Sunteți pe pagina 1din 19

UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL

CUSCO

FACULTAD DE INGENIERIA ELÉCTRICA, ELECTRÓNICA,


INFORMÁTICA Y MECÁNICA

ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE


SISTEMAS

ASIGNATURA: ADMINISTRACIÓN DE CENTROS DE COMPUTO

LAB 08

CERTIFICADOS DIGITALES

DOCENTE: ING. MANUEL PEÑALOZA FIGUEROA


TRABAJO PRESENTADO POR:

 ALEJO HIRPAHUANCA, FERNANDO 080164


 CACERES THAMIÑA PAUL VLADIMIR 141153
 CHANCAYAURI HUAMAN MIRIAN CAROLINA 120881
 HUAMAN DE LA VEGA ENDRE 130346
 HUAMÁN PEÑA KATIA 093170
 HUAYNAPATA QUISPE MARICRUZ 124205
 JORDAN DIAZ LINFORD VITALI ARON 121454
 QUISPE PALOMINO YUVISA 131148
 RIMAYHUAMAN GRAJEDA BRAYAN 140986

CUSCO – PERÚ
2017 - II
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

LAB 08: CERTIFICADOS DIGITALES


DESARROLLO DE LA PRÁCTICA:

En este laboratorio, se crearan certificados digitales.

En una primera instancia, nos volveremos un "root CA" nosotros mismos, y


generaremos un certificado para este CA.

— A diferencia de otros certificados, los cuales son usualmente firmados por


otros CA, los certificados de los "root CA" son auto firmados (i.e. firmado por
uno mismo, por la entidad para la entidad).

— Los certificados "root CA" usualmente son pre-cargados en la mayor parte


de los SO, navegadores web, y otro software que se basa en PKI.

— Los certificados "root CA" son incondicionalmente de confianza.

En una segunda instancia simularemos el proceso de la petición/solicitud de un


certificado digital y la emisión y firma del certificado digital por un 3ro de
confianza.

Importante: Todos los comandos openSSL a utilizar en este laboratorio


se ejecutarán abriendo una ventana del Terminal para Linux o la consola de la
Línea de comandos para Windows.

4.1. Certificado Digital auto-firmado:

Generar un certificado digital auto-firmado para nuestra CA (Autoridad en


Certificados). Esto significa que este CA es totalmente de confianza, y su
certificado servirá como certificado raíz.

Nota: El certificado digital debe ser un certificado digital de la fecha actual hacia
adelante.
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

Escenario: Alicia será nuestra CA.

4.1.1. (3 + 0.5 + 0.5 puntos) Crear/Generar: un Certificado Digital auto-


firmado x509 para ser usado como "root CA" + una nueva clave privada
RSA. Utilizar las siguientes opciones.

 Opción a utilizar :(crear o generar una nueva petición/solicitud


de certificado) + una nueva clave privada.
 Tamaño de clave privada generada : rsa:2048 bits
 Clave privada a crear ¿será cifrada? : No
 Archivo de salida para la clave privada : clavePrivada-A.pem
 Opción a utilizar : generar como salida un
certificado auto-firmado x509
(anulando así la generación de
la petición/solicitud del
certificado (pues vamos generar
un certificado raíz autofirmado)).

 Archivo de salida para el certificado auto-firmado : certificado-A.pem


 Validez del certificado : 3650 días

¡Importante!:

Como parte del proceso, le será indicado ingresar información personalizada


para el certificado.

Información personalizada que será solicitada para crear el certificado:

 País (código de 2 letras) : PE


 Provincia (nombre completo) : Cusco
 Localidad : Cusco
 Organización : UNSAAC
 Unidad Organizacional : DAII
 Nombre común (FQDN del servidor o tu nombre) : Alicia
 Dirección de e-mail : alicia@gmail.com

Comando a usar: openssl req

Escribir el comando exacto que usó:

OpenSSL> req -x509 -newkey rsa:2048 -nodes -keyout


clavePrivada-A.pem -out certificado-A.pem -days 3650
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

Mostrar la clave privada RSA (incluyendo el "título" + "línea-de-cierre"):


ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

Mostrar el Certificado Digital X509 (versión "codificada", incluyendo el "título" +


"línea-de-cierre")

4.1.2. (0.5 puntos) Mostrar la información del certificado digital auto


firmado (la versión no "codificada"). Utilizar las siguientes opciones.

