HOWTO: Cómo gestionar los certificados X509 con XCA para su correcta implementación en Panda

GateDefender Integra.

Casos de uso para configurar la gestión de los certificados X509 con XCA

Panda Security desea que obtenga el máximo beneficio de sus unidades GateDefender Integra. Para ello, le ofrece la información que necesite sobre las características y configuración del producto. Consulte http://www.pandasecurity.com/spain/enterprise/solutions/?sitepanda=empresas para más información. El software descrito en este documento se entrega bajo un Acuerdo de Licencia y únicamente puede ser utilizado una vez aceptados los términos del citado Acuerdo.

La tecnología antispam incluida en este producto pertenece a CloudMark. La tecnología de filtrado web incluida en este producto pertenece a Cobion. Aviso de Copyright

© Panda Security 2008. Todos los derechos reservados. Ni la documentación, ni los programas a los que en su caso acceda, pueden copiarse, reproducirse, traducirse o reducirse a cualquier medio o soporte electrónico o legible sin el permiso previo por escrito de Panda Security, C/ Gran Vía Diego López de Haro 4, 48001 Bilbao (Vizcaya) ESPAÑA. Marca Registrada

Panda Security ™. TruPrevent es una marca registrada en la Oficina de Patentes y Marcas de EEUU. Windows Vista y el logo de Windows son marcas o marcas registradas de Microsoft Corporation en los EEUU y/o otros países. Otros nombres de productos son marcas registradas de sus respectivos propietarios.

© Panda Security 2008. Todos los derechos reservados.

D.L. BI-3269-05 © Panda Security 2008. Todos los derechos reservados.

Índice

1. Introducción.............................................................................................................. 5

2. Instalación ................................................................................................................ 5

3. Gestión del propio PKI................................................................................................ 6

3.1. Paso 1: Creación de la base de datos.................................................................. 6 3.2. Paso 2: Creación de un CA (Certification Authority) .............................................. 7 3.3. Paso 3: Creación de un certificado local firmado por nuestro CA .......................... 11 3.4. Paso 4: Exportación de los certificados para su posterior uso............................... 14

4. Gestión de las solicitudes de firma de certificados (CSR Certificate Signing Request).......17

4.1. Paso 1: Crear la solicitud de firma en Integra .................................................... 17 4.2. Pasos para crear CSR en Panda GateDefender Integra: ...................................... 17 4.3. Paso 2: Firmar CSR en XCA ............................................................................. 18

5. Gestión de las listas de revocación (CRL) ....................................................................19

Panda GateDefender Integra Página 2 de 20

Índice de ilustraciones

Ilustración 1: Guardar la base de datos creada 6 Ilustración 2: CA configuration 7 Ilustración 3: Configuración de la nueva clave 8 Ilustración 4: Crear certificado X509 8 Ilustración 5: Período de validez 9 Ilustración 6: Certificado y claves privadas 10 Ilustración 7: Firma CA para el certificado local 11 Ilustración 8: Clave privada del certificado local 12 Ilustración 9: Asignar nombres al certificado local 12 Ilustración 10: Certificado del período de validez local 13 Ilustración 11: Pestaña certificado 14 Ilustración 12: Exportar el certificado 14 Ilustración 13: Nombre y formato del certificado 15 Ilustración 14: CSR a importar 18 Ilustración 15: Listas de revocación 19 Ilustración 16: Exportar CRL 20

Panda GateDefender Integra Página 3 de 20

Convenciones e iconos utilizados en esta documentación:

Nota. Aclaración que completa la información y aporta algún conocimiento de interés. Aviso. Destaca la importancia de un concepto. Consejo. Ideas que le ayudarán a sacar el máximo rendimiento a su programa. Referencia. Otros puntos donde se ofrece más información que pueda resultar de su interés. Tipos de letra utilizados en esta documentación:

Negrita: Nombres de menús, opciones, botones, ventanas o cuadros de diálogo. Código: Nombres de archivos, extensiones, carpetas, información de la línea de comandos o archivos de configuración como, por ejemplo, scripts. Cursiva: Nombres de opciones relacionados con el sistema operativo y programas o archivos que tienen nombre propio.

