none
Infraestructura PKI internamente RRS feed

  • Pregunta

  • Buenas tardes

    Se que la implementación de una estructura PKI da seguridad a una entidad y elimina vulnerabilidades, pero no tengo claro (para justificar esta implentación en mi empresa), cuáles son los beneficios a nivel interno o son solamente externos, me explico, sirve para autenticarse internamente al DA, correo, etc? o solamente es útil para conexiones desde fuera de la empresa a aplicaciones internas como web y demás? 

    Un saludo.


    Lemuhr

    jueves, 14 de enero de 2016 22:17

Todas las respuestas

  • Hola "lemuhr" como estas,

    El complemento Entidad de certificación permite a un administrador supervisar y administrar estos elementos de PKI para una única CA. No obstante, es necesario usar distintas instancias del complemento para supervisar y administrar una PKI si implica más de una CA. Tambien, el complemento Entidad de certificación no se puede usar para integrar CA que no son de Microsoft en la infraestructura y no se puede usar para administrar los lugares de acceso a la información de entidad y almacenes de punto de distribución de CRL.

    El complemento Enterprise PKI se usa para garantizar que todos los elementos siguientes de una infraestructura de clave pública (PKI) funcionen correctamente, estén disponibles y sean válidos:

    Certification authorities (CAs)
    Acepta una solicitud de certificado, verifica la información del solicitante según la directiva de la CA y usa su clave privada para firmar el certificado. La CA emite entonces el certificado para el sujeto del certificado para que se use como credencial de seguridad en una PKI.

    CA certificates
    Es un certificado emitido por una CA para sí misma o a una segunda CA con el fin de crear una relación definida entre las dos CA.

    Authority information access locations
    Las ubicaciones de acceso a la información de entidad son URL que se agregan a un certificado en su extensión de acceso a la información de entidad. Estas URL las puede usar una aplicación o un servicio para recuperar el certificado CA emisor.

    CRLs
    Son listas completas firmadas digitalmente de certificados sin caducar que se han revocado. Esta CRL la recuperan los clientes, que posteriormente la almacenan en la caché (en función de la duración configurada de la CRL) y la usan para verificar los certificados que se presentan para el uso.

    CRL distribution points
    Son ubicaciones, generalmente URL, que se agregan a un certificado en su extensión de punto de distribución CRL. Los puntos de distribución de CRL los puede usar una aplicación o un servicio para recuperar una CRL.

    Como trabaja PKI ?

    How PKI Works
    https://technet.microsoft.com/es-ar/library/cc977676.aspx
    https://technet.microsoft.com/en-us/magazine/2006.08.howitworks.aspx

    Diseño PKI:

    Securing PKI: Planning a CA Hierarchy
    https://technet.microsoft.com/en-us/library/dn786436.aspx

    New Guidance for Securing Public Key Infrastructure
    https://blogs.microsoft.com/cybertrust/2014/06/11/new-guidance-for-securing-public-key-infrastructure/

    Design Considerations
    https://technet.microsoft.com/en-us/library/cc526447.aspx

    PKI and Certificate Resources
    https://blogs.technet.microsoft.com/tangent_thoughts/2015/06/24/pki-and-certificate-resources/

    Configurar step by step PKI:

    Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy
    https://technet.microsoft.com/en-us/library/hh831348.aspx

    Enterprise PKI with Windows Server 2012 R2 Active Directory Certificate Services
    http://blogs.technet.com/b/yungchou/archive/2013/10/21/enterprise-pki-with-windows-server-2012-r2-active-directory-certificate-services-part-1-of-2.aspx

    AD CS Step by Step Guide
    http://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx

    Espero sea de ayuda. Saludos.

    viernes, 15 de enero de 2016 12:54
  • Buenas tardes

    Se que la implementación de una estructura PKI da seguridad a una entidad y elimina vulnerabilidades, pero no tengo claro (para justificar esta implentación en mi empresa), cuáles son los beneficios a nivel interno o son solamente externos, me explico, sirve para autenticarse internamente al DA, correo, etc? o solamente es útil para conexiones desde fuera de la empresa a aplicaciones internas como web y demás? 

    Un saludo.


    Lemuhr

     

    Una infraestructura de clave pública puede servir tanto para autenticar como para cifrar tráfico, pero lo importante es que la aplicación o servicio que la utiliza tiene que estar específicamente preparada para eso

    Active Directory autentica a través de Kerberos, y no se puede hacer autenticación de usuarios a través de PKI, salvo con una excepción pero que en realidad es un paso intermedio cuando se usan "Smart Cards"

    Se puede utilizar para autenticación/cifrado sobre páginas web seguras, ya que tanto IIS como Explorer/Edge/OelQueSea están diseñados para PKI

    También se puede aprovechar con otros servicios/aplicaciones, algunos ejemplos: en redes WiFi, IPSec, etc.

    Para seguridad de accesos externos normalmente no sirve una autoridad certificadora propia, ya que los externos a tu red no confían en tu autoridad certificadora, y les aparecerá un mensaje de advertencia. En estos casos hay que comprar certificados a una autoridad certificadora comercial

    Además armar un sistema propio de PKI, no es nada sencillo, y hay que tomar muchas precauciones tanto de seguridad como de configuración

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 15 de enero de 2016 14:06