IMPLEMENTACION DE UNA AUTORIDAD CERTIFICADORA

CON USUARIOS DE CORREO ELECTRONICO (THUNDERBIRD)

JOSE DAVID SALAZAR

INSTRUTOR:
MAURICIO ORTIZ

TECNOLOGO EN ADMINISTRACION DE REDES

CENTRO DE GESTION EMPRESARIAL

SENA
2011
 Introducción
Autoridad Certificadora:
(AC o CA por sus siglas en inglés Certification Authority) es
una entidad de confianza, responsable de emitir y revocar
los certificados digitales o certificados, utilizados en la firma
electrónica, para lo cual se emplea la criptografía de clave
pública. Jurídicamente es un caso particular de Prestador de
Servicios de Certificación.
Certificados Digitales:
Un certificado digital (también conocido como certificado de
clave pública o certificado de identidad) es un documento
digital mediante el cual un tercero confiable (una autoridad de
certificación) garantiza la vinculación entre la identidad de un
sujeto o entidad (por ejemplo: nombre, dirección y otros
aspectos de identificación) y una clave pública.
Este tipo de certificados se emplea para comprobar que una
clave pública pertenece a un individuo o entidad. La
existencia de firmas en los certificados aseguran por parte del
firmante del certificado (una autoridad de certificación, por
ejemplo) que la información de identidad y la clave pública
perteneciente al usuario o entidad referida en el certificado
digital están vinculadas.

Firma Digital:
Un esquema matemático que sirve para demostrar la
autenticidad de un mensaje digital o de un documento
electrónico. Una firma digital da al destinatario seguridad en
que el mensaje fue creado por el remitente, y que no fue
alterado durante la transmisión. Las firmas digitales se utilizan
comúnmente para la distribución de software, transacciones
financieras y en otras áreas donde es importante detectar
la falsificación y la manipulación.
Consiste en un método criptográfico que asocia
la identidad de una persona o de un equipo informático al
mensaje o documento. En función del tipo de firma, puede,
además, asegurar la integridad del documento o mensaje.
La firma electrónica, como la firma hológrafa (autógrafa,
manuscrita), puede vincularse a un documento para
identificar al autor, para señalar conformidad (o
disconformidad) con el contenido, para indicar que se ha leído
y, en su defecto mostrar el tipo de firma y garantizar que no
se pueda modificar su contenido.
NOTA:
El siguiente tutorial fue realizado con un servidor de correo en
centos y con usuario de una base de datos ldap y maquina
cliente xp.

INSTALACION:
Instalaremos tinyca2 es un software gestor grafico para poder

realizar la autoridad certificadora.

-Instalaremos el paquete tinyca2.

Luego tendremos lo que necesitamos, para llamar en nuestra
interfaz gráfica buscamos en el menú
Aplicaciones > Internet > TinyCA, o lo llaman desde ejecutar
comando con tinyca.

Cuando se ejecuta por primera vez aparece una ventanita

pidiendo crear la Autoridad Certificadora, el cual será nuestro
primer paso, para ello hay que rellenar todos los datos del
formulario.
Los datos a colocar son bastante sencillos, solo hay que
recordar bien la contraseña de la Autoridad Certificadora,
porque más adelante la utilizaremos para firmar peticiones de
certificados.
Luego pedirá el relleno de un segundo formulario con de los parámetros utilizados por
el comando que crea los elementos a utilizar, a menos que se maneje la idea de tener
una Autoridad Certificadora por oficio, no es necesario llenar los campos vacíos con
las direcciones sugeridas para administrar políticas y revocaciones, por lo que con
colocar none basta.

Al darle aceptar puede que se tarde puede que no por

generar entropía para la generación de claves RSA.
 Nos avisará que la Autoridad Certificadora se ha creado.

Luego podremos ver la interfaz de TinyCA, en el área de

trabajo se encuentran la pestaña.
La Autoridad Certificadora tenemos que elaborar los
certificados.
La barra de herramientas cambia al seleccionar la pestaña
permitiendo crear un nuevo certificado, al presionar sobre el
botón nuevo en la barra de herramientas aparece un menú
preguntando que si deseamos crear un certificado. En este
caso crearemos certificado para clientes.

Aparecerá un formulario similar al de la creación de las

Como en este caso
Autoridades es un certificado para un usuario de correo donde aparece el
Certificadoras.
nombre común es donde se puede poner la descripción, y el nombre como se llama
el usuario de correo.

Esta contraseña es la asociada al servidor, en el proceso de exportación e incluye

por lo que si la necesitan luego es bueno recordarla como la contraseña.
Justo como en el proceso anterior puede tardarse o no por la
generación de la clave RSA

Luego de eso pedirá a la Autoridad Certificadora la petición de firmado, para ello

hay que introducir la contraseña de la Autoridad Certificadora, y establecer el
período de días de validez, por lo general es un año pero esto puede ser ajustado
a la necesidad, porque el certificado del servidor puede durar mucho más que el
de un cliente o como se requiera en el caso específico.