Panda GateDefender Integra Página 4 de 20

1. Introducción XCA es una herramienta gráfica para entornos Windows con la que se pueden gestionar las llaves asimétricas RSA/DSA y los certificados tipo X509. De este modo, se proporcionan los medios para crear la propia estructura PKI, cuyos elementos se usarán posteriormente en las diferentes implementaciones VPN de Panda GateDefender Integra. Está basada en la librería OpenSSL, por lo tanto su licencia es GNU. XCA usa la base de datos Berkeley para almacenar las llaves RSA/DSA. Los elementos de la estructura PKI pueden ser importados/exportados en diferentes formatos, tipo PKCS#7, PKCS#12, PEM o DER. XCA permite crear múltiples PKI en el mismo servidor.

2. Instalación El fichero ejecutable se encuentra en la siguiente página web http://www.sourceforge.org Para documentar este howto se utilizó la versión 0.6.4. Una vez descargado el fichero, un simple doble clic sobre él permitirá que comience el proceso de instalación. Durante la misma, se aceptarán todas las opciones que se ofrecen por defecto. Índice

Panda GateDefender Integra Página 5 de 20

3. Gestión del propio PKI

3.1. Paso 1: Creación de la base de datos Una vez instalada la aplicación XCA, antes de empezar a gestionar las llaves y los certificados, es necesario crear la base de datos donde se almacenarán los metadatos. El primer paso consiste en crear una base de datos nueva donde se almacenarán todos los elementos de una PKI. Para ello, utilice la opción New Database del menú File que abrirá una nueva ventana donde será necesario introducir el nombre asignado a la base de datos (ver imagen).

Ilustración 1: Guardar la base de datos creada

Después de pulsar el botón Guardar, se solicitará de nuevo introducir una contraseña para proteger la confidencialidad de la base de datos, ya que ésta va a contener llaves privadas.

Panda GateDefender Integra Página 6 de 20

3.2. Paso 2: Creación de un CA (Certification Authority) Este paso consiste en crear un CA que se utilizará para firmar todos los certificados de la propia PKI: En la pestaña Certificates de la ventana principal, haga clic en el botón New Certificate. En la pestaña Source de la segunda ventana, elija el protocolo SHA1 para el parámetro Signature Algorithm, seleccione CA en Template for the new certificate y pulse Apply, no modifique la configuración del resto de las opciones por defecto (ver imagen):

Ilustración 2: CA configuration

En la sección Private key de la pestaña Subject, haga clic en el botón Generate a new key. En la pantalla emergente, especifique los datos correspondientes a la llave privada de CA. Mantenga los datos por defecto y rellene el único campo blanco Name con un nombre arbitrario. Seleccione la opción Create para finalizar la operación.

Panda GateDefender Integra Página 7 de 20

Ilustración 3: Configuración de la nueva clave

En la pestaña Subject, cumplimente todos los campos de interés (además del único campo obligatorio en XCA - Internal Name - , se requiere especificar también Common Name). El valor del parámetro Common Name tiene que ser único entre todos los certificados, no puede haber dos o más certificados con el mismo Common Name.

Se debe ser consistente a la hora de configurar el conjunto de opciones que componen la sección Subject, para que todos los certificados tengan los mismos campos cumplimentados.

Ilustración 4: Crear certificado X509

Panda GateDefender Integra Página 8 de 20

Por último, en la pestaña Extension -> Basic Constrains, elija el tipo de certificado. En este caso será del tipo Certification Authority. Opcionalmente dentro de esta pestaña, en la sección Validity, se pueden cambiar los valores por defecto que ofrece XCA. Dichos valores indican el intervalo de validez. Es importante que la validez del CA nunca finalice antes que la validez de cualquiera de los certificados firmados por él mismo. El valor por defecto de un año es adecuado, aunque habitualmente este valor oscila entre 2 y 10 años, dependiendo de la política de seguridad implementada en la organización/entidad.

Ilustración 5: Período de validez

Haga clic en el botón OK en la esquina inferior derecha para finalizar la creación de CA. En las pestañas Certificates y Private keys se pueden encontrar los registros creados que corresponden al certificado CA y su llave privada.

Panda GateDefender Integra Página 9 de 20

Ilustración 6: Certificado y claves privadas

Panda GateDefender Integra Página 10 de 20

3.3. Paso 3: Creación de un certificado local firmado por nuestro CA

Una vez creado CA, el siguiente paso consiste en crear certificados para los servidores y clientes que los usarán para autenticarse entre sí durante la fase inicial de establecimiento de los túneles VPN. En la pestaña Certificates de la ventana principal, haga clic en el botón New Certificate. En la pestaña Source para este caso, seleccione la opción Use this Certificate for signing y elija el certificado CA creado en el paso anterior, seleccione HTTPS_server o HTTPS_client en función de si está realizando un certificado para servidor o para cliente en Template for the new certificate y pulse Apply.

