|
como instalar certificado digital hola a todo, primero decir q estoy muy verde en servidores y en el SSL tengo el certificado digital de la FNMT española. este lo puedo utilizar para firmar y cifrar correo, pero no se si puedo utilizarlo para el servidor web y mantener conexiones https:// se puede utilizar este certificado? o tienes q morir a uno de pago? |
creo que ese no vale, porque ese certificado no identicia que tu pc es quien dice ser... No tienes que morir en uno de pago, ya que puedes instalar en tu pc una entidad emisora de certificados, e exportarlo para tu uso con el servidor web, pero claro, se plantea el problema que si yo accedo a tu sitio web, y tu mismo eres el que certifica que eres quien eres, no tiene sentido, por eso se usan certificados de terceros ,porque si VERISIGN (por ejemplo) certifica que eres quien eres, yo me lo creo... |
tal vez sea yo el q estoy equivocado, yo solo quiero q salga el candaditos cerrado, cuando entran los datos en el formulario. igual no necesito certificado!! |
Yo lo que te he comentado es lo que hay y se. Investiga si se puede montar algun certificado FALSO o gratis, para tener SSL, pero entonces para que lo quieres... CUentanos que tal |
creia que lo sabia, pero no ya no lo se. tengo una pagina web y un formulario de registro, y me gustaria que se conectara con https para enviar la información encriptada, para que si alguien lo esqicha, no pueda ver la información transmitida. entonces no se lo que necesito. el hecho de certificar que el de la web soy yo, es decir AUTENTIFICACIÖN no me es importante. Pero si la PRIVACIDAD de los datos. que mal me explico |
Vale, pues entonces con cualquier certificado que consgias, bien lo hagas tu, o bien lo pilles por ahi, te valdria...Asegurate que la longotud de cifrado de clave sea de como minimo 1024 , mejor 2048 y punto |
kinomakino gracias por tu ayuda Donde puedo conseguir un certificao sin pagar, lo unico que encuentro son certificados q caducan a los 15 dias. |
Ya te comente, que si no quieres pagar, lo hagas tu mismo con una entidad emisora de certificados de windows 2000... |
Certificados digitales Hola rrufo y kinomakino, como veis es mi bautizo en este foro. Hay un problemilla; para activar ssl (y que salga el candado) es necesario que instales un certificados de servidor, y aunque no quieras la autenticación del servidor, todos los navegadores la comprobarán. Los certificados de servidor van firmados por una Autoridad certificadora (Verisign, FNMT, etc), y si el certificado raiz de dicha CA, no se encuentra en el "almacen de certificados de autoridades certificadoras de confianza" de los navegadores de tus usuarios, sus navegadores darán un pantallazo diciendo que no confían en tu certificado. Es por este motivo por lo que necesitas un certificado comercial. Si quieres sacate uno de 6 meses gratis en IPS CA. Como bien te dice kinomakino, puedes instalar tu propia autoridad certificadora y emitirte tu certificado de servidor, pero recuerda que tendras que distribuir su certificado raiz entre todos tus usuarios para que se lo instalen y que sus navegadores no den el famoso pantallazo. Tambien puedes sacarte uno en un pequeño tutorial que tengo http://www.sharesafe.net/sharesafe/TuturialPKI1.asp , pero recuerda que te pasara lo mismo que con uno emitido por ti. Un saludo Enriquez |
ahora lo entiendo todo. una cosa es la encriptacion y otra la autentificación yo lo metia en el mismo saco, pq tal como me dices, en el fondo va en el mismo saco +o- comentas q la FNMT emite certificados, yo tengo uno de la FNMT. El tipico para presentar la declaración de hacienda. me vale para algo? |
Ese certificado no es de servidor, cada certificado tiene unos usos, y ese no te va a servir. Sácate uno en mi tutorial, y cuando te familiarices con su instalación y uso, sácate uno gratuito en IPS CA de 6 meses, o compra uno... Me alegra que te halla aclarado dudas el tutorial. :-) Un saludete Enrique |
