Administración de usuarios/seguridad: Paso 5. Importar la lista de revocación de certificados

Document created by RSA Information Design and Development on May 2, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se describe el procedimiento para importar una lista de revocación de certificados (CRL) al Servidor de NetWitness.

Una CRL es un archivo que contiene una lista de certificados revocados con detalles, como el número de serie y la fecha de revocación de cada certificado. Por lo general, un certificado se revoca para evitar cualquier riesgo que planteen los usuarios no autorizados al certificado. Por ejemplo, si un usuario de NetWitness Suite renuncia a una organización, la CA emisora debe revocar el certificado del usuario para evitar cualquier riesgo relacionado con este. 

Puede importar la CRL que emite la CA de confianza de modo que NetWitness Suite pueda usar la CRL para bloquear el acceso a NetWitness Suite a los usuarios no autorizados. Puede especificar o importar una CRL a NetWitness Suite mediante las siguientes opciones:

  • Servidor HTTP: es la ubicación de CRL más común donde CA publica la CRL en las aplicaciones externas mediante un servidor HTTP. El Servidor de NetWitness lee la CRL mediante la dirección URL de HTTP.
  • CRL local: permite descargar manualmente la CRL para una CA y cargarla en el Servidor de NetWitness. En el caso de automatización, puede escribir un trabajo Cron para copiar la CRL en el directorio /var/lib/netwitness/uax/pki/crl en el Servidor de NetWitness. El Servidor de NetWitness usa la CRL actualizada desde el disco cuando esta se actualiza (cada 5 minutos).
  • Recurso LDAP: principalmente lo usan los sistemas Windows. Debe especificar una dirección URL de LDAP con el nombre de usuario y la contraseña para acceder al objeto de LDAP. El Servidor de NetWitness lee la CRL desde la dirección URL de LDAP.
  • Servicio de respuesta de OCSP: para especificar un servicio de respuesta de OCSP, debe proporcionar la dirección URL de HTTP y el certificado de firma del servicio de respuesta de OCSP. Asegúrese de que el servicio de respuesta de OCSP esté en línea mientras se agrega la entrada. En caso de que se actualice el certificado de firma del servicio de respuesta de OCSP, debe actualizar manualmente el certificado en Servidor de NetWitness.

Procedimiento

Especificar el archivo CRL en el servidor HTTP

Nota: Asegúrese de que la CRL esté disponible y que se pueda acceder al servidor HTTP desde el Servidor de NetWitness.

Para especificar el archivo CRL en el servidor HTTP:

  1. En NetWitness Suite, vaya a ADMIN > Seguridad.
    La vista Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Configuración de PKI.
  3. En la sección CRL, haga clic en Botón Agregar.
  4. En Tipo de CRL, seleccione CRL se encuentra en un servidor HTTP en la lista desplegable.
  5. En el campo URL, especifique la dirección URL de HTTP para acceder a la CRL.
  6. Haga clic en Probar.
    La interfaz del usuario de NetWitness Suite muestra la información que se extrae de la CRL como aparece a continuación.

    Nota: Si la dirección URL de HTTP se encuentra en la ubicación de HTTPS, el Servidor de NetWitness no valida el certificado de servidor web del servidor HTTP en el que se encuentra la CRL.

  7. Haga clic en Guardar.
    El archivo CRL se agrega correctamente al Servidor de NetWitness.

Importar el archivo CRL local mediante la interfaz del usuario de NetWitness Suite

Nota: Asegúrese de que la CRL se descarga desde la ubicación de CDP.

Para importar el archivo CRL local mediante la interfaz del usuario de NetWitness Suite:

  1. En NetWitness Suite, vaya a ADMIN > Seguridad.
    La vista Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Configuración de PKI.
  3. En la sección CRL, haga clic en Botón Agregar.
    Se muestra el cuadro de diálogo Configuración de la CRL.
  4. En Tipo de CRL, seleccione La CRL está disponible como un archivo en la lista desplegable.
  5. En el archivo CRL, haga clic en Navegar para cargarlo.

    Nota: La extensión del archivo CRL debe ser .crl.

  6. Haga clic en Probar.
    La interfaz del usuario de NetWitness Suite muestra la información que se extrae de la CRL como aparece a continuación.
  7. Haga clic en Guardar.
    El archivo CRL se agrega correctamente al Servidor de NetWitness.

Especifique la CRL como recurso LDAP mediante la interfaz del usuario de NetWitness Suite

Nota: Asegúrese de que la CRL esté disponible y que se pueda acceder al servidor LDAP desde Servidor de NetWitness.

  1. En NetWitness Suite, vaya a ADMIN > Seguridad.
    La vista Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Configuración de PKI.
  3. En la sección CRL, haga clic en Botón Agregar.
    Se muestra el cuadro de diálogo Configuración de la CRL.
  4. En Tipo de CRL, seleccione La CRL se publica como recurso LDAP en la lista desplegable.
  5. En el campo URL, especifique la dirección URL de LDAP para acceder a la CRL.

