Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

- TheGreenBow

Anuncio 
Cliente VPN IPSec TheGreenBow
Guía de Instalación
Utilización de Certificados
Página Web:
http://www.thegreenbow.es
Contacto:
[email protected]
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
1/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Tabla de Contenidos
1
Introducción .................................................................................................................................................... 3
2
Introducción al Cliente VPN TheGreenBow .................................................................................................... 4
2.1 ¿Qué es el Cliente VPN IPSec TheGreenBow? ....................................................................................... 4
2.2 Multisoluciones para Enrutador VPN ........................................................................................................ 4
2.3 Soporta Aplicaciones Linux ....................................................................................................................... 4
2.4 Características del Cliente VPN TheGreenBow ........................................................................................ 4
2.5 Renombrar fabricante del equipo original (OEM) y Software .................................................................... 5
3
Utilizando Certificados Microsoft Server ......................................................................................................... 6
3.1 Instalación del Microsoft Certificate Server ............................................................................................... 6
3.2 Generación de Certificados ....................................................................................................................... 8
3.2.1
Generación de un Certificado de usuario ........................................................................................ 8
3.2.2
Firma de un pedido de Certificado................................................................................................. 11
3.3 Exportación de un Certificado ................................................................................................................. 14
4
Utilización de OpenSSL ................................................................................................................................ 17
4.1 Generación de Certificados ..................................................................................................................... 17
4.1.1
Generación de un Certificado autofirmado .................................................................................... 17
4.1.2
Generación de un Certificado de usuario ...................................................................................... 18
4.1.3
Firma de un pedido de Certificado................................................................................................. 20
4.2 Herramientas adicionales TgbSmallPKI .................................................................................................. 22
4.2.1
Visualización de informaciones de Certificado .............................................................................. 22
4.2.2
Conversión de PKCS12 para PEM ................................................................................................ 23
5
Como configurar el Cliente VPN IPSec con los Certificados ........................................................................ 25
5.1 Conversión de Certificados para el formato PEM ................................................................................... 25
5.2 Importación de Certificados para el Cliente VPN IPSec TheGreenBow ................................................. 26
6
Resolución de problemas ............................................................................................................................. 28
7
Contactos...................................................................................................................................................... 29
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
2/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
1 Introducción
El objetivo de este guía es explicar como generar Certificados, convertir Certificados para el formato PEM e
importar Certificados para el Cliente VPN IPSec TheGreenBow.
Es necesaria la utilización de una Autoridad de Certificación tercera para que sea posible generar Certificados
X509 y abrir el túnel VPN con seguridad. Existen muchas opciones para generar Certificados como por ejemplo
cuando utilizamos certificados Microsoft Server (es decir, Microsoft Certificate Service) disponible en el Windows
2000/2003 Server, OpenSSL o en algunos enrutadores VPN.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
3/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
2 Introducción al Cliente VPN TheGreenBow
2.1 ¿Qué es el Cliente VPN IPSec TheGreenBow?
El Cliente VPN TheGreenBow es programa VPN IPSec, para todas las versiones de Windows que permitan
establecer conexiones seguras a través de Internet normalmente entre un trabajador remoto y la Intranet
Corporativa. El IPSec es la manera más segura de conectarse a la empresa ya que proporciona una fuerte
autenticación del usuario, una fuerte encriptación del túnel con capacidad de soportar la red existente y los
parámetros de cortafuegos.
El Cliente VPN IPSec TheGreenBow es el resultado de muchos años de experiencia en seguridad de redes y
desarrollo de drivers para redes Windows, así como una extensa investigación en las áreas relacionadas.
El Cliente VPN IPSec completa nuestro abanico de productos de seguridad para redes y tal como todos nuestros
productos, es extremadamente fácil de instalar y utilizar.
2.2 Multisoluciones para Enrutador VPN
La estrategia de TheGreenBow es la de soportar tantos enrutadores VPN y vendedores de aparatos como le sea
posible, disponibles ahora en el mercado de manera a ofrecer a sus clientes una verdadera solución
multivendedor. Los nuevos Enrutadores VPN IPSec o aplicaciones son probados en nuestros laboratorios. La
lista de enrutadores certificados está disponible en nuestra página Web y aumenta a diario, por lo que no dude
en verificar a menudo la disponibilidad de nuevos enrutadores VPN certificados.
