Está en la página 1de 59

PROYECTO:

IMPLEMENTACIN DE UNA SOLUCIN DE CORREO ELECTRNICO MILITAR PARA LAS FUERZAS ARMADAS

IMPLEMENTACIN PKI FUERZAS ARMADAS

1
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Contenido
IMPLEMENTACIN PKI FUERZAS ARMADAS ....................................................... 1 CREACION DEL USUARIO ADMINISTRADOR DE LA CA RAIZ ....................... 3 PROCESO PARA LA CREACIN DE LA CASUBORDINADA ............................. 6 CREACIN DEL PUBLISHER .................................................................................. 7 CREACIN DEL PERFIL DE CERTIFICADO PARA LA CASUB .......................... 9 CREACIN DE LA AUTORIDAD DE CERTIFICACIN SUBORDINADA ........11 CREACIN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES ................ 21 CREACIN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES ............ 23 CREACIN DEL CERTIFICADO DEL SERVIDOR DE EJBCA ........................... 25 Creacin de los Roles de Acceso a la Interfaz de Administracin de la Entidad de Certificacin ........................................................................................................... 26 Creacin del Perfil de Certificado Perfil Administrador ........................................ 26 CREACIN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR .................. 28 CREACIN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR ............ 32 CREACION DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI ............. 34 CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA ................ 35 CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA ................ 37 ASIGNACIN DE LOS USUARIOS A LOS ROLES DE ADMINISTRACIN. ... 40 Administrador de la CA .......................................................................................... 40 Administrador de la RA .......................................................................................... 41 Operador de la RA ................................................................................................. 42 RENOVACION DEL KEYSTORE DEL SERVIDOR .............................................. 43 CREACIN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES .................................................................................................................... 44 CREACIN DEL PERFIL DE USUARIO FINAL ................................................... 46 Configuracin de Notificaciones ............................................................................ 47 CREACIN DEL CERTIFICADO DE USUARIO ADMINISTRADOR ................ 49 CREACIN DEL GRUPO OPERADORES ............................................................. 50 EMISIN DE CERTIFICADOS PARA LOS USUARIOS FINALES ...................... 52

2
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

CREACIN DEL USUARIO ADMINISTRADOR DE LA CA RAIZ


Crear el Perfil de Certificado de Administrador En el men lateral izquierdo seleccionamos la opcin Editar Perfiles de Certificacin y se mostrar la siguiente ventana:

Para crear el perfil del certificado en la opcin uso de clave debemos seleccionar los usos que se darn al certificado, marcando: Firma Digital No-repudio Cifrado de clave

En la opcin uso de clave extendida seleccionar: Autenticacin de Cliente

En el men CAs disponibles seleccionamos CARaizFuerzasArmadas. En el men Publicadores seleccionamos la opcin LDAPFUERZASARMADAS

3
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Posteriormente creamos el Perfil de Entidad Final para Administrador y creamos la Entidad Final

Ingresamos a la opcin Editar privilegios de Administrador y creamos el Grupo Administrador de la PKI.

4
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Luego agregamos al grupo el usuario creado superadministradorraiz en base al Nmero Serial del Certificado y como CA la CARaizFuerzasArmadas.

A continuacin ingresamos a la opcin Editar Reglas de Acceso y le damos permiso de superadministrador.

5
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Finalmente procedemos a Borrar el grupo de Administrador, los usuarios temporales creados en el momento de la instalacin de EJBCA y la CA Raiz Temporal.

PROCESO PARA LA CREACIN DE LA CASUBORDINADA


Ingresamos a la interfaz de administracin de la aplicacin empleando el certificado del usuario temporal creado durante el proceso de instalacin de la entidad de certificacin creado con privilegios de super administrador.

Posteriormente seleccionamos el certificado de dicho usuario visualizndose la interfaz de administracin:

6
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

CREACIN DEL PUBLISHER


En la interfaz de administracin seleccionamos del panel lateral izquierdo Edit Publisher y se muestra la siguiente interfaz:

En la interfaz mostrada anteriormente en el campo Agregar escribimos el nombre del publicador a crear y presionamos el botn Agregar, mostrndose la siguiente interfaz.