Instalar tu propia autoridad certificadora ?????? Hola a tod@s!! He seguido el tutorial de Enrique y todo me ha funcionado bien, el problema que veo es que al utilizar su firma raíz, cada vez que entren los usuarios en un sitio cuya entidad raíz sea la misma, no les va a salir el pantallazo famoso (si no estoy confundido, lo he probado y parece que es así) Por lo tanto alguién sabe com instalar tu propia entidad certificadora en windows? y así tener yo la mía propia Muchas gracias por todo. :-) |
Hola cotolo, me alegra que te resulte útil mi tutorial, gracias por el comentario... No le saltara el "pantallazo" a nadie que tenga el certificado raiz de Firmail instalado, pero a los demas si. Si quieres instalar tu propia CA, en W2000 Server, ve a instalar y quitar programas y en "Agregar o quitar componentes de windows" selecciona "Servicios de Certificate Server" e instala, si tienes algún problema dímelo. Un saludo |
Hola a todos, he estado leyendo sus comentarios y me han sido de gran ayuda ya que yo tambien tengo que implementar una autoridad de certificacion que utilice certificados digitales para autenticacion de usuarios, ya implemente la CA pero aun tengo que distribuir los certificados, quisiera saber si me podrian auxiliar en este proceso, como que metodos hay o que podria hacer. Agradeceria mucho que me auxiliaran. |
Panterita, necesitaras configurar el IIS para que exija certificados, te lo explico aquí : http://www2.sharesafe.net/sharesafe/TuturialPKI41.asp Para que tus usuarios se saquen certificados, que entren en http://tu-servidor/certsrv/default.asp, (tu-servidor será la IP del Server con la CA). Si el Server no está en red tienes un problema. Cuando un usuario accede a las web de petición de certificados, es su navegador el que genera las claves pública y privada. Si no puede acceder al Server, tendrás que pedir tu los certificados y marcar las claves como exportables, para después hacerles llegar el certificado en un archivo, con el agujero de seguridad que esto implica. |
Hola! Hola de nuevo, y muchas gracias por esta informacion, aun estoy leyendo, es bastante interesante y practica, que bueno que comparta estos tutoriales ya que son de gran ayuda... :arriba: Bueno, seguire trabajando en ello. Me habian comentado que habia que enviar un correo a los usuarios explicando los pasos que hay que realizar para solicitar un certificado digital, por ejemplo: acceder a la pag: http://miservidor/certsrv y hacer clic en el link de solicitar certificado, despues agregar sus datos y enviar. Ademas de dejarlo instalado como autoridad confiable, es factible hacerlo? . Ok :adios: espero no agoviar con tantas preguntas y una vez mas, gracias. |
Si, claro que se puede hacer. Lo que tienes que decidir es para que necesitas los certificados, si solo quieres la confidencialidad y el cifrado, puedes dejar la CA en automático para que emita todo lo que se le pida, pero si necesitas la autenticación se complica un poco, yo te doy una idea. Puedes hacer una web en la que el usuario meta su dirección de correo y que el servidor le mande un email a dicha dirección con las instrucciones y los link para continuar. Así te aseguras (por decirlo de alguna forma) por lo menos de que la dirección es válida. Sáltate los link que no sean necesarios, pon uno para descargar e instalar el raíz y otro a la web de petición de certificados de navegación, donde se introducen los campos del certificado. Si necesitas comprobar los datos de los usuarios puedes mirarlo en la CA (no la pongas en automático) antes de emitirlos. Un placer ayudar en algo. Un saludo |
Gracias por tu ayuda de verdad me es muy util esta informacion, tambien por escribir la respuesta tan rapido, por mi parte intentare lo que me dices y espero salga todo bien ;) Ok, hasta pronto! |
