Red Hat SummitCapítulo 3. Infraestructura del SSL
Para los usuarios de Red Hat Network, la seguridad es un tema de suma importancia. Una de las fortalezas de Red Hat Network es la habilidad de procesar cada una de las solicitudes a través de Capa de conexión segura/Secure Sockets Layer o SSL. Para mantener este nivel de seguridad, los usuarios que instalan Red Hat Network dentro de sus infraestructuras deben generar las llaves y certificados SSL personalizados.
La creación e implementación manual de las llaves y certificados SSL pueden ser bastante engorrosas. Tanto el Servidor proxy de RHN como el Servidor satélite de RHN le permitirán construir sus propias llaves y certificados SSL durante la instalación, con base en sus propios certificados de Autoridad Certificadora (conocida como CA por sus siglas en inglés). Además, la Herramienta de mantenimiento SSL de RHN para la línea de comandos ha sido creada para este fin. Estas llaves y certificados deben ser implementados en todos los sistemas dentro de la infraestructura administrada. En muchos casos, la implementación de estas llaves y certificados SSL es automatizada. Este capítulo describe métodos eficientes para realizar todas estas tareas.
Por favor tenga en cuenta que este capítulo no explica en profundidad SSL. La Herramienta de mantenimiento SSL de RHN fue diseñada para ocultar la complejidad que envuelve la creación y el mantenimiento de esta infraestructura de llaves públicas (PKI). Para obtener mayor información, consulte algunas de las referencias disponibles en la librería más cercana.
3.1. Una breve introducción al SSL
Copiar enlaceEnlace copiado en el portapapeles!
SSL, por Secure Sockets Layer, es un protocolo que permite a los clientes pasar información de una forma segura. SSL utiliza un sistema de pares de llaves pública y privada para encriptar la comunicación pasada entre el cliente y el servidor. Los certificados públicos pueden ser accesibles a cualquier persona, pero las llaves privadas deben permanecer en un lugar seguro. Es la relación matemática (una firma digital) entre el certificado público y la llave privada lo que hace que este sistema funcione. A través de esta relación se establece una conexión confiable.
Nota
En este documento se discutirá acerca de las llaves privadas SSL y los certificados públicos. Ambos conocidos como llaves, una pública y otra privada. Sin embargo, al tratar SSL, por convención nos referimos a la mitad pública de un par de llaves SSL (o conjunto de llaves) como un certificado público.
La infraestructura SSL de una organización está conformada generalmente por estas llaves y certificados:
- Llave privada y certificado público SSL de Autoridad certificadora (CA) — generalmente se crea un solo par por organización. El certificado público es firmado digitalmente por su llave privada. El certificado público se distribuye a cada sistema.
- Llave privadas y certificado público SSL del servidor web — un set por servidor de aplicaciones. El certificado público es firmado en forma digital tanto por la llave privada como por la llave privada CA SSL. Generalmente nos referimos al juego de llaves del servidor web; ya que se genera un intermediario de una petición de certificado SSL. Los detalles de uso no son importantes en esta discusión. Todos los tres se ejecutan en un servidor de RHN.
El siguiente escenario le ayudará a visualizar el concepto: Una organización con un Servidor satélite y cinco servidores proxy, generará un par de llaves CA SSL y seis juegos de llaves SSL del servidor web. El certificado público CA SSL es distribuido a todos los sistemas y usado por todos los clientes para establecer una conexión con sus respectivos servidores. Cada servidor tiene su propio juego de llaves SSL que está específicamente vinculado al nombre de host del servidor y generado con su propia llave privada SSL y por la llave privada CA SSL en conjunto. Esto establece una asociación digital verificable entre el certificado público SSL del servidor web y el par de llaves CA SSL y la llave privada del servidor. El juego de llaves del servidor de web no puede ser compartido con otros servidores.
Importante
La parte más crítica de este sistema es el par de llaves CA SSL. Desde esa llave privada y el certificado público un administrador puede regenerar cualquier juego de llaves SSL del servidor web. Este par de llaves CA SSL debe guardarse en un lugar seguro. Se recomienda que una vez la infraestructura de servidores RHN esté configurada y en ejecución, usted archive el directorio SSL creado generado por esta herramienta o por el instalador en un medio independiente, escriba la contraseña CA y guarde el medio y la contraseña en un lugar seguro.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}