Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Administración de tecnologías de clave pública (descripción general)
Utilidades de la estructura de gestión de claves
Uso de la estructura de gestión de claves (tareas)
Uso de la estructura de gestión de claves (mapa de tareas)
Cómo crear un certificado con el comando pktool gencert
Cómo importar un certificado al almacén de claves
Cómo exportar un certificado y una clave privada en formato PKCS #12
Cómo generar una frase de contraseña mediante el comando pktool setpin
Cómo generar un par de claves utilizando el comando pktool genkeypair
Cómo firmar una solicitud de certificación utilizando el comando pktool signcsr
Cómo gestionar complementos de terceros en KMF
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
La estructura de gestión de claves (KMF) ofrece un enfoque unificado para administrar tecnologías de clave pública (PKI). Oracle Solaris tiene varias aplicaciones que utilizan tecnologías PKI. Cada aplicación proporciona su propias interfaces de programación, mecanismos de almacenamiento de claves y utilidades administrativas. Si una aplicación proporciona un mecanismo de cumplimiento de políticas, el mecanismo se aplica sólo a esa aplicación. Con KMF, las aplicaciones utilizan un conjunto unificado de herramientas administrativas, un conjunto único de interfaces de programación y un mecanismo único de cumplimiento de políticas. Estas funciones gestionan las necesidades de PKI de todas las aplicaciones que adoptan estas interfaces.
KMF unifica la gestión de tecnologías de clave pública con las siguientes interfaces:
Comando pktool: este comando administra objetos PKI, como certificados, en una variedad de almacenes de claves.
Comando kmfcfg: este comando gestiona la base de datos de políticas PKI y complementos de terceros.
Las decisiones de políticas PKI incluyen operaciones, como el método de validación para una operación. Además, una política PKI puede limitar el ámbito de un certificado. Por ejemplo, una política PKI puede afirmar que un certificado sólo se puede utilizar para fines específicos. Una política de ese tipo puede impedir que ese certificado se utilice para otras solicitudes.
Biblioteca KMF: esta biblioteca contiene interfaces de programación que abstraen el mecanismo subyacente de almacenes de claves.
Las aplicaciones no tienen que elegir un determinado mecanismo de almacenes de claves, sino que pueden migrar de un mecanismo a otro. Los almacenes de claves admitidos son PKCS #11, NSS y OpenSSL. La biblioteca incluye una estructura conectable de modo que puedan agregarse mecanismos de almacenes de claves nuevos. Por lo tanto, las aplicaciones que utilizan los mecanismos nuevos requerirían sólo pequeñas modificaciones para poder utilizar un almacén de claves nuevo.
KMF proporciona métodos para administrar el almacenamiento de claves y proporciona la política global para utilizar esas claves. KMF administra la política, las claves y los certificados para tres tecnologías de clave pública:
Tokens de los proveedores PKCS #11, es decir, de la estructura criptográfica
NSS, es decir, servicios de seguridad de red
OpenSSL, un almacén de claves basado en archivos
La herramienta kmfcfg puede crear, modificar o suprimir entradas de políticas KMF. La herramienta también gestiona complementos para la estructura. KMF administra almacenes de claves a través del comando pktool. Para obtener más información, consulte las páginas del comando man kmfcfg(1) y pktool(1), y las siguientes secciones.
La política KMF se almacena en una base de datos. Todas las aplicaciones que utilizan las interfaces de programación KMF acceden internamente a esta base de datos de políticas. La base de datos puede restringir el uso de las claves y los certificados administrados por la biblioteca KMF. Cuando una aplicación intenta verificar un certificado, la aplicación comprueba la base de datos de políticas. El comando kmfcfg modifica la base de datos de políticas.
El comando kmfcfg proporciona los siguientes subcomandos para complementos:
list plugin: enumera complementos gestionados por KMF.
install plugin: instala el complemento por nombre de ruta del módulo y crea un almacén de claves para el complemento. Para eliminar el complemento de KMF, elimine el almacén de claves.
uninstall plugin: elimina el complemento de KMF eliminando su almacén de claves.
modify plugin: permite que se ejecute el complemento con una opción definida en el código para el complemento, como debug.
Para obtener más información, consulte la página del comando man kmfcfg(1). Para conocer el procedimiento, consulte Cómo gestionar complementos de terceros en KMF.
KMF gestiona los almacenes de claves para tres tecnologías de clave pública: tokens PKCS #11, NSS y OpenSSL. Para todas estas tecnologías, el comando pktool permite realizar las tareas siguientes:
Generar un certificado autofirmado.
Generar una solicitud de certificado.
Generar una clave simétrica.
Generar un par de claves públicas/privadas.
Generar una solicitud de firma de certificado (CSR) PKCS #10 para que se envíe a una autoridad de certificado (CA) para que la firme.
Firmar una solicitud de firma de certificado PKCS #10.
Importar objetos al almacén de claves.
Enumerar los objetos del almacén de claves.
Suprimir objetos del almacén de claves.
Descargar una CRL.
Para las tecnologías PKCS #11 y NSS, el comando pktool también permite definir un PIN generando una frase de contraseña:
Generar una frase de contraseña para el almacén de claves.
Generar una frase de contraseña para un objeto del almacén de claves.
Para ver ejemplos de cómo usar la utilidad pktool, consulte la página del comando man pktool(1) y Uso de la estructura de gestión de claves (mapa de tareas).