2.3 Soporta Aplicaciones Linux
TheGreenBow soporta muchas aplicaciones de Linux IPSec VPN tales como StrongS/WAN y FreeS/WAN. Por lo
tanto, el Cliente VPN IPSec TheGreenBow es compatible con la mayor parte de routers/aplicaciones IPSec
basadas en esas aplicaciones Linux. En un futuro soportaremos aún más aplicaciones Linux. La lista de
aplicaciones Linux VPN soportadas se encuentra disponible en nuestra Página Web.
2.4 Características del Cliente VPN TheGreenBow
Versiones de Windows soportadas Win95, Win98, Me, NT, Win2000, WinXP
Modo de conexión
Opera como un VPN paritario en un modo "punto – a – múltiple", sin un
enrutador o servidor. Son soportados todos los tipos de conexión Dial up,
DSL, Cable, GSM/GPRS y WiFi.
Protocolo de Tunelización
Soporta completamente IKE: Nuestra aplicación IKE se basa en la
aplicación OpenBSD 3.1 (ISAKMPD), proporcionando de esta manera una
mejor compatibilidad con los enrutadores y puertos existentes.
Soporta completamente IPSec:
Modo normal y modo agresivo
Algoritmos MD5 y SHA hash.
Travesía NAT
NAT Traversal Draft 1 (mejorada), Draft 2 y 3 (aplicación completa)
Incluye Soporta NAT_OA (puerta flotante para intercambio IKE)
Incluye NAT keepalive
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
4/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Encriptación
Proporciona encriptación 3DES, DES y AES 128/192bits
Autenticación del usuario
Soporta X-AUTH
Soporta PreShared keying y Certificados X509. Es compatible con la mayor
parte de Enrutadores IPSec actualmente disponibles
Soporta Grupo 1, 2, 5 y 14 (es decir, 1536 y 2048)
Soporta Certificado Flexible (PEM, PKCS12, ...)
Memoria USB
Las configuraciones VPN y los elementos de seguridad (Certificados, claves
compartidas previamente,…) podrán ser guardados en una Memoria USB
de manera a remover la información de autenticación del ordenador.
Consola de registro
Los mensajes de todas las fases son registrados para pruebas o
instalaciones por etapas, y filtros múltiples (10) permiten focalizar fácilmente
la vista sobre aspectos específicos.
Interfaz invisible del usuario
La instalación silenciosa y el interfaz gráfico invisible les permiten a los
administradores de IT instalar soluciones mientras que previene que el
usuario haga mal uso de las configuraciones.
Construcción de la configuración Interfaz de usuario y Línea de Comandos
Actualización en vivo
Instalaciones adicionales permiten reemplazar los módulos de encriptación
o autenticación con nuevas versiones sin necesidad de reiniciar el sistema.
Esto funciona adicionalmente a la funcionalidad actualización en vivo la cual
permite efectuar la actualización del software desde un servidor central.
2.5 Renombrar fabricante del equipo original (OEM) y Software
Nuestra oferta es especialmente diseñada para clientes-objetivo, Fabricantes de Equipos Originales e
Integradores de Sistemas. Suministramos una solución de cliente vpn completamente funcional para completar
la oferta disponible. Nuestro Cliente VPN IPSec podrá ser renombrado y la licencia del código de fuente estará
disponible bajo pedido.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
5/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
3 Utilizando Certificados Microsoft Server
En esta sección, suministramos los pasos completos para generar un Certificado de Usuario, firmar un Pedido de
Certificado y exportar certificados utilización de Microsoft Certificate Server.
3.1 Instalación del Microsoft Certificate Server
Microsoft Certificate Server forma parte de los paquetes opcionales de Windows NT/2000/2003 server. El
servidor del Certificado necesita del Microsoft Internet Information server (IIS) y Microsoft Internet explorer (IE)
antes de que pueda ser utilizado.
Las Páginas Web de inscripción suministradas por los Servicios de Certificado permiten conectarse con el
servicio a través de un Navegador Web, y realizar tareas comunes tales como efectuar pedidos a la autoridad de
certificados, procesamiento de un archivo de Pedido de Certificado, o procesamiento de un archivo de
inscripción Smart Card. Las Páginas Web estarán localizadas en http://ServerName/CertSrv donde el
ServerName es el nombre de la máquina de emisión CA.
Para más información de configuración de Microsoft Certificate Services en Windows 2000 server, vea los URLs
a continuación:
Sobre la creación de una Autoridad de Certificación:
http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.asp
Sobre las Páginas Web de Microsoft Certificate Services:
http://www.microsoft.com/windows2000/techinfo/planning/security/cawebsteps.asp
Sobre la Gestión de los Servicios de Certificados de Microsoft:
http://www.microsoft.com/windows2000/techinfo/planning/security/adminca.asp
A continuación ofrecemos los pasos necesarios para instalar el Internet Information Server (IIS 6.0) y el Microsoft
Certificate Server (MCS) con una única raíz CA en Windows 2003 Server.
