| Artículos | 01 MAY 2005

Monta tu servidor seguro con Mac OS X

Da más priva

Compartir

Fernando García.
Un servidor seguro no sólo te permite montar una tienda en línea, también realiza otras funciones; por ejemplo, la conexión de los empleados o clientes a su servidor para rellenar formularios, enviar información o documentos y otras operaciones que necesiten discreción.

Aunque no esté visible, Mac OS X incluye prácticamente todo lo que hace falta para montar un servidor seguro e incluso para crear una entidad certificadora. Sólo es necesario juntar todas esas piezas e instalar algunos scripts adicionales para tenerlo todo funcionando.

Servidores seguros privados
En el cuadro “Elementos de un servidor seguro” se explica la forma de funcionamiento de un servidor seguro convencional conectado a Internet, pero existen algunos casos en los que esta situación no se produce.
Es posible que un servidor seguro no esté autentificado por una entidad certificadora. En este caso es el propio servidor el que se autentifica a sí mismo y por tanto la conexión será encriptada pero no puedes tener la total seguridad de que el servidor realmente es quien dice ser.
También es posible que el servidor esté autentificado por una entidad certificadora no reconocida por el navegador. En ocasiones excepcionales es interesante disponer de una entidad certificadora propia que autentifique a varios servidores y también, si se quiere mayor seguridad en el acceso, que emita certificados a los clientes de forma que, para que un usuario pueda conectarse no sólo hace falta un usuario y contraseña, también este certificado de usuario que en principio es más difícil de robar, ya que es un archivo físico.
En el caso de que se utilice una entidad certificadora no reconocida es posible instalar sus certificados en el sistema operativo o en las preferencias del navegador utilizado. Pero ten mucho cuidado antes de aceptar la instalación de una entidad de este tipo, ya que al hacerlo aceptas como válidos a todos los servidores que ella certifique y si no es fiable al cien por cien puedes conectarte a servidores falsos.

Elige un esquema
Si tu servidor va a estar conectado a Internet y quieres que esté autentificado por una entidad certificadora para proporcionar más seguridad a tus usuarios (esta autenticación tiene un coste añadido, además de unos trámites) no necesitarás nada más, el resto de la infraestructura lo proporciona la entidad certificadora.
Sin embargo existen situaciones en las que conviene montar una entidad certificadora. Uno de estos casos es si quieres montar un servidor en casa para conectarte y transferir información. Otro sería el de las grandes empresas que disponen de diversos servidores seguros en su intranet y desean tener un sistema único de validación, de forma que instalan en los navegadores de todos los empleados las claves de la entidad certificadora y a partir de ese momento todos los servidores internos son validados.
Un tercer motivo es el desear una mayor autenticación de los clientes. Normalmente basta con un usuario y contraseña para identificarse en un servidor pero para casos especiales se puede exigir que el usuario disponga de un certificado.

Crea las claves
Las conexiones seguras se basan en el protocolo SSL o Secure Sockets Layer. Otro elemento necesario son las librerías y herramientas OpenSSL, que también se incluyen en el sistema y cuya función es incorporar la encriptación y autenticación de las comunicaciones.
Antes de empezar la configuración desactiva Compartir Web en el panel Compartir de las Preferencias del Sistema.
El primer paso es crear las claves necesarias para el funcionamiento del servidor. Dentro de tu carpeta de Documentos crea otra llamada “Claves” que es donde vas a guardar temporalmente las claves, a continuación arranca el programa Terminal y teclea
cd Documents/Claves
Ahora hay que crear dos juegos de claves. El primero es la combinación de clave pública/privada empleada para cifrar la información con los clientes. La segunda es el denominado CSR, Solicitud de Firmado de Certificado. Esta solicitud es la que hay que enviar a la entidad certificadora para que la firme y devuelva al servidor para que este la utilice para autentificarse.
Si no vas a utilizar una entidad certificadora, necesitas firmar el CSR tu mismo de forma que la clave sea “autofirmada”.
Para generar la clave privada tienes que teclear:
openssl genrsa -des3 -out servidor.key 1024
Que da instrucciones para generar la clave con el algoritmo DES3, con un algoritmo de 1.024 bits y que la guarde en el archivo servidor.key
El programa mostrará la siguiente frase:
Enter pass phrase for servidor.key:
Aquí se pide una contraseña con la que proteger la clave generada. Así aunque alguien robe el archivo no podrá usarlo sin esta contraseña (pero procura guardarlo), es sencillo extraer la información que se desea de una persona.
Recuerda bien la contraseña, si la olvidas no podrás utilizar la clave y tendrás que repetir el proceso.
El siguiente paso es generar la solicitud de firmado de certificado:
openssl req -new -key servidor.key -out servidor.csr
servidor.key es el archivo generado en el paso anterior y servidor.csr es la mencionada solicitud.
Al ejecutar el comando el programa empezará a realizar un gran número de preguntas necesarias para rellenar el certificado, la primera es la contraseña que acabas de introducir al crear la clave, después el código de dos letras de tu país (ES para España), provincia, ciudad, nombre de la empresa, departamento, un campo llamado Common Name y tu dirección de correo electrónico.
Todos los campos son autoexplicativos excepto Common Name. En este campo y a pesar de lo que diga el mensaje, hay que introducir el nombre del servidor tal como va a ser usado. Como www.example.com o el dominio que hayas registrado.
Finalmente pide un “challenge password” o contraseña de verificación y un nombre opcional de empresa tras lo cual queda generada la solicitud de firma.
En el directorio Claves tienes ahora dos archivos: servidor.key que es la clave privada generada y servidor.csr que es el certificado que te tienen que “firmar”.

Entidades certificadoras
El siguiente paso es que te lo firme una entidad certificadora. Existen diversas empresas, incluyendo Thawte, Entrust. IPS y Verisign.
El objetivo de estas entidades certificadoras es asegurar al usuario final que el servidor es de verdad el que dice ser y para ello el certificador tiene que comprobar con documentos que es así. Además de cobrar un importe por esta operación, las empresas exigen diversos comprobantes, en algunos casos incluso certificaciones notariales, de que los datos que se les proporcionan son auténticos.
Otra opción alternativa a una de estas empresas es crear tu propia entidad certificadora. De cara a los usuarios esta opción es algo más problemática. Con una entidad reconocida el navegador acepta automáticamente los certificados del servidor y muestra un símbolo de que está conectado a una página segura. Si creas tu propia entidad, el navegador mostrará una serie de diálogos complicados indicando al usuario que no conoce a la entidad emisora de ese certificado y preguntándole si desea instalarlo.
Estos mensajes resultan complejos e intimidatorios, por lo que el uso de tu propia entidad certificadora queda limitado a pruebas o a un entorno de Intranet.

Instalar el certificado
Una vez firmado el certificado hay que i

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información