Servicios de Red e Internet

Unidad 3 – Certificados digitales

Indice
1.- Certificados Digitales
2.- Formatos de certificados
3.- Crear claves y certificados
4.- Instalación del certificado en Windows.
5.- Autoridades de certificación

1.- Certificados Digitales

Un certificado digital o certificado electrónico es un fichero informático generado por una entidad
de servicios de certificación que asocia unos datos de identidad a una persona física, organismo
o empresa confirmando de esta manera su identidad digital en Internet. El certificado digital es
válido principalmente para autenticar a un usuario o sitio web en internet por lo que es necesaria
la colaboración de un tercero que sea de confianza para cualquiera de las partes que participe en
la comunicación. El nombre asociado a esta entidad de confianza es Autoridad Certificadora
pudiendo ser un organismo público o empresa reconocida en Internet.

El certificado digital tiene como función principal autenticar al poseedor pero puede servir
también para cifrar las comunicaciones y firmar digitalmente. En algunas administraciones
públicas y empresas privadas es requerido para poder realizar ciertos trámites que involucren
intercambio de información delicada entre las partes.

Un certificado digital consta de:

 Una clave privada: esta clave es la que debemos conservar nosotros y únicamente
nosotros. Con ella se pueden firmar digitalmente los mensajes y descifrarlos.
 Una clave pública: esta clave es la que pueden utilizar los demás para comprobar una
firma digital o cifrar los mensajes

Al firmar digitalmente un mensaje:

 El ordenador utiliza la clave privada para generar la firma digital. La firma digital es un
código que asegura que el contenido del mensaje no ha sido alterado durante la
transmisión; y como la firma únicamente puede ser generada a través de la clave privada
(que sólo poseemos nosotros), garantiza que somos los autores de dicho mensaje y nadie
más hubiera podido escribirlo en nuestro nombre.

1
Servicios de Red e Internet

 También se incluye en un mensaje firmado nuestra clave pública, de forma que el

destinatario pueda comprobar que la firma digital sea auténtica y que el contenido del
mensaje no ha sido alterado.

Al cifrar un mensaje, el ordenador del remitente utiliza nuestra clave pública para cifrar o
encriptar el mensaje. Una vez que el mensaje ha sido cifrado, sólo puede ser descifrado utilizando
la clave prívada, luego sólo nosotros como destinatarios podremos volverlo a descifrar.

2.- Formatos de certificados

2.1 Formato PEM

El formato PEM es el formato más común de Certificado que emiten las Autoridades de
certificación. Los certificados PEM generalmente tienen extensiones como .pem, .crt, .cer y .key.
Son archivos ASCII codificados en Base64 y contienen declaraciones "----- BEGIN CERTIFICATE ----
-" y "----- END CERTIFICATE -----". Los certificados de servidor, certificados intermedios y claves
privadas pueden emitirse en el formato PEM.

Apache y otros servidores similares utilizan certificados de formato PEM. Varios certificados PEM,
e incluso la clave privada, pueden incluirse en un archivo, uno debajo del otro, pero la mayoría
de las plataformas, como Apache, esperan que los certificados y la clave privada estén en archivos
separados.

2.2 Formato PKCS # 7 / P7B

El formato PKCS # 7 o P7B normalmente se almacena en formato Base64 ASCII y tiene

una extensión de archivo de .p7b o .p7c. Los certificados P7B contienen instrucciones "--
--- BEGIN PKCS7 -----" y "----- END PKCS7 -----". Un archivo P7B sólo contiene certificados
y certificados de cadena, no la clave privada. Varias plataformas soportan archivos P7B
incluyendo Microsoft Windows y Java Tomcat

3.3 Formato PKCS # 12 / PFX

El formato PKCS # 12 o PFX es un formato binario para almacenar el certificado del

servidor, los certificados intermedios y la clave privada en un archivo cifrado. Los archivos
PFX suelen tener extensiones como .pfx y .p12. Los archivos PFX se utilizan normalmente
en máquinas Windows para importar y exportar certificados y claves privadas.

