como instalar certificado digital

hola a todo, primero decir q estoy muy verde en servidores y en el SSL

tengo el certificado digital de la FNMT española.

este lo puedo utilizar para firmar y cifrar correo, pero no se si puedo utilizarlo para el servidor web y mantener conexiones https://

se puede utilizar este certificado? o tienes q morir a uno de pago?

creo que ese no vale, porque ese certificado no identicia que tu pc es quien dice ser...
No tienes que morir en uno de pago, ya que puedes instalar en tu pc una entidad emisora de certificados, e exportarlo para tu uso con el servidor web, pero claro, se plantea el problema que si yo accedo a tu sitio web, y tu mismo eres el que certifica que eres quien eres, no tiene sentido, por eso se usan certificados de terceros ,porque si VERISIGN (por ejemplo) certifica que eres quien eres, yo me lo creo...

tal vez sea yo el q estoy equivocado, yo solo quiero q salga el candaditos cerrado, cuando entran los datos en el formulario.

igual no necesito certificado!!

Yo lo que te he comentado es lo que hay y se. Investiga si se puede montar algun certificado FALSO o gratis, para tener SSL, pero entonces para que lo quieres...
CUentanos que tal

creia que lo sabia, pero no ya no lo se.

tengo una pagina web y un formulario de registro, y me gustaria que se conectara con https para enviar la información encriptada, para que si alguien lo esqicha, no pueda ver la información transmitida.

entonces no se lo que necesito.

el hecho de certificar que el de la web soy yo, es decir AUTENTIFICACIÖN no me es importante.

Pero si la PRIVACIDAD de los datos.


que mal me explico

Vale, pues entonces con cualquier certificado que consgias, bien lo hagas tu, o bien lo pilles por ahi, te valdria...Asegurate que la longotud de cifrado de clave sea de como minimo 1024 , mejor 2048 y punto

kinomakino gracias por tu ayuda

Donde puedo conseguir un certificao sin pagar, lo unico que encuentro son certificados q caducan a los 15 dias.

Ya te comente, que si no quieres pagar, lo hagas tu mismo con una entidad emisora de certificados de windows 2000...

Hola rrufo y kinomakino, como veis es mi bautizo en este foro.
Hay un problemilla; para activar ssl (y que salga el candado) es necesario que instales un certificados de servidor, y aunque no quieras la autenticación del servidor, todos los navegadores la comprobarán.
Los certificados de servidor van firmados por una Autoridad certificadora (Verisign, FNMT, etc), y si el certificado raiz de dicha CA, no se encuentra en el "almacen de certificados de autoridades certificadoras de confianza" de los navegadores de tus usuarios, sus navegadores darán un pantallazo diciendo que no confían en tu certificado.
Es por este motivo por lo que necesitas un certificado comercial.
Si quieres sacate uno de 6 meses gratis en IPS CA.
Como bien te dice kinomakino, puedes instalar tu propia autoridad certificadora y emitirte tu certificado de servidor, pero recuerda que tendras que distribuir su certificado raiz entre todos tus usuarios para que se lo instalen y que sus navegadores no den el famoso pantallazo.
Tambien puedes sacarte uno en un pequeño tutorial que tengo http://www.sharesafe.net/sharesafe/TuturialPKI1.asp , pero recuerda que te pasara lo mismo que con uno emitido por ti.
Un saludo
Enriquez

ahora lo entiendo todo.

una cosa es la encriptacion y otra la autentificación

yo lo metia en el mismo saco, pq tal como me dices, en el fondo va en el mismo saco +o-

comentas q la FNMT emite certificados, yo tengo uno de la FNMT.

El tipico para presentar la declaración de hacienda.

me vale para algo?

Ese certificado no es de servidor, cada certificado tiene unos usos, y ese no te va a servir.
Sácate uno en mi tutorial, y cuando te familiarices con su instalación y uso, sácate uno gratuito en IPS CA de 6 meses, o compra uno...
Me alegra que te halla aclarado dudas el tutorial.
Un saludete
Enrique

Hola a tod@s!!