Para instalar el Microsoft Internet Information Server:
Haga clic en Start, apunte hacia Control Panel y Haga clic en Add or Remove Programs .
Haga clic en el botón Add/Remove Windows Components en la ventana Add or Remove Programs.
En la ventana Windows Components, haga clic en la entrada Application Server y haga clic en el
botón Details.
En la página Application Server, haga clic en la entrada Internet Information Services (IIS) y haga clic
en el botón Details.
En la caja de diálogo Internet Information Service (IIS), seleccione marcando la caja de selección de
World Wide Web Service y haga clic en OK.
Haga clic en OK en la caja de diálogo de Application Server.
Haga clic en Next en la caja de diálogo de Windows Components.
Haga clic en Finish en la página Completing the Windows Components Wizard.
Para Microsoft Certificate Server instalados con una única raíz CA haga:
Haga clic en Start, apunte hacia Control Panel y haga clic en Add/Remove Programs.
En la ventana Add or Remove Programs, haga clic en el botón Add/Remove Windows Components.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
6/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
En la caja de diálogo de Windows Components, haga clic en la entrada Certificate Services y haga clic
en el botón Details.
En la caja de diálogo Certificate Services, seleccione marcando la caja de selección de Certificate
Services CA.
Las dos cajas de selección de Certificate Services CA y Certificate Services Web Enrollment Support
están comprobadas. Haga clic en OK en la caja de diálogo Certificate Services.
Haga clic en Next en la caja de diálogo Windows Components.
Actualice la página CA Type como se demuestra a continuación. Haga clic en Next.
Actualice/personalice la página Public and Private Key Pair como se demuestra a continuación. Haga
clic en Next.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
7/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Actualice/personalice la página CA Identifying Information como se demuestra a continuación. Haga clic
en Next.
En la página Certificate Database Settings, utilice las localizaciones predeterminadas para el
Certificate Database y Certificate Database Log. No necesita especificar una carpeta compartida para
guardar la información de configuración porque esta información será guardada en la Active Directory.
Haga clic en Next.
Haga clic en Yes en la caja de diálogo de Microsoft Certificate Services que le informa que el Internet
Information Services deberá ser parado durante algún tiempo.
Haga clic en Yes en la caja de diálogo de Microsoft Certificate Services que le informa que el Active
Server Pages deberá ser permitido en IIS caso usted desee utilizar la página Web de inscripción
Certificate Services.
Haga clic en Finish en la página Completing the Windows Components Wizard.
Cierre la ventana Add or Remove Programs.
3.2 Generación de Certificados
En esta sección, suministramos los pasos completos para generar un Certificado de Usuario y firmar un Pedido
de Certificado.
3.2.1
Generación de un Certificado de usuario
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
8/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Esta sección describe como se genera un Certificado de Usuario para el Cliente VPN IPSec TheGreenBow. Esta
sección se aplica igualmente a cualquier otra VPN IPSec final, como un enrutadores VPN.
Para generar un Certificado de Usuario haga:
Conéctese a su Servidor de Certificados (http://ServerName/CertSrv donde el ServerName es el nombre
de la máquina de emisión CA)
Haga clic en Request a Certificate en la página Welcome.
Haga clic en Advanced Certificate Request en la página Request a Certificate.
Haga clic en Create and submit a request to this CA en la página Advanced Certificate Request.
Llenar la página Advanced Certificate Request (como en el ejemplo demostrado abajo). Debe confirmar
las Mark keys as exportable como el Cliente VPN IPSec TheGreenBow necesita la llave privada del
certificado para establecer un túnel. Haga clic en Submit.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
9/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Después del procesamiento, la página Certificate Pending aparece. Tendrá que esperar hasta que su
pedido sea aceptado y validado por su administrador de Microsoft Certificate Server.
Para recuperar su certificado, vuelva a la página principal de Microsoft Certificate Server y Haga clic en
View the status of a pending Certificate Request.
En la página View the Status of a Pending Certificate Request, seleccione el pedido que desea ver.
La página Certificate Issued aparece como se demuestra a continuación:
Para añadir el Certificado corriente a su Almacén de Certificados, haga clic en Install this Certificate.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
10/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Después de este proceso, la página Certificate Installed aparece confirmando el éxito de la instalación
del Certificado en el Almacén de Certificados del Internet Explorer.
