trabajo contiene: RootCA.bat: Genera un Certificado de Raiz autofirmado. UserCA.bat: Genera un Certificado de Usuario firmado por el Certificado de Raiz. Pkcs12.bat: Convierte un archivo P12 en archivos PEM files. CAinfo.bat: Visualiza la información de un Certificado PEM. CAsign.bat: Firma un Pedido de Certificado. La carpeta \Bin contiene: o o openssl.cnf: Una gran parte de lo que está en un Certificado depende del contenido de este archivo de configuración. Está dividido en secciones, lo que ayuda a transformar la configuración en una más modular. Usted puede personalizar este archivo dependiendo de sus necesidades (para más detalles, vea la documentación OpenSSL). openssl.exe, libeay32.dll y ssleay32.dll son el conjunto de herramientas básicas para las plataformas Windows. ReadME.txt: Un archivo de documento. 4.1 Generación de Certificados En la sección a continuación le indicaremos como generar un Certificado de raíz autofirmado, un Certificado de usuario y firmar un Pedido de Certificado utilizando el OpenSSL para Windows. 4.1.1 Generación de un Certificado autofirmado Un Certificado autofirmado es un Certificado que no es firmado por una Autoridad de Certificados reconocida. Un Certificado autofirmado puede ser utilizado para actuar como una Autoridad emisora de Certificados, renovando y revocando Certificados. Para crear un Certificado autofirmado, corra RootCA. A continuación tenemos una muestra de salida:! Creating Root CA folders Root CA folder set to.\rootca Root CA key length is 1024 bits Root CA validity is 3650 days The system cannot find the file specified.! Creating CA private key (1024 bits, 3650 days) Loading 'screen' into random state - done Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 17/29
Generating RSA private key, 1024 bit long modulus...++++++.++++++ e is 65537 (0x10001)! CA autosigning (1024 bits, 3650 days) Using configuration from.\bin\openssl.cnf You are about to be asked to enter information that will be incorporated into your Certificate Request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]:FR State or Province Name (full name) [France]:France Locality Name (eg, city) []:Paris Organization Name (eg, company) [TheGreenBow]:TheGreenBow Organizational Unit Name (eg, section) []:Authority Certificate Common Name (eg, YOUR name) []:TheGreenBow CA Email Address []:TgbCA@thegreenbow.fr Please enter the following 'extra' attributes to be sent with your Certificate Request A challenge password []:capassword An optional company name []:TheGreenBow Loading 'screen' into random state - done Signature ok subject=/c=fr/st=france/l=paris/o=thegreenbow/ou=authority Certificate/CN=TheGreenBow CA/Email=TgbCA @thegreenbow.fr Getting Private key "---------------------------" "---------------------------" Root Certificate at.\rootca\rootca.pem Root Private Key at.\rootca\cakey.key El Certificado de raíz RootCA.pem y su clave privada CAKey.key están en la carpeta RootCA. 4.1.2 Generación de un Certificado de usuario Cuando es escogida la autenticación del Certificado X.509 dentro del IKE, un Certificado de Usuario es utilizado para identificar un terminal de un VPN IPSec y para efectuar operaciones de firma/verificación. El UserCA script genera Certificados de Usuario, su clave privada y un archivo PKCS12. Esto requiere una carpeta intermedia como parámetro. Puede ser utilizado para generar Certificados para todos los terminales VPN IPSec. Para generar todos los archivos necesarios para Cliente VPN IPSec TheGreenBow, corra UserCA TgbClient:! Creating User CA folder Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 18/29