7
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

El la interfaz mostrada especificamos los siguientes parmetros: Tipo de Publicador: LDAP V3 Publisher Hostames: Direccin_IP_servidor_LDAP Puerto de Conexin: 389 o 636 (SSL) Base DN: dc=dominio, dc=com, dc=ec Ejemplo: Base DN: dc=fae, dc=mil, dc=ec Login DN: cn=admin,dc=dominio,dc=com,dc=ec Login Password: passwadmin Confirm Password: passwadmin

Adems seleccionamos las siguientes opciones: Crear usuarios no existentes Eliminar del LDAP los certificados al revocar

8
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En el campo LDAP location fields from cert DN, seleccionar CN, Nombre Comn. ste campo permite seleccionar el identificador por medio del cual se realizarn las bsquedas del sistema.

Finalmente presionamos el botn guardar.

CREACIN DEL PERFIL DE CERTIFICADO PARA LA CASUB


La creacin del perfil de certificado para la Autoridad de Certificacin Subordinada empleando la plantilla SubCA se realiza de la siguiente manera. En el men lateral izquierdo elegir la opcin Editar Perfiles de Certificacin. Dentro de la interfaz mostrada en el campo Agregar perfiles ingresamos el nombre del perfil a crear y presionamos la plantilla SubCA. Una vez creado el perfil presionamos para editar el mismo y se mostrar la siguiente interfaz:

9
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En la interfaz mostrada anteriormente configurar lo siguiete: Type: Sub CA Avalable bit lengths: 2048, 4096 bits Signature Algorithm: Inherit from issuing CA Validity or end date of the certificate: 15y Dentro de las Opciones Key Usage seleccionar: Digital signature Key certificate sign CRL sign

Dentro de la opcin Avalable CAs seleccionar Any CA. En la opcin Approval Settings seleccionar Add/Edit End Entity Number of Required Approvals: Indicar el nmero de niveles de aprovacin de los certificados.

10
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Finalmente presionamos el botn guardar.

CREACIN DE SUBORDINADA

LA

AUTORIDAD

DE

CERTIFICACIN

El certificado de esta entidad ser firmado por la CA Externa Raiz de Fuerzas Armadas para lo cual primero ingresamos a la Interfaz pblica de la CA Raiz y seleccionamos dentro del men lateral izquierdo la opcin Fetch CA & OCSP certificates y se mostrar la siguiente ventana:

A continuacin descargamos el archivo chain.pem de la CA: CARaizFuerzas Armadas y lo guardamos en la PC tal como se muestra en la siguiente figura:

11
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Luego de haber guardado el archivo chain.pem, ingresamos a la interfaz de administracin y procedemos a crear una CA, mediante la opcin Editar Autoridades de Certificacin del men lateral izquierdo y se mostrar la interfaz que se muestra en la figura:

En la interfaz mostrada anteriormente configurar lo siguiente: Type of CA: x509 CA Token Type: Soft Signing Algorithm: SHA512WithRSA RSA key size: 4096 DSA key size: 1024 Description: Descripcin breve de la CASub creada

12
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Seleccionar la opcin Use de CRL Distribution Point y Authority Information Access.

Especificamos los siguientes parmetros: Validity certificate: 15y Subject DN: cn=CASubordinada FAE, ou=autoridades Signed By: External CA Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE.

13
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Dentro de las opciones Other data seleccionamos las opciones de aprovacin. Approval Settings: Add/Edit End Entity Nmero of Required Approvals: Nmero de aprovacin requeridas para emisin del certificado.

Finalmente presionamos el botn Make Certificate Request y se mostrara una ventana en la cual especificamos el archivo chain.pem y presionamos el botn abrir.

14
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

A continuacin presionamos el botn Make Certificate Request visualizar la siguiente pantalla:

con lo cual se

Una vez realizado esto copiamos el request o nos descargamos el archivo seleccionando la opcin Download Pem File y la almacenamos en la PC.

15
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

A continuacin ingresamos a la interfaz administracin de la autoridad de certificacin Raiz y nos autenticamos empleando el certificado del administrador de la CA Raiz, tal como se muestra en la siguiente imagen.

Cargado el certificado anterior ingresaremos a la interfaz de administracin de la entidad raz en la cual seleccionamos la opcin Edit Certificate Authorities y en el campo agregar entidad especificamos el mismo nombre de la CA subordinada que la creamos anteriormente, tal como se muestra en la siguiente imagen:

A continuacin presionamos el botn Proceso de Requerimiento de Certificado con lo cual se visualizar la siguiente pantalla:

16
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Presionamos el botn Browse y seleccionamos el archivo certificaterequest.pem descargado anteriormente

Finalmente presionamos el botn Proceso de Requerimiento de Certificados con lo cual se visualizar la siguiente pantalla:

17
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Ingresamos la descripcin y especificamos el periodo de validez de la CA Subordinada en este caso 15 aos.