Al convertir un archivo PFX al formato PEM, OpenSSL colocará todos los certificados y la
clave privada en un único archivo. Necesitará abrir el archivo en un editor de texto y
copiar cada certificado y clave privada (incluyendo las sentencias BEGIN / END) a su
propio archivo de texto individual y guardarlos como certificate.cer, CACert.cer y
privateKey.key, respectivamente.

2
Servicios de Red e Internet

3.- Crear claves y certificados con OpenSSL

OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young
y Tim Hudson. Consiste en un robusto paquete de herramientas de administración y
bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a
otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS).
Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así
como otros protocolos relacionados con la seguridad, como el Transport Layer Security
(TLS). OpenSSL también permite crear certificados digitales que pueden aplicarse a un
servidor, por ejemplo Apache.

a) Crear una clave privada y pública

Podemos generar un par de claves RSA que nos permitan tanto cifrar como realizar
firmas, con OpenSSL usando el siguiente comando:

openssl genrsa -out localhost.key 1024

b) Exportar la clave pública

El archivo generado al crear el par de claves contiene tanto la clave pública como la
privada. La privada no se debe distribuir y se debe mantener protegida de forma que solo
la conozca su propietario. La clave pública es la que se distribuye a otras personas o
entidades. Para extraer la clave pública del archivo generado anterior por OpenSSL
usamos el siguiente comando:

\openssl rsa -in localhost.key -pubout > localhost.pub

c) Crear un certificado

Un certificado contiene la firma de una tercera parte que valida nuestra clave pública
como auténtica. Para que esa tercera parte pueda firmar nuestra clave deberemos
generar una petición de firma de certificado y enviársela a la autoridad de certificado que
nos lo devolverá firmado. La petición firma de certificado se crea con el siguiente
comando:

.\openssl req -new -key localhost.key -out localhost.csr

Si no queremos tratar con una autoridad de certificado, ya que cobran por la firma,
podemos crear un certificado autofirmado que puede ser suficiente para un entorno de
pruebas. El comando para generar el certificado autofirmado es:

.\openssl req -new -x509 -days 1825 -key localhost.key -out localhost.crt

3
Servicios de Red e Internet

d) Convertir un certificado a otros formatos

Dependiendo de la autoridad de certificado el certificado puede estar en diferentes

formatos, dependiendo del servidor donde tengamos idea de usarlo podemos necesitar
convertirlo a otro formato. También podemos usar OpenSSL para hacer las conversiones.

Convertir un certificado en formato DER (.crt .cer .der) a PEM

$ openssl x509 -in localhost.crt -out localhost.pem
$ openssl x509 -inform der -in localhost.cer -out localhost.pem
Convertir un certificado en formato DER (.crt .cer .der) a p12
openssl pkcs12 -export -inkey localhost.key -in localhost.crt -out localhost.p12
d) Leer el contenido de un certificado.

openssl x509 -noout -in cert.pem -text

3.- Instalación del certificado en Windows

3.1- Almacén de certificados en windows

El almacén de certificados de Windows se encuentra ubicado en panel de control\opciones de

internet\contenidos.

4
Servicios de Red e Internet

El almacén está dividido en varias carpetas:

Para importar un certificado escogemos la opción importar y nos aparece una ventana como la
siguiente:

Como verás, solo se puede importar certificados con la propiedad de incluir clave. Deberás
utilizar las herramientas de conversión de OpenSSL si tu certificado no tiene el formato exigido.

5
Servicios de Red e Internet

Una vez seleccionado el certificado deberás introducir la contraseña que garantiza que nadie
que no la conozca puede importar el certificado en tu equipo.

La última cuestión por resolver es donde colocar el certificado. Resuelto este detalle, el
certificado está listo.

