Visión general sobre la creación de certificados digitales

Si desea utilizar certificados digitales para ejecutar pruebas sobre aplicaciones que necesitan certificados digitales de cliente para autenticar usuarios, póngase en contacto con los administradores de servidor adecuados para determinar los tipos de certificados que tiene que crear.

En criptografía, un certificado de clave pública es un documento que utiliza una firma digital para enlazar una clave pública a una identidad física. Con frecuencia, se hace referencia a estos certificados de modo genérico como certificados digitales o certificados digitales de cliente. El estándar más común para los certificados digitales es el estándar X.509.

En la criptografía de claves públicas, cada certificado tiene dos claves asociadas: un clave pública y una clave privada. La clave pública se incorpora en el certificado X.509 y siempre está disponible con el certificado en sí mismo. La clave privada siempre se mantiene privada (lo que significa que nunca se transmite). Para simplificar la portabilidad, ambas claves (y el certificado) se pueden incluir en un formato cifrado y protegido por contraseña denominado PKCS#12.

Para verificar la autenticidad de un certificado, se firma digitalmente por medio de otro certificado, denominado Entidad emisora de certificados (CA). El certificado CA se puede crear (y mantener seguro) por medio de una empresa que aloje una aplicación segura, o bien, lo puede crear una empresa como, por ejemplo, VeriSign.

Cuando una aplicación web requiere certificados digitales, por lo general, un administrador crea dichos certificados para cada usuario autorizado. El administrador firma digitalmente cada certificado utilizando el certificado CA del sistema. Estos certificados, junto con las claves públicas y privadas se distribuyen a los usuarios. Con frecuencia, las claves se distribuyen en el formato PKCS#12. A continuación, los usuarios deben importar los certificados a sus navegadores web, y cuando el servidor solicita la identificación al navegador, éste crea el certificado.

Cuando importe certificados para aplicaciones web, marque el recuadro de selección que indica que las claves se pueden exportar. Con esta indicación, el certificado se puede exportar a un archivo con formato PKCS#12 de modo que lo puedan utilizar otros programas.

No utilice certificados que se han asignado a usuarios reales para realizar pruebas de rendimiento. Use certificados de prueba que no correspondan a usuarios reales.

Existen cuatro tipos de certificados que se pueden utilizar en las pruebas:

Los certificados autofirmados se utilizan cuando ninguna entidad tiene que responder ante la autenticidad del certificado. Son los certificados más fáciles de crear y de utilizar. Sin embargo, generalmente se utiliza un certificado firmado para representar a un usuario particular.

Los certificados firmados se utilizan cuando se tiene que crear un solo certificado para un usuario y enviarlo también a un solo usuario. Los certificados firmados están firmados por una entidad emisora de certificados (CA).

Los certificados de una entidad emisora de certificados (CA) son certificados autofirmados utilizados para firmar (certificar) certificados.

Los certificados no firmados son certificados que ni están firmados por una entidad emisora de certificados ni son certificados autofirmados. La mayoría de las aplicaciones web no utilizan certificados no firmados.

Cuando crea un certificado autofirmado o firmado (incluidos los certificados de CA), puede especificar un asunto. El asunto de un certificado es el conjunto de atributos de un nombre distinguido X.500 que se codifican en el certificado. El asunto permite al destinatario de un certificado ver información sobre el propietario del mismo. El asunto describe al propietario del certificado, aunque no es necesariamente exclusivo. Piense en asuntos como entradas de un listín telefónico; puede tener varias entradas correspondientes a Patel Agrawal, aunque cada entrada haga referencia a una persona diferente.

El asunto puede contener muchos tipos diferentes de datos identificativos. Generalmente, el asunto incluye lo siguiente:

Atributo Ejemplo
NOMBRE COMÚN (CN) CN=Patel Agrawal
ORGANIZACIÓN (O) O=IBM Corporation
UNIDAD ORGANIZATIVA (OU) OU=IBM Software Group
PAÍS (C) C=IN
LOCALIDAD (L) L=Bangalore
ESTADO o PROVINCIA (ST) ST=Kanataka
DIRECCIÓN DE CORREO ELECTRÓNICO (emailAddress) emailAddress=agrawal@abc.ibm.com

Esta información se puede escribir como una serie de caracteres, utilizando barras inclinadas para separar los datos.

Por ejemplo, el asunto anterior se escribiría del siguiente modo:

/CN=Patel Agrawal/O=IBM Corporation/OU=IBM Software Group/C=IN/L=Bangalore/ST=Karnataka/emailAddress=agrawal@abc.ibm.com

Para obtener más información sobre cómo utilizar el programa de línea de mandatos para crear certificados, consulte el apartado Creación de un almacén de certificados digitales.


Comentarios