Acerca de los Certificados
Los certificados hacen coincidir la identidad de una persona u organización con un método para que otros verifiquen la identidad y la seguridad de las comunicaciones. Usan un método de cifrado llamado par de claves, o dos números relacionados matemáticamente llamados clave privada y la clave pública. Un certificado incluye tanto una afirmación de identidad como una clave pública y es firmado por una clave privada.
La clave privada usada para firmar un certificado puede ser del mismo par de claves usado para generar el certificado o de un par de claves diferentes. Si la clave privada es el mismo par de claves usado para crear el certificado, el resultado se llama certificado autofirmado. Si la clave privada es de un par de claves diferentes, el resultado es un certificado regular. Los certificados con llaves privadas que se pueden usar para firmar otros certificados se llaman Certificados CA (Autoridad de Certificación). Una Autoridad de Certificación es una organización o aplicación que firma o revoca los certificados.
Si su organización tiene configurada una PKI (infraestructura de llave pública), puede firmar certificados como CA usted mismo. La mayoría de las aplicaciones y dispositivos aceptan automáticamente certificados de CA de confianza y relevantes. Los certificados que no son firmados por CA relevantes, tal como un certificado autofirmado, no son aceptados automáticamente por diversos servidores o programas, y no funcionan correctamente con algunas características del Firebox.
Usar múltiples certificados para determinar la confianza
Se pueden usar diversos certificados juntos para crear una cadena de confianza. Por ejemplo, el certificado CA al principio de la cadena es de una CA relevante y se usa para firmar otro certificado CA para una CA intermedia. Esa CA intermedia puede, a su vez, firmar otro certificado CA usado por su organización. Finalmente, su organización puede usar este certificado CA para las características de inspección de contenido de proxy HTTPS y proxy SMTP. No obstante, para usar ese certificado final en el extremo de la cadena de confianza, primero se deben importar todos los certificados en la cadena de confianza en el siguiente orden:
- Certificado CA de la CA relevante o de la CA local (de tipo Uso General)
- Certificado CA de la CA intermedia, si aplica (de tipo Uso General)
- Certificado firmado para inspección de contenido proxy (de tipo Autoridad Proxy para salida, de tipo Servidor Proxy para salida)
También podría ser necesario importar todos esos certificados en cada dispositivo cliente para que el último certificado también sea de confianza para los usuarios.
Las cadenas de certificados pueden contener todos o algunos de estos tipos de certificados, según lo que se requiera. Por ejemplo, su cadena de certificados puede no contener un certificado CA intermedio o un certificado CA local.
Cómo el Firebox Usa los Certificados
Su Firebox puede usar certificados para varios fines:
- Los datos de la sesión de administración del Firebox están protegidos con un certificado.
- Los túneles de VPN de Sucursal, Mobile VPN with IPSec, Mobile VPN with L2TP y Mobile VPN with IKEv2 pueden usar certificados para la autenticación.
- Cuando la inspección de contenido está habilitada para el tráfico saliente HTTPS o SMTP, POP3 o IMAP over TLS, estos proxies usan un certificado para cifrar nuevamente el tráfico entrante después de que se descifra para la inspección. El certificado para nueva firma puede ser el Certificado de Autoridad Proxy predeterminado o un Certificado CA importado.
- Puede usar un certificado con un proxy HTTPS entrante para proteger un servidor web en su red.
- Puede usar el certificado predeterminado del Servidor Proxy para este propósito o seleccionar un certificado diferente que se usará para cada proxy.
- Esto le permite alojar varios servidores y aplicaciones web públicos diferentes detrás de un Firebox, y permite que diferentes aplicaciones usen diferentes certificados.
- Cuando la inspección de contenido está habilitada para el tráfico entrante SMTP, POP3 o IMAP over TLS, el proxy utiliza un certificado para cifrar nuevamente el tráfico entrante después de que se descifra para la inspección. Puede usar el certificado predeterminado del Servidor Proxy para este propósito.
- Cuando un usuario se autentica con el Firebox para cualquier finalidad, tal como una anulación del WebBlocker, la conexión queda protegida con un certificado.
- Cuando se configura la autenticación RADIUS o Firebox para usar métodos de autenticación WPA Enterprise o WPA2 Enterprise.
Como estos certificados no son firmados por una CA de confianza, los usuarios en su red ven alertas en sus exploradores web.
Hay tres opciones para eliminar esta alerta:
- Puede importar certificados firmados por una CA en los cuales su organización confía (tal como una PKI ya configurada para su organización) para usarlos con estas funciones. Recomendamos que use esta opción si es posible.
- Puede crear un certificado autofirmado personalizado que coincida con el nombre y la ubicación de su organización.
- Puede usar el certificado autofirmado predeterminado.
Para la segunda y tercera opción, puede pedir que los clientes de red acepten estos certificados autofirmados manualmente cuando se conectan al Firebox. O puede exportar los certificados y distribuirlos con las herramientas de administración de red.
Para más información sobre cómo exportar certificados, consulte Exportar un Certificado desde su Firebox.
Para más información sobre cómo importar el certificado a un cliente, consulte Importar un Certificado en un Dispositivo cliente.
Por información sobre cómo descargar e importar el certificado desde el Portal de Certificados de Firebox, consulte Portal de Certificados.
