Está en la página 1de 21

UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD

DEL CUSCO
ESCUELA PROFESIONAL DE INGENIERA INFORMTICA Y DE SISTEMAS.

ASIGNATURA: Administracin de Centros de Cmputo

DOCENTE: Ing.Manuel A. Pealoza

Lab 08: Certificados Digitales


Presentado por:
- CAVERO MANZANARES, GUADALUPE VERENISE 124198
- CARBAJAL BACILIO KAREN ALEXSANDRA 130734
- CHOQQUE CHAMPI ERIK HAMMER 100508
- GUTIERREZ HUAHUATICO NOE 114142
- HERMOZA CUSI, ROXANA 111180
- HUILLCAHUAMAN MONDACA, LIZ KAREN 124206
- MAMANI ARIAS, JULIO CESAR 113559
- MAMANI SOTA DELIA 131354
- MARCA PFOCCORI LUZ MARIBEL 113560
- PALOMINO VARGAS, GREG WILIAN 111013
- PIMENTEL CRUZ JIMMY 103646
- QUISPE LOAIZA, BRAND ORIN 131092
- ZARATE PANTIGOSO ELIZABETH 103180

Cusco Per
2017
OBJETIVOS:
1.1. Introducir al alumno en las tcnicas para asegurar los sistemas de computadoras y las
comunicaciones de redes, con enfoque en la seguridad en el Internet.
1.2. Introducir al alumno en el despliegue de tecnologas que aseguren los datos, el
software, y las redes de comunicaciones.
1.3. Que el alumno se familiarice con los conceptos acerca de los certificados digitales y
las Autoridades en Certificados.

1. BASE TERICA COMPLEMENTARIA:

Autoridad en Certificados (CA):


de confianza)
Una Autoridad en Certificados (CA) es una entidad de confianza (i.e. un 3ro
que emite certificados digitales.
Un nmero de CA's comerciales son tratados como "root CA": VeriSign, COMODO,
Thawte, DigiCert son algunas de las CA's ms reconocidas.

Certificado Digital:
El Certificado Digital certifica la propiedad o titularidad de una clave pblica para el as
llamado "sujeto del certificado".
Los usuarios que desean obtener certificados digitales emitidos por los CA's comerciales
necesitan pagar a esos CA's.

Un certificado digital enlaza la identidad de un individuo a una clave pblica, y contiene


toda la informacin que el receptor (del certificado) necesita para estar seguro de la
identidad del propietario de la clave pblica.
Despus que una RA (Registration Authority) verifica la identidad de un individuo, la
CA (Certificate Authority) genera el certificado digital.
Sin embargo, la RA es un sistema opcional al cual una CA delega ciertas
funciones de gestin.
Los certificados digitales se usan para distribucin de claves pblicas.

Certificado Digital auto-firmado:


Es un certificado digital que es generado/firmado por uno mismo en vez de ser
generado/firmado por una tercera parte de confianza.

Certificado X.509:
X.509 es un estndar importante para los servicios de autenticacin de red, y el
certificado correspondiente es ampliamente usado para la comunicacin de Internet, i.e.
en S/MIME, IPsec y SSL/TLS.
El certificado X.509 es el formato ms ampliamente aceptado, y es un estndar de la
ITU (International Telecommunication Union).
Campos del Certificado X.509 v3:
El certificado es una SEQUENCE de 3 campos

Certificate ::= SEQUENCE { tbsCertificate


TBSCertificate, signatureAlgorithm
AlgorithmIdentifier, signatureValue
BIT STRING }

Donde:
TBSCertificate ::= SEQUENCE { version [0]
EXPLICIT Version DEFAULT v1, serialNumber
CertificateSerialNumber, signature
AlgorithmIdentifier, issuer Name,
validity Validity, subject
Name, subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version MUST be v2 or v3 subjectUniqueID [2]
IMPLICIT UniqueIdentifier OPTIONAL, --
If present, version MUST be v2 or v3 extensions [3]
EXPLICIT Extensions OPTIONAL -- If
present, version MUST be v3
}

