Descripción general de la administración de certificados
Por lo general, los usuarios obtienen acceso a recursos desde una aplicación o sistema sobre la base de su nombre de usuario y contraseña. También puede usar certificados para autenticar y autorizar sesiones entre varios servidores y usuarios. La autenticación basada en certificados mediante una conexión de capa de sockets seguros (SSL) es el tipo de autenticación más seguro. Los certificados se pueden almacenar en una tarjeta inteligente, un token USB o el disco duro de una computadora. Por lo general, los usuarios deslizan su tarjeta inteligente para iniciar sesión en el sistema sin ingresar su nombre de usuario y contraseña.
La plataforma de administración de red de Junos Space se incluye con el modo de autenticación predeterminado basado en contraseñas. Los administradores pueden usar las credenciales predeterminadas para iniciar sesión en Junos Space Platform. La plataforma Junos Space le permite usar autenticación basada en certificados y, desde la versión 15.2R1 de la plataforma de administración de red de Junos Space en adelante, la autenticación basada en parámetros X.509 también, para autenticar a los usuarios. Estos modos de autenticación se pueden configurar desde la sección Usuario de la página Modificar configuración de la aplicación en el área de trabajo Administración.
De forma predeterminada, Junos Space Platform usa un certificado SSL autofirmado. Sin embargo, si necesita usar su propio certificado personalizado, puede cargarlo en el formato X.509 o PKCS#12. Con el modo de validación completa del certificado, se valida todo el certificado X.509 durante el proceso de inicio de sesión y debe cargar certificados de usuario para todos los usuarios.
Durante la autenticación basada en parámetros X.509, puede especificar hasta cuatro parámetros de certificado X.509 por usuario que se validan durante el proceso de inicio de sesión. Con la autenticación basada en parámetros X.509, puede evitar cargar certificados para usuarios nuevos en la plataforma Junos Space. Junos Space Platform extrae los valores de los parámetros para usuarios existentes de los certificados cargados cuando se crearon los usuarios. Puede definir los parámetros de certificado X.509 en la sección X509-Certificate-Parameters en la página Modificar configuración de la aplicación en el área de trabajo Administración.
Solo se admite un modo de autenticación a la vez y todos los usuarios se autentican mediante el modo de autenticación seleccionado.
Consulte las siguientes secciones para obtener información acerca del flujo de trabajo para modos de autenticación, certificados de servidor junos Space personalizados, certificados de usuario, certificados de autoridad de certificación (CA), listas de revocación de certificados (CRL) y condiciones de vencimiento e invalidez de certificados en la plataforma Junos Space.
Flujo de trabajo de modos de autenticación
Los pasos para establecer una conexión SSL para los distintos modos de autenticación son los siguientes:
Autenticación basada en nombre de usuario y contraseña:
Un cliente solicita acceso al servidor de Junos Space.
El servidor de Junos Space presenta su certificado al cliente.
El cliente verifica el certificado del servidor.
Si la verificación del certificado es correcta, el cliente envía su nombre de usuario y contraseña al servidor.
El servidor verifica las credenciales del cliente.
Si la verificación se realiza correctamente, el servidor concede acceso al recurso protegido solicitado por el cliente.
Autenticación basada en certificados:
Un cliente solicita acceso al servidor de Junos Space.
El servidor de Junos Space presenta su certificado al cliente.
El cliente verifica el certificado del servidor.
Si la verificación del certificado es correcta, el cliente envía su certificado al servidor.
El servidor verifica el certificado del cliente.
Si la verificación se realiza correctamente, el servidor concede acceso al recurso protegido solicitado por el cliente.
Si la verificación no se realiza correctamente, Junos Space Platform muestra una página de error de inicio de sesión al usuario.
Autenticación basada en parámetros de certificado X509:
Un cliente solicita acceso al servidor de Junos Space.
El servidor Junos Space presenta su certificado X.509 al cliente.
El cliente verifica el certificado X.509 del servidor.
Si la verificación del certificado es correcta, el cliente envía su certificado al servidor.
El servidor extrae los valores especificados del certificado X.509 del cliente y valida los valores con los de la base de datos de Junos Space Platform.
Si la verificación se realiza correctamente, el servidor concede acceso al recurso protegido solicitado por el cliente.
Si la verificación no se realiza correctamente, Junos Space Platform muestra una página de error de inicio de sesión al usuario.
Cuando se usa una autenticación completa basada en certificados o en parámetros de certificado, la sesión termina si la tarjeta inteligente o segura (que contiene el certificado y la clave privada) que se utiliza para iniciar sesión está desconectada o quitada del sistema cliente.
Certificados de servidor junos Space personalizados
De forma predeterminada, la plataforma de administración de red de Junos Space usa un certificado SSL autofirmado. Sin embargo, si necesita usar su propio certificado personalizado, vaya a administración > página certificado de plataforma y cargue su certificado X.509 o PKCS#12 personalizado en la página Certificado de plataforma.
X.509 es un estándar ampliamente utilizado para definir certificados digitales. Normalmente, en X.509, el certificado y la clave se almacenan por separado. La clave privada puede estar cifrada o no cifrada. Aunque una frase de contraseña es opcional, es necesaria si la clave privada está cifrada.
El formato del Estándar de sintaxis de intercambio de información personal (PKCS) n.º 12 es un formato ampliamente utilizado para certificados digitales en el sistema operativo Windows. Este estándar especifica un formato portátil para almacenar o transportar las claves privadas, certificados y contraseñas de un usuario en un archivo cifrado.
Para obtener instrucciones para cargar el certificado personalizado, consulte Instalación de un certificado SSL personalizado en junos Space Server.