Finalmente presionamos el botn Proceso de Requerimiento de Certificado visualizndose la siguiente interfaz:

Descargamos el archivo .pem y lo almacenamos en la PC tal como se muestra a continuacin:

18
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Ingresamos a la interfaz de admnistracin de la CA Subordinada y selecionamos la CA Subordinada creada anteriormente y presionamos el botn Editar CA visualizndose la siguiente pantalla:

Presionamos el botn Receive Certificate Response y a continuacin se visualizar la siguiente interfaz:

19
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Luego cargamos el Archivo cert.pem y presionamos el botn Receive Certificate Response con lo cual si todo sali correctamente se mostrar la siguiente Pantalla:

Como se puede apreciar la autoridad de certificacin subordinada se ha creado satisfactoriamente y se encuentra activa. A continuacin procedemos a editar la CA Subordinada y a la Direccin del Servidor en el cual se publicaran las CRLS y presionamos el botn Generate.

A continuacin especificamos la direccin del servidor OCSP, y presionamos el botn Generate.

20
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Finalmente guardamos los cambios realizados con lo cual tenemos creada la AC Subordinada firmada por la autoridad de certificacin de Fuerza Armadas.

CREACIN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES


Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opcin Edit Certificate Profiles y procedemos a crear el perfil del certificado PerfilServidores utilizando la plantilla Server, como se muestra a continuacin:

Una vez creado el PerfilServidores procedemos a seleccionarlo y editarlo presionando el botn Edit Certificate Profile, mostrndose la sigueinte pantalla.

21
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En la interfaz mostrada anteriormente especificamos los siguientes parmetros: Type: End Entity Avalable bit lengths: 1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 15y

Dentro de las Opciones Key Usage seleccionar: Digital signature Key enciphermet Adems dentro de las opciones de Extended Key Usage seleccionar Server Authentication

Seleccionar la opcin Use de CRL Distribution Point y Authority Information Access.

22
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

A continuacin especificamos la CA Subordinada que vamos a utilizar y el Publisher a emplear tal como se muestra en la siguiente imagen:

CREACIN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES


Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opcin Edit Certificate End Entity y procedemos a crear el perfil PerfilServidores como se muestra a continuacin A continuacin especificamos los siguientes parmetros: Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required. Seleccionamos la opcin Batch Generation

23
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry Los atributos seleccionados se muestran en la siguiente interfaz:

Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarn en el Certificado Digital. A continuacin seleccionamos los siguientes opciones: Perfil de Certificado: PerfilServidores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM

24
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Finalmente guardamos los cambios realizados presionando el botn Add.

CREACIN DEL CERTIFICADO DEL SERVIDOR DE EJBCA


Ingresamos a la interfaz de Administracin de EJBCA y procedemos a seleccionar la opcin Add Entity visualizndose la siguiente interfaz:

En la interfaz anterior ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. Ingresamos va ssh al servidor y editamos el archivo /opt/ejbca/bin/batchtool.properties agregamos la siguiente lnea: keys.spec=4096 Luego digitamos los siguientes comandos: # cd /opt/ejbca/ # bin/ejbca.sh batch

25
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Ejecutados los comandos anteriores en el directorio /opt/ejbca/p12 se crear el archivo ejbca.jks que contiene la clave pblica y privada del servidor ejbca. Creacin de los Roles de Acceso a la Interfaz de Administracin de la Entidad de Certificacin Los Roles que se crear para ingresar a la interfaz de administracin de EJBCA son los siguientes: Administrador PKI: Tendr acceso total a la interfaz de Adminsitracin. Administrador CA: Tendr acceso a las funciones de Adminstracin de la CA. Administrador RA: Tendr acceso a las funciones de Adminstracin de la RA. Operador RA: Tendr acceso unicamente a la opcin de registro de entidades Finales. Para la creacin de los roles detallados anteriormente seguimos el siguiente procedimiento: Ingresamos a la interfaz de administracin de EJBCA y seleccionamos la opcin Editar Privilegios de Administrador. En la interfaz mostrada sleccionamos la opcin Agregar y a continuacin especificamos el Rol a crear tal como se muestra en la siguiente imagen:

Finalmente presionamos el botn OK con el cual rol ingresado se crear satisfactoriamente A continuacin procedemos a crear cada uno de los usuarios que formarn parte de los roles creados anteriormente para lo cual primero procedemos a crear el Perfil de Certificado y de Entidad Final para dichos usuarios tal como se muestra a continuacin: Creacin del Perfil de Certificado Perfil Administrador Ingresamos a la interfaz de administracin de EJBCA y en el men lateral izquierdo
26
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

seleccionamos la opcin Editar Perfiles de Certificacin y visualizndose la siguiente ventana:

Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:

En la interfaz mostrada anteriormente especificamos los siguientes parmetros: Type: End Entity Avalable bit lengths: 1024,1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 10y

A continuacin en la opcin uso de clave debemos seleccionar los usos que se darn al certificado, marcando: Firma Digital
27
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

No-repudio Cifrado de clave

Adems en la opcin uso de clave extendida seleccionar: Autenticacin de Cliente

En el men CAs disponibles seleccionamos Autoridad de Certificacin Subordinada y el Publicador configurado anteriormente.

Finalmente guardamos los cambios realizados presionando el botn Grabar.

CREACIN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR


Ingresamos a la interfaz de administracin de EJBCA y en el men lateral izquierdo seleccionamos la opcin Editar Perfiles de Certificacin y visualizndose la siguiente ventana:

28
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:

En la interfaz mostrada anteriormente especificamos los siguientes parmetros: Type: End Entity Avalable bit lengths: 1024,1536 bits Signature Algorithm: SHA256WithRSA Validity or end date of the certificate: 10y A continuacin en la opcin uso de clave debemos seleccionar los usos que se darn al certificado, marcando: Firma Digital No-repudio Cifrado de clave Adems en la opcin uso de clave extendida seleccionar: Autenticacin de Cliente y Email Protection.

29
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En el men CAs disponibles seleccionamos Autoridad de Certificacin Subordinada y el Publicador configurado anteriormente.

Finalmente guardamos los cambios realizados presionando el botn Grabar. Creacin del Perfil de Entidad Final Perfil Administradores Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opcin Edit Certificate End Entity y procedemos a crear el perfil PerfilAdminsitradores. A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:

30
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En la interfaz anterior especificamos los siguientes parmetros: Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.

Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry Los atributos seleccionados se muestran en la siguiente interfaz:

Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarn en el Certificado Digital. A continuacin seleccionamos los siguientes opciones:

31
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Perfil de Certificado: PerfilAdministradores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM

Finalmente guardamos los cambios realizados presionando el botn Add.

CREACIN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR


Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opcin Edit Certificate End Entity y procedemos a crear el perfil PerfilAdminsitradores. . A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:

En la interfaz anterior especificamos los siguientes parmetros: Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.

Agregamos al Perfil los siguietes atributos:

32
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry

Los atributos seleccionados se muestran en la siguiente interfaz:

Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarn en el Certificado Digital. A continuacin seleccionamos los siguientes opciones: Perfil de Certificado: PerfilOperadores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM

33
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

CREACIN DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI


Ingresamos a la interfaz de Administracin de EJBCA y procedemos a seleccionar la opcin Add Entity visualizndose la siguiente interfaz:

En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin Ingresamos a la Interfaz pblica y selecionamos la opcin Generate KeyStore visualizndose la siguiente interfaz:

A continuacin ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:

34
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En la Interfaz anterior seleccionamos el tamao de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se proceder a emitir el Keystore.

CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA


Ingresamos a la interfaz de Administracin de EJBCA y procedemos a seleccionar la opcin Add Entity visualizndose la siguiente interfaz:

En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin ingresamos a la Interfaz pblica y selecionamos la opcon Generate KeyStore visualizndose la siguiente pantalla:

35
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

A continuacin ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:

En la Interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el botn OK con lo cual se proceder a emitir el Keystore tal como se muestra a continuacin:

36
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA


Ingresamos a la interfaz de Administracin de EJBCA y procedemos a seleccionar la opcin Add Entity visualizndose la siguiente interfaz:

En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin Ingresamos a la Interfaz pblica y selecionamos la opcion Generate KeyStore visualizndose la siguiente pantalla:

A continuacin ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:

37
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En la interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el botn OK con lo cual se proceder a emitir el Keystore tal como se muestra a continuacin:

38
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

CREACIN DEL CERTIFICADO DEL OPERADOR DE LA RA


Ingresamos a la interfaz de Administracin de EJBCA y procedemos a seleccionar la opcin Add Entity visualizndose la siguiente interfaz:

En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin ingresamos a la Interfaz pblica y selecionamos la opcion Generate KeyStore visualizndose la siguiente pantalla:

A continuacin ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:

39
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En la Interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se proceder a emitir el Keystore tal como se muestra a continuacin:

ASIGNACIN DE ADMINISTRACIN.
Administrador de la CA

LOS

USUARIOS

LOS

ROLES

DE

Agregamos el usuario administrador CA en base al nmero serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la CA tal como se muestra a continuacin:

A continuacin asignamos los permisos para el rol Administrador de la CA tal como se muestra a continuacin:

40
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Administrador de la RA Agregamos el usuario administradorca en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la RA tal como se muestra a continuacin:

Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuacin:

41
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Operador de la RA Agregamos el usuario operadorra en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Operador de la RA tal como se muestra a continuacin:

42
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuacin:

RENOVACIN DEL KEYSTORE DEL SERVIDOR


Para realizar la renovacin del Keystore del servidor nos ubicamos en el directorio /opt/ejbca y ejcutamos los siguientes comandos: #bin/ejbca.sh ca getrootcert 'Nombre CA' casubordinada.pem #openssl x509 -in casubordinada.pem -out casubordinada.der -outform DER #keytool -importcert -alias casubordinada -file casubordinada.der -keystore p12/truststore_new.jks

Al digitar el comando anterior se pedir especificar el password para el Nuevo keystore en el cual se debe especificarse el mismo password puesto en el archivo de configuracin web.properties en la opcin java.trustpassword. A continuacin procedemos a detener el servidor Jboss y a ejecutar los siguientes

43
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

comandos: #cp ejbca.jks /opt/jboss/server/ejbca/conf/keystore/keystore.jks #cp truststore_new.jks /opt/jboss/server/ejbca/conf/keystore/truststore.jks

CREACIN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES


Ingresamos a la interfaz de la entidad de certificacin subordinada y seleccionamos la opcin Edit Certificate Profiles y procedemos a crear el perfil del certificado PerfilUsuarios utilizando la plantilla EndUser. Una vez creado el perfil procedemos a seleccionarlo y editarlo presionando el botn Edit Certificate Profile, mostrndose la siguiente pantalla.

En la interfaz mostrada anteriormente configurar lo siguiente: Type: End Entity Avalable bit lengths: 1024, 1536, 2048 bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 7y Dentro de las Opciones Key Usage seleccionar: Digital signature Non-Repudiation Key certificate sign Adems dentro de las opciones de Extended Key Usage seleccionar Client Authentication y Email Protection.

44
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Seleccionar la opcin Use de CRL Distribution Point y Authority Information Access.

Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE. Approval Settings: Add/Edit End Entity Nmero of Required Approvals: Nmero de aprovaciones requeridas para emisin del certificado.

Presionamos el botn guardar.


45
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

CREACIN DEL PERFIL DE USUARIO FINAL


Para la creacin del perfil de Usuario Final seleccionamos del men lateral izquierdo Edit End Entity Profile y procedemos a crear el perfil PerfilUsuarios. Una vez creado el perfil procedemos a seleccionarlo y editarlo presionando el botn Edit End Entity Profile, mostrndose la siguiente pantalla.

Dentro de la ventana mostrada configuramos las opciones que el usuario final deber llenar para la generacin del certificado como las siguientes opciones: Username Password: Required, Podemos establecer adems la combinacion de caracteres utilizada y la longitud del mismo, por defecto 8. E-mail domain: dominio.com.ec Atributos DN: o Subject DN Attributes o CN, Common name o UID, Unique Identifier o OU, Organizational Unit o givenName, Given name(first name) o Surname, Surname (last name) o title, Title o O, Organizational o C, Country

De las opciones anteriores adicionalemente podemos definir si se desea que dichos parmetros sean requeridos y/o modificables.

46
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Adicionalemnte verificamos las sigueitnes opciones: Available Certificate Profiles: PerfilUsuarios Default CA: CA Subordinada FAE Default Token: P12 file Available Tokens: USer Generated, P12 file, JKS File, PEM file

Configuracin de Notificaciones Para configurar las respectivas notificaciones en funciones de los diferentes estados activamos la opcin Send Notification y configuramos las opciones que se indican a continuacin: Notificaciones de estado Notification Sender: ejbca@dominio.com.ec NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificacin Notification Message: Texto del mensaje de notificacin

47
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Notificacin de Aprobacin de Solicitud Notification Sender: ejbca@dominio.com.ec NotificationEvents: StatusGenerated Notification Subject: Texto del asunto de la notificacin Notification Message: Texto del mensaje de notificacin

Notificacin de Certificado Generado Notification Sender: ejbca@dominio.com.ec NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificacin Notification Message: Texto del mensaje de notificacin

48
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Finalmente presionamos el botn guardar.

