Exportar (0) Imprimir
Expandir todo

Certificados y claves

Publicada: abril de 2011

Actualizado: mayo de 2011

Se aplica a: Windows Azure

En Windows Azure AppFabric Access Control Service (ACS) puede usar certificados X.509 para firmar, cifrar y descifrar tokens SAML y claves simétricas de 256 bits para firmar tokens de SWT. Puede agregar y configurar la firma de tokens, el cifrado, y las claves y certificados de descifrado con el servicio de administración de ACS o el portal de administración de ACS.

Firma de tokens

ACS firma todos los tokens de seguridad con un certificado X.509 (con una clave privada) o una clave simétrica de 256 bits. Su elección de un tipo de credencial de firma (certificado o clave) depende del formato de token que seleccione para los tokens emitidos por ACS. Para obtener más información, vea el apartado sobre firma de tokens en Aplicaciones de usuario de confianza. Al seleccionar qué tipo de credencial de firma se va a crear, piense en lo siguiente:

  • Los certificados X.509 se usan al crear una aplicación que consume tokens SAML emitidos por ACS. Los tokens SAML se pueden emitir a través de varios protocolos, como WS-Federation y WS-Trust. SAML es el formato de token predeterminado que usan las aplicaciones creadas en Windows Identity Foundation (WIF).

  • Las claves de firmas simétricas de 256 bits se usan al crear una aplicación que consume tokens SAML emitidos por ACS. Los tokens SWT se pueden emitir a través de varios protocolos, como OAuth WRAP y WS-Federation, y siempre se firman usando una clave simétrica.

Espacio de nombres de servicio frente a claves y certificados específicos de aplicación de usuario de confianza

En ACS, puede configurar un certificado de firma o una clave simétrica para usarla para todo el espacio de nombres de servicio o para una aplicación de usuario de confianza específica. La diferencia es la siguiente:

  • Espacio de nombres de servicio: cuando se configura una clave o certificado de firma para todo el espacio de nombres de servicio, ACS usa este certificado o clave para firmar tokens entregados a todas las aplicaciones de usuario de confianza de este espacio de trabajo que no tienen su propia clave o certificado explícito configurado. Este certificado de firma (el certificado de espacio de nombres de servicio) se usa a continuación para firmar los metadatos de WS-Federation de ACS. De manera predeterminada, se aprovisiona un espacio de nombres de ACS con una clave simétrica y un certificado predeterminado para firma.

  • Aplicación de usuario de confianza: si configura una clave o certificado de firma para usarlos para una aplicación de usuario de confianza específica, ACS usa esta clave o certificado de firma para firmar tokens entregados solo a esta aplicación de usuario de confianza especificada.

noteNota
Como práctica recomendada de seguridad, se recomienda que se creen claves simétricas por aplicación de usuario de confianza y que no se compartan por varios usuarios que se encuentren dentro de un espacio de nombres de usuario.

Los certificados del espacio de nombres de servicio se suelen usar para firmar tokens SAML emitidos para todos los usuarios de confianza que se encuentran en un espacio de nombres determinado. El componente de los certificados de firma del espacio de nombres de servicio se publica en los metadatos de WS-Federation de ACS, que habilitan a las aplicaciones de usuario de confianza a automatizar su configuración. Los certificados asignados a una aplicación de usuario de confianza específica no están presenten en los metadatos de WS-Federation de ACS y solo se usan en casos en los que se requiere el control independiente sobre el certificado de firma de una aplicación de usuario de confianza. Esto es así en contraste a las claves simétricas, donde las claves de firma específicas de aplicación de usuario de confianza son la mejor práctica recomendada.

Claves y certificados de firma de tokens principales frente a secundarios

En ACS, puede configurar claves y certificados de firma como principales. Si designa una clave o un certificado como principal, ACS comienza a firmar tokens inmediatamente con este certificado o clave. La designación de una clave o certificado concreto como principal disminuye las claves o certificados de firma principales a secundarios para la aplicación de usuario de confianza seleccionada (o espacio de nombres de servicio). Una clave o certificado secundario no se usa para firma hasta que se promueve a un estado principal por parte del administrador. El componente de clave pública de los certificados principal y secundario se publica en los metadatos de WS-Federation de ACS para habilitar la sustitución de certificados mediante programación. Sin embargo, solo se usan las claves y los certificados principales para firmar tokens emitidos por ACS.

Fechas de expiración y de vigencia de claves de firma simétricas

Al agregar claves de firma simétricas de 256 bits, también debe especificar una fecha de vigencia y una fecha de expiración. La fecha de vigencia indica la fecha en la que entrará en vigor esta clave. La fecha de expiración indica la fecha en que expirará esta clave y que ya no se usará para firmar tokens.

Cifrado de tokens

En ACS, puede seleccionar para cifrar cualquier token SAML 1.1 o SAML 2.0 que ACS emite y envía a sus aplicaciones de usuario de confianza.

ImportantImportante
ACS no admite el cifrado de los tokens de SWT.