He seguido el tutorial de Enrique y todo me ha funcionado bien, el problema que veo es que al utilizar su firma raíz, cada vez que entren los usuarios en un sitio cuya entidad raíz sea la misma, no les va a salir el pantallazo famoso (si no estoy confundido, lo he probado y parece que es así)
Por lo tanto alguién sabe com instalar tu propia entidad certificadora en windows? y así tener yo la mía propia
Muchas gracias por todo.

Hola cotolo, me alegra que te resulte útil mi tutorial, gracias por el comentario...
No le saltara el "pantallazo" a nadie que tenga el certificado raiz de Firmail instalado, pero a los demas si.
Si quieres instalar tu propia CA, en W2000 Server, ve a instalar y quitar programas y en "Agregar o quitar componentes de windows" selecciona "Servicios de Certificate Server" e instala, si tienes algún problema dímelo.
Un saludo

Hola a todos, he estado leyendo sus comentarios y me han sido de gran ayuda ya que yo tambien tengo que implementar una autoridad de certificacion que utilice certificados digitales para autenticacion de usuarios, ya implemente la CA pero aun tengo que distribuir los certificados, quisiera saber si me podrian auxiliar en este proceso, como que metodos hay o que podria hacer. Agradeceria mucho que me auxiliaran.

Panterita, necesitaras configurar el IIS para que exija certificados, te lo explico aquí : http://www2.sharesafe.net/sharesafe/TuturialPKI41.asp
Para que tus usuarios se saquen certificados, que entren en http://tu-servidor/certsrv/default.asp, (tu-servidor será la IP del Server con la CA). Si el Server no está en red tienes un problema. Cuando un usuario accede a las web de petición de certificados, es su navegador el que genera las claves pública y privada. Si no puede acceder al Server, tendrás que pedir tu los certificados y marcar las claves como exportables, para después hacerles llegar el certificado en un archivo, con el agujero de seguridad que esto implica.

Hola de nuevo, y muchas gracias por esta informacion, aun estoy leyendo, es bastante interesante y practica, que bueno que comparta estos tutoriales ya que son de gran ayuda...
Bueno, seguire trabajando en ello.
Me habian comentado que habia que enviar un correo a los usuarios explicando los pasos que hay que realizar para solicitar un certificado digital, por ejemplo: acceder a la pag: http://miservidor/certsrv y hacer clic en el link de solicitar certificado, despues agregar sus datos y enviar. Ademas de dejarlo instalado como autoridad confiable, es factible hacerlo? .
Ok espero no agoviar con tantas preguntas y una vez mas, gracias.

Si, claro que se puede hacer.

Lo que tienes que decidir es para que necesitas los certificados, si solo quieres la confidencialidad y el cifrado, puedes dejar la CA en automático para que emita todo lo que se le pida, pero si necesitas la autenticación se complica un poco, yo te doy una idea.
Puedes hacer una web en la que el usuario meta su dirección de correo y que el servidor le mande un email a dicha dirección con las instrucciones y los link para continuar. Así te aseguras (por decirlo de alguna forma) por lo menos de que la dirección es válida. Sáltate los link que no sean necesarios, pon uno para descargar e instalar el raíz y otro a la web de petición de certificados de navegación, donde se introducen los campos del certificado. Si necesitas comprobar los datos de los usuarios puedes mirarlo en la CA (no la pongas en automático) antes de emitirlos.
Un placer ayudar en algo.
Un saludo

Gracias por tu ayuda de verdad me es muy util esta informacion, tambien por escribir la respuesta tan rapido, por mi parte intentare lo que me dices y espero salga todo bien ;)
Ok, hasta pronto!

loading............



Enriquez
Quisiera incluir tu tutorial en mi base de datos personal que talvezse haga pùblico de los tutoriales que no se deben dejar pasar, y ponerlo en mi propio formato HTML quisiera que me digas si puedo hacerlo o no porque yo respeto los derechos de autor y antes ponerlo pido autorizaciòn.
Si es si dime que creditos ponerle
Grcias.



connection closed.

De nada Panterita, hasta pronto.

MaBoRaK, por supuesto que puedes, te mando un privado...

Un saludo a todos.