loading............ Enriquez Quisiera incluir tu tutorial en mi base de datos personal que talvezse haga pùblico de los tutoriales que no se deben dejar pasar, y ponerlo en mi propio formato HTML quisiera que me digas si puedo hacerlo o no porque yo respeto los derechos de autor y antes ponerlo pido autorizaciòn. Si es si dime que creditos ponerle Grcias. connection closed. |
De nada Panterita, hasta pronto. MaBoRaK, por supuesto que puedes, te mando un privado... Un saludo a todos. |
Hola! Hola de nuevo!, otra vez por aqui, me ayudo mucho su informacion, y ahora queria saber si me puede auxiliar e informarme si existe alguna forma de que las maquinas con linux o macintosh puedan obtener certificados digitales, de la AC en windows 2003 server, o que se hace en esos casos?. Gracias de antemano y esperare su respuesta, hasta pronto! :adios: . |
La pregunta del millón... ;) Mac definitivamente no, y linux no pero... te tengo que explicar una cosa. La forma que se piden los certificados ahora en tu máquina es accediendo a unas web en particular que tienen un ActiveX, el cual se instala en el equipo des usuario que entra. Este ActiveX interactúa con una dll de Windows que se llama xenroll.dll y que posibilita el acceso a la CryptoAPI de Windows que es la que llama al CSP (Proveedor de servicios criptográficos) que seleccione el usuario (de los que tenga instalados en Windows), para generar la pareja de claves RSA y la petición de certificado. Por ejemplo, si tienes una tarjeta criptográfica, seleccionas su CSP y las claves se generan dentro del hardware gracias a toda este tinglao. :-D Ahora bien, existen otras web en tu CA que no trabajan así, sino que el usuario mete dilectamente la petición de certificado en formato base64 PKCS#10. Por ejemplo, tu tienes un navegador, o programa de correo como el "The Bat" (o uno sobre Linux) con su propio CSP. Generas una petición de certificado en modo local (el programa tendrá una herramienta para hacerlo), sin entrar en ninguna web, y te genera un archivo .txt con la petición en ese formato. Después entras en la web que te comentaba (certrqxt.asp) y pegas la petición en un texarea, emites el certificado en la CA y se lo haces llegar al usuario por el medio que quieras ya que la instalación no se puede hacer desde la web al no existir el ActiveX famoso. Finalmente instalas el certificado en local. Por supuesto también tendrás que instalarle el raíz. Todo esto para que?, para tener un navegador sobre linux que no va a poder acceder al 90% de las plataformas PKIX que existen (por no decir 100%), o para tener un programa de correo con un certificado emitido por una CA que nadie conoce y en la que solo confían los usuarios a los que les has instalado el certificado raíz de tu CA. A mi me encanta Linux, pero tengo que reconocer que está en pañales en PKIX, además la seguridad de PKI no esta en el sistema operativo sobre el que corra, sino en la fuerza de los algoritmos de cifrado. Algo cifrado a 128, estará cifrado tanto si se almacena en un Red Hart como si esta en un W98. Si un hacker te lo roba seguirá estando cifrado, y si te roban el disco duro seguirá estando cifrado. Un saludo :-) |
Gracias! De verdad gracias por su pronta respuesta, voy a checar lo que me dice, sabe que en el servidor radius tengo un problema con la autenticación con certificados, ya que solo cuando son agregados los acepta, no con los de las bases de datos, una de ellas en linux, sabe a que se pueda deber eso?, ;-) Gracias! :adios: |
Cita:
Cuando dices "solo cuando son agregados los acepta", ¿a que te refieres?, ¿agregados?, ¿para que estas usando radius, para VPN?. Cuando me preguntaste que si las máquinas con linux podían obtener certificados digitales, creí que te referías a certificados personales, de usuario. Si te refieres a de servidor si que funciona, con Apache por ejemplo, o certificados de timestamp, de firmar codigo, etc.., lo que pasa es que en Linux, son los programas los que tienen que tener implementado PKI, no el sistema operativo. |