Ilustración 7: Firma CA para el certificado local

En la pestaña Subject, elija un nombre distinto al resto de los Common Names ya empleados y cree la llave privada tal y cómo se muestra en las imágenes.

Panda GateDefender Integra Página 11 de 20

Ilustración 8: Clave privada del certificado local

Nota: Para este ejemplo se usará el servidor, para el cliente se realizará de manera análoga sustituyendo en los ejemplos “server1” por “client1”. En Integra, aunque la conexión sea Gateway to Gateway, uno de los certificados debe ser “Server” y el otro debe ser “Client” En la pestaña Subject, cumplimente todos los campos de interés (además del único campo obligatorio en XCA - Internal Name - , se requiere especificar también Common Name). El valor del parámetro Common Name tiene que ser único entre todos los certificados. No puede haber dos o más certificados con el mismo Common Name.

Ilustración 9: Asignar nombres al certificado local

En la pestaña Extension -> sección Basic Constrains, elija el tipo de certificado. En este caso será del tipo End Entity. Opcionalmente, en la sección Validity, se pueden cambiar los valores por defecto que ofrece

Panda GateDefender Integra Página 12 de 20

XCA y que están relacionados con el intervalo de validez del certificado local. Es importante que la validez del certificado nunca sobrepase la validez del CA que lo ha firmado.

Ilustración 10: Certificado del período de validez local

Se debe recordar una vez más que los certificados locales tienen que ser creados con las mismas opciones que el resto de certificados, ya sean CA o locales. Al crear certificados, tras pulsar el botón Show Details, se podrá obtener la información detallada sobre sus características. La llave privada correspondiente se encuentra en la pestaña Private Keys. Tras crear los certificados locales, se puede observar en la pestaña Certificates que los nuevos registros se encuentran dentro del árbol de CA y su estado es Trusted Inherited.

Panda GateDefender Integra Página 13 de 20

3.4. Exportación de los certificados para su posterior uso Para poder usar los nuevos certificados, es necesario que éstos se exporten en el formato adecuado. Para exportar un certificado CA: 1- En la pestaña Certificates, seleccione el certificado CA y haga clic en el botón Export.

Ilustración 11: Pestaña certificado

2- Aparecerá una nueva ventana donde se requerirá especificar el nombre y formato del certificado exportado.

Ilustración 12: Exportar el certificado

Panda GateDefender Integra Página 14 de 20

3- Elija el formato PEM para el certificado de CA - formato en base 64 que contiene solamente la llave pública con la extensión CRT o PEM - . 4- Finalmente, basta con importar los certificados ya creados en Panda GateDefender Integra. Para exportar un certificado local: 1- En la pestaña Certificates, seleccione el certificado local haga clic en el botón Export.

2- Aparecerá una nueva ventana donde se requerirá especificar el nombre y formato del certificado exportado.

Ilustración 13: Nombre y formato del certificado

3- Elija el formato PKCS#12 (Public Key Cryptography Standards) que contiene el certificado y la llave privada empaquetados en el mismo fichero. Se le solicitará una contraseña para proteger el certificado.

Panda GateDefender Integra Página 15 de 20

4- Finalmente, basta con importar los certificados ya creados en Panda GateDefender Integra. Nota importante: Para otros servidores VPN que no sean un Integra o para un roadwarrior es posible que se necesiten los certificados locales en otros formatos como .KEY o .CRT. En estos casos, basta con exportar los certificados en .PEM y después renombrarlos a .KEY y/o a .CRT ya que el formato .PEM es un contenedor en el que se encuentran tanto la llave como el certificado. Índice

Panda GateDefender Integra Página 16 de 20

4. Gestión de las solicitudes de firma de certificados (CSR Certificate Signing Request)

4.1. Paso 1: Crear la solicitud de firma en Integra Existen dos modos de introducir los certificados locales en Panda GateDefender Integra: Cuando son creados y firmados por parte de otras entidades/aplicaciones. En este caso, se deben importar tal y como se ha explicado en la sección anterior. Cuando los certificados han sido creados en Panda GateDefender Integra, están aún pendientes de firma. Entonces, se procede a la exportación de las solicitudes de firma de certificados, llamadas CSR. Así, se les firmará un CA y posteriormente serán introducidas en Integra como certificados firmados.

