Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Capítulo 3. Infraestructura del SSL

Para los usuarios de Red Hat Network, la seguridad es un tema de suma importancia. Una de las fortalezas de Red Hat Network es la habilidad de procesar cada una de las solicitudes a través de SSL (Capa de conexión segura/Secure Sockets Layer). Para mantener este nivel de seguridad, los usuarios que instalan Red Hat Network dentro de sus infraestructuras deben generar las llaves y certificados SSL personalizados.
La creación e implementación manual de las llaves y certificados SSL puede llegar a ser bastante engorrosa. Tanto el Servidor proxy de RHN como el Servidor satélite de RHN le permitirán construir sus propias llaves y certificados SSL durante la instalación, basándose en sus propios certificados de Autoridad Certificadora (conocidos como CA por sus siglas en inglés). Además, una herramienta para la línea de comando, la RHN SSL Maintenance Tool, ha sido creada para este fin. Estas llaves y certificados deben ser implementados en todos los sistemas dentro de su infraestructura. En muchos casos, la implementación de estas llaves y certificados SSL es automatizada. Este capítulo describe métodos eficientes para conducir todas estas tareas.
Por favor tenga en cuenta que este capítulo no explica SSL en detalle. La RHN SSL Maintenance Tool fue diseñada para ocultar la complejidad que envuelve la creación y mantenimiento de esta infraestructura de llaves públicas (PKI). Para mayor información, consulte algunas de las referencias disponibles en la librería más cercana.

3.1. Una breve introducción al SSL

SSL, por Secure Sockets Layer, es un protocolo que permite a los clientes pasar información de una forma segura. SSL utiliza un sistema de pares de llaves pública y privada para encriptar la comunicación pasada entre el cliente y el servidor. Los certificados públicos pueden ser accesibles a cualquier persona, pero las llaves privadas deben permanecer en un lugar seguro. Es la relación matemática (una firma digital) entre el certificado público y la llave privada lo que hace que este sistema funcione. A través de esta relación se establece una conexión confiable.

Nota

A lo largo de este documento se discutirá sobre las llaves privadas y los certificados públicos de SSL. Técnicamente, ambos pueden llamarse llaves (pública y privada). Pero por convención, cuando se habla de SSL, se refiere a la parte pública de un par de llaves de SSL (o juego de llaves) como el certificado público SSL.
La infraestructura SSL de una organización está conformada generalmente por estas llaves y certificados:
  • Llave privada y certificado público SSL de Autoridad certificadora (CA) — generalmente se crea un solo par por organización. El certificado público es firmado digitalmente por su llave privada. El certificado público se distribuye a cada sistema.
  • Llaves privadas y certificados públicos SSL del servidor web — un set por servidor de aplicaciones. El certificado público es firmado digitalmente tanto por su llave privada como por su llave privada CA SSL. Generalmente nos referimos al juego de llaves del servidor web; ya que hay una petición a un certificado SSL intermediario que es generado. Los detalles de uso no son importante en esta discusión. Todos los tres son implementados en un servidor de RHN.
Por ejemplo: si tiene un satélite y cinco Proxies, generará un par de llaves CA SSL y seis juegos de llaves SSL del servidor web. El certificado público CA SSL es distribuido a todos los sistemas y usado por todos los clientes para establecer una conexión a sus respectivos servidores. Cada servidor tiene su propio juego de llaves SSL que está específicamente ligado al nombre de host del servidor y generado con la llave privada SSL y la llave privada CA SSL en conjunto. Esto establece una asociación digital verificable entre el certificado público SSL del servidor web y el par de llaves CA SSL y la llave privada del servidor. El juego de llaves del servidor de web no puede ser compartido con otros servidores.

Importante

La parte más crítica de este sistema es el par de llaves CA SSL. Desde esa llave privada y el certificado público un administrador puede regenerar cualquier juego de llaves SSL del servidor web. Este par de llaves CA SSL debe guardarse en un lugar seguro. Se recomienda que una vez la infraestructura de servidores RHN esté configurada y en ejecución, usted archive el directorio SSL creado generado por esta herramienta y/o el instalador en un medio independiente, escriba la contraseña CA y guarde el medio y la contraseña en un lugar seguro.