Hola a todos.. Enriquez: estuve leyendo el tutorial y los mensajes de este tema y todavia tengo algunas dudas (soy nuevo en esto y quiza aún no estoy comprendiendo bien). Supongamos que tengo un servidor web, con el cual deseo dar hosting a mis clientes, y tengo una certificado de servidor seguro emitido por una autoridad X, este certificado lo tengo instalado en el website por defecto del server en cuestión. Ahora lo que deseo hacer es poder hacer uso de este certificado en otro website del mismo server. Según entiendo no es posible ya que el certificado se extiende según el DNS. Mis pregunta son: 1) Necesitaría un Certificado ($$$) para cada web site del server en cuestión? 2) Es posible hacer uso del mismo certificado y convertir a la empresa dueña del server y del certificado en una autoridad de ceritificación de segundo nivel?? Bueno, espero tu respuesta Saludos y desde ya muchas gracias. |
Certificado de servidor IIS Un certificado de servidor lo que garantiza es que estas donde dice que estas la URL. si el certificado es para www.dominio1.com, solo es válido para ese dominio, podrías entrar en otro dominio alojado en ese servidor y con el mismo certificado instalado, por ejemplo www.dominio2.com, pero todos los navegadores mostrarían una alerta diciendo que el nombre del certificado no coincide con el del dominio. Otra cosa son los directorios virtuales... todo lo que cuelge de www.dominio1.com, por ejemplo www.dominio1.com/dir/ puede usar tambien ssl (https) ya que esta dentro del dominio. A la segunda pregunta tambien no. Para ser una CA de segundo nivel te tiene que firmar tu certificado raiz una CA de primer nivel. Ojo, con un certificado de servidor no puedes montar ninguna CA ni nada, es de servidor, solo vale para autenticar un equipo. Un saludo |
Hola!! Si, lo que pasa es que tengo el RADIUS para VPN y solo cuando agrego a los usuarios a la base de datos de ACS se pueden autenticar, usa dos bases de datos una de ellas en linux, pero ellos no pueden. Como podria hacer para lograr eso. |
Vpn Hola Panterita Desgraciadamente mi poder adquisitivo no me permite Cisco :-) , tendrás que preguntar a su servicio técnico. Yo te explico unas cosillas... Para poder autenticar a usuarios VPN con certificados en vez de con login y password, es necesario que dichos usuarios tengan mapeado un certificado en sus cuentas de dominio, por lo que necesitaras LDAP (con los inconvenientes respectivos para Linux). Existirá un servidor de VPN con un certificado de servidor y que permitirá acceso a usuarios con certificados. Esto se puede hacer bajo IPEsec o bajo EAP, bajo el primer protocolo tendrías que instalar una CA "Enterprise" (exclusiva para dominio LDAP), bajo el segundo te vale la CA normal. Una de las pegas que suelen surgir con VPN's es esta: Cuando instalas la CA, Windows pone la periodicidad de edición de la lista de revocados en una semana, y la dirección en la que se encuentra esa lista. Por defecto pondrá http://%SERVER_DNS_NAME%/CertEnroll/%CA_NAME%%CRL_SUFFIX%.crl ya que tiene que hacerlo de forma genérica, para cualquier equipo. Todos los certificados llevarán esta dirección (puedes verlo en "Detalles") para que cualquiera pueda comprobar la lista de revocados. Cuando un usuario hace una VPN el servidor mira esta dirección y se conecta para ver si esta revocado el certificado o no, si no puede resolver la dirección supone el certificado revocado por defecto (cuando mapeas el certificado de usuario la primera vez no lo hace claro). Esto se soluciona configurando la CA con una dirección que pueda resolver el Radius. Por supuesto los cambios que hagas en la CA solo afectarán a los certificados posteriores, los ya emitidos seguirán con la dirección antigua. Si quieres ver como se hace una VPN bajo EAP con Windows 2000 aquí te lo explico: http://www2.sharesafe.net/sharesafe/TuturialPKI54.asp Un saludo |
