Certificados Cliente

Buenas, quiero hacer una aplicación que valide además del usuario y la contraseña, el certificado personal del usuario, es decir, dar a cada cliente un cetificados personales.

Alguién me podría orientar un poco???????????????

He intentado hacer request.ClientCertificate pero no me lee el certificado que tengo instalado en mi explorador como certificado personal. Y no se como avanzar

PD: (el server ya tiene SSL)

Estos links te podrá orientas un poco al respecto:

http://www.petri.co.il/configure_ssl...e_with_iis.htm
http://msdn.microsoft.com/library/de...tpsecurity.asp
http://www.4guysfromrolla.com/webtech/062299-1.shtml

Espero te sirvan.

Salu2

Hola rootk, he estado echando un vistazo a esos links, pero creo que no es exactamente lo que busco, yo lo que quiero es decir, por ejemplo yo tengo un certificado personal emitido por la fábrica nacional de moneda y timbre, pues lo que yo quiero es que me en mi aplicación sea necesario de alguna manera que al entrar yo introduzca dicho certificado para demostrar que soy yo.Todos los usuario deberán tener un certificado emitido por la fábrica nacional de moneda y timbre para demostrar que son ellos.

¿Que por qué utilizar esto tan complejo?? Pues bien, en España, por lo menos, robar un login y password es delito y tal y cual, esto lo otro. Pero suplantar una identidad es un delito muy grave, y si "involucramos" al estado el hacker se está esponiendo a penas muchísimo mayores. Además, si alguién pilla el login y password no será suficiente para entrar, si no que además deberá demostrar con dicho certificado que es el propietario de dicho login y dicho password, hasta aquí,ok???

Pues bien, después de dar cien vueltas y que el IIS no me reconozca el certificado personal instalado, se me ha ocurrido lo siguiente y es usar un upload en la página de identificación, dónde el usuario seleccione el archivo .cer exportado y a partir de ahí comprobar la identidad y tal mediante la clase (que he visto en uno de los links)
System.Security.Cryptography.X509Certificates

que te parece la idea?????

hola

yo estoy haciendo algo parecido a esto, de los certificados, hasta ahorita ya logre ingresar al certificado pero al parecer no puedo obtener la cadena que busco

Hjt1sRHtU6Mu2mXAuJmLE02xRF13/BDY+AdRquvNu6aac4A55DYCziaiwppsjK5Pdmch7np1Nf4HsOg 1/3zLGkq6AUykv+TyG/CuRgqcHV/hoiIlZp0Pm5r6NhdeliVA3mPhO1EzaF4GxqpExq+Fz2gldzOq/Wy3nNgPqrNrLL8=

el codigo con lo que hise esto es este

'get certificate in Bin directory
Dim Cert As X509Certificate = X509Certificate.CreateFromCertFile("C:\trabajo\cer tificado\AAA010101AAAsd.cer")
'Now retrieve its properties in output window using ToString Mehtod. Since this class it also have many other
'methods that do the same job
'Get the most important values in string format.
Dim resultsTrue As String = Cert.ToString(True)
'Display the value in output window
Dim certificado As String
'a = Convert.FromBase64String(Cert.GetCertHashString)
certificado = Cert.GetPublicKeyString
MessageBox.Show(certificado)
Debug.WriteLine(resultsTrue)
'Now display Serial number in bytes with GetSerialNumber() method
Dim SerialNumber() As Byte = Cert.GetSerialNumber()
Dim Sr As Byte
Dim st As String
Debug.Write("Serial Number in Bytes: ")
For Each Sr In SerialNumber
st += CStr(Sr)
Debug.Write(Sr)
Next
'MessageBox.Show(st)

pero no he podido encontrar lo que busco, al menos no se como se llama esa cadena muchos me dicen que es la publickey, pero aun no estoy seguro

si alguien puede ayudarnos pues serai de mucho agrado

saludos

Dar Kanon

Creo que sí es esa que es la llave pública:
Cert.GetPublicKeyString

¿Como le pides al usuario que introduzca el certificado??Yo lo hago mediante un upload pero no sé si será lo más seguro.

pues mira, yo ahorita lo hago normal, no estoy haciendo que especifique, pero pues lo puedes hacer en un upload, esta bien

oye pero como que no esta bien siento

al menos esa cadena se debe de codificar a rsa o algo asi, para que te lo muestre en formato 1024 bits sabes algo????