AlgorithmIdentifier ::= SEQUENCE { algorithm


OBJECT IDENTIFIER,
parameters ANY DEFINED BY algorithm OPTIONAL
}
BIT STRING :: SEQUENCE { hashAlgorithm
AlgorithmIdentifier, hashValue
OCTET STRING }

Campo Descripcin
tbsCertificate
Versin Versin del Certificado codificado
Nmero de Serie del Certificado (entero positivo
nmero Serie
asignado por la CA)
Algoritmo de la firma Identificador del Algoritmo usado por la CA para firmar
el certificado
Nombre de la Entidad que ha firmado y emitido el
Emisor
certificado
Validez Periodo de Validez del certificado
Nombre de la Entidad asociada con la clave pblica
Sujeto
almacenada en el campo clave pblica del sujeto
Informacin de Clave Identifica el algoritmo de la clave pblica y acarrea la
Pblica del Sujeto clave pblica
id nico del Emisor Identificador nico del Emisor (solo v2,v3) (OPCIONAL)
id nico del Sujeto Identificador nico del Sujeto (solo v2, v3) (OPCIONAL)
Extensiones Extensiones EXPLICITAS OPTIONAL
Identificador del Algoritmo criptogrfico usado por la
signatureAlgorithm
CA para firmar el certificado
Firma digital (de la CA) calculada sobre el campo
signatureValue
tbsCertificate codificado en ASN.1 DER

OpenSSL:
Es un conjunto de herramientas de criptografa que implementan los protocolos de red
SSL v2/v3 (Secure Sockets Layer) y TLS v1 (Transport Layer Security) y los estndares de
criptografa relacionados que son requeridos por ellos.

Acrnimos:
DER Distinguished Encoding Rules Este es un formato binario comnmente usado para
representar datos relacionados con certificados.
PEM (Privacy Enhanced Mail) El formato PEM son datos codificados en Base64
"delimitados" por una lnea de cabecera y una lnea de
pie-de-pgina. El acrnimo fue recogido por el
open-source y mejorado significativamente.

2. RECURSOS:
3.1. SO: Linux, Windows.
3.2. Herramienta: openSSL.
Nota: Los recursos indicados ya deben estar instalados en su computadora, laptop,
(o eventualmente instalados dentro de una mquina virtual).
En el entorno Windows cualquier comando que use comillas simples (') deber
ser reemplazado por comillas dobles (").
3.3. Archivos/Mensajes preparados para la realizacin del laboratorio (a descargar de la
pgina web del curso).
Lab08-archivos.rar.

3. DESARROLLO DE LA PRCTICA:
En este laboratorio, se crearn certificados digitales.

En una primera instancia, nos volveremos un "root CA" nosotros mismos, y generaremos
un certificado para este CA.
A diferencia de otros certificados, los cuales son usualmente firmados por otros CA,
los certificados de los "root CA" son auto firmados (i.e. firmado por uno mismo, por
la entidad para la entidad).
Los certificados "root CA" usualmente son pre-cargados en la mayor parte de los SO,
navegadores web, y otro software que se basa en PKI.
Los certificados "root CA" son incondicionalmente de confianza.

En una segunda instancia simularemos el proceso de la peticin/solicitud de un certificado


digital y la emisin y firma del certificado digital por un 3ro de confianza.

Importante: Todos los comandos openSSL a utilizar en este laboratorio se ejecutarn


abriendo una ventana del Terminal para Linux o la consola de la Lnea de
comandos para Windows.

4.1. Certificado Digital auto-firmado:


Generar un certificado digital auto-firmado para nuestra CA (Autoridad en
Certificados). Esto significa que este CA es totalmente de confianza, y su certificado
servir como certificado raz.
Nota: El certificado digital debe ser un certificado digital de la fecha actual hacia
adelante.

Escenario: Alicia ser nuestra CA.

4.1.1. (3 + 0.5 + 0.5 puntos) Crear/Generar: un Certificado Digital auto-firmado x509


para ser usado como "root CA" + una nueva clave privada RSA. Utilizar las
siguientes opciones.

