Introducción
En el mundo de la seguridad informática, los certificados digitales juegan un papel crucial en la autenticación y el intercambio seguro de información. IBM Resource Access Control Facility (RACF) nos ayuda a gestionarlos en los mainframe que usan este ESM (Recordamos que existen 3 ESMs: ACF2 y TSS de Broadcom y RACF de IBM.
Este artículo busca proporcionar una introducción a cómo IBM RACF gestiona los certificados digitales.
.%20The%20image%20sho.png) |
¿Qué son los Certificados Digitales?
Antes de sumergirnos en las particularidades de RACF, es esencial entender qué son los certificados digitales. Estos son archivos electrónicos que funcionan como una identificación digital. Contienen la clave pública de una entidad (ya sea un individuo, una empresa, un servidor, etc.) y son emitidos por una Autoridad de Certificación (CA). Su propósito es asegurar la autenticidad e integridad de las comunicaciones en la red.
IBM RACF y los Certificados Digitales
IBM RACF, ofrece un manejo robusto de certificados digitales. RACF utiliza estos certificados para varias funciones, incluyendo el establecimiento de sesiones seguras SSL/TLS, la autenticación de clientes y servidores, y la firma digital de datos.
Manejo de Certificados en RACF
RACF permite definir y administrar certificados digitales de diversas formas. Según el fichero de texto referenciado, RACF admite la creación, importación y exportación de certificados. Además, permite configurar atributos específicos para cada certificado, como su período de validez y las entidades autorizadas para usarlo.
Características Específicas de RACF
Una de las características destacadas de RACF es su capacidad para trabajar con diferentes tipos de certificados y claves. Puede manejar certificados X.509, que son un estándar en la industria, y permite la integración con distintas Autoridades de Certificación. Además, RACF es capaz de gestionar claves públicas y privadas asociadas a estos certificados, asegurando su almacenamiento y protección de manera segura.
Integración y Compatibilidad
RACF no solo se limita a la gestión de certificados en su propio ecosistema sino que también ofrece compatibilidad e integración con otras herramientas y plataformas de seguridad. Esto es especialmente importante en entornos empresariales donde la interoperabilidad entre diferentes sistemas y aplicaciones es crucial.
El Comando RACDCERT GENCERT
Cuando se ejecuta, RACDCERT GENCERT crea un nuevo certificado digital. Este certificado incluye una clave pública y una clave privada asociada. Los certificados digitales son esenciales para establecer comunicaciones seguras, autenticar usuarios y dispositivos, y garantizar la integridad y confidencialidad de los datos.
El proceso de generación de certificados implica:
Creación de un Par de Claves: El comando genera un par de claves criptográficas (pública y privada). La clave privada se mantiene secreta y segura, mientras que la clave pública se incluye en el certificado y se puede compartir.
Asignación de Atributos al Certificado: Esto incluye el nombre del titular del certificado, la validez del certificado (fecha de inicio y fin), y otros atributos relevantes como la Autoridad de Certificación (CA) que lo emite, en caso de que el certificado sea firmado por una CA externa.
Almacenamiento y Gestión: Una vez generado, el certificado se almacena de manera segura en el mainframe, permitiendo su administración a través de RACF.
Los certificados son fundamentales para:
- Establecer conexiones seguras (como SSL/TLS)
- Autenticar y autorizar usuarios y servicios.
- Firmar digitalmente documentos y transacciones para garantizar su integridad y autenticidad.
RACDCERT GENCERT es una herramienta esencial en la caja de herramientas de un administrador de seguridad de mainframe, permitiendo la creación y gestión efectiva de los elementos clave en la infraestructura de clave pública (PKI) en entornos RACF.
El Comando RACDCERT LISTCHAIN
Permite a los administradores de sistemas o de seguridad visualizar la cadena completa de certificados que están asociados a un certificado en particular. Una cadena de certificados es una serie de certificados digitales que comienza con el certificado del titular (el certificado en cuestión) y termina con un certificado raíz, pasando por cualquier número de certificados intermedios.
El comando es fundamental para:
Verificar la Confianza de un Certificado: Mediante la visualización de la cadena completa, los administradores pueden verificar si el certificado en cuestión está debidamente respaldado por una Autoridad de Certificación (CA) confiable y si la cadena de confianza está completa y válida.
Diagnóstico de Problemas de Seguridad: Permite identificar problemas relacionados con certificados no válidos, caducados o revocados que podrían estar causando fallos en las comunicaciones seguras o en la autenticación basada en certificados.
Cumplimiento de Políticas de Seguridad: Ayuda a asegurar que los certificados usados en la organización cumplen con las políticas internas de seguridad y con los estándares de la industria.
Uso del Comando en la Práctica
Al ejecutar RACDCERT LISTCHAIN, se debe especificar el certificado para el cual se desea ver la cadena. El sistema entonces despliega una lista que incluye:
- El certificado del titular.
- Todos los certificados intermedios (si los hay).
- El certificado raíz.