6
Servicios de Red e Internet

5.- Autoridades de certificación

Existen básicamente dos tipos de Autoridades Certificadoras: Comerciales o Privadas

Las Autoridades Certificadoras comerciales, son empresas dedicadas y especializadas en

el tema, por lo cual si optamos por comprarle los certificados digitales que necesitemos
tenemos la tranquilidad que el tema está manejado por “gente que sabe”, pero también
tiene sus posibles inconvenientes

Por ejemplo, nos van a cobrar por cada Certificado que necesitemos, lo que no siempre
es económico, todo depende de la cantidad que necesitemos. Y además deberemos
adaptarnos a los requisitos que imponga para el otorgamiento

Pero de todas formas tienen una gran ventaja si están asociadas con el programa de
actualizaciones de Microsoft, ya que cualquier sistema Windows reconocerá los
certificados como válidos. Son la solución requerida si los certificados deben ser validados
por terceros, por ejemplo para un sitio web, transacciones comerciales, etc.

Por otro lado podemos instalar nuestra propia Autoridad Certificadora de tipo privada,
que también tiene ventajas e inconvenientes

Algunos piensan que en este caso es gratis, y nada más alejado, hay que instalar y
mantener la misma, inclusive tomando medidas adicionales de seguridad, ya que si se
comprometiera la seguridad de una Autoridad Certificadora estarían comprometidos
todos los certificados por ella otorgados

Las ventajas pasan por la flexibilidad que manejaremos nosotros de acuerdo a nuestras
necesidades, y la posibilidad de automatizar el otorgamiento de certificados si la
integramos con Active Directoy Pero debemos tener en cuenta que los certificados no
serán reconocidos externamente.

Algo muy importante a tener en cuenta es la seguridad sobre la Autoridad Certificadora,

por lo cual una de las mejores opciones es mantenerla en una máquina fuera de la red, o
inclusive apagada, esto mejora enormemente la seguridad sobre la misma Pero por otro
lado queremos automatizar lo máximo posible la obtención y renovación de los
certificados. Esto lo podemos lograr integrándola en Active Directoy, lo cual por supuesto
requiere que esté funcionando sobre un servidor miembro de un Dominio, y por lo tanto,
no puede estar, ni fuera de la red ni apagada

Mantener una seguridad adecuada, y a la vez aprovechar la integración se consigue

teniendo dos Autoridades Certificadoras

 Una Autoridad Certificadora Raíz, que se autofirma los certificados. Algo así como
“yo soy yo, porque lo digo yo”, que le otorgará un Certificado de Autoridad
Certificadora a otra Autoridad Certificadora que mantendremos en la red

7
Servicios de Red e Internet

Esta autoridad será de tipo “standalone” sobre un servidor en grupo de trabajo lo

que nos permitirá mantenerla “offline”. No entraremos en la forma que se
desarrolla el tema en las grandes corporaciones, pero este se hace de esta forma
en dos o inclusive tres niveles, distribuyendo la carga de los diferentes tipos de
certificados entre diferentes “sub” Certificadoras. Si se comprometiera la
seguridad de una de ellas no afectaría a toda la organización
 Una segunda Autoridad Certificadora, cuya identidad se encuentra certificada por
la anterior, integrada en Active Directory (Enterprise Certification Authority), lo
que nos permitirá automatizar la distribución e implementación de todos los
certificados digitales, básicamente a través de Directivas de Grupo (GPOs)

Internal vs. public Certificate Authority.

Internal CA External CA
Fácil de manejar No hay control sobre la CA, nosotros solo podemos
comprar SSL certificates
Puede integrarse en AD No podemos administrarla
Certificados gratis SSL certificates pueden ser caros

Los servicios en red que utilizan protocolos seguros utilizan certificados para enviarlos a
los clientes. Estos certificados deberían estar autenticados por una autoridad fiable pero
en redes internas no suele ser así. Por tanto, cuando nos conectamos a un servicio de red
local, por ejemplo escritorio remoto, el servidor nos envía un certificado que no aparece
en nuestra lista de certificados válidos.

A la pregunta de que si queremos continuar utilizando ese certificado debemos contestar

que si ya que nos lo envía un servidor instalado en nuestra propia red local.

8
Servicios de Red e Internet

Como medida de seguridad deberíamos ver el contenido del certificado y comprobar

que es enviado por nuestro servidor local.

Por último, instalamos el certificado.