Para exportar un Certificado del Almacén de Certificados del Internet Explorer, vea la sección 3.3
3.2.2
Firma de un pedido de Certificado
En esta sección mostramos como firmar un Pedido de Certificado generado por ZyWall 10W (versión del
firmware V3.62 WH.3 | 04/28/2004).
Para crear un Pedido de Certificado para un Certificado de Usuario:
Conéctese al enrutador utilizando un interfaz de WEB.
Haga clic en My Certificates y en seguida en el botón Create
Cumplimente el siguiente formulario como se demuestra a continuación:
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
11/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Después del procesamiento volverá a la tabla My Certificates. Seleccione el Pedido de Certificado
recientemente creado y haga clic en Details. Copie y pegue los datos en el campo Certificate in PEM
(base-64) Encode Format para un archivo, ZyCert.pem por ejemplo.
Para firmar un Pedido de Certificado utilizando el Microsoft Certificate Server haga lo siguiente:
Conéctese a su Servidor de Certificados (http://ServerName/CertSrv donde el ServerName es el nombre
de la máquina de emisión CA)
Haga clic en Request a Certificate en la página Welcome.
Haga clic en Advanced Certificate Request en la página Request a Certificate.
Haga clic en el archivo Submit a Certificate Request by using a base-64-encoded CMC or PKCS #10
file, or submit a renewal request by using a base-64-encoded PKCS #7.
Haga clic en Browse for a file to insert y busque ZyCert.pem después el botón Read! La página Submit
a Certificate Request or Renewal Request se parece a la siguiente:
Haga clic en Submit.
Después del procesamiento, la página Certificate Pending aparece. Tendrá que esperar hasta que su
pedido sea aceptado y validado por su administrador de Microsoft Certificate Server.
Para recuperar su Certificado, vuelva a la página principal de Microsoft Certificate Server y Haga clic en
View the status of a pending Certificate Request.
En la página View the Status of a Pending Certificate Request, seleccione el pedido que desea ver.
La página Certificate Issued aparece, como lo demostrado a continuación:
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
12/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Haga clic en Download Certificate. Un archivo de descarga aparece, presione el botón Save (El nombre
predefinido del archivo es certnew.cer).
El Certificado de Usuario ZyXel User está ahora validado. Para instalarlo en el enrutador haga lo siguiente:
Conéctese al enrutador utilizando un interfaz de WEB.
Para actualizar los certificados ZyWall almacenados, haga clic en Certificados, después en My
Certificates y por último en el botón Import. Busque el archivo anteriormente guardado (certnew.cer) y
haga clic en Apply. Después del proceso la tabla de Certificados deberá ser parecida con la siguiente:
Necesita instalar el Certificado de Raiz en el enrutador, para completar la instalación del Certificado de Usuario
ZyXel.
Conéctese a su Servidor de Certificados
Haga clic en Download a CA Certificate, Certificate chain, or CRL.
En Download a CA Certificate, Certificate chain, or CRL, como se demuestra a continuación, haga clic
en Download CA Certificate y guarde el archivo como, por ejemplo, certroot.cer:
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
13/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Conéctese al enrutador utilizando un interfaz de WEB.
Haga clic en la tabla Trusted Cas, en seguida en el botón Import, a continuación busque certroot.cer
(nuestro Certificado de Raiz), y por fin aplique las alteraciones. Después del procesamiento la tabla
Trusted CAs deberá ser parecido con la siguiente:
En este nivel el Pedido de Certificado ZyWall’s ha sido firmado y el usuario que le corresponde y los Certificados
de Raiz han sido añadidos al almacen de certificados.
3.3 Exportación de un Certificado
Certificados instalados en el Almacén de Certificados del Internet Explorer pueden ser exportados utilizando el
formato de archivo PKCS12. Las secciones 4.2.2 y 5.1 explican como extraer certificados y llaves privadas de un
formato de archivo PKCS12.
Para exportar Certificados del Almacén de Certificados de Internet Explorer Certificate haga:
Corra el Internet Explorer.
Abra Internet Options… en el menú Tools.
Seleccione la tabla Content y haga clic en el botón Certificates.
En la caja de diálogo Certificates, abra la tabla Personal. Seleccione el Certificado a exportar como se
demuestra a continuación:
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
14/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Haga clic en Export….
En Certificate Export Wizard haga clic en Next.