 Archivo de entrada q' contiene el certificado : certificado-A.pem


 Opción a utilizar : Imprimir el certificado en
formato de texto
 Opción a utilizar : prevenir la salida de la
versión codificada del certificado
Comando a usar: openssl x509
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

Escribir el comando exacto que usó:

OpenSSL> x509 -in certificado-A.pem -text –noout

Mostrar la información del Certificado Digital X509 (de la versión no


"codificada"):
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

4.1.3. (1 + 0.5 + 0.5 puntos) Generar la correspondiente clave pública RSA


de Alicia a partir de la clave privada ya generada. Utilizar las siguientes
opciones.

 Archivo de Entrada q' contiene la clave privada : clavePrivada-A.pem


 Formato del archivo de salida : PEM (o default)
 Tipo de Salida/Tipo del Archivo de Salida : la salida será una clave
pública
 Archivo de Salida para la clave pública : clavePublica-A-PR.pem

Comando a usar: openssl rsa

Escribir el comando exacto que usó:

OpenSSL> rsa -in clavePrivada-A.pem -outform PEM -pubout -


out clavePublica-A-PR.pem

Mostrar clave pública RSA (incluyendo el "título" + "línea-de-cierre"):

Adicionalmente también es posible visualizar y extraer la clave pública RSA a


partir del certificado digital x509 ya generado. Utilizar las siguientes opciones.

 Archivo de Entrada q' contiene el certificado : certificado-A.pem


 Opción a utilizar : prevenir la salida de la
versión
codificada del certificado
 Tipo de Salida/Tipo del Archivo de Salida : la salida será una clave
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

pública
 Redirigir la salida estándar a un archivo :>
 Archivo de Salida para la clave pública : clavePublica-A-CE.pem

Comando a usar: openssl x509

Escribir el comando exacto que usó:

OpenSSL> x509 -in certificado-A.pem –noout -pubkey -out


clavePublica-A-CE.pem

Mostrar clave pública RSA obtenida a partir del certificado (incluyendo el


"título" + "línea-de-cierre"):

¡Verificar ambas claves públicas!

¿clavePublica-A-CP.pem = clavePublica-A-CE.pem?

Según las claves generadas no existe clavePublica-A-CP.pem

En todo caso asumimos que se solicita comparar con clavePublica-A-PR.pem

Verificando ambas claves comprobamos que son iguales.


ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

4.2. Simulación de un Certificado Digital firmado por una CA (Autoridad


en Certificados) comercial.

Pre-Condición:

– Crear una carpeta demoCA en la carpeta o directorio de trabajo.

– En la carpeta demoCA, crear un archivo de índices vacío index.txt, que será


el archivo de índices de la base de datos de texto.

– En la carpeta demoCA, crear un archivo con nombre serial, conteniendo el


número de serie 01 (Nota: este archivo no tiene extensión).

– En la carpeta demoCA crear una sub-carpeta nuevo.

– Se ha simulado el tercero de confianza (i.e. una Autoridad en Certificados


(CA) comercial), para lo cual:

 Se ha generado previamente un Certificado Digital auto-firmado x509


para ser usado como "root CA" + una clave privada para la CA
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

(clavePrivadaCA.pem, certificado-CA.pem) como se enseñó en 4.1.1,


estos archivos se deben de bajar de la página web del curso.
 También, se ha generado la correspondiente clave pública para la CA
(clavePublica-CA.pem) como se enseñó en 4.1.3, este archivo de debe
de bajar de la página web del curso.

– Estos archivos de simulación se deben guardar en demoCA.

Nota: OpenSSL maneja un archivo de configuración openssl.cfg que permite


definir los valores por defecto, automatizar los procesos, y otras tareas. Los
valores de las opciones en los comandos de OpenSSL sobrescriben
estos valores por defecto.

Escenario: Alicia solicitará a un 3ro de confianza (i.e. a una CA comercial)


un certificado digital firmado.

4.2.1. (3 + 0.5 + 0.5 puntos) Crear o Generar una petición/solicitud de


Certificado Digital (CSR) para ser enviado a una CA (i.e. a un tercero de
confianza) y además crear/generar una nueva clave privada RSA para
Alicia. Utilizar las siguientes opciones.