Hola de nuevo!, otra vez por aqui, me ayudo mucho su informacion, y ahora queria saber si me puede auxiliar e informarme si existe alguna forma de que las maquinas con linux o macintosh puedan obtener certificados digitales, de la AC en windows 2003 server, o que se hace en esos casos?.
Gracias de antemano y esperare su respuesta, hasta pronto! .

La pregunta del millón... ;)

Mac definitivamente no, y linux no pero... te tengo que explicar una cosa.

La forma que se piden los certificados ahora en tu máquina es accediendo a unas web en particular que tienen un ActiveX, el cual se instala en el equipo des usuario que entra. Este ActiveX interactúa con una dll de Windows que se llama xenroll.dll y que posibilita el acceso a la CryptoAPI de Windows que es la que llama al CSP (Proveedor de servicios criptográficos) que seleccione el usuario (de los que tenga instalados en Windows), para generar la pareja de claves RSA y la petición de certificado. Por ejemplo, si tienes una tarjeta criptográfica, seleccionas su CSP y las claves se generan dentro del hardware gracias a toda este tinglao.

Ahora bien, existen otras web en tu CA que no trabajan así, sino que el usuario mete dilectamente la petición de certificado en formato base64 PKCS#10. Por ejemplo, tu tienes un navegador, o programa de correo como el "The Bat" (o uno sobre Linux) con su propio CSP. Generas una petición de certificado en modo local (el programa tendrá una herramienta para hacerlo), sin entrar en ninguna web, y te genera un archivo .txt con la petición en ese formato. Después entras en la web que te comentaba (certrqxt.asp) y pegas la petición en un texarea, emites el certificado en la CA y se lo haces llegar al usuario por el medio que quieras ya que la instalación no se puede hacer desde la web al no existir el ActiveX famoso. Finalmente instalas el certificado en local. Por supuesto también tendrás que instalarle el raíz.

Todo esto para que?, para tener un navegador sobre linux que no va a poder acceder al 90% de las plataformas PKIX que existen (por no decir 100%), o para tener un programa de correo con un certificado emitido por una CA que nadie conoce y en la que solo confían los usuarios a los que les has instalado el certificado raíz de tu CA.

A mi me encanta Linux, pero tengo que reconocer que está en pañales en PKIX, además la seguridad de PKI no esta en el sistema operativo sobre el que corra, sino en la fuerza de los algoritmos de cifrado. Algo cifrado a 128, estará cifrado tanto si se almacena en un Red Hart como si esta en un W98. Si un hacker te lo roba seguirá estando cifrado, y si te roban el disco duro seguirá estando cifrado.

Un saludo

De verdad gracias por su pronta respuesta, voy a checar lo que me dice, sabe que en el servidor radius tengo un problema con la autenticación con certificados, ya que solo cuando son agregados los acepta, no con los de las bases de datos, una de ellas en linux, sabe a que se pueda deber eso?,
Gracias!

De nada, un placer poder ayudar en algo..
Cuando dices "solo cuando son agregados los acepta", ¿a que te refieres?, ¿agregados?, ¿para que estas usando radius, para VPN?.
Cuando me preguntaste que si las máquinas con linux podían obtener certificados digitales, creí que te referías a certificados personales, de usuario. Si te refieres a de servidor si que funciona, con Apache por ejemplo, o certificados de timestamp, de firmar codigo, etc.., lo que pasa es que en Linux, son los programas los que tienen que tener implementado PKI, no el sistema operativo.

Hola a todos..
Enriquez: estuve leyendo el tutorial y los mensajes de este tema y todavia tengo algunas dudas (soy nuevo en esto y quiza aún no estoy comprendiendo bien).

Supongamos que tengo un servidor web, con el cual deseo dar hosting a mis clientes, y tengo una certificado de servidor seguro emitido por una autoridad X, este certificado lo tengo instalado en el website por defecto del server en cuestión.

Ahora lo que deseo hacer es poder hacer uso de este certificado en otro website del mismo server.
Según entiendo no es posible ya que el certificado se extiende según el DNS.
Mis pregunta son:

1) Necesitaría un Certificado ($$$) para cada web site del server en cuestión?

2) Es posible hacer uso del mismo certificado y convertir a la empresa dueña del server y del certificado en una autoridad de ceritificación de segundo nivel??