Opcin a utilizar : (crear o generar una nueva


peticin/solicitud de certificado) +
una nueva clave privada
Tamao de clave privada generada : rsa:2048 bits
Clave privada a crear ser cifrada? : No
Archivo de salida para la clave privada : clavePrivada-A.pem
Opcin a utilizar : generar como salida un
certificado
auto-firmado x509 (anulando as la
generacin de la peticin/solicitud
del certificado (pues vamos a
generar un certificado raz
autofirmado)).
Archivo de salida para el certificado auto-firmado : certificado-A.pem
Validez del certificado : 3650 das

Importante!:
Como parte del proceso, le ser indicado ingresar informacin personalizada
para el certificado.

Informacin personalizada que ser solicitada para crear el certificado:

Pas (cdigo de 2 letras) : PE


Provincia (nombre completo) : Cusco
Localidad : Cusco
Organizacin : UNSAAC
Unidad Organizacional : DAII
Nombre comn (FQDN del servidor o tu nombre) : Alicia
Direccin de e-mail : alicia@gmail.com

Comando a usar: openssl req


Escribir el comando exacto que us:
openssl req -x509 -newkey rsa:2048 -nodes -keyout
clavePrivada-A.pem -out certificado-A.pem -days 3650
Mostrar la clave privada RSA (incluyendo el "ttulo" + "lnea-de-cierre"):

-----BEGIN PRIVATE KEY-----


MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQCjaMERIMNhj0OL
94NNKREjJYtC4lgy8UnLySE2AWWr+MlVQFf5fVbFyi9rVEGCZ/sKmF9O+2p2FCGR
JOZStS+X7SWnCi7Vv8dZ7zu+AapjKHZhYqU0yjXtBw6GXnzAaSe6B47OARkVUQj4
QiOMeIM9zaeluKBcFy+6yxoayzUNpaBjiXh+rrWqw4I4QKpZB6tls6rRZyUqycaL
Vyobum+cooZYkbCKI0WEeoCc3H5CopvlqxAEXikCqCi79MQMaGFFPYUZnfNc6rxM
l6DJklfDRfsN1eQgzx7ax/RECNIRK7y39U1SSfDMun+/rE/HPPqg93CRhKOYz69L
Ym/lrWh1AgMBAAECggEAOHZ4x6dPe4VaLKHgn6fCASf236yAF1IiUqTzscp3zB1R
zABIpa92bS94hRh+7kVpi/ascAkVdylrk9BxOUDb6h4KNZaiKj9y7ZNpTDUdH9ga
V3oTZZM9YOJgVXOOnZl4HaKA6JOejCwM8mNAD0iQ6KkH9Y4+8rMcTenh4kI22bjE
oOQJwk8h2gmGz6oHGZIyz18P7sUxNdDrS11RLD9gTVjGpFBoTzqsapg2fMyg7600
Va9npdPc4aOv9lCQcVBbDemeOraH5oSwNqSolIiPUtq2r3B0SVJv1nYM6ksDGsBr
SVGNi2Gfztmzowf0Sf0cHKN6LcSt6heS9bh8NeoUgQKBgQDVqaIYGYOmm8OICOCn
uu/Tm2EGN/NaYJZ1FS96O2ldj1AvCIo7+SEHKxDIqOhWKff+anKfV0es3uBSmZRG
36vf5dPAqGfF9/emBzm0PlSiazXzNGiA1UsfxQEBJg5XtOtxIVqhBBkWuxLm3N8d
UrBwbdPuJOiUWwPFyQJvbO8f1QKBgQDDyfAehHkG7a4WDK6azxi7UW3t+0ihUsMx
2Yp/Tcx1IatsitBtXos06v2b0JoX4bNJMWzEUZGWaB+uIy9WgIITzWcHqzswlO6r
eDfHVlUZkZqw1WayzhcyLznNrsAG6sn9IpVlLPPTYeQp2hzZFEWQ/zJ9lT25OY05
yyPIAqYWIQKBgGFGKpsIOqzGq52qVQVoETnouqKHJI7X/Ifvjj76/3xt+9Z979lg
Ec5ep/SDGcvorZQxyF+M7//fNIfGjgA6Yti7nM1QnnY974yyK25JFmUfpF9GU/Gb
qekb2to4Bj2eC7bktYsq/3Ue1HswwY9rDxMQnXUFbrHkQfJxEl/CW5fFAoGAbTiq
C1w7Z/IPu503ioUdduHmQWx9CAHzgkupR3tPI8i0qMiHnXuwjMTK1bF5RPlT2vEH
jD00yoMrqSlXrxnhdsqPP2f2jROIUX+vHjS7JJhlg2CI+haeOhC+Xk+uMC2qoNw6
G0cIflONxQs4LKFybYDv2b73v+yrLCJ2w402ugECgYBYGwJXUGziaVOSDpkpH5l0
Wzhh5WVOS9veheZpvlYVIzeDXpQhmlNCkgQXjJnFTVCXQcGF4fRwG7Ztlbh9mFj/
Ja3sVgKFJnO81t8Wl8gEBBUWPutol8BWAf9ehGE1hNk120PtJ2sNyZiLrhsOcph8
gZwecvuqcFpYXu2IGeMv4w==
-----END PRIVATE KEY-----