Ahh este tuturial tambien esta muy bueno, si sabes ya configure el VPN supongo que lo de las llaves exportables es lo que me falta, por cierto eso del tipo de codificacion que me presenta al solicitar un certificado digital de cliente, lo intente en windows 98 y en XP pero en 98 me marca por default PKCS sin posible modificacion en cambio en XP me da la opcion de cualquiera de las dos por que es eso?, y lo de base 64 con PKCS 10 ;) , muchisimas gracias de nuevo!!!... ;0) Saludo |
Me alegro :aplauso: ¿Llaves exportables? :pensando: ¿Te refieres a llaves criptográficas USB, o a claves exportables?. Lo de tipo de codificación... las paginas asp de tu CA son complejas, buscan en el usuario que es lo que soporta su navegador y su sistema operativo y te muestra las opciones compatibles, son distintos formatos de certificados PKIX (X509), si quieres bájate un certificado en los dos formatos y cotilleas un poco las diferencias :-) Un saludo |
Gracias! :arriba: okidoki :si: , gracias por tu ayuda!! :-D :adios: no vemos pronto! |
Hay una opción que no te he comentado, los WildCard (1 year $276). Son certificados a nombre de un dominio tipo: *.dominio.com Con un certificado de estos puedes tener todos los SitiosWeb que quieras del tipo: www.dominio.com info.dominio.com cliente1.dominio.com cliente2.dominio.com Al tener un * el nombre del certificado, coincide con todos los subdominios que tengas. Cita:
|
Mejor paga por un certificado. En www.ev1serevers.net consigues uno en US$4 de 128 bits de FreeSSL. O la otra es poner tu sitio web en un hosting que tenga Shared SSL. 1) Necesitaría un Certificado ($$$) para cada web site del server en cuestión? R.\ Puedes comprar uno para cada uno o usar un Shared SSL 2) Es posible hacer uso del mismo certificado y convertir a la empresa dueña del server y del certificado en una autoridad de ceritificación de segundo nivel?? R.\ No. |
No existen los certificados de 128 bits, minimo 1024 bits. No confundir las claves asimetricas de un certificado con la clave simétrica de sesión de un SSL. "R.\ Puedes comprar uno para cada uno o usar un Shared SSL" Si tienes un certificado por dominio, ¿Para que necesitas el Shared SSL? |
Claro que existen con encripcion de 128 bits... mira esta página: http://www.freessl.com/freessl/freessl.html O esta otra... http://www.geotrust.com/web_security/index.htm Los mas baratos son SSL 128-Bits Ese es uno básico para sitios de comercio pequeños. Y el Shared SSL sirve para poner "n" dominios a usar un mismo certificado SSL. Tienes las 2 opciones comprar uno para cada uno o montarlos todos bajo un solo certificado. |
Vamos a ver... tienes un error de concepto muy gordo, confundes el protocolo SSL con los certificados de servidor. Un certificado tiene una pareja de claves asimétricas (RSA, por ejemplo) de mas de 1024 bits normalmente. Un servidor con un certificado permite el protocolo SSL (https://), gracias al intercambio de una clave de sesión entre el navegador y el IIS. Esta clave simétrica (AES, MD4, etc...) tiene una longitud que depende de fabricante y versión del navegador que utilice el usuario, algunos no soportan cifrado a 128, pero esto no tiene nada que ver con las claves asimétricas del certificado. Las claves del certificado (1024) se utilizan para el intercambio de la de sesión (128). Ejemplo de propiedades de una web bajo SSL (https, botón derecho/propiedades): "TLS 1.0, RC4 con cifrado de 128 bits (alta); RSA con intercambio de 2048 bits" Como puedes ver, una cosa son las claves de intercambio, y otra la clave de sesión, por eso no puedes decir "un certificado de 128", una clave asimétrica de 128 bits de longitud es ridícula, y una clave simétrica de 128 bits es muy fuerte. Respecto a lo de compartir un certificado, te explico... Un cerificado, a parte de para cifrar una sesión con SSL, sirve para identificar inequívocamente un website con un dominio. Por eso cuando lo pides, tienes que poner el nombre del dominio en el certificado, www.dominio.es, o lo que sea... Cuando un navegador entra en