none
No comprendo muy bien el concepto de PKI RRS feed

  • Pregunta

  • SAludos partners:

    Estoy leyendo que para tener implementado direcc access en un entrono de win server 2008 y clientes win 7 debo tener infraestructura de clave publica o PKI y lo que comenta la guia no lo entiendo bien

    Esto dice la guia: "Se requiere una PKI para emitir certificados. No se requieren certificados externos. Todos los certificados SSL deben tener un punto de distribución de listas de revocación de certificados (CRL) accesible a través de un nombre de dominio completo (FQDN) que se puede resolver públicamente tanto de forma local como remota."

    Ya conosco que es SSL y PKI pero lo que explica no lo veo claro ¿me podrian explicar de una forma sencilla este concepto nuevo?  ¿podrian darme un ejemplo de lo que dice esta guia?

    gracias
     


    Juan Pablo Vidal Soporte Profesional IT juanp_vidal@hotmail.com
    lunes, 5 de abril de 2010 21:27

Respuestas

  • Hola Juan, a ver si puedo aclarar sin tener que escribir acá una nota sobre el tema :-)

    Los certificados digitales tienen asignado un tiempo de validez, pero pueden ser revocados antes de su expiración por varias causas como ser: seguridad comprometida del cliente o de la CA, dejar de pertenecer a la organización, etc. Todo depende del uso del certificado

    Cuando una Autoridad Certificadora emite certificados, también debe manetener un punto al que puedan acceder las máquinas que usarán esos certificados, a fin de averiguar si éstos fueron revocados antes de tiempo. Este punto es el denominado CRL (Certificate Revocation List = Lista de Certificados Revocados)

    Dado que los clientes se conectarán externamente, esta CRL debe ser accesible también externamente.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 6 de abril de 2010 11:11
    Moderador
  • Buenos Dias Juan, 

    Ten en cuenta que la funcionalidad de Direct Access es dar un acceso seguro, para lo cual se precisa el uso de certificados para dar esta seguridad, por eso mismo es que como requisito para que la conexion sea segura y deseada , tu deberias dar los certificados correspondientes a los usuarios que tu quieras autorizar, tambien precisaras IPv6 :)

     

    Mira la siguiente liga , tiene una muy buena explicacion de los requisitos

    http://technet.microsoft.com/en-us/library/ee791809(WS.10).aspx


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    martes, 6 de abril de 2010 11:12
    Moderador
  • CRL y no CLR :-)

    Si, durante la instalación de la CA, o se puede modificar luego

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 7 de abril de 2010 11:28
    Moderador

Todas las respuestas

  • Hola Juan, a ver si puedo aclarar sin tener que escribir acá una nota sobre el tema :-)

    Los certificados digitales tienen asignado un tiempo de validez, pero pueden ser revocados antes de su expiración por varias causas como ser: seguridad comprometida del cliente o de la CA, dejar de pertenecer a la organización, etc. Todo depende del uso del certificado

    Cuando una Autoridad Certificadora emite certificados, también debe manetener un punto al que puedan acceder las máquinas que usarán esos certificados, a fin de averiguar si éstos fueron revocados antes de tiempo. Este punto es el denominado CRL (Certificate Revocation List = Lista de Certificados Revocados)

    Dado que los clientes se conectarán externamente, esta CRL debe ser accesible también externamente.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 6 de abril de 2010 11:11
    Moderador
  • Buenos Dias Juan, 

    Ten en cuenta que la funcionalidad de Direct Access es dar un acceso seguro, para lo cual se precisa el uso de certificados para dar esta seguridad, por eso mismo es que como requisito para que la conexion sea segura y deseada , tu deberias dar los certificados correspondientes a los usuarios que tu quieras autorizar, tambien precisaras IPv6 :)

     

    Mira la siguiente liga , tiene una muy buena explicacion de los requisitos

    http://technet.microsoft.com/en-us/library/ee791809(WS.10).aspx


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    martes, 6 de abril de 2010 11:12
    Moderador
  • Gracais por responder a la duda, sus explicaciones son claras, sin embargo lo que comento guillermo sobre el CLR me qeuda una duda

    Es el administrador el que debe generar las CLR?

    gracias de nuevo

     


    Juan Pablo Vidal Soporte Profesional IT juanp_vidal@hotmail.com
    martes, 6 de abril de 2010 15:26
  • CRL y no CLR :-)

    Si, durante la instalación de la CA, o se puede modificar luego

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 7 de abril de 2010 11:28
    Moderador