Mostrar el Certificado Digital X509 (versin "codificada", incluyendo el "ttulo" + "lnea-de-cierre")

-----BEGIN CERTIFICATE-----
MIID1DCCArygAwIBAgIJAKk7yHaBRUAUMA0GCSqGSIb3DQEBCwUAMH8xCzAJBgNV
BAYTAlBFMQ4wDAYDVQQIDAVDdXNjbzEOMAwGA1UEBwwFQ3VzY28xDzANBgNVBAoM
BlVOU0FBQzENMAsGA1UECwwEREFJSTEPMA0GA1UEAwwGQWxpY2lhMR8wHQYJKoZI
hvcNAQkBFhBhbGljaWFAZ21haWwuY29tMB4XDTE3MDIxNjIxNDQxN1oXDTI3MDIx
NDIxNDQxN1owfzELMAkGA1UEBhMCUEUxDjAMBgNVBAgMBUN1c2NvMQ4wDAYDVQQH
DAVDdXNjbzEPMA0GA1UECgwGVU5TQUFDMQ0wCwYDVQQLDAREQUlJMQ8wDQYDVQQD
DAZBbGljaWExHzAdBgkqhkiG9w0BCQEWEGFsaWNpYUBnbWFpbC5jb20wggEiMA0G
CSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCjaMERIMNhj0OL94NNKREjJYtC4lgy
8UnLySE2AWWr+MlVQFf5fVbFyi9rVEGCZ/sKmF9O+2p2FCGRJOZStS+X7SWnCi7V
v8dZ7zu+AapjKHZhYqU0yjXtBw6GXnzAaSe6B47OARkVUQj4QiOMeIM9zaeluKBc
Fy+6yxoayzUNpaBjiXh+rrWqw4I4QKpZB6tls6rRZyUqycaLVyobum+cooZYkbCK
I0WEeoCc3H5CopvlqxAEXikCqCi79MQMaGFFPYUZnfNc6rxMl6DJklfDRfsN1eQg
zx7ax/RECNIRK7y39U1SSfDMun+/rE/HPPqg93CRhKOYz69LYm/lrWh1AgMBAAGj
UzBRMB0GA1UdDgQWBBRVE9NcHsJe/NTgukAWvXEqLw3wLjAfBgNVHSMEGDAWgBRV
E9NcHsJe/NTgukAWvXEqLw3wLjAPBgNVHRMBAf8EBTADAQH/MA0GCSqGSIb3DQEB
CwUAA4IBAQBehce4Ed2tYpT9RUME4utz63qsgaf+HZu3/FSJ+yj+FXWMJQ/kYRAn
8JsEuuVDrouMGiH1yuxoBNu99HvIwSii7MSpU476Vd2EbFPS7s7OY9bB7FD4YzGO
KTW4rg5j3UCWVD1kl9RsYvd79tkVfmwq3QQCXwEjMzFkpSK2l2wNUieoBc30hwxO
H9qAxWvvuCnQz5K48+nKJeFBoSEhJEX0SlLTVDqZb6Z2ao0NAfTxGAoEkZQS8OZU
oY8fjpuQrzUqk/i81QZBsp4lmFF17degQ+0ErA0iHNCn3wcbGVVkBvUO9Dz1lO6F
Q7G7V57Q7l9ED6/3saKtZ/XDkEfXyZx3
-----END CERTIFICATE-----

4.1.2. (0.5 puntos) Mostrar la informacin del certificado digital auto firmado (la
versin no "codificada"). Utilizar las siguientes opciones.