Pues eso ya no tengo ni idea, pero te cuento, esa llave coincide con los datos de la llave pública del certificado instalado en mi explorador, no se si me entiendes

Otra cosa que he hecho para pillar la clave pública (que sale totalmente distinta) es:

Dim a As Array = b.GetPublicKey
Dim i As Integer = 0
While i < a.Length
response.write(Convert.ToString(a(i)) + " ")
i += 1
End While

con eso supuestamente te la muestra en bytes, yo sigo investigando, si veo algo más interesante te cuento

mira eso se puede con b.getpublickeystring y ya te lo da solito en formato string pero lo que quiero es que te debe de dar una cadena de este tamaño y mas o menos igual

Hjt1sRHtU6Mu2mXAuJmLE02xRF13/BDY+AdRquvNu6aac4A55DYCziaiwppsjK5Pdmch7np1Nf4HsOg 1/3zLGkq6AUykv+TyG/CuRgqcHV/hoiIlZp0Pm5r6NhdeliVA3mPhO1EzaF4GxqpExq+Fz2gldzOq/Wy3nNgPqrNrLL8=

lei que era eso del RSA en formato DES

Buf, no se ahora voy a investigar eso.

Oye una pregunta, una vez que se comprueba la autentifidad y verazidad del certificado, cómo se podría decir para que el servidor trabajase con dicho certificado??No se si me entiendes, la cuestión es que además de que el usuario se identifica con su certificado digital, que además pueda cifrar sus envios con el mismo, o no se puede??

el usuario crea sus mensajes con su clave publica y tu en el servidor lo descifras con su clave publica y asi sucesivamente, eso es lo que he leido

Buenas otra vez, respecto a lo que dices, ese texto que quieres obtener creo que no se puede, aunque sigo en ello,

He estado mirando páginas donde requieren certificados personales (vease https://aeat.es) y para elegir el certificado sale una ventanita con el almacen de certificados del cliente, pues eso es lo que me molaría hacer a mí, pero por lo que he leido hacer eso requiere instalar un ActiveX en el usuario, pero a mi esa página no me ha pedido que instale ninguno, alguna idea al respecto???

uu, no va a aceptar muchas vece el usuario el control, mira estoy contactando a un experto y me dijo que con la crypto api se puede, tambien otro programador JAVA dice que lo tienes que abrir con la llave privada

Hola a todos,
Me parece que os estais complicando mucho la vida, todo esto lo hace el IIS solo.
Un certificado exportado en formato .cer no tiene la clave privada, por lo que no implica que ese usuario sea quien dice ser.
Si instalais un certificado de servidor y, en el IIS, marcas "Requerir certificado de cliente", el IIS le pedirá certificado y al usuario le saldrá la ventana de seleccion de certificado. Una vez dentro puedes acceder a toda la información del certificado mediante la variable de sesión Request.ClientCertificate es mas, si exportas a un archivo toda la variable en binario Request.ClientCertificate("Certificate") lo que te da es precisamente un .cer que por supuesto no tiene la privada. Despues, una vez optenido el campo del nombre (CN) o el email (E), solo teneis que hacer una consulta a bbdd para ver que permisos tiene ese usuario.
Un saludo
Enrique

el problema de lo que dices Enriquez, es que los certificados cliente generados mediante el OpenSSL, no hay manera de que salgan en la ventanita del IE o del Firefox, para que los seleccione el cliente.
Y por ejemplo otros certificados que sí que salen (como el que yo uso de la FNMT) lo revoca puesto que es la propia FNMT quien lo ha de validar.

El IIS por defecto comprobara la lista de revocados, por lo que en los certificados tiene que haber un puntero a la url donde se edita (mira en propiedades), si quieres prueba con los de mi tutorial... la otra solución es desactivar esta comprobación en la Metadata de win en el server pero eso es mas complicadillo...
No se como gestiona los revocados el OpenSSL pero si eres tu el que generas las claves para pedir los certificados de cliente y despues se lo mandas, se rompe la cadena PKI ya que puede repudiar su firma alegando que es posible la suplantación. Tienes otra opción que es la CA de win en la que son los usuarios los que generan las claves, piden y se instalan los certificados. Ademas en esta CA puedes poner en red la lista de revocados para que no te de ese error, todos los certificados que emitas tendrán ese puntero.