CREACIN DEL CERTIFICADO DE USUARIO ADMINISTRADOR


Para la creacin del certificado del usuario Administrador seguimos los siguientes pasos: En la interfaz de Administracin seleccionamos Agregar Entidad Final y se muestra la pantalla que se indica a continuacin, dentro de la cual debemos configurar lo siguiente: Perfil de Entidad Final: PerfilOperador Nombre de Usuario: useradmin Password: Passwordadmin Confirmar Password: Passwordadmin email: useradmin@dominio.com.ec CN, Nombre Comn: Usuario Administrador UID, Id nico: useradmin, este nombre es igual al Nombre de Usuario OU, Unidad Organizacional: Usuarios O, Organizacin: Fuerzas Armadas C, Pas: Ecuador Perfil del Certificado: PerfilOperador CA: CA Subordinada FAE Token: Archivo P12

49
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Posteriormente ingresamos a la interfaz pblica de EJBCA ingresando la contrasea asignada y procedemos a generar el keystore con el perfil de operador, definiendo la longitud de la clave.

CREACIN DEL GRUPO OPERADORES


Para la creacin del grupo operadores ingresamos a la interfaz de administracin con el usuario Administrador CA y seleccionamos del men lateral izquierdo Edit Administrator Privileges y presionamos Add, mostrndonos un cuadro de texto para agregar el nuevo grupo.

50
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Agregamos el usuario useradmin a este grupo basado en el nmero serial del certificado:

Al usuario anterior le agregamos los siguientes permisos: Role: RA Administrators Authorized CAs: CA Subordinada FAE End Entity Rules: Create End Entities

51
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Edit End Entity Profiles: PerfilUsuarios, Perfil Operador Other Rules: View Logs

Finalmente presionamos el botn guardar.

EMISIN DE CERTIFICADOS PARA LOS USUARIOS FINALES


Para la emisin de certificados para los usuarios finales, primero importamos el Certificado del usuario useradmin al Navegador de la siguiente manera: Dentro de las opciones del Navegador seleccionamos la opcin de encripcin y presionamos el botn ver certificados. Dentro de esta opcin nos permite importar certificados, para ello buscamos el certificado a importar y seleccionamos abrir como se muestra a continuacin:

52
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

A continuacin ingresamos el respectivo pasprase y presionamos ok.

Con ello el certificado se importar satisfactoriamente al navegador tal como se muestra a continuacin:

53
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Posteriormente ingresamos a la interfaz de administracin autenticndonos con el certificado importando anteriormente como se muestra en la figura:

Una vez que nos logueamos correctamente se visualizar la siguiente interfaz:

Para agregar un Entidad Final seleccionamos la opcin Agregar Entidad Final del men lateral izquierdo y se mostrar la ventana que se muestra a continuacin.

Dentro de la ventana mostrada de debern agregar los datos del usuario como se indica a continuacin:

54
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Adicionalamente selecccionamos la opcin Enviar Notificacin y presionamos el botn agregar.

Una vez ingresados los datos se visualizar un mensaje indicando que se enviado la solicitud para su aprobacin. En el caso de haber elegido la aprobacin por niveles de la solicitud, en funcin de los mismos se realizar lo siguiente: Ingresamos a la interfaz de administracin logueandonos con el usuario Administrador de la RA, como se muestra a continuacin:

55
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En la interfaz visualizada seleccionamos la opcin Apobar Acciones mostrndose la siguiente pantalla:

Seleccionamos la opcin Add End Entity visualizndose la siguiente interfaz:

A continuacin agregamos un comentario y luego presionamos el botn Aprove y luego presionamos el botn OK
56
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Con ello la solicitud para la emisin del certificado habra sido aprobada tal como se muestra a continuacin:

Concludo el proceso de Aprovacin ingresamos a la Interfaz pblica y selecionamos la opcin Generate KeyStore como se indica en la siguiente pantalla.

57
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

En la pantalla mostrada el usuario deber ingresar el usuario y el password ingresados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:

En la Interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se proceder a emitir el Keystore del usuario tal como se muestra a continuacin:

58
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net

Este keystore se almacenar en el directorio de Descargas configurado en la PC del usuario y el mismo es el que se emplear para firmar y cifrar el correo. Dicho archivo ser entregado al usuario en un dispositivo de almacenamiento externo, luego de lo cual el archivo generado en el equipo del Administrador deber ser borrado por completo.

59
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net