Archivo de entrada q' contiene el certificado : certificado-A.pem


Opcin a utilizar : Imprimir el certificado en
formato de texto
Opcin a utilizar : prevenir la salida de la versin
codificada del certificado

Comando a usar: openssl x509


Escribir el comando exacto que us:

openssl x509 -in certificado-A.pem -text noout

Mostrar la informacin del Certificado Digital X509 (de la versin no


"codificada"):
4.1.3. (1 + 0.5 + 0.5 puntos) Generar la correspondiente clave pblica RSA de Alicia a partir de la
clave privada ya generada. Utilizar las siguientes opciones.

Archivo de Entrada q' contiene la clave privada : clavePrivada-A.pem


Formato del archivo de salida : PEM (o default)
Tipo de Salida/Tipo del Archivo de Salida : la salida ser una clave pblica
Archivo de Salida para la clave pblica : clavePublica-A-PR.pem

Comando a usar: openssl rsa


Escribir el comando exacto que us:
openssl rsa -in clavePrivada-A.pem -outform PEM
-pubout -out clavePublica-A-PR.pem writing RSA key

Mostrar clave pblica RSA (incluyendo el "ttulo" + "lnea-de-cierre"):

-----BEGIN PUBLIC KEY-----


MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAo2jBESDDYY9Di/eDTSkR
IyWLQuJYMvFJy8khNgFlq/jJVUBX+X1Wxcova1RBgmf7CphfTvtqdhQhkSTmUrUv
l+0lpwou1b/HWe87vgGqYyh2YWKlNMo17QcOhl58wGknugeOzgEZFVEI+EIjjHiD
Pc2npbigXBcvussaGss1DaWgY4l4fq61qsOCOECqWQerZbOq0WclKsnGi1cqG7pv
nKKGWJGwiiNFhHqAnNx+QqKb5asQBF4pAqgou/TEDGhhRT2FGZ3zXOq8TJegyZJX
w0X7DdXkIM8e2sf0RAjSESu8t/VNUknwzLp/v6xPxzz6oPdwkYSjmM+vS2Jv5a1o
dQIDAQAB
-----END PUBLIC KEY-----

Adicionalmente tambin es posible visualizar y extraer la clave pblica RSA a


partir del certificado digital x509 ya generado. Utilizar las siguientes opciones.

Archivo de Entrada q' contiene el certificado: certificado-A.pem


Opcin a utilizar : prevenir la salida de la
versin codificada del
certificado
Tipo de Salida/Tipo del Archivo de Salida : la salida ser una clave
pblica
Redirigir la salida estndar a un archivo :>
Archivo de Salida para la clave pblica : clavePublica-A-CE.pem

Comando a usar: openssl x509


Escribir el comando exacto que us:

openssl x509 -in certificado-A.pem noout -pubkey > clavePublica-A-CE.pem

Mostrar clave pblica RSA obtenida a partir del certificado (incluyendo el


"ttulo" + "lnea-de-cierre"):

Verificar ambas claves pblicas!

-----BEGIN PUBLIC KEY-----


MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAo2jBESDDYY9Di/eDTSkR
IyWLQuJYMvFJy8khNgFlq/jJVUBX+X1Wxcova1RBgmf7CphfTvtqdhQhkSTmUrUv
l+0lpwou1b/HWe87vgGqYyh2YWKlNMo17QcOhl58wGknugeOzgEZFVEI+EIjjHiD
Pc2npbigXBcvussaGss1DaWgY4l4fq61qsOCOECqWQerZbOq0WclKsnGi1cqG7pv
nKKGWJGwiiNFhHqAnNx+QqKb5asQBF4pAqgou/TEDGhhRT2FGZ3zXOq8TJegyZJX
w0X7DdXkIM8e2sf0RAjSESu8t/VNUknwzLp/v6xPxzz6oPdwkYSjmM+vS2Jv5a1o
dQIDAQAB
-----END PUBLIC KEY-----

clavePublica-A-CP.pem = clavePublica-A-CE.pem?

