Windows 2008 PKI combate 4: Revocación

  

(Continúa del artículo anterior) El Servicio de revocación en línea es un nuevo componente introducido en Windows Server 2008. Es una implementación de Microsoft del protocolo OCSP. Esta característica, junto con el nuevo servicio de respuesta OCSP, es un gran impulso en comparación con la revocación basada en CRL. El cliente OCSP del cliente ha sido rediseñado con el respondedor OCSP. Además, el método OCSP se ha integrado en Kerberos y SSL.

El nuevo respondedor de OCSP está diseñado para la escalabilidad y se puede implementar en un servidor de certificados o en una computadora completamente separada. Este servicio también se puede aplicar a varios equipos de clúster. Los componentes del lado del servidor son lo suficientemente flexibles para obtener información de revocación de múltiples fuentes. El programa de respuesta admite el almacenamiento en caché de solicitudes NONCE y No-NONCE.

Configuración de OCSP y demostración mediante revocación

La implementación del Servicio de respuesta en línea consta de tres pasos: instalar el Servicio de respuesta en línea, preparar el entorno y configurar el Servicio de respuesta en línea. La implementación del programa de respuesta en línea debe realizarse una vez implementada la CA, antes de implementar el certificado de entidad final. Instalamos OCSP en la primera demostración del equipo, por lo que veremos los pasos restantes del proceso de implementación. Como parte del proceso de instalación, se creó un directorio virtual llamado OCSP en IIS y se registró la extensión ISAPI utilizada como proxy web. Puede registrarse manualmente o no registrarse con el proxy web. Dado que el registro de Proxy Web se produce durante la instalación de OCSP, podemos usar el siguiente comando para no registrarlo, como se muestra en la Figura 29.



Certutil -vocsproot borrar

Podemos utilizarlo para registrar comando Certutil -vocsproot. Como se muestra en la Figura 30.



CA debe estar configurado para responder a una dirección URL que contiene el programa como parte de extensión de acceso a la información de autoridad de certificación (AIA). El cliente OCSP usa esta URL para verificar el estado del certificado. Como se muestra en la Figura 31.


vamos a elegir una extensión AIA ubicación y aumentar el acceso del usuario al certificado CA desde allí. Como se muestra en la Figura 32.


Estados Unidos La ubicación puede ser cualquier ruta o URL válida. Puede ser HTTP, LDAP, dirección de archivo, UNC o ruta local. Ingresaremos la URL completa del programa de respuesta en línea. Como se muestra en la Figura 33. Al instalar el programa de respuesta en línea, el directorio virtual predeterminado que se usa en IIS es OCSP. Incluiremos esta ubicación en la extensión del Protocolo de estado de certificado en línea (OCSP). Para que este cambio surta efecto, se debe reiniciar el servicio de certificados de Active Directory. Como se muestra en la Figura 34. El programa de respuesta en línea puede firmar la respuesta de OCSP utilizando la clave de CA emitida o la clave de firma delegada. El certificado de firma firmado es: a corto plazo, el período de validez recomendado es de dos semanas. Contiene la extensión Id-pkix-ocsp-nocheck, ningún punto de distribución CRL o extensión AIA, e incluye id-kp-OCSPSigning Extended Key Usage (EKU). En Windows Server 2003 y Windows Server 2008, la configuración de las plantillas de firma de OCSP es diferente. En Windows Server 2008, se introdujo una plantilla con el número de versión 3. La nueva versión de la plantilla permite un soporte de cifrado avanzado, entre otras mejoras. También en Windows Server 2008, se agrega una nueva plantilla de certificado a las plantillas disponibles en Active Directory. El nombre de la plantilla es OCSP Response Signing, que está preconfigurado con las extensiones necesarias y los atributos enumerados anteriormente, con un número de versión de 3. No se requieren modificaciones para la plantilla o CA.



Una desventaja
plantillas de certificado no se incrementan una extensión personalizada. Crear y configurar una plantilla de firma OCSP en Windows Server 2003 presenta un problema y la capacidad de agregar extensiones id-pkix-ocsp-nocheck. La creación de esta plantilla duplicada creará una plantilla con el número de versión 2, que puede ser emitida por una CA de Windows Server 2003, y aún contendrá la extensión id-pkix-ocsp-nocheck. A continuación, es necesario configurar la CA para permitir que se incluyan extensiones personalizadas en la solicitud de certificado.

Después de modificar la información de registro de CA, debemos reiniciar el servicio de CA. Una vez finalizado el reinicio, la CA ahora puede emitir un certificado de firma de OCSP. Como se muestra en la Figura 35.



como otras plantillas, de lectura, inscripción AuthEnroll, escribir y permiso de control total al registro deben configurarse.







Agregaremos el objeto de computadora SEA-DC-01.

Para permitir que el equipo del Servicio de respuesta en línea registre un certificado de firma de respuesta de OCSP, marque las opciones de lectura e inscripción en la entrada Control de acceso. Como se muestra en la Figura 36. Para mayor seguridad, el Servicio de respuesta en línea se ejecuta en Servicio de red. Esto significa que, de forma predeterminada, no tiene acceso a la clave privada de la máquina y debe modificarse para permitir que el respondedor en línea acceda a la clave privada. Una nueva función incluida en la plantilla con el número de versión 3 que permite al cliente registrado configurar los permisos de la clave de la máquina como parte del proceso de registro para permitir el acceso a los servicios que se ejecutan como Servicio de red. Como se muestra en la Figura 37. Esta función solo está disponible en Windows Vista y Windows Server 2008. La plantilla del número de versión 3 contiene una nueva función que permite al cliente de registro modificar automáticamente los permisos de la clave privada para permitir el acceso del SERVICIO DE RED. Una vez que la plantilla está configurada correctamente, debe configurar la CA para emitir la plantilla.




vamos a permitir que la plantilla Firma de respuesta de OCSP en la CA. Como se muestra en la Figura 38.


herramienta de gestión en línea


respondedor está diseñado para facilitar su uso con alta. Independientemente de si el respondedor en línea se implementa en una sola máquina, clúster o varios clústeres, las herramientas de administración proporcionan un único punto de monitoreo y configuración para la implementación del respondedor en línea. De forma predeterminada, las herramientas de administración se instalan en todas las versiones de Windows Server 2008 y proporcionan toda la funcionalidad necesaria para administrar los servicios de respuesta en línea.