Al finalizar da el aviso de que se ha firmado el certificado generado, y se puede

aprovechar para ver el comando que genera y firma el certificado, es bastante
extenso, pero igualmente de didáctico.
Vamos a crear el segundo certificado.

Podemos visualizar el certificado de primer usuario.

Crearemos otro certificado para el segundo usuario.

 Generación de la clave RSA

Pedirá la contraseña de la CA para firmar la petición.

La petición se firmo correctamente.

Se visualiza los 2 certificados creados para hacer las pruebas necesario.

 Ahora vamos a exportar el archivo de la entidad certificadora.

El certificado se deberá exportar en formato

PEM, quedan guardados en el directorio de
trabajo que le indiquemos.
Los mensajes de exportación dicen donde quedo el
certificado el cual luego se moverá a las carpetas
correspondientes.
Exportar el certificado del usuario Camilo.
Ahora Exportamos el certificado en formato PK2 que incluye
la clave.

Muestra la ruta donde será guardado.

Ahora exportaremos el PK2 de José.
Le pedirá la clave la cual será la exportada.

Muestra la ruta donde será guardado.

Ahora exportaremos el .PEM de cada usuario.

Exportado el .PEM de Camilo.

Muestra la ruta donde se guardara.

Exportando el .PEM de José.

Muestra la ruta donde será guardado.

Este pantallazo se muestra los archivos exportados que se

guardaron en un directorio donde muestra la CA las 2 PK2 de
cada usuario y las 2 .PEM de cada uno.
Ahora en el MUA (thunderbird) se configurara cada usuario
los certificados correspondientes.
Con los dos usuarios de correo Camilo y José se harán la
correspondiente prueba para mostrar el procedimiento.

1. Configurando el usuario Camilo

Donde dice Certificados le damos ver certificados

A continuación importaremos la entidad certificadora.
Nos aparece un mensaje de confirmación.
Podemos ver cómo queda la entidad certificado.
Donde dice Sus certificados importaremos el certificado de
formato PK2 de Camilo.
Nos pide la contraseña que utiliza para cifrar.

Podemos ver el certificado recién agregado.

Ahora si queremos envía un correo firmado y cifrado a José
tenemos que agregar el –PEM de el usuario José. Y
viceversa para que así el usuario José puede descifrar el
mensaje.
Se visualiza el .PEM de José para que Camilo pueda envía
un correo firmado y cifrado a José.
Damos aceptar.
Ahora en firmado digital comprobamos el certificado Camilo.

Habilitamos la casilla de firmado y cifrado para que a la hora

de redactar el correo se firme y se cifre.
Ahora haremos lo mismo con el usuario José que se
encuentra en otra máquina diferente.

Importamos la entidad certificadora

Confiamos en la CA
Podemos ver que quedo la CA agregada.
Ahora vamos a sus certificados y agregamos el certificado de
José
Nos pide la contraseña la cual se utilizo para cifrar el
certificado.

Se ingreso correctamente el certificado.

Podemos visualizar que quedo el certificado de José.

Ahora vamos a agregar la clave persona de algún usuario al
cual le quiera enviar un correo cifrado y firmado. En este caso
agregaremos al usuario Camilo.

Recuerden que la clave se exporto en formato .PEM

Acá en esta sección de el thunderbird se puede agregar todos
los usuarios que quiera enviarle un correo firmado y cifrado.
La prueba la haremos con el usuario Camilo.
Podemos ver el usuario agregado (Camilo).
Ahora en la pestaña de seguridad de usuario comprobaremos
el certificado.
Podemos visualizar como queda. Podemos ver que a la hora
de redactar un correo ya viene con la opciones de firmado y
cifrado.

PRUEBA.
Si se envía un correo de Camilo a José.
José es capaz de descifrar ese mensaje por que tiene la
personal de José.
Observemos.
Podemos observar que el mensaje llego a José.
Acá nos damos cuenta que el usuario José pudo descifrar el
correo enviado.
Se ve que el que lo firmo y cifro es el usuario Camilo. Con la
entidad certificado.

PRUEBA 2
Ahora enviaremos un correo de José a Camilo donde Camilo
tiene que ser capaz de descifrar el mensaje que le enviara
José ya que José tiene la personal de Camilo.
El mensaje enviado a Camilo fue recibido.
Como podemos ver el mensaje fue descifrado correctamente
por Camilo donde el que firma es Jose@maida.com y ese
mismo lo cifro.

Este es todo el procedimiento realizado que si los usuarios

quiere enviar correo firmado a otro debe de tener la clave
personal configurada en su MUA (thunderbird) y los usuarios
a los que va a recibir el correo debe tener la personal del que
se les envía. La entidad certificado en (autoridades) y el
certificado en (sus certificados).
Esta es la prueba con un usuario que no tenga la personal y este fue
el mensaje.