NO EXISTE clavePublica-A-CP

PERO SI clavePrivada-A-PR pem = clavePrivada-A-CE pem

4.2. Simulacin de un Certificado Digital firmado por una CA (Autoridad en Certificados)


comercial.
Pre-Condicin:
Crear una carpeta demoCA en la carpeta o directorio de trabajo.
En la carpeta demoCA, crear un archivo de ndices vaco index.txt, que ser el archivo
de ndices de la base de datos de texto.
En la carpeta demoCA, crear un archivo con nombre serial, conteniendo el nmero de
serie 01 (Nota: este archivo no tiene extensin).
En la carpeta demoCA crear una sub-carpeta nuevo.
Se ha simulado el tercero de confianza (i.e. una Autoridad en Certificados (CA)
comercial), para lo cual:
o Se ha generado previamente un Certificado Digital auto-firmado x509 para
ser usado como "root CA" + una clave privada para la CA
(clavePrivadaCA.pem, certificado-CA.pem) como se ense en 4.1.1,
estos archivos se deben de bajar de la pgina web del curso.
o Tambin, se ha generado la correspondiente clave pblica para la CA
(clavePublica-CA.pem) como se ense en 4.1.3, este archivo de debe de
bajar de la pgina web del curso.
Estos archivos de simulacin se deben guardar en demoCA.

Nota: OpenSSL maneja un archivo de configuracin openssl.cfg que permite definir los
valores por defecto, automatizar los procesos, y otras tareas.
Los valores de las opciones en los comandos de OpenSSL sobrescriben estos valores
por defecto.

Escenario: Alicia solicitar a un 3ro de confianza (i.e. a una CA comercial) un


certificado digital firmado.

4.2.1. (3 + 0.5 + 0.5 puntos) Crear o Generar una peticin/solicitud de Certificado


Digital (CSR) para ser enviado a una CA (i.e. a un tercero de confianza) y
adems crear/generar una nueva clave privada RSA para Alicia. Utilizar las
siguientes opciones.

Opcin a utilizar : crear o generar una nueva


peticin/solicitud de certificado +
una nueva clave privada
Tamao de la clave privada generada : rsa:2048 bits
La clave privada a crear ser : No
cifrada?
Archivo de salida para la clave : clavePrivada-A2.pem
privada
Formato del archivo de salida : PEM (opcional)
Archivo de salida de la solicitud del certificado : solicitudCertificado-A2.pem
Validez del certificado : 3650 das

Como parte del proceso, le ser indicado ingresar informacin personalizada


para la solicitud del certificado.
Informacin personalizada que ser solicitada para crear la solicitud del certificado:
Pas (cdigo de 2 letras) : PE
Provincia (nombre completo) : Cusco
Localidad : Cusco
Organizacin : UNSAAC
Unidad Organizacional : CECO
Nombre comn (FQDN del servidor o el nombre) : Alicia
Direccin de e-mail : alicia@gmail.com

Importante!:
Como parte del proceso, tambin le ser indicado ingresar atributos "extra"
(no ingresar ningn valor, sola presionar Enter).

Comando a usar: openssl req


Escribir el comando exacto que us:
openssl req -newkey rsa:2048 -nodes -keyout
clavePrivada-A2.pem -outform PEM -out
solicitudCertificado-A2.pem -days 3650
Mostrar clave privada RSA (incluyendo el "ttulo" + "lnea-de-cierre"):

-----BEGIN PRIVATE KEY-----

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-----END PRIVATE KEY-----

Mostrar solicitud o peticin del Certificado Digital (incluyendo el "ttulo" +


"lnea-de-cierre"):

-----BEGIN CERTIFICATE REQUEST-----

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-----END CERTIFICATE REQUEST-----
4.2.2. Despus que la solicitud del certificado (solicitudCertificado-A2.pem) ha sido
generada, se la enva a travs de un e-mail a una CA (Certificate Authority =
Autoridad en Certificados) tal como VeriSign, COMODO, Thawte,...