Para todos los casos que se den en Integra, únicamente es necesario importar el certificado de CA que se firmó proveniente de otros puntos de conexión (roadwarriors y otros servidores VPN). A los demás puntos de la conexión VPN, sólo se les debe proporcionar el certificado CA que firmó nuestro certificado local.

4.2. Pasos para crear CSR en Panda GateDefender Integra: En Gestión de certificados digitales, haga clic en botón Generar para crear un certificado local pendiente de firma. A continuación, introduzca los datos teniendo en cuenta que el conjunto requerido de los parámetros debe ser igual para todos los certificados. Es decir, ni un parámetro más, ni un parámetro menos, de los que están configurados para otros certificados. Una vez generado el certificado, seleccione CSR y haga clic en el botón Solicitar firma. Así se obtendrá un fichero con la extensión CSR, por lo que basta con exportarlo a XCA, firmar usando el certificado CA y de nuevo, importarlo a Panda GateDefender Integra.

Panda GateDefender Integra Página 17 de 20

4.3. Paso 2: Firmar CSR en XCA En la pestaña Certificate signing request de la ventana principal de XCA, haga clic en el botón Import. Seguidamente, especifique el nombre del fichero CSR que se va a importar.

Ilustración 14: CSR a importar

Una vez importado, seleccione con el botón derecho del ratón el nuevo registro que aparecerá en esta pestaña y elija la opción Sign. En la nueva ventana aparecerán las mismas pestañas excepto la pestaña Subject. Esto es debido a que se trata de un certificado ya creado pero pendiente de firma. Por ello, basta con elegir en la pestaña Source, la opción Use this Certificate for signing. A continuación, se debe especificar el certificado CA adecuado para firmar el CSR en cuestión, elegir el Template adecuado en la pestaña Extensions, elegir el tipo de certificado y validez, tal y como se ha explicado en el Paso 2: Creación de un CA (Certification Authority) del capítulo 3 de este HowTo. Índice

Panda GateDefender Integra Página 18 de 20

5. Gestión de las listas de revocación (CRL) Para aquellas ocasiones en las que un certificado ya no esté siendo usado por ninguno de los puntos VPN o por cualquier otro motivo justificado, existe la posibilidad de invalidar este certificado y así mantener la integridad de la estructura PKI impidiendo que las partes no autorizadas tengan acceso a las redes virtuales. Para este fin, utilice el menú contextual del certificado en la pestaña Certificates que nos ofrece entre otras opciones, la opción de Revoke. Esta opción anulará la validez del certificado en cuestión. Después de anular la validez, observe el cambio en el estado de la columna Trust state de Trust inherited a Not trusted.

Ilustración 15: Listas de revocación

Al tener un certificado invalidado en PKI, es imprescindible propagar este acontecimiento a todos los servidores VPN afectados. Sin esta propagación, el cambio en el estado de un certificado no será efectivo. Para generar la lista de los certificados revocados (CRL Certificate revocation list), siga los siguientes pasos: En la pestaña Certificates en el menú contextual del CA en cuestión, elija la opción CA -> Generate CRL. En la nueva ventana se proporcionará el intervalo de validez que puede ser más corto que el intervalo de validez del propio CA y el algoritmo hash, en nuestro caso SHA1.

Panda GateDefender Integra Página 19 de 20

El nuevo CRL aparecerá dentro de la pestaña Revocation Lists, donde un solo clic sobre el botón Export, guardará el certificado en formato PEM.

Panda GateDefender Integra Página 20 de 20

Ilustración 16: Exportar CRL

Integra ofrece la posibilidad de actualizar las listas CRL tanto manualmente como automáticamente. Para importar la lista CRL actualizada en Integra, basta con hacer un clic sobre el icono situado en la columna CRL del registro CA en cuestión. Se abrirá una nueva ventana donde será necesario elegir el modo y los datos correspondientes. Así, la casilla de verificación aparecerá activada.

Se recomienda mantener el servidor PKI aislado de toda la red interna y utilizar los medios tipo USB pen, cd, dvd para transferir los certificados a los clientes. Las llaves privadas de los CA no se exportarán nunca, a menos que se trate de una transferencia de la estructura completa de PKI a otro servidor. Índice

0508-PGDIHT14_01-SP