Creating User Certificate folder at.\tgbclient User CA key length is 1024 bits User CA validity is 3650 days! Creating User CA private key (1024 bits) Loading 'screen' into random state - done Generating RSA private key, 1024 bit long modulus...++++++...++++++ e is 65537 (0x10001)! Signing User CA Using configuration from.\bin\openssl.cnf You are about to be asked to enter information that will be incorporated into your Certificate Request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]:FR State or Province Name (full name) [France]:France Locality Name (eg, city) []:Paris Organization Name (eg, company) [TheGreenBow]:TheGreenBow Organizational Unit Name (eg, section) []:VPN Common Name (eg, YOUR name) []:Cliente VPN TheGreenBow Email Address []:TgbClient@thegreenbow.fr Please enter the following 'extra' attributes to be sent with your Certificate Request A challenge password []:tgbcapwd An optional company name []:TheGreenBow Loading 'screen' into random state - done Signature ok subject=/c=fr/st=france/l=paris/o=thegreenbow/ou=vpn/cn=cliente VPN TheGreenBow/Email=TgbClient@thegreenbow.fr Getting CA Private Key! User CA in P12 Format Loading 'screen' into random state - done Enter Export Password: Verifying password - Enter Export Password: TgbClient.p12 created in.\tgbclient.p12 "---------------------------" "---------------------------" User Certificate at.\tgbclient\tgbclient.pem User Private Key at.\tgbclient\local.key User Certificate Subject is: subject= /C=FR/ST=France/L=Paris/O=TheGreenBow/OU=VPN/CN=Cliente VPN TheGreenBow/Email=TgbClient@thegreenbow.fr Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 19/29
Los archivos más relevantes en la carpeta TgbClient son: TgbClient.pem: El Certificado de Usuario. Local.key: La clave privada del Certificado de Usuario. Subject.txt: El asunto del Certificado de Usuario. TgbClient.p12: un formato de archivo PKCS12 conteniendo los Certificados de Usuario y de Raíz y la clave privada del Certificado de Usuario. 4.1.3 Firma de un pedido de Certificado En esta sección demostramos como firmar un Pedido de Certificado generado por ZyWall 10W (versión del firmware V3.62 WH.3 04/28/2004). Para crear un Pedido de Certificado: Conéctese al enrutador utilizando un interfaz de WEB. Haga clic en My Certificates y a continuación en el botón Create Cumplimente el formulario conforme lo demostrado a continuación: Después del procesamiento volverá al tabulador My Certificates. Seleccione el Pedido de Certificado recientemente creado y haga clic en Details. Copie y pegue los datos en el campo Certificate in PEM (base-64) Encode Format para un archivo, ZyCert.pem por ejemplo. Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 20/29
Copie ZyCert.pem para una carpeta de trabajo TgbSmallPKI y corra CAsign ZyCert:! Creating User CA folder Creating User Certificate folder at.\zycert! Signing User CA Using configuration from.\bin\openssl.cnf Loading 'screen' into random state - done Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryname :PRINTABLE:'France' organizationname :PRINTABLE:'TheGreenBow' organizationalunitname:printable:'vpn' commonname :ASN.1 12:'zyxel10w@thegreenbow.fr' Certificate is to be certified until Apr 17 15:55:02 2015 GMT (3650 days) Sign the Certificate? [y/n]:y 1 out of 1 Certificate Requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated "---------------------------" "---------------------------" User Certificate at.\zycert\zycert.pem User Certificate Subject is: subject= /C=France/O=TheGreenBow/OU=VPN/CN=zyxel10w@thegreenbow.fr El Certificado ZyWall ZyCert.pem es entonces generado en una carpeta ZyCert. Para actualizar el almacén de Certificado ZyWall s Certificate, haga clic en Certificates, en seguida en My Certificates y después en el botón Import. Busque el archivo ZyCert.pem y haga clic en Apply. Después del procesamiento el tabulador de Certificados deberá ser parecido con este: Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 21/29