Nota: Para este laboratorio, Ud. tambin servir como una CA.

4.2.3. (3.5 + 0.5 puntos) Procesamiento de la peticin del Certificado Digital: Cuando
una CA recibe una peticin de certificado, lo descarga, verifica los datos del
solicitante y procede a generar el certificado respectivo y a firmarlo. Utilizar las
siguientes opciones.

Poltica de la CA a usar : policy_anything


Archivo de la Clave privada de la CA (que :
demoCA/clavePrivada-CA.pem sirve para firmar la solicitud)
Archivo del Certificado digital de la CA : demoCA/certificado-CA.pem
Directorio de salida de las copias de los certificados : demoCA/nuevo
Archivo de salida del certificado solicitado : demoCA/nuevo/certificado-A2.pem
Opcin a utilizar para bloquear el formato textual : -notext (Recomendable) del
certificado en el archivo de salida (i.e. detalles del certificado + el certificado mismo)
Validez del certificado : 3650 das
Archivo de entrada (es la solicitud del certificado) : solicitudCertificado-A2.pem

IMPORTANTE! IMPORTANTE!:
Como parte del proceso, le ser pedido firmar el certificado y despus hacer
un "commit" de la "base de datos", a ambos pedidos responda con "y". Debe
mostrar el mensaje "Data Base Updated".

Nota: Cuando la poltica de la CA a usar es "policy_anything", entonces la CA est


dispuesta a firmar solicitudes/peticiones de certificado de quien sea.

Ayuda: Este paso actualiza tanto el archivo de ndice (index.txt) como el


archivo que contiene el nmero de serie (serial), si el comando por
alguna razn no se ejecutara exitosamente, conviene dejar estos
archivos en el estado de la pre-condicin y borrar los archivos
adicionales creados durante este paso.

Comando a usar: openssl ca


Escribir el comando exacto que us:

openssl ca -policy policy_anything -keyfile demoCA/clavePrivada-CA.pem


-cert demoCA/certificado-CA.pem -out demoCA/nuevo/certificado-A2.pem
-notext -outdir demoCA/nuevo -days 3650 -in solicitudCertificado-A2.pem
Mostrar los detalles del certificado emitido (la versin "no codificada) y resaltar
el emisor, la fecha tope de validez del certificado y el solicitante, para lo cual
usamos el comando del tem 4.1.2 de la manera pertinente:

openssl x509 -in demoCA/nuevo/certificado-A2.pem -text noout

4.2.4. Despus que el certificado (certificado-A2.pem) ha sido generado por la CA, la


CA lo enva a travs de un e-mail al solicitante (i.e. a Alicia).

4.2.5. (0.5 puntos) Extraer la clave pblica RSA de Alicia a partir del certificado digital
x509 enviado por la CA comercial. Utilizar las siguientes opciones.

Archivo de Entrada q' contiene el certificado: demoCA/nuevo/certificado-A2.pem


Opcin a utilizar : prevenir la salida de la
versin codificada del
certificado
Tipo de Salida/Tipo del Archivo de Salida : la salida ser una clave
pblica
Redirigir la salida estndar a un archivo :>
Archivo de Salida para la clave pblica : clavePublica-A2-CA.pem

Comando a usar: openssl x509


Escribir el comando exacto que us:

openssl x509 -in demoCA/nuevo/certificado-A2.pem


noout -pubkey >
clavePublica-A2-CA.pem

Mostrar clave pblica RSA obtenida a partir del certificado enviado por la CA
(incluyendo el "ttulo" + "lnea-de-cierre"):