Echare un vistazo a tu tutorial, haber si saco algo en claro, es que esto de la certificación es un lío.

Lo de la FNMT, no encuentro la url, leí algo del los puntos de distribución crl o algo así pero pone una cosa rara (puedes verlo en tu almacen, porque el FNMT raiz viene incluido en el IE).

El problema del OpenSSL, que la documentación es un poco liosa y en ingles (maldito idioma internacional de la informatica), pero la idea es generar los certificados cliente a pelo y enviarselos a cada cliente, aunque puedo estudiar otras opciones.

Ya te digo, que tengo una idea un poco borrosa de todo esto, haber si le echo un ojo a tu tutorial y me aclaro un poco más.

Buenas Enriquez, he leido tu manual, bastante completo por cierto, bien, te cuento algunas dudas que me han surgido,

En el certificado Raiz de la FNMT instalado en mi emulador de servidor (localhost), en las propiedades, en certificados cruzados me sale lo de la descarga de certificados cruzados y tal y una URL que supongo que será para descargar los mismos, pues bien, si intento usar mi certificado cliente de la FNMT en mi página que requiere certificación del cliente, me da un 403.13 y me dice que mi certificado ha sido revocado (y no es así puesto que lo he usado en su página)

Además tengo instalado un raiz generado como te dije con OpenSSL y tengo un certificado cliente generado con la misma llave privada, pues bien, cuando me sale el almacén de mis certificados, éste no me sale y no lo puedo seleccionar.
???????

Vamos que el único con el que me puedo autentificar es un certificado persona del Tawthe, que ese va perfecto y recojo sus propiedades sin problemas, pero no es lo que yo necesito vamos.

¿Alguna sugerencia???

PD: de nuevo enhorabuena por tu manual, cojonudo de verdad

Gracias por tu comentario ;)

Si puedes, pégame el campo "Puntos de distribucion CRL" del certificado de Tawthe, por curiosidad.

El error 403.13 puede ser por varios motivos:
Que los certificados raices no esten en el almacen de certificados raices de entidades raices certificadoras de confianza de la "MAQUINA", aunque si esten el el almacen de "USUARIO", el IIS no te dejará usar los certificados emitidos por autoridades que no esten en ese almacen.
Que el/los certificados de usuario estén revocados o el IIS "NO TENGA ACCESO A LA CRL", te lo dice el error:

La página que está intentando ver requiere el uso de un certificado de cliente válido. Se revocó el certificado de cliente o no se pudo determinar el estado de revocación. El certificado sirve para autenticarle como usuario válido del recurso.

Y otro de los motivos puede ser que los "Propositos" de los certificados raices no esten bien. Entra en las propiedades de los raices y en la pestaña "Detalles" dale a "Modificar propiedades. Asegurate que esta marcado "Habilitar todos los propósitos de este certificado", en los dos almacenes.

Ya me contaras...
Un saludo
Enrique

El error al intentar validar con el certificado FNMT es:

En el punto de distribución de Tawhte me pone:

[1] Punto de distribución CRL
Nombre del punto de distribución:
N

El que creo con OpenSSL, sigo sin poder verlo en el almacén que se me abre para indicar con que certificado auntenticar.

Gracias por el CRL...
Resumiendo, que el error es el mismo que te puse yo y que sigues igual, pero no me dices nada nuevo. ¿Has mirado todo lo que de puse?.¿Esta el certificado raiz del OpenSSL en el almacen de la maquina?, ¿Todos los propositos de los raices estan bien?

Si, haber, el de Tawhte, es el que sí que me coje sin problemas, aunque no tengo ni idea de porque,ya que en el punto de distribución que te puesto aparece lo mismo en el raiz de la FNMT.

El de OpenSSL si que está instalado el raiz en el explorador y tiene habilitadas todas las funciones, lo que no tiene es lo del punto de distribución, y no se si es que está mal creado o me falta poner algo a la hora de crearlo. Éste es el que más me interesa que funcione, puesto que los usuarios van a ser limitados y quiero darles mis propios certificados.

Ah, con respecto a lo de la FNMT, envie un e-mail a su servicio tecnico y me dijeron que para que yo pudiese validar sus certificados cliente, tenia que firmar un convenio con ellos para que fuesen ellos los que validasen (supongo que utilizarán un webservice para ello o algo asi) pero el precio es desorbitado para lo que yo estoy buscando.

buf, esto es muy complicado, no??

