Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Infraestructura clave pública (PKI)

En este tema se describe la descripción general de la infraestructura de clave pública y se incluyen las siguientes secciones:

Introducción a PKI

La infraestructura de clave pública (PKI) proporciona una forma de comprobar la identidad de un sitio remoto mediante un certificado digital. PKI utiliza una entidad de certificación (CA) para validar la información y firmarla con una firma digital de forma que ni su información ni la firma puedan modificarse. Una vez firmada, la información se convierte en un certificado digital. Los dispositivos que reciben un certificado digital pueden comprobar la información del certificado validando la firma mediante criptografía de clave pública.

La infraestructura de clave pública (PKI) proporciona una infraestructura para la administración de certificados digitales y consta de:

  • Autoridad de registro (RA) que verifica las identidades de las entidades, autoriza sus solicitudes de certificado y genera pares de claves asimétricas únicas (a menos que las solicitudes de certificado de los usuarios ya contengan claves públicas)

  • Autoridad de certificación (CA) que emite los certificados digitales correspondientes para las entidades solicitantes.

  • Una lista de revocación de certificados (CRL) que identifica los certificados que ya no son válidos. Cada entidad que posea la clave pública auténtica de una CA puede verificar los certificados emitidos por esa CA.

Certificado Digital

Un certificado digital es un archivo electrónico que verifica la identidad del titular del certificado para proteger los datos intercambiados en línea. Los certificados digitales proporcionan una forma de autenticar a los usuarios a través de un tercero de confianza denominado entidad emisora de certificados (CA). La CA valida la identidad del titular del certificado y lo "firma" para certificar que no ha sido falsificado ni alterado. Como alternativa, puede utilizar un certificado autofirmado para dar fe de su identidad.

Un par de claves es un elemento crítico de la implementación de un certificado digital. La clave pública se incluye en el certificado digital local y la clave privada se utiliza para descifrar los datos recibidos de los pares.

Los certificados tienen una duración finita y se definen por una hora de inicio y una hora de finalización. El certificado deja de ser válido cuando expira el tiempo de vida. Cuando el certificado caduca, se requiere una renovación del certificado o una nueva solicitud de certificado.

Autoridad de certificación

Una CA es una organización de terceros de confianza que crea, inscribe, valida y revoca certificados digitales. La CA garantiza la identidad de un usuario y emite claves públicas y privadas para el cifrado y descifrado de mensajes (codificación y decodificación). Una CA también genera listas de revocación de certificados (CRL), que son listas de certificados revocados.

Par de claves privada/pública

Al configurar una PKI, debe incluir claves públicas y privadas que se generan en pares y se vinculan matemáticamente.

Al solicitar el certificado, debe incluir la clave pública en la solicitud de inscripción del certificado. La clave pública se incluirá en el certificado concedido y la clave privada se conservará en el dispositivo solicitante. Un mensaje cifrado con la clave pública se puede descifrar utilizando la clave privada correspondiente. El par de claves privada-pública también se utiliza para crear firmas digitales.

Opciones de inscripción de certificados

Puede solicitar un certificado digital de CA en línea o manualmente:

  • Inscripción manual de certificados: este proceso incluye la generación de una solicitud PKCS10, el envío a la autoridad de certificación (CA), la recuperación del certificado firmado y la carga manual del certificado en el dispositivo Junos OS como certificado local.

  • Inscripción de certificados en línea: puede utilizar el Protocolo de administración de certificados versión 2 (CMPv2) o el Protocolo simple de inscripción de certificados (SCEP) para la inscripción de certificados en línea.

Opciones de revocación de certificados

  • Lista de revocación de certificados (o CRL): la autoridad de certificación (CA) publica periódicamente una lista de certificados revocados mediante una lista de revocación de certificados (CRL). La CRL contiene la lista de certificados digitales con números de serie que se han cancelado antes de su fecha de caducidad.

  • Protocolo de estado de certificado en línea (OCSP): OCSP se utiliza para comprobar el estado de revocación de los certificados X509. El OCSP proporciona el estado de revocación de los certificados en tiempo real y es útil en situaciones sensibles al tiempo, como transacciones bancarias y operaciones bursátiles.

Tipos de solicitud de certificado

La infraestructura de clave pública (PKI) permite a los usuarios autenticarse entre sí mediante certificados digitales emitidos por la CA. PKI utiliza X.509, estándares de criptografía de clave pública (PKCS) para definir los formatos estándar para los certificados y su uso. En PKI, el solicitante usa una solicitud de firma de certificado (CSR) para solicitar un certificado digital a una entidad emisora de certificados (CA). La solicitud puede estar en uno de los estándares:

  • Estándar de criptografía de clave pública # (PKCS#) (PKCS7, PKCS10, PKCS11, PKCS12)

  • x509-signaturere.