Atributos de certificado
En la tabla 1 se enumeran los atributos que suele ver en un certificado.
Atributo de certificado |
Descripción |
|---|---|
|
"OID.1.2.840.113549.1.9.1" es el identificador de objeto ASN.1 utilizado para identificar este algoritmo de firma. "user1@10.205.57.195" es la dirección de correo electrónico del propietario del certificado. |
|
Nombre común del propietario del certificado |
|
Nombre de la unidad organizativa a la que pertenece el propietario del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
Organización a la que pertenece el propietario del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
Ubicación del propietario del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
Estado de residencia del propietario del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
País de residencia del propietario del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
"OID.1.2.840.113549.1.9.1" es el identificador de objeto ASN.1 utilizado para identificar este algoritmo de firma. "user1@10.205.57.195" es la dirección de correo electrónico del emisor. |
|
Nombre común del emisor del certificado Es la dirección IP del sistema. El nombre común (CN) debe coincidir con el nombre de host del emisor de este certificado. En general, debe ser el nombre de host del emisor. |
|
Nombre de la unidad organizativa a la que pertenece el emisor del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
Organización a la que pertenece el emisor del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
Ubicación del emisor del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
Estado de residencia del emisor del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
País de residencia del emisor del certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks contiene " |
|
Algoritmo utilizado por la autoridad de certificación para firmar el certificado Por ejemplo, el certificado SSL de la plataforma de administración de red Junos Space firmado por Juniper Networks puede contener " |
|
Número de serie del certificado |
|
Fecha en la que el certificado se vuelve válido |
|
Fecha en la que el certificado no es válido |
Certificados de usuario
Si utiliza el modo de autenticación basada en certificados, para cada usuario deberá cargar el certificado correspondiente para que el servidor de Junos Space autentique al usuario. Puede asociar un certificado con un usuario al crearlo o modificar la configuración de usuario. Para asociar un certificado con un usuario existente, vaya a Cuentas de usuario de control de acceso basado en roles > > Seleccione un usuario > modificar usuario .
Para obtener instrucciones para cargar un certificado de usuario, consulte Cargar un certificado de usuario.
Certificados de CA y CRLs
Se utiliza un certificado de entidad de certificación (CA) o un certificado raíz para comprobar un certificado de usuario. La clave privada del certificado raíz se utiliza para firmar los certificados de usuario, que, a continuación, heredan la confiabilidad del certificado raíz.
Una lista de revocación de certificados (CRL), que mantiene una CA, es una lista de certificados que esa CA emitió y revocó antes de su fecha de vencimiento programada, junto con los motivos de la revocación. Una CA puede revocar un certificado por varias razones, como que el usuario especificado en el certificado ya no tenga la autoridad para usar la clave, que la clave especificada en el certificado se haya visto comprometida, que otro certificado reemplace al certificado actual, etc.
Para obtener instrucciones para cargar certificados de CA o CRL, consulte Cargar un certificado de CA y lista de revocación de certificados.
Cambiar el modo de autenticación de usuario
Puede cambiar el modo de autenticación de nombre de usuario y contraseña a basado en certificados o X.509 basado en parámetros de certificado desde la interfaz de usuario de Junos Space o desde la CLI del nodo VIP. Debe cargar los certificados de la entidad de certificación (CA) y los certificados personales o de usuario (el certificado de servidor de Junos Space es opcional) en el servidor junos Space antes de cambiar el modo de autenticación. Junos Space Platform verifica todos los certificados antes de cargarlos. No se cargan certificados no válidos o mal formados.
Cuando se cambia el modo de autenticación, todas las sesiones de usuario existentes, excepto la del administrador actual que está cambiando el modo de autenticación, terminan automáticamente y los usuarios se ven obligados a cerrar sesión. No es necesario reiniciar Junos Space Platform cuando cambie de un modo de autenticación a otro.
Para obtener instrucciones para cambiar los modos de autenticación, consulte Cambiar modos de autenticación de usuario.
Vencimiento del certificado
Cuando está programado que el certificado del servidor X.509 Junos Space expire en un plazo de 30 días a partir de la fecha actual, Junos Space Platform muestra un mensaje de advertencia cada vez que el administrador inicia sesión. Por ejemplo:Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?
Como administrador, realice una de las siguientes acciones:
Cargar un certificado nuevo: seleccione Administración > certificado de plataforma y cargue el certificado desde el área Cargar certificado. Junos Space Platform elimina el certificado de usuario antiguo y comienza a usar el certificado recién cargado.
Usar el certificado predeterminado: seleccione Administración > certificado de plataforma y haga clic en Usar certificado predeterminado en el área Certificado de plataforma actual.
Cuando está programado que el certificado del servidor X.509 Junos Space expire en un día, Junos Space Platform comienza a usar el certificado autofirmado predeterminado. El certificado SSL autofirmado de Junos Space Platform creado durante la instalación tiene una validez de cinco años.
Cuando está programado que un certificado de usuario expire en un plazo de 30 días a partir de la fecha actual, Junos Space Platform muestra un mensaje de advertencia si el usuario ha iniciado sesión con el modo de autenticación basada en certificación. Para obtener más información, consulte Cargar un certificado de usuario.
Certificados de usuario no válidos
Un certificado de usuario podría pasar a ser no válido por las siguientes razones:
El certificado ha vencido.
El certificado caduca en un día.
El certificado solo será válido más tarde.
El certificado no coincide con la clave privada.
El archivo de certificado o clave privada está roto.
El mismo certificado existe en el servidor de Junos Space.
Si un usuario intenta iniciar sesión con un certificado no válido o vencido, Junos Space Platform muestra una página de error de inicio de sesión con el siguiente mensaje de error: No user mapped for this certificate.