Coño tio!!!!!!!!!!!!!de puta madre (perdón pero es que despues de 2 meses)

te cuento
ejecuto el mmc y agrego lo de los certificados y tal
y he agregado el raiz a los de confianza del equipo (lo tenia en los de usuario) y ya lo veo en el desplegable y obtengo toda la información.

Te debo una tio, y perdona por no haberlo resuelto antes (ya que la solución aparecía bien clara en el manual), pero despues de tantas pruebas para arriba y para abajo me estaba saltando el paso!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Eres el crack de los PKI

Me alegro, y no hagas ni caso a los de la FNMT, yo tengo www.firmasonline.com que admite certificados de la FNMT y puedes firmar en cliente y todo, eso te lo han dicho por si cuela y les pagas.
Por cierto, el certificado de servidor del OpenSSL dara un pantallazo en los exploradores de los usuarios que no tengan el raiz, es decir.. todos menos tu, ya que es autofirmado y no esta el raiz en todos los win dime si me equivoco... no conozco mucho OpenSSL.
Un placer poder ayudar...
Enrique

Claro les dirá que no han depositado su confianza en el certificado, pero para subsanarlo (ya te digo que son usuarios limitados los que van a tener que acceder a la zona), se les proporcionará un link de descarga con el certificado raiz y las instrucciones necesarias para instalarlo (así como asistencia técnica en caso necesario), estoy pensando tambien en utilizar proporcionarles un lector de tarjetas con un pequeño software que instale el certificado raiz en el almacen, estilo a como hace el colegio de abogados, no se si sabrás de lo que hablo, pero bueno, eso ya es otra historia (que trataré bastante más adelante)

Con respecto a lo de la FNMT he comprobado que tienes razón (he firmado una de las campañas de tu página) pero a mi cuando lo selecciono, me lo revoca, el que tengo instalado es el

FNMT Clase 2 CA (en la raiz tanto del usuario como del equipo)

y le he habilitado todas la opciones. Ya te digo que seguramente use mis propios certificados de 2048 bits, pero como puede ser que mi servidor me lo revoque y el tuyo lo acepte de p.m.???

Lo del openssl, es un software libre para generar tus propios certificados, con él, generas las llaves, los certificados y tal, está bastante currado.

Tienes una opción que puede que te interese, exporta desde el Explorer los certificados de cliente y marca "Exportar la clave privada", despues marca la casilla "Si es posible incluir todos los certificados en la ruta de acceso de certificación". Es el formato PKCS#12, tiene un PIN de protección. Tus usuarios solo tendrán que dar a aceptar a todo por defecto y se les instalará el raiz tambien.


Lo de la FNMT.. no te revoca nada, es imposible que nadie te revoque un certificado de la FNMT, escepto la FNMT claro, eso es por que yo tengo deshabilitada la comprobación de revocados en la metabase de win (ya te lo comenté), el filtrado de las firmas se hace despues de finalizada la campaña offline.

ok, haré unas pruebas, exportando la llave privada como dices, y tambien investigaré lo de las metadata.

Muchas gracias, por la ayuda.

Un saludo

lo de la metabase del win, te refieres a crear un filtro isapi con una aplicación que verifique el certificado antes de que lo haga IIS????

(que pesadilla estoy hecho) perdona tantas molestias

Hola señores,he estado viendo de lo que hablaban y estoy ahora con el tema de certificados PKI,me gustaría hacer en java una aplicación que me validase la conexión del usuario a una herrmienta en función del certificado PKI,me podrían guiar un pokito sobre largo e intenso proceso de securización?

Gracias y salu2 de djperno

Pues en java ni idea, pero puedes guiarte por lo que aqui se ha dicho bajo .net, y mirar haber dudas concretas, si no es muy dificil explicarte todo.

Vamos a ver yo estoy instalando un certificado PKI en un W2k Server y lo propago por el active directory, ahora en java tengo un codigo q pasandole el dns me muestra el esquema del directorio pasandole el dn y el dc,ahora bien me gustaria pasarle un pki y me validase el acceso o no a la herramienta que desee proteger de accesos incontrolados

Muchas gracias y que velocidad