Para completar la instalación del Certificado ZyCert.pem necesita instalar el Certificado de Raíz CA. Haga clic en el tabulador Trusted CAs y en seguida en el botón Import, después busque RootCA.pem (nuestro Certificado autofirmado) y aplique los cambios. Después del procesamiento el tabulador Trusted CAs tab deberá ser parecido con este: En este nivel el Pedido de Certificado ZyWall ha sido firmado y El Certificado de Raiz y de Usuario que le corresponde han sido añadidos al almacén de Certificados. 4.2 Herramientas adicionales TgbSmallPKI En la sección a continuación demostraremos como visualizar la información del Certificado y como extraer Certificados y claves privadas de un formato de archivo PKCS12. Pkcs12.bat: Convierte un archivo P12 en archivos PEM. CAinfo.bat: Muestra la información del certificado PEM. 4.2.1 Visualización de informaciones de Certificado La visualización de informaciones de Certificado pueden ser útiles para recuperar varios campos, como el Emisor, la fecha de validad y el Asunto. El script CAinfo muestra la información sobre el Certificado de Usuario. Requiere un archivo Certificado como parámetro. Para mostrar más información sobre TgbClient.pem (El Certificado de Usuario TheGreenBow generado en la sección 4.1.2), corra CAinfo TgbClient\TgbClient.pem:! Certificate TgbClient\TgbClient.pem information Certificate: Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 22/29
Data: Version: 1 (0x0) Serial Number: 1 (0x1) Signature Algorithm: md5withrsaencryption Issuer: C=FR, ST=France, L=Paris, O=TheGreenBow, OU=Authority Certificate, CN=TheGreenBow CA /Email=TgbCA@thegreenbow.fr Validity Not Before: Apr 19 12:44:03 2005 GMT Not After: Apr 17 12:44:03 2015 GMT Subject: C=FR, ST=France, L=Paris, O=TheGreenBow, OU=VPN, CN=Cliente VPN TheGreenBow/Email=Tg bclient@thegreenbow.fr Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:ac:00:2c:1b:82:6d:32:2e:17:09:9f:13:8d:b9: 9f:9b:db:d7:3f:f7:45:9b:f2:73:6d:8b:3d:9b:b1: 14:99:25:22:fb:a8:56:30:9d:68:43:e9:14:84:6f: 4c:24:fa:e2:36:84:56:2d:b2:5c:11:fd:be:b9:9e: ed:49:c8:c1:08:29:d0:17:ca:b8:12:41:41:55:4d: 48:01:57:bc:22:9a:c9:48:ca:e2:c2:59:2c:78:8d: 6d:cc:89:09:3a:97:f5:f4:b7:96:ea:da:82:0e:8c: 87:49:a7:45:a4:74:45:31:8e:ac:be:9a:a2:8c:a1: 16:be:f7:46:4a:94:78:31:73 Exponent: 65537 (0x10001) Signature Algorithm: md5withrsaencryption b2:ba:7c:92:9c:eb:59:c2:7e:d9:95:af:71:8b:06:2f:b8:44: b3:b5:2a:b7:98:0b:1e:08:97:85:c7:bc:21:1c:cf:df:15:97: d9:4f:e5:ec:31:14:6f:9e:b1:8a:47:37:ad:6b:4b:c8:15:bf: cd:8a:1b:ed:a5:f7:3e:ac:72:73:b9:bc:f6:22:b3:05:f5:26: 40:dd:f8:4c:83:3f:25:da:68:32:8b:bd:1b:68:24:e8:df:31: 83:5b:74:91:10:1f:6a:d0:b9:3c:f3:04:50:4c:6e:ce:c9:de: 3a:38:fe:2d:ad:6c:6b:e6:74:38:51:0c:5b:c5:bb:6b:05:25: 44:d9 4.2.2 Conversión de PKCS12 para PEM PKCS12 (Personal Information Exchange Syntax Standard) es un estándar para el almacenamiento de Certificados y clave privadas. El script Pkcs12 extrae Certificados y la clave privada de un archivo con el formato PKCS12. Requiere un archivo local PKCS12 sin su extensión.p12, una carpeta intermedia y una contraseña. Para extraer Certificados y la clave privada de TgbClient.p12 (un archivo TheGreenBow PKCS12 generado en la sección 4.1.2), corre Pkcs12 TgbClient TempFolder tgbp12:! Extracting Root Certficate MAC verified OK! Extracting User Certficate Utilización de Certificados Propiedad de TheGreenBow Sistech SA - Sistech 2001-2005 23/29