 Opción a utilizar : crear o generar una nueva


petición/solicitud de certificado
+ una nueva clave privada
 Tamaño de la clave privada generada : rsa:2048 bits
 La clave privada a crear ¿será cifrada? : No
 Archivo de salida para la clave privada : clavePrivada-A2.pem
 Formato del archivo de salida : PEM (opcional)
 Archivo de salida de la solicitud del certificado : solicitudCertificado-
A2.pem
 Validez del certificado : 3650 días

Como parte del proceso, le será indicado ingresar información personalizada


para la solicitud del certificado.
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

Información personalizada que será solicitada para crear la solicitud del


certificado:

 País (código de 2 letras) : PE


 Provincia (nombre completo) : Cusco
 Localidad : Cusco
 Organización : UNSAAC
 Unidad Organizacional : CECO
 Nombre común (FQDN del servidor o el nombre) : Alicia
 Dirección de e-mail : alicia@gmail.com

¡Importante!:

Como parte del proceso, también le será indicado ingresar atributos "extra" (no
ingresar ningún valor, sola presionar Enter).

Comando a usar: openssl req

Escribir el comando exacto que usó:

OpenSSL> req -newkey rsa:2048 -nodes -keyout clavePrivada-


A2.pem -outform PEM -out solicitudCertificado-A2.pem -days
3650
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

Mostrar clave privada RSA (incluyendo el "título" + "línea-de-cierre"):


ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

Mostrar solicitud o petición del Certificado Digital (incluyendo el "título" +


"línea-de-cierre"):

4.2.2. Después que la solicitud del certificado (solicitudCertificado-


A2.pem) ha sido generada, se la envía a través de un e-mail a una CA
(Certificate Authority = Autoridad en Certificados) tal como VeriSign,
COMODO, Thawte,...

Nota: Para este laboratorio, Ud. también servirá como una CA.
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

4.2.3. (3.5 + 0.5 puntos) Procesamiento de la petición del Certificado


Digital: Cuando una CA recibe una petición de certificado, lo descarga,
verifica los datos del solicitante y procede a generar el certificado
respectivo y a firmarlo. Utilizar las siguientes opciones.

 Política de la CA a usar : policy_anything


 Archivo de la Clave privada de la CA (que : demoCA/clavePrivada-
sirve para firmar la solicitud) CA.pem

 Archivo del Certificado digital de la CA : demoCA/certificado-


CA.pem
 Directorio de salida de las copias de los certificados : demoCA/nuevo
 Archivo de salida del :demoCA/nuevo/certificado-A2.pem
certificado solicitado

 Opción a utilizar para bloquear : -notext (Recomendable)


el formato textual del certificado en
el archivo de salida (i.e. detalles
del certificado + el certificado mismo)

 Validez del certificado : 3650 días


 Archivo de entrada (es la solicitud del certificado) : solicitudCertificado-
A2.pem

¡IMPORTANTE! ¡IMPORTANTE!:

Como parte del proceso, le será pedido firmar el certificado y después hacer un
"commit" de la "base de datos", a ambos pedidos responda con "y". Debe
mostrar el mensaje "Data Base Updated".

Nota: Cuando la política de la CA a usar es "policy_anything", entonces la CA


está dispuesta a firmar solicitudes/peticiones de certificado de quien sea.

Ayuda: Este paso actualiza tanto el archivo de índice (index.txt) como el archivo
que contiene el número de serie (serial), si el comando por alguna razón no se
ejecutara exitosamente, conviene dejar estos archivos en el estado de la pre-
condición y borrar los archivos adicionales creados durante este paso.