En Export Private Key seleccione Yes, Export Private Key como necesario por el Cliente VPN IPSec
TheGreenBow.
En la página Export File Format seleccione Include all Certificados in the certification path if
possible. La Raiz CA también es exportada tal como necesita el Cliente VPN IPSec TheGreenBow.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
15/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Haga clic en Next.
En la página Password, escriba y confirme su contraseña, en seguida haga clic en Next.
En la página File to Export especifique la ruta del archivo de destino y en seguida haga clic en Next.
En Completing the Certificate Export Wizard haga clic en Finish.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
16/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
4 Utilización de OpenSSL
OpenSSL es una herramienta no comercial que proporciona un gran abanico de operaciones criptográficas.
También es útil para la gestión de Certificados. Más detalles sobre la construcción y utilización de OpenSSL
pueden ser encontrados en http://www.openssl.org.
Desde que el programa openssl es una herramienta de línea de comandos, hemos escrito varios guiones de
lotes para la creación y gestión de Certificados. Descomprima TgbSmallPKI.zip para C:\TgbSmallPKI, por
ejemplo, (en las secciones a continuación, asumiremos que esta ruta será nuestra carpeta de trabajo). La
carpeta de trabajo contiene:
RootCA.bat: Genera un Certificado de Raiz autofirmado.
UserCA.bat: Genera un Certificado de Usuario firmado por el Certificado de Raiz.
Pkcs12.bat: Convierte un archivo P12 en archivos PEM files.
CAinfo.bat: Visualiza la información de un Certificado PEM.
CAsign.bat: Firma un Pedido de Certificado.
La carpeta \Bin contiene:
o
openssl.cnf: Una gran parte de lo que está en un Certificado depende del contenido de este
archivo de configuración. Está dividido en secciones, lo que ayuda a transformar la
configuración en una más modular. Usted puede personalizar este archivo dependiendo de
sus necesidades (para más detalles, vea la documentación OpenSSL).
o
openssl.exe, libeay32.dll y ssleay32.dll son el conjunto de herramientas básicas para las
plataformas Windows.
ReadME.txt: Un archivo de documento.
4.1 Generación de Certificados
En la sección a continuación le indicaremos como generar un Certificado de raíz autofirmado, un Certificado de
usuario y firmar un Pedido de Certificado utilizando el OpenSSL para Windows.
4.1.1
Generación de un Certificado autofirmado
Un Certificado autofirmado es un Certificado que no es firmado por una Autoridad de Certificados reconocida. Un
Certificado autofirmado puede ser utilizado para actuar como una Autoridad emisora de Certificados, renovando
y revocando Certificados.
Para crear un Certificado autofirmado, corra RootCA. A continuación tenemos una muestra de salida:
*
! Creating Root CA folders
*
Root CA folder set to .\RootCA
Root CA key length is 1024 bits
Root CA validity is 3650 days
The system cannot find the file specified.
*
! Creating CA private key (1024 bits, 3650 days)
*
Loading 'screen' into random state - done
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
17/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Generating RSA private key, 1024 bit long modulus
.........++++++
.++++++
e is 65537 (0x10001)
*
! CA autosigning (1024 bits, 3650 days)
*
Using configuration from .\Bin\openssl.cnf
You are about to be asked to enter information that will be incorporated
into your Certificate Request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [FR]:FR
State or Province Name (full name) [France]:France
Locality Name (eg, city) []:Paris
Organization Name (eg, company) [TheGreenBow]:TheGreenBow
Organizational Unit Name (eg, section) []:Authority Certificate
Common Name (eg, YOUR name) []:TheGreenBow CA
Email Address []:[email protected]
Please enter the following 'extra' attributes
to be sent with your Certificate Request
A challenge password []:capassword
An optional company name []:TheGreenBow
Loading 'screen' into random state - done
Signature ok
subject=/C=FR/ST=France/L=Paris/O=TheGreenBow/OU=Authority Certificate/CN=TheGreenBow CA/Email=TgbCA
@thegreenbow.fr
Getting Private key
"---------------------------"
"---------------------------"
Root Certificate at .\RootCA\RootCA.pem
Root Private Key at .\RootCA\CAKey.key
El Certificado de raíz RootCA.pem y su clave privada CAKey.key están en la carpeta RootCA.
4.1.2
Generación de un Certificado de usuario
Cuando es escogida la autenticación del Certificado X.509 dentro del IKE, un Certificado de Usuario es utilizado
para identificar un terminal de un VPN IPSec y para efectuar operaciones de firma/verificación.