-----BEGIN PUBLIC KEY-----


MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnyLxaWN1b9/SwzD34Ir6
Zf9M0RHNT78gsz8MqZl1A0MpZSJtvkkEFtlwp94JU37zoY9JFiq2qGDNumyfP16D
OlK7HDhH8OlFK6q6v3Os+1oLVrOFGTJfIBG/DnSSvmmLZEEUGgreuSXk0uDaabRx
wJm0rA1IB32pxzAm0K7zNZNxw7/EiW0yGcL1dv/60sdXMVJDRyG2+qBUXdApCPeJ
TkHwUnE0hw10GBhdrgRjQnOPfGNJZrDvvOmyUWYtXZ/9Y56GponawP2PAuDxF55m
/+1/Cs5BMG7Vsgk6+1AunOt4f9NmOFAaiklS0t9j4ZhaDsNB0KgAKp5piFO/6AhK
qwIDAQAB
-----END PUBLIC KEY-----
4. (5 puntos) CUESTIONARIO:
5.1 La solicitud/peticin del certificado digital (CSR) generada por un usuario, la cual es
enviada a una CA (Certificate Authority = Autoridad en Certificados) contiene
adems:
a. solo la clave privada del usuario
b. solo la clave pblica del usuario
c. la clave privada y la clave pblica del usuario
d. ninguna de las 2 claves del usuario
e. la clave pblica de la CA

5.2 Qu pasos toma el software de un usuario para validar la firma digital de una CA en
un certificado digital?
a. El software del usuario crea un "resumen del mensaje" para el certificado digital y
descifra el "resumen del mensaje" encriptado incluido dentro del certificado
digital. Si el descifrado se realiza apropiadamente y los valores del "resumen del
mensaje" son los mismos, el certificado es validado.
b. El software del usuario crea un "resumen del mensaje" para la firma digital y cifra
el "resumen del mensaje" incluido dentro del certificado digital. Si la encriptacin
se realiza apropiadamente y los valores del resumen del mensaje son los mismos,
el certificado es validado.
c. El software del usuario crea un "resumen del mensaje" para el certificado digital y
descifra el "resumen del mensaje" encriptado incluido dentro del certificado
digital. Si el usuario puede encriptar el "resumen del mensaje" apropiadamente
con la clave privada de la CA y los valores del "resumen del mensaje" son los
mismos, el certificado es validado.
d. El software del usuario crea un "resumen del mensaje" para la firma digital y
encripta el "resumen del mensaje" con su clave privada. Si el descifrado se realiza
apropiadamente y los valores del "resumen del mensaje" son los mismos, el
certificado es validado.

5.3 Una vez que un individuo/entidad valida el certificado de otro individuo/entidad,


cul es el uso de la clave pblica que es extrada de ese certificado digital?
a. La clave pblica ahora est disponible para usar para crear firmas digitales.
b. El usuario ahora puede encriptar claves de sesin y mensajes con esta clave pblica
y puede validar la firma digital del emisor.
c. La clave pblica ahora est disponible para encriptar futuros certificados digitales
que necesitan ser validados.
d. El usuario ahora puede encriptar claves privadas asimtricas que necesitan ser
transmitidas seguramente.

5.4 Por qu un certificado digital sera agregado a una Lista de Revocacin de


Certificados (CRL)?
a. Si la clave pblica ha quedado comprometida en un repositorio pblico.
b. Si la clave privada ha quedado comprometida por alguna razn.
c. Si un nuevo empleado se incorpor a la compaa y recibi un nuevo certificado.
d. Si el certificado expir.
5.5 En el certificado digital X.509: La firma digital es computada:
a. Sobre el certificado entero.
b. Solo sobre el campo t bsCertificate.
c. Sobre los 2 primeros campos, i.e. t bsCertificate y s ignatureAlgorithm.
d. Solo sobre el campo s ignatureValue.
BIBLIOGRAFIA

Enlaces:
http://www.openssl.org/docs/apps/openssl.html
https://www.openssl.org/docs/apps/ca.html#
https://www.openssl.org/docs/apps/req.html#
http://www.openssl.org/docs/apps/rsa.html#
https://www.openssl.org/docs/apps/verify.html#
https://www.openssl.org/docs/apps/x509.html#

RFC: 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List
(CRL) Profile 2008

Tipo de trabajo Grupal


Tipo de informe Impreso
Fecha de entrega dd/mm/aaaa