Firmas de certificados y verificación

Un certificado digital es un medio electrónico para verificar su identidad a través de un tercero de confianza, conocido como autoridad de certificación (CA). Como alternativa, puede utilizar un certificado autofirmado para dar fe de su identidad.

El servidor de CA que utilice puede ser propiedad y estar operado por una CA independiente o por su propia organización, en cuyo caso usted se convierte en su propia CA. Si usa una CA independiente, debe ponerse en contacto con ella para obtener las direcciones de sus servidores de CA y de lista de revocación de certificados (CRL) (para obtener certificados y CRL) y para obtener la información que necesitan al enviar solicitudes de certificados personales. Cuando usted es su propia CA, usted mismo determina esta información.

La CA que emite un certificado utiliza un algoritmo hash para generar un resumen y, a continuación, "firma" el certificado cifrando el resumen con su clave privada. El resultado es una firma digital. A continuación, la CA pone el certificado firmado digitalmente a disposición de la persona que lo solicitó para su descarga. ilustra este proceso.Figura 1

El destinatario del certificado genera otro resumen aplicando el mismo algoritmo hash al archivo de certificado y, a continuación, utiliza la clave pública de la CA para descifrar la firma digital. Al comparar el resumen descifrado con el resumen que se acaba de generar, el destinatario puede confirmar la integridad de la firma de la CA y, por extensión, la integridad del certificado adjunto. ilustra este proceso.Figura 1

Un certificado se considera válido si se puede comprobar la firma digital y el número de serie del certificado no aparece en una lista de revocación de certificados.

Figura 1: Verificación de firma digitalVerificación de firma digital

Cuando se utilizan firmas de algoritmo de firma digital (DSA), se utiliza el algoritmo hash SHA-1 para generar el resumen. Cuando se utilizan firmas Rivest-Shamir-Adleman (RSA), SHA-1 es el algoritmo hash predeterminado utilizado para generar el resumen; puede especificar el algoritmo hash SHA-256 con la opción de los comandos o .digestrequest security pki generate-certificate-requestrequest security pki local-certificate generate-self-signed Cuando se utilizan firmas del algoritmo de firma digital de curva elíptica (ECDSA), el algoritmo hash SHA-256 se utiliza para las firmas ECDSA-256 y el algoritmo hash SHA-384 se utiliza para las firmas ECDSA-384.

A partir de Junos OS versión 18.1R3, el algoritmo hash predeterminado que se utiliza para validar certificados PKI autofirmados generados automática y manualmente es el algoritmo hash seguro 256 (SHA-256). Antes de Junos OS versión 18.1R3, SHA-1 se utilizaba como algoritmo hash predeterminado.

Validación de certificados

Para comprobar la confiabilidad de un certificado, debe poder realizar un seguimiento de una ruta de entidades de certificación (CA) certificadas desde la que emite el certificado local hasta la autoridad raíz de un dominio de CA. La infraestructura de clave pública (PKI) se refiere a la estructura jerárquica de confianza necesaria para la implementación correcta de la criptografía de clave pública.

Figura 2 muestra la estructura de una entidad emisora de certificados de dominio único con varios niveles de jerarquía.

Figura 2: Jerarquía de confianza PKI: dominio de CAJerarquía de confianza PKI: dominio de CA

Si los certificados se usan únicamente dentro de una organización, esa organización puede tener su propio dominio de CA dentro del cual una CA de empresa emite y valida certificados para sus empleados. Si, posteriormente, esa organización desea que sus empleados intercambien sus certificados por certificados de otro dominio de CA (por ejemplo, con empleados de otra organización que tenga su propio dominio de CA), las dos CA pueden desarrollar la certificación cruzada si aceptan confiar en la autoridad de la otra. En este caso, la estructura de PKI no se extiende verticalmente, sino que se extiende horizontalmente. Consulte Figura 3.

Figura 3: Certificación cruzadaCertificación cruzada

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
18.1R3
A partir de Junos OS versión 18.1R3, el algoritmo hash predeterminado que se utiliza para validar certificados PKI autofirmados generados automática y manualmente es el algoritmo hash seguro 256 (SHA-256). Antes de Junos OS versión 18.1R3, SHA-1 se utilizaba como algoritmo hash predeterminado.