El UserCA script genera Certificados de Usuario, su clave privada y un archivo PKCS12. Esto requiere una
carpeta intermedia como parámetro. Puede ser utilizado para generar Certificados para todos los terminales VPN
IPSec.
Para generar todos los archivos necesarios para Cliente VPN IPSec TheGreenBow, corra UserCA TgbClient:
*
! Creating User CA folder
*
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
18/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Creating User Certificate folder at .\TgbClient
User CA key length is 1024 bits
User CA validity is 3650 days
*
! Creating User CA private key (1024 bits)
*
Loading 'screen' into random state - done
Generating RSA private key, 1024 bit long modulus
.......++++++
..................++++++
e is 65537 (0x10001)
*
! Signing User CA
*
Using configuration from .\Bin\openssl.cnf
You are about to be asked to enter information that will be incorporated
into your Certificate Request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----Country Name (2 letter code) [FR]:FR
State or Province Name (full name) [France]:France
Locality Name (eg, city) []:Paris
Organization Name (eg, company) [TheGreenBow]:TheGreenBow
Organizational Unit Name (eg, section) []:VPN
Common Name (eg, YOUR name) []:Cliente VPN TheGreenBow
Email Address []:[email protected]
Please enter the following 'extra' attributes
to be sent with your Certificate Request
A challenge password []:tgbcapwd
An optional company name []:TheGreenBow
Loading 'screen' into random state - done
Signature ok
subject=/C=FR/ST=France/L=Paris/O=TheGreenBow/OU=VPN/CN=Cliente VPN
TheGreenBow/[email protected]
Getting CA Private Key
*
! User CA in P12 Format
*
Loading 'screen' into random state - done
Enter Export Password:
Verifying password - Enter Export Password:
TgbClient.p12 created in .\TgbClient.p12
"---------------------------"
"---------------------------"
User Certificate at .\TgbClient\TgbClient.pem
User Private Key at .\TgbClient\local.key
User Certificate Subject is:
subject= /C=FR/ST=France/L=Paris/O=TheGreenBow/OU=VPN/CN=Cliente VPN
TheGreenBow/[email protected]
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
19/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Los archivos más relevantes en la carpeta TgbClient son:
TgbClient.pem: El Certificado de Usuario.
Local.key: La clave privada del Certificado de Usuario.
Subject.txt: El asunto del Certificado de Usuario.
TgbClient.p12: un formato de archivo PKCS12 conteniendo los Certificados de Usuario y de Raíz y la
clave privada del Certificado de Usuario.
4.1.3
Firma de un pedido de Certificado
En esta sección demostramos como firmar un Pedido de Certificado generado por ZyWall 10W (versión del
firmware V3.62 WH.3 | 04/28/2004).
Para crear un Pedido de Certificado:
Conéctese al enrutador utilizando un interfaz de WEB.
Haga clic en My Certificates y a continuación en el botón Create
Cumplimente el formulario conforme lo demostrado a continuación:
Después del procesamiento volverá al tabulador My Certificates. Seleccione el Pedido de Certificado
recientemente creado y haga clic en Details. Copie y pegue los datos en el campo Certificate in PEM
(base-64) Encode Format para un archivo, ZyCert.pem por ejemplo.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
20/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Copie ZyCert.pem para una carpeta de trabajo TgbSmallPKI y corra CAsign ZyCert:
*
! Creating User CA folder
*
Creating User Certificate folder at .\ZyCert
*
! Signing User CA
*
Using configuration from .\Bin\openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
countryName
:PRINTABLE:'France'
organizationName :PRINTABLE:'TheGreenBow'
organizationalUnitName:PRINTABLE:'VPN'
commonName
:ASN.1 12:'[email protected]'
Certificate is to be certified until Apr 17 15:55:02 2015 GMT (3650 days)
Sign the Certificate? [y/n]:y
1 out of 1 Certificate Requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
"---------------------------"
"---------------------------"
User Certificate at .\ZyCert\ZyCert.pem
User Certificate Subject is:
subject= /C=France/O=TheGreenBow/OU=VPN/[email protected]
El Certificado ZyWall ZyCert.pem es entonces generado en una carpeta ZyCert.
Para actualizar el almacén de Certificado ZyWall’s Certificate, haga clic en Certificates, en seguida en
My Certificates y después en el botón Import. Busque el archivo ZyCert.pem y haga clic en Apply.