La página de inicio del Servicio de respuesta en línea proporciona el nivel más alto de información sobre el estado de configuración del Servicio de respuesta en línea y le permite configurar las propiedades de todos los Servicios de respuesta.

La vista Nodos de configuración de revocación le permite agregar, modificar y eliminar configuraciones de revocación.

La vista Nodos de configuración de matriz le permite agregar, monitorear y diagnosticar a los miembros de la matriz de respuesta en línea.

El Servicio de respuesta en línea proporciona un conjunto de propiedades configurables que son todos los programas de respuesta en línea y las operaciones de servicio aplicadas al programa de respuesta en línea.

El programa de respuesta en línea Web Proxy cache se implementa como una extensión ISAPI cargada por IIS. Los siguientes ajustes de configuración están habilitados: Subprocesos de proxy web. Esta configuración especifica la cantidad de subprocesos que el programa de respuesta en línea ISAPI extiende para manejar la solicitud. Como se muestra en la Figura 39.































Este caché se implementa como parte de la extensión ISAPI del respondedor, que es solo un caché en memoria. Los tamaños de caché recomendados son entre 1.000 y 10.000. La entrada de caché mínima permitida es 5. Para cualquier número menor de 5, el programa de respuesta en línea lo tratará como el 5 predeterminado. Los valores pequeños de la memoria caché causarán más fallas en la memoria caché y darán como resultado una gran carga en las operaciones de respuesta y de búsqueda del respondedor; los valores grandes de la memoria caché afectarán el uso de memoria del respondedor en línea. Si el certificado de CA se usa para firmar la respuesta, el tamaño de la entrada de la memoria caché en la memoria es de aproximadamente 200 bytes, si el certificado del firmante delegado se usa para la respuesta de la firma, el tamaño de la entrada de la memoria caché en la memoria es de aproximadamente 2K bytes.

Para garantizar la seguridad del sistema de emisión de certificados de conformidad con los estándares comunes, al tiempo que proporciona una plataforma segura, se registran ciertos ajustes de tiempo y configuración en el Registro de eventos de seguridad de Windows. El programa de respuesta en línea permite configurar los siguientes eventos de auditoría, como se muestra en la Figura 40.


"servicio de inicio /parada de respuesta en línea. Cada vez que se inicia /detiene los servicios ocspsvc.exe se grabará evento.

" de respuesta en línea Cambios de configuración. Todos los cambios en la configuración del programa de respuesta en línea, incluidos los cambios en la configuración de auditoría, se registrarán en el registro de seguridad.

"Cambios en la configuración de seguridad del programa de respuesta en línea. Todos los cambios en la solicitud de servicio del respondedor en línea y la interfaz de administración ACL se registrarán en el registro de seguridad.

" Enviado al respondedor en línea Solicitud Todas las solicitudes procesadas por el Servicio de respuesta en línea se registrarán en el registro de seguridad. Esta opción crea una alta carga en el servicio y debe evaluarse para el entorno específico. Solo aquellas solicitudes que requieren una operación de firma del programa de respuesta en línea generarán y auditarán eventos; las solicitudes de respuestas previamente almacenadas en caché no se registrarán.

La configuración de seguridad del programa de respuesta en línea incluye dos nuevas instancias de control de acceso que se pueden configurar para permitir o denegar solicitudes de acceso de usuarios y servicios, así como interfaces de administración, solicitudes de proxy. Como se muestra en la Figura 41. El respondedor en línea expone una interfaz de solicitud que permite que el componente Proxy web del respondedor en línea envíe una solicitud de estado de certificado al servicio del respondedor en línea. Esta interfaz no será utilizada por el cliente terminal.




Administrar respondedores de OCSP. El respondedor en línea expone una interfaz de administración que brinda la capacidad de realizar tareas administrativas, como crear y administrar configuraciones de revocación y modificar la configuración global del respondedor. La revocación se puede hacer de dos maneras, ya sea manualmente a través de la MMC o a través del servicio de respuesta de OCSP.

Revocaremos un certificado de CA MMC. Hay una carpeta en el árbol de CA que se ha emitido un certificado. El certificado que emitimos anteriormente se muestra en esta carpeta. Ahora podemos revocar manualmente el certificado. Esto nos obligará a volver a registrar el certificado.

Se nos preguntará sobre el motivo de la revocación cuando lo revocemos. En esta demostración, conservaremos el certificado para que podamos retirar la revocación. Como se muestra en la Figura 42. Si se revoca un certificado por otros motivos que no sean Retener, la revocación del certificado no se puede revocar.



el certificado ha sido revocado certificados mueven a la carpeta. Desde la carpeta del certificado de revocación, podemos retirar la revocación del certificado. Como se muestra en la Figura 43. Durante el período en que se revoca el certificado, el cliente no puede cifrar o descifrar la información enviada desde y hacia este. Todavía podemos ver la información del certificado, si es necesario. Retiraremos la revocación del certificado y lo devolveremos a un estado activo.


Copyright © Conocimiento de Windows All Rights Reserved