Sustituir o Eliminar Certificados
Cuando importa un certificado, se reemplaza el certificado existente. En ocasiones raras, es posible que deba eliminar manualmente un certificado por estos motivos:
- Una solicitud de firma de certificado (CSR) está pendiente y no se completará
- Un certificado caducó
- Existe un certificado CA de un servidor local que ya no está en uso
No elimine un certificado de su Firebox a menos que planee reemplazarlo. Si elimina un certificado y no lo reemplaza, Firebox reemplaza automáticamente el certificado faltante con un certificado predeterminado si el dispositivo se reinicia. Si elimina un certificado CA de confianza para proxies, es posible que algunos servicios de seguridad no funcionen.
CRL y caducidad de certificados
Cada certificado tiene una caducidad determinada cuando es creado. Cuando el certificado llega al fin de la caducidad definida, éste se vence y ya no puede ser usado automáticamente. También puede eliminar los certificados manualmente con el Firebox System Manager (FSM).
Si utiliza un certificado para la autenticación, es importante realizar un seguimiento de cuándo vencen los certificados. Esto ayuda a evitar interrupciones en servicios críticos como VPN.
Algunas veces, los certificados son revocados o deshabilitados antes de su caducidad, por el CA. Su Firebox mantiene una lista actualizada de esos certificados revocados, llamada Lista de Revocación de Certificados (CRL), para verificar que los certificados usados por una autenticación VPN sean válidos. Si tiene el WatchGuard System Manager instalado, esa lista puede ser actualizada manualmente con el Firebox System Manager (FSM), o automáticamente con la información de un certificado. Cada certificado incluye un número único usado para identificarlo. Si el número único en un certificado de Servidor Web, BOVPN, Mobile VPN with IPSec, Mobile VPN with L2TP o Mobile VPN with IKEv2 coincide con un identificador de su CRL asociada, el Firebox deshabilita el certificado.
Cuando la inspección de contenido está habilitada en un proxy, el Firebox puede revisar el respondedor OCSP (Protocolo de Estado del Certificado en Línea) asociado con los certificados usados para firmar el contenido. El respondedor OCSP envía el estado de la revocación del certificado. El Firebox acepta la respuesta OCSP si esta tiene la firma de un certificado en el que Firebox confía. Si la respuesta OCSP no es firmada por un certificado en el que confía el Firebox, o si el respondedor OCSP no envía una respuesta, entonces puede configurar el Firebox para aceptar o rechazar el certificado original.
Para obtener más información acerca de las opciones de OCSP, consulte Proxy HTTPS: Inspección de Contenido.
Solicitudes de Autoridades de Certificación y firmas
Para crear un certificado autofirmado, debe colocar parte de un par de claves criptográficas en una solicitud de firma de certificado (CSR) y enviar la solicitud a una CA. Es importante usar un nuevo par de claves para cada CSR creada. La CA emite un certificado después de recibir la CSR y verificar su identidad. Si tiene el software FSM o Management Server instalado, puede usar esos programas para crear una CSR para su Firebox. También puede usar otras herramientas, como OpenSSL o el CA Server de Microsoft que viene con la mayoría de los sistemas operativos Windows Server.
Recomendamos que utilice software de terceros para generar el CSR. Esto permite que el certificado se use en otro Firebox si actualiza a un modelo más nuevo, migra a otro Firebox o devuelve el Firebox para un reemplazo RMA.
Para crear un certificado para usar con las características de inspección de contenido de proxy HTTPS, debe crear un certificado CA que pueda volver a firmar otros certificados. Si crea una CSR y es firmada por una CA relevante, ésta no puede ser usada como un certificado CA que pueda volver a firmar para inspección de contenido.
Para la inspección de contenido SMTP TLS entrante, puede usar el certificado predeterminado y autofirmado del Servidor Proxy. Si desea que entidades externas puedan validar su dominio, use un certificado de firma pública.
Si su organización no cuenta con una instalación PKI, le recomendamos que elija una CA relevante para firmar las CSR que usa, excepto el certificado Autoridad Proxy. Si una CA relevante firma sus certificados, estos son automáticamente considerados de confianza por la mayoría de los usuarios. También puede importar certificados adicionales para que su Firebox confíe en otras CA.
Para obtener una lista de CA de confianza automáticamente, consulte Autoridades de Certificación de Confianza del Dispositivo.
En el WatchGuard System Manager, el Management Server también funciona como una CA. La CA otorga certificados a los Fireboxes administrados cuando contactan el Management Server para recibir actualizaciones de configuración.
Para más información, consulte Configurar la Autoridad de Certificación en el Management Server.
Ver También
Importar un Certificado en un Dispositivo cliente
Usar Certificados con Inspección de Contenido de Proxy HTTPS
Proxy SMTP: Encryption (Cifrado) STARTTLS
Certificados para Autenticación de Túnel VPN de Sucursal (BOVPN)
Certificados para Autenticación de Túneles de Mobile VPN with IKEv2
Certificados para la Autenticación del Túnel de Mobile VPN with IPSec (Web UI)
Certificados para la Autenticación del Túnel de Mobile VPN with IPSec (WSM)
Certificados para la Autenticación de Túnel de Mobile VPN with L2TP
Administrar Certificados del Dispositivo (WSM)