Después del procesamiento el tabulador de Certificados deberá ser parecido con este:
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
21/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Para completar la instalación del Certificado ZyCert.pem necesita instalar el Certificado de Raíz CA.
Haga clic en el tabulador Trusted CAs y en seguida en el botón Import, después busque RootCA.pem
(nuestro Certificado autofirmado) y aplique los cambios. Después del procesamiento el tabulador Trusted
CAs tab deberá ser parecido con este:
En este nivel el Pedido de Certificado ZyWall ha sido firmado y El Certificado de Raiz y de Usuario que le
corresponde han sido añadidos al almacén de Certificados.
4.2 Herramientas adicionales TgbSmallPKI
En la sección a continuación demostraremos como visualizar la información del Certificado y como extraer
Certificados y claves privadas de un formato de archivo PKCS12.
Pkcs12.bat: Convierte un archivo P12 en archivos PEM.
CAinfo.bat: Muestra la información del certificado PEM.
4.2.1
Visualización de informaciones de Certificado
La visualización de informaciones de Certificado pueden ser útiles para recuperar varios campos, como el
Emisor, la fecha de validad y el Asunto.
El script CAinfo muestra la información sobre el Certificado de Usuario. Requiere un archivo Certificado como
parámetro.
Para mostrar más información sobre TgbClient.pem (El Certificado de Usuario TheGreenBow generado en la
sección 4.1.2), corra CAinfo TgbClient\TgbClient.pem:
*
! Certificate TgbClient\TgbClient.pem information
*
Certificate:
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
22/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
Data:
Version: 1 (0x0)
Serial Number: 1 (0x1)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=FR, ST=France, L=Paris, O=TheGreenBow, OU=Authority Certificate, CN=TheGreenBow CA
/[email protected]
Validity
Not Before: Apr 19 12:44:03 2005 GMT
Not After: Apr 17 12:44:03 2015 GMT
Subject: C=FR, ST=France, L=Paris, O=TheGreenBow, OU=VPN, CN=Cliente VPN TheGreenBow/Email=Tg
[email protected]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:ac:00:2c:1b:82:6d:32:2e:17:09:9f:13:8d:b9:
9f:9b:db:d7:3f:f7:45:9b:f2:73:6d:8b:3d:9b:b1:
14:99:25:22:fb:a8:56:30:9d:68:43:e9:14:84:6f:
4c:24:fa:e2:36:84:56:2d:b2:5c:11:fd:be:b9:9e:
ed:49:c8:c1:08:29:d0:17:ca:b8:12:41:41:55:4d:
48:01:57:bc:22:9a:c9:48:ca:e2:c2:59:2c:78:8d:
6d:cc:89:09:3a:97:f5:f4:b7:96:ea:da:82:0e:8c:
87:49:a7:45:a4:74:45:31:8e:ac:be:9a:a2:8c:a1:
16:be:f7:46:4a:94:78:31:73
Exponent: 65537 (0x10001)
Signature Algorithm: md5WithRSAEncryption
b2:ba:7c:92:9c:eb:59:c2:7e:d9:95:af:71:8b:06:2f:b8:44:
b3:b5:2a:b7:98:0b:1e:08:97:85:c7:bc:21:1c:cf:df:15:97:
d9:4f:e5:ec:31:14:6f:9e:b1:8a:47:37:ad:6b:4b:c8:15:bf:
cd:8a:1b:ed:a5:f7:3e:ac:72:73:b9:bc:f6:22:b3:05:f5:26:
40:dd:f8:4c:83:3f:25:da:68:32:8b:bd:1b:68:24:e8:df:31:
83:5b:74:91:10:1f:6a:d0:b9:3c:f3:04:50:4c:6e:ce:c9:de:
3a:38:fe:2d:ad:6c:6b:e6:74:38:51:0c:5b:c5:bb:6b:05:25:
44:d9
4.2.2
Conversión de PKCS12 para PEM
PKCS12 (Personal Information Exchange Syntax Standard) es un estándar para el almacenamiento de
Certificados y clave privadas.
El script Pkcs12 extrae Certificados y la clave privada de un archivo con el formato PKCS12. Requiere un
archivo local PKCS12 sin su extensión .p12, una carpeta intermedia y una contraseña.