Se requiere el cifrado de tokens si una aplicación de usuario de confianza es un servicio web que usa tokens de prueba de posesión a través del protocolo de WS-Trust. Si usa la autenticación de agente ACS para dicha aplicación de usuario de confianza, se deberán cifrar todos los tokens emitidos por ACS para esta aplicación de usuario de confianza. En todos los demás escenarios el cifrado de token es opcional.

ACS cifra los tokens de SAML mediante un certificado X.509 que contiene una clave pública (archivo .cer). El token lo recibe y descifra a continuación una aplicación de usuario de confianza mediante una clave privada para dicho X.509. Para obtener más información, vea el apartado sobre cifrado de tokens en Aplicaciones de usuario de confianza.

Descifrado de tokens

ACS puede aceptar tokens cifrados de los proveedores de identidades de WS-Federation (por ejemplo, AD FS 2.0). Se usa un certificado X.509 hospedado en ACS en este escenario. El proveedor de identidades de WS-Federation recibe la clave pública de este certificado X.509 cuando importa los metadatos de WS-Federation de ACS y usa esta clave pública para cifrar el token de seguridad que se reenvió a ACS. ACS descifra a continuación este token con la clave privada de este certificado X.509. Para obtener más información, vea Procedimiento: Configurar AD FS 2.0 como proveedor de identidades.

Certificados de descifrado de token principales frente a secundarios

En ACS, puede establecer el certificado de descifrado de tokens como certificado de token principal para el espacio de nombres de servicio de ACS predeterminado. Si no se puede descifrar un token de entrada mediante el certificado principal, se intenta el descifrado usando los certificados de descifrado de tokens no principales configurados. La designación de un certificado de descifrado de tokens como principal disminuye los certificados de descifrado principales existentes a secundarios.

Obtener un certificado X.509

Hay varias maneras de obtener un certificado X.509 para cifrado, descifrado o firma de tokens. El método que use depende de los requisitos y las herramientas disponibles en su organización.

Entidad de certificación local: si su organización ha implementado una entidad de certificación (CA), como Servicios de certificados de Active Directory (AD CS), puede solicitar un certificado X.509. Puede que tenga que ponerse en contacto con su administrador de entidades de certificación para obtener instrucciones o permisos. Para obtener más información acerca de los Servicios de certificados de Active Directory (puede estar en inglés), vea Active Directory Certificate Services (http://go.microsoft.com/fwlink/?LinkID=214102).

Entidad de certificación comercial: puede comprar un certificado X.509 de una entidad de certificación comercial.

Generar un certificado de firma automática: puede usar software para generar su propio certificado de firma automática para usarlo con ACS. Este enfoque se recomienda solo para fines de pruebas pero se puede realizar si no tiene acceso a un CA local o no desea pagar un CA comercial. Si está ejecutando un sistema operativo basado en Windows, puede descargar MakeCert.exe como parte del kit de desarrollo de software de Microsoft Windows (http://go.microsoft.com/fwlink/?LinkID=214104) y usarlo para generar un certificado.

Puede ejecutar el siguiente comando para generar un certificado de firma automática en el almacén de certificados personales.

MakeCert.exe -r -pe -n "CN=<service_namespace_name>.accesscontrol.windows.net" -sky exchange -ss my

donde <nombre_espaciodenombres_servicio> es el nombre de su espacio de nombres de servicio de ACS.

A continuación, exporte la clave privada del almacén personal como archivo .pfx y cárguelo en ACS mediante el portal de administración.

Exportar su certificado de firma automática desde un equipo que ejecuta Windows 7 o Windows Vista

Para exportar su certificado de firma automática desde un equipo que ejecute Windows 7 o Windows Vista

  1. Como administrador, haga clic en Inicio, escriba lo siguiente en el cuadro Buscar y, a continuación, presione Entrar:
    mmc

  2. En la consola MMC, haga clic en Archivo y, a continuación, haga clic en Agregar o quitar complemento.

  3. Seleccione Certificadosy, a continuación, haga clic en Agregar.

  4. Seleccione Mi cuenta de usuario y, a continuación, haga clic en Finalizar.

  5. Para cerrar el cuadro de diálogo Agregar un complemento independiente, haga clic en Aceptar.

  6. En la consola, haga doble clic en Certificados - Usuario actual.

  7. En la consola, expanda Personal y, a continuación, expanda Certificados.

  8. Haga clic con el botón secundario en el certificado que ha creado anteriormente. Haga clic en Todas las tareas y, a continuación, en Exportar para iniciar el Asistente para exportación de certificados.

  9. En la página de bienvenida del Asistente para exportación de certificados, haga clic en Siguiente.

  10. En la página Exportar la clave privada, seleccione , exporte la clave privada y, a continuación, haga clic en Siguiente.

  11. En la página Formato de archivo de exportación, asegúrese de que la opción Intercambio de información personal - PKCS #12 (.PFX) está seleccionada.

  12. En los campos Contraseña, escriba una contraseña (dos veces) y, a continuación, haga clic en Siguiente.

  13. En el campo Nombre de archivo, escriba el nombre del archivo que desea exportar y, a continuación, haga clic en Siguiente.

  14. Haga clic en Finalizar.

Vea también

Mostrar:
© 2014 Microsoft