Bueno, espero tu respuesta

Saludos y desde ya muchas gracias.

Un certificado de servidor lo que garantiza es que estas donde dice que estas la URL. si el certificado es para www.dominio1.com, solo es válido para ese dominio, podrías entrar en otro dominio alojado en ese servidor y con el mismo certificado instalado, por ejemplo www.dominio2.com, pero todos los navegadores mostrarían una alerta diciendo que el nombre del certificado no coincide con el del dominio. Otra cosa son los directorios virtuales... todo lo que cuelge de www.dominio1.com, por ejemplo www.dominio1.com/dir/
puede usar tambien ssl (https) ya que esta dentro del dominio.

A la segunda pregunta tambien no. Para ser una CA de segundo nivel te tiene que firmar tu certificado raiz una CA de primer nivel.
Ojo, con un certificado de servidor no puedes montar ninguna CA ni nada, es de servidor, solo vale para autenticar un equipo.

Un saludo

Si, lo que pasa es que tengo el RADIUS para VPN y solo cuando agrego a los usuarios a la base de datos de ACS se pueden autenticar, usa dos bases de datos una de ellas en linux, pero ellos no pueden. Como podria hacer para lograr eso.

Hola Panterita

Desgraciadamente mi poder adquisitivo no me permite Cisco , tendrás que preguntar a su servicio técnico. Yo te explico unas cosillas...

Para poder autenticar a usuarios VPN con certificados en vez de con login y password, es necesario que dichos usuarios tengan mapeado un certificado en sus cuentas de dominio, por lo que necesitaras LDAP (con los inconvenientes respectivos para Linux). Existirá un servidor de VPN con un certificado de servidor y que permitirá acceso a usuarios con certificados. Esto se puede hacer bajo IPEsec o bajo EAP, bajo el primer protocolo tendrías que instalar una CA "Enterprise" (exclusiva para dominio LDAP), bajo el segundo te vale la CA normal.

Una de las pegas que suelen surgir con VPN's es esta:
Cuando instalas la CA, Windows pone la periodicidad de edición de la lista de revocados en una semana, y la dirección en la que se encuentra esa lista. Por defecto pondrá http://%SERVER_DNS_NAME%/CertEnroll/%CA_NAME%%CRL_SUFFIX%.crl ya que tiene que hacerlo de forma genérica, para cualquier equipo. Todos los certificados llevarán esta dirección (puedes verlo en "Detalles") para que cualquiera pueda comprobar la lista de revocados.
Cuando un usuario hace una VPN el servidor mira esta dirección y se conecta para ver si esta revocado el certificado o no, si no puede resolver la dirección supone el certificado revocado por defecto (cuando mapeas el certificado de usuario la primera vez no lo hace claro).
Esto se soluciona configurando la CA con una dirección que pueda resolver el Radius. Por supuesto los cambios que hagas en la CA solo afectarán a los certificados posteriores, los ya emitidos seguirán con la dirección antigua.

Si quieres ver como se hace una VPN bajo EAP con Windows 2000 aquí te lo explico: http://www2.sharesafe.net/sharesafe/TuturialPKI54.asp

Un saludo

Ahh este tuturial tambien esta muy bueno, si sabes ya configure el VPN supongo que lo de las llaves exportables es lo que me falta, por cierto eso del tipo de codificacion que me presenta al solicitar un certificado digital de cliente, lo intente en windows 98 y en XP pero en 98 me marca por default PKCS sin posible modificacion en cambio en XP me da la opcion de cualquiera de las dos por que es eso?, y lo de base 64 con PKCS 10 ;) , muchisimas gracias de nuevo!!!... ;0) Saludo

Me alegro
¿Llaves exportables? ¿Te refieres a llaves criptográficas USB, o a claves exportables?.
Lo de tipo de codificación... las paginas asp de tu CA son complejas, buscan en el usuario que es lo que soporta su navegador y su sistema operativo y te muestra las opciones compatibles, son distintos formatos de certificados PKIX (X509), si quieres bájate un certificado en los dos formatos y cotilleas un poco las diferencias

Un saludo