Para extraer Certificados y la clave privada de TgbClient.p12 (un archivo TheGreenBow PKCS12 generado en la
sección 4.1.2), corre Pkcs12 TgbClient TempFolder tgbp12:
*
! Extracting Root Certficate
*
MAC verified OK
*
! Extracting User Certficate
*
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
23/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
MAC verified OK
*
! Extracting User Certficate Private Key
*
MAC verified OK
read RSA key
writing RSA key
"---------------------------"
"---------------------------"
Root Certificate at .\TempFolder\RootCA.pem
User Certificate at .\TempFolder\TgbClient.pem
User Private Key at .\TempFolder\local.key
User Certificate Subject is:
subject= /C=FR/ST=France/L=Paris/O=TheGreenBow/OU=VPN/CN=Cliente VPN TheGreenBow/Email=TgbClient@theg
reenbow.fr
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
24/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
5 Como configurar el Cliente VPN IPSec con los Certificados
El Cliente VPN IPSec TheGreenBow utiliza Certificados X509 con formato PEM. El Cliente VPN IPSec
TheGreenBow requiere los siguientes archivos:
Certificado de Raiz.
Certificado de Usuario.
Clave privada del Certificado de Usuario (La clave privada no deberá estar encriptada. Los Certificados
X509 son utilizados durante la Fase 1).
5.1 Conversión de Certificados para el formato PEM
Para convertir un archivo con formato PKCS12 en un archivo PEM, podrá utilizar tanto el método descrito en la
sección 4.2.2 como utilizar el paquete Certificate.zip disponible en nuestra Página Web en:
http://www.thegreenbow.es/VPN_tool.html
Descomprima Certificate.zip y lance Certificat.exe. Haga clic en Select a new p12 certikate y cargue el archivo
.p12.
Haga clic en p12 to pem.
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
25/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
La herramienta de conversión creará una carpeta con los 4 archivos a continuación:
rootCA.pem
ClientCert.Pem
local.key
DER_ASN1_DN.txt
Advanced…
Certificado de Raiz
Certificado de Usuario
Clave privada del Certificado de Usuario
El asunto del Cliente VPN debe ser introducido en una ventana Cliente VPN
5.2 Importación de Certificados para el Cliente VPN IPSec TheGreenBow
1. Seleccione el botón Certificate en la ventana Authentication y haga clic en Certificados Import…
2. Haga clic en Browse y seleccione los archivos adecuados:
El Certificado de Raiz es copiado para la carpeta "[Client install folder]\ca".
El Certificado de Usuario es copiado para la carpeta "[Client install folder]\cert".
La clave privada del Certificado de Usuario es copiada para "[Client install folder]\private\local.key".
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
26/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
3. Abra Advanced button y cumplimente Local ID con:
Type = "DER_ASN1_DN".
Value = subject User Certificate ("Subject:") content like
"/C=FR/ST=France/L=Paris/O=TheGreenBow/OU=VPN/CN=Cliente VPN
TheGreenBow/[email protected]".
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
27/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
6 Resolución de problemas
Usted encontrará todas las cuestiones sobre resolución de problemas, enumeradas en un documento .pdf con el
nombre Resolución de problemas o en nuestra Página Web.
El documento está disponible en: www.thegreenbow.es/vpn_doc.html
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
28/29
Doc.Ref
tgbvpn_certificates_es
Doc.version 1.2 – Junio 2005
VPN version 2.5x
7 Contactos
Informaciones y actualizaciones están disponibles en: http://www.thegreenbow.es
Asistencia técnica por e-mail en: [email protected]
Ventas por e-mail en: [email protected]
Utilización de Certificados
Propiedad de TheGreenBow Sistech SA - © Sistech 2001-2005
29/29
Documentos relacionados
MANUAL USO VPN Paso 1. Ejecutar la aplicación VPN en la
MANUAL USO VPN Paso 1. Ejecutar la aplicación VPN en la
cronograma de validacion gerencia regional nombre del centro
cronograma de validacion gerencia regional nombre del centro
RESUMEN El objetivo general de la presente tesis es verificar la
RESUMEN El objetivo general de la presente tesis es verificar la
Conexión a WiFi desde GNU/Linux
Conexión a WiFi desde GNU/Linux
Conexión VPN en Windows Vista
Conexión VPN en Windows Vista
Certificado Registro de Proveedores de Bienes y Servicios REGIC
Certificado Registro de Proveedores de Bienes y Servicios REGIC
VPN - Viatec
VPN - Viatec
Guía acceso a VPN desde Android - CEC
Guía acceso a VPN desde Android - CEC
Manual Windows 8
Manual Windows 8
05.- Obtención de la clave PÚBLICA de la Firma digital, fichero
05.- Obtención de la clave PÚBLICA de la Firma digital, fichero
Descargar
Anuncio
Anuncio