https://, lo primero que comprueba es que el nombre del dominio y el del certificado sean iguales. Si instalas el certificado de www.bbva.net en el servidor de terra, cuando entres en https://www.terra.com, te saldrá un pantallazo diciendo que ese certificado no es el del dominio. Por eso no se puede compartir un certificado con varios dominio. Lo que se puede hacer es alojar SUBDOMINIOS bajo el mismo certificado, por ejemplo, si tienes un certificado de *.dominio.com, te vale para www1.dominio.com y para ww2.dominio.com. Otra cosa son las carpetas de un sitio web, si tienes un certificado de www.dominio.com, estarán BAJO ese dominio todas las carpetas que cuelguen de él, por ejemplo www.dominio.com/carpeta1, www.dominio.com/carpeta2, pero esto NO son dominios, son carpetas. Espero haberte aclarado el tema, ya se que es un poco complicado...;) Un saludo |
Estoy de acuerdo contigo. Lo que quiero decir desde el primer mensaje es que cuando compras un Certificado los venden de 40bits y 128Bits (refiriendose a la encriptación del mismo) este ultimo es el mas seguro. Al usuario final no le importa todo el concepto técnico detras de eso. Si vas a comprar un Certficado de 1024bits (refiriendose a la clave asimetrica) el usuario final va a ir a un sitio como Geotrust y no lo va a encontrar. Cuando hablas de los bits de un certificado en el tema comercial no en el tema técnico siempre te refieres a la encriptación del certificado. Mira por favor los links que puse antes. Son de proveedores de certificados muy importantes y solo manejan el tema de Certificados de 128 bits, refiriendose a esto como la "unidad" de medida que manejan, mira en http://www.geotrust.com/web_security/index.htm textualmente dice: "A low-priced 128-bit SSL certificate" o en http://www.verisign.com/products-ser...ate/index.html dice: "Guarantees 128-bit on All Windows 2000 Computers". Por ningún lado encuentras algo de 1024 (refiriendose a la clave asimetrica). No digo que no tengas razon, estas en LO CIERTO COMPLETAMENTE, pero cuando hablas de comprar un certificado es "comercialmente correcto" , porque asi los ofrecen, decir que compres un certificado de 128-bit. Sobre el certificado compartido, "Shared SSL" muchos proveedores lo ofrecen (no puedo decir que nosotros tambien porque seria "spam" :) ) a sus clientes para establecer conexiones seguras sobre el protocolo 443 y usan precisamente el metodo que mencionaste. Un sitio anonimo con un certificado de 128-Bits y el panel de control (en mi caso Helm) se encarga de crear directorios virtuales apuntando a las carpetas del sitio web de los clientes. Asi varios sitios pueden establecer una conexion por HTTPS para su uso personal sin interferir con el contenido de los otros. A quien le interese en http://www.ev1servers.net venden certificados StarterSSL de FreeSSL a US$10 el precio normal es de US$50 y certificados de 128-Bit de Geotrust a US$50 usualmente son a US$150. Gracias por enrriquecer el tema. De seguro muchos usuarios del foro podrán sacar mucho beneficio de ello. |
Re: como instalar certificado digital Socorro!! Soy nueva en el foro y por las palabras que leo por aqui nueva en esto de la informatica... tengo un problema y acabo de registrarme porque ya no se a quien acudir... os cuento Necesito intalar un certificado digital PKCS #7. Pero por mas que lo intento de todas las formas me aparece una pantallita.. que dice que se ha instalado satisfactoriamente pero pollas... (perdon) porque no se instala... Como mucho consigo que aparezca en certificados de "otras personas" en vez de en "personal" y las pagnas de internet a las que necesito acceder con él no me lo reconocen... Me han dicho que lo mismo necesito algún programa que lea la extension p7b pero ni siquiera sé si eso existe!!! help me, please |
| La zona horaria es GMT -6. Ahora son las 06:31. |
Desarrollado por vBulletin® Versión 3.8.7
Derechos de Autor ©2000 - 2026, Jelsoft Enterprises Ltd.