    Nota: Si la dirección URL de LDAP contiene espacios en blanco, por ejemplo, CN=EMC Root CA, se inserta un carácter de escape como CN=EMC%20Root%20CA.

  6. En el campo Nombre de usuario, escriba el nombre de usuario en el formato de dominio/nombre de usuario.
  7. En el campo Contraseña, escriba la contraseña para acceder a la CRL.
  8. Haga clic en Probar.
    La interfaz del usuario de NetWitness Suite muestra la información que se extrae de la CRL como aparece a continuación.
  9. Haga clic en Guardar.
    La CRL se agrega correctamente al Servidor de NetWitness.

Especifique el servicio de respuesta de OCSP mediante la interfaz del usuario de NetWitness Suite

Nota: Asegúrese de que se pueda acceder al servicio de respuesta de OCSP desde Servidor de NetWitness.

Para especificar el servicio de respuesta de OCSP mediante la interfaz del usuario de NetWitness Suite:

  1. En NetWitness Suite, vaya a ADMIN > Seguridad.
    La vista Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Configuración de PKI.
  3. En la sección CRL, haga clic en Botón Agregar.
    Se muestra el cuadro de diálogo Configuración de la CRL.
  4. En Tipo de CRL, seleccione URL de HTTP del servicio de respuesta de OCSP en la lista desplegable.
  5. En el campo URL, especifique la dirección URL de HTTP.
  6. En el campo Certificado, haga clic en Navegar para cargar el certificado de firma del servicio de respuesta de OCSP.
  7. Haga clic en Probar. En la interfaz del usuario de NetWitness Suite se muestra la información que se extrae del certificado de firma del servicio de respuesta de OCSP.
  8. Haga clic en Guardar.
    El servicio de respuesta de OCSP se agregó correctamente al Servidor de NetWitness.

Configurar ajustes de CRL

Debe configurar los ajustes de CRL para validar la CRL para la revocación de certificados.

Para configurar ajustes de CRL:

  1. En NetWitness Suite, vaya a ADMIN > Seguridad. La vista Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Configuración de PKI.
  3. En la sección Configuración de la CRL, seleccione cualquiera de las siguientes opciones Modo de falla.
    • Permitir que los usuarios inicien sesión si se produce un error en la comprobación de revocación: permite que el usuario acceda a Servidor de NetWitness si:
      • No se encuentra la CRL de un emisor del certificado de usuario.

      • El certificado del usuario no se revocó, pero la CRL está vencida.

      • No se puede acceder al servidor de OCSP.
    • Impedir que los usuarios inicien sesión si se produce un error en la comprobación de revocación: permite que el usuario inicie sesión si:

      • La CRL está disponible para el emisor del certificado del usuario.
      • Se revocó el certificado del usuario y la CRL es válida.

      • El servidor de OCSP está accesible y el certificado del usuario es válido.

  4. En el campo Modo de comprobación de revocación, seleccione el modo según el cual se debe validar el certificado del usuario.
    • Si selecciona un modo Solo CRL, la CRL se considera válida si se cumplen los siguientes criterios:
      • Debe haber una CRL que emita el mismo emisor de un certificado de usuario.
      • No se considera vencida la CRL.
      • La CRL está firmada correctamente por el emisor.
    • Si selecciona un modo Solo OCSP, el OCSP se considera válido si se cumplen los siguientes criterios:
      • Debe haber un servicio de respuesta de OCSP que emita el mismo emisor de un certificado de usuario.
      • El servicio de respuesta de OCSP no se considera vencido.
      • El servicio de respuesta de OCSP está firmado correctamente por el emisor.
    • Si selecciona una CRL y luego, OCSP, deben cumplirse los siguientes criterios:
      • El certificado del usuario debe ser válido.
      • Si el certificado del usuario es válido en el paso anterior, se valida con el servicio de respuesta de OCSP.
      • Se considerará válido solo si no se revoca en la CRL y es válido mediante el uso del servicio de respuesta de OCSP.
  5. En el campo Modo de CRL múltiple, seleccione el modo CRL que tiene relación con la forma en que se procesa la CRL cuando un usuario tiene varias CRL del mismo emisor.
    • Comprobar la revocación en la CRL que se emitió recientemente: la CRL que tiene la fecha de emisión más alta se considera como la que se usó recientemente.
    • Comprobar la revocación en la última CRL que venció: la CRL que tiene la fecha de vencimiento más alta se considera como la última que venció.
    • Combinar todas las CRL para comprobar la revocación: todos los certificados revocados en las CRL se consideran revocados.

      Nota:
      Si hay más de una CRL, una CRL se considera única sobre la base de:
      - La fecha de publicación de una CRL.
      - La fecha de vencimiento de una CRL.

 

Paso siguiente:

Paso 6. Activar PKI

You are here
Table of Contents > Administración de usuarios/seguridad: Paso 5. Importar la lista de revocación de certificados

Attachments

    Outcomes