Comando a usar: openssl ca


ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

Escribir el comando exacto que usó:

OpenSSL> ca -policy policy_anything -keyfile


demoCA/clavePrivada-CA.pem -cert demoCA/certificado-CA.pem
-out demoCA/nuevo/certificado-A2.pem -notext -outdir
demoCA/nuevo -days 3650 -in solicitudCertificado-A2.pem

Mostrar los detalles del certificado emitido (la versión "no codificada) y resaltar
el emisor, la fecha tope de validez del certificado y el solicitante, para lo cual
usamos el comando del ítem 4.1.2 de la manera pertinente:

OpenSSL> x509 -in demoCA/nuevo/certificado-A2.pem -text –


noout
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

4.2.4. Después que el certificado (certificado-A2.pem) ha sido generado por la


CA, la CA lo envía a través de un e-mail al solicitante (i.e. a Alicia).
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

4.2.5. (0.5 puntos) Extraer la clave pública RSA de Alicia a partir del
certificado digital x509 enviado por la CA comercial. Utilizar las siguientes
opciones.

 Archivo de Entrada q' :demoCA/nuevo/certificado-A2.pem


contiene el certificado

 Opción a utilizar : prevenir la salida de la versión


codificada del certificado
 Tipo de Salida/Tipo del Archivo de Salida : la salida será una clave pública
 Redirigir la salida estándar a un archivo :>
 Archivo de Salida para la clave pública : clavePublica-A2-CA.pem

Comando a usar: openssl x509

Escribir el comando exacto que usó:

OpenSSL> x509 -in demoCA/nuevo/certificado-A2.pem –noout -


pubkey -out clavePublica-A2-CA.pem

Mostrar clave pública RSA obtenida a partir del certificado enviado por la
CA (incluyendo el "título" + "línea-de-cierre"):
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

5. (5 puntos) CUESTIONARIO:

5.1 La solicitud/petición del certificado digital (CSR) generada por un


usuario, la cual es enviada a una CA (Certificate Authority = Autoridad en
Certificados) contiene además:

a. solo la clave privada del usuario

b. solo la clave pública del usuario

c. la clave privada y la clave pública del usuario

d. ninguna de las 2 claves del usuario

e. la clave pública de la CA

5.2 ¿Qué pasos toma el software de un usuario para validar la firma


digital de una CA en un certificado digital?

a. El software del usuario crea un "resumen del mensaje" para el certificado


digital y descifra el "resumen del mensaje" encriptado incluido dentro del
certificado digital. Si el descifrado se realiza apropiadamente y los valores del
"resumen del mensaje" son los mismos, el certificado es validado.

b. El software del usuario crea un "resumen del mensaje" para la firma digital y
cifra el "resumen del mensaje" incluido dentro del certificado digital. Si la
encriptación se realiza apropiadamente y los valores del resumen del mensaje
son los mismos, el certificado es validado.

c. El software del usuario crea un "resumen del mensaje" para el


certificado digital y descifra el "resumen del mensaje" encriptado incluido
dentro del certificado digital. Si el usuario puede encriptar el "resumen del
mensaje" apropiadamente con la clave privada de la CA y los valores del
"resumen del mensaje" son los mismos, el certificado es validado.

d. El software del usuario crea un "resumen del mensaje" para la firma digital y
encripta el "resumen del mensaje" con su clave privada. Si el descifrado se
realiza apropiadamente y los valores del "resumen del mensaje" son los
mismos, el certificado es validado.
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

5.3 Una vez que un individuo/entidad valida el certificado de otro


individuo/entidad, ¿cuál es el uso de la clave pública que es extraída de
ese certificado digital?

a. La clave pública ahora está disponible para usar para crear firmas digitales.

b. El usuario ahora puede encriptar claves de sesión y mensajes con esta


clave pública y puede validar la firma digital del emisor.

c. La clave pública ahora está disponible para encriptar futuros certificados


digitales que necesitan ser validados.

d. El usuario ahora puede encriptar claves privadas asimétricas que necesitan


ser transmitidas seguramente.

5.4 ¿Por qué un certificado digital sería agregado a una Lista de


Revocación de Certificados (CRL)?

a. Si la clave pública ha quedado comprometida en un repositorio público.

b. Si la clave privada ha quedado comprometida por alguna razón.

c. Si un nuevo empleado se incorporó a la compañía y recibió un nuevo


certificado.

d. Si el certificado expiró.

5.5 En el certificado digital X.509: La firma digital es computada:

a. Sobre el certificado entero.

b. Solo sobre el campo tbsCertificate.

c. Sobre los 2 primeros campos, i.e. tbsCertificate y signatureAlgorithm.

d. Solo sobre el campo signatureValue.

S-ar putea să vă placă și