Cada entrada en la lista suele incluir detalles como el nombre del titular del certificado, el emisor del certificado, las fechas de validez, y posiblemente otras informaciones relevantes.
Con el ejemplo anterior, este sería el resultado del comando, a la hora de la práctica, es muy importante que la cadena esté completa:
RACDCERT LISTCHAIN(LABEL('USRTEST User'))
Certificate 1:
Digital certificate information for user USER002:
Label: USRTEST User
Certificate ID: 2QfC08HUyfDy5OLZ48Xi40DkooWZ
Status: TRUST
Start Date: 2021/02/17 00:00:00
End Date: 2022/02/17 23:59:59
Serial Number:
>01<
Issuer's Name:
>CN=Inter2Operations.OU=MyCo.C=US<
Subject's Name:
>CN=USRTESTOperations.OU=MyCo.C=US<
Signing Algorithm: sha256RSA
Key Type: RSA
Key Size: 2048
Private Key: YES
Ring Associations:
*** No rings associated ***
Certificate 2:
Digital certificate information for CERTAUTH:
Label: Intermediate Two
Certificate ID: 2QiJmZmDhZmjgcmVo4WZlIWEiYGjhUDjppZA
Status: TRUST
Start Date: 2021/02/17 00:00:00
End Date: 2022/02/17 23:59:59
Serial Number:
>01<
Issuer's Name:
>CN=InterOperations.OU=MyCo.C=US<
Subject's Name:
>CN=Inter2Operations.OU=MyCo.C=US<
Signing Algorithm: sha256RSA
Key Usage: CERTSIGN
Key Type: RSA
Key Size: 2048
Private Key: YES
Ring Associations:
*** No rings associated ***
Certificate 3:
Digital certificate information for CERTAUTH:
Label: Intermediate One
Certificate ID: 2QiJmZmDhZmjgcmVo4WZlIWEiYGjhUDWlYVA
Status: TRUST
Start Date: 2021/02/17 00:00:00
End Date: 2022/02/17 23:59:59
Serial Number:
>01<
Issuer's Name:
>CN=USRootCert.OU=MyCo.C=US<
Subject's Name:
>CN=InterOperations.OU=MyCo.C=US<
Signing Algorithm: sha256RSA
Key Usage: CERTSIGN
Key Type: RSA
Key Size: 2048
Private Key: YES
Ring Associations:
*** No rings associated ***
Certificate 4:
Digital certificate information for CERTAUTH:
Label: US Root Cert
Certificate ID: 2QiJmZmDhZmjgeTiQNmWlqNAw4WZo0BA
Status: TRUST
Start Date: 2021/02/17 00:00:00
End Date: 2022/02/17 23:59:59
Serial Number:
>00<
Issuer's Name:
>CN=USRootCert.OU=MyCo.C=US<
Subject's Name:
>CN=USRootCert.OU=MyCo.C=US<
Signing Algorithm: sha256RSA
Key Usage: CERTSIGN
Key Type: RSA
Key Size: 2048
Private Key: YES
Ring Associations:
*** No rings associated ***
Chain information:
Chain contains 4 certificate(s), chain is complete
Chain contains no ring in common
READY
END Tipos de Configuraciones SSL en Cliente y Servidor En una arquitectura cliente-servidor, SSL se puede configurar de diferentes maneras. La configuración más común implica que el servidor tenga un certificado SSL, mientras que el cliente verifica la autenticidad de este certificado. En configuraciones más avanzadas, tanto el cliente como el servidor pueden poseer certificados, lo que permite una autenticación mutua y aumenta la seguridad de la transmisión de datos. Cómo se Configura SSL La configuración de SSL implica varios pasos. Primero, se debe generar un par de claves (una pública y una privada). El servidor utiliza estas claves para crear un certificado SSL, que luego es validado y firmado por una Autoridad Certificadora (CA). Este certificado es lo que se presenta a los clientes cuando intentan establecer una conexión segura. Ejemplos de Configuraciones En un escenario típico, el servidor tiene un certificado SSL instalado. Cuando un cliente intenta conectarse al servidor, se realiza un "handshake" SSL, donde el servidor presenta su certificado al cliente. El cliente verifica este certificado contra una lista de CAs confiables. Si la verificación es exitosa, se establece un canal cifrado para la comunicación. Funcionamiento de SSL entre Cliente y Servidor El proceso de establecimiento de una conexión SSL implica varios pasos. Después de que el cliente verifica el certificado del servidor, ambos acuerdan un conjunto de claves de cifrado para la sesión. Esto asegura que todos los datos transmitidos entre el cliente y el servidor durante esa sesión sean cifrados y seguros. IBM RACF es una herramienta poderosa para gestionar la seguridad en mainframes IBM. RACF proporciona un entorno robusto para administrar y controlar el acceso a recursos críticos, incluyendo la gestión de certificados digitales para SSL. En un entorno que utiliza RACF, los certificados utilizados en la configuración SSL pueden ser administrados eficientemente. RACF permite almacenar, distribuir y controlar el acceso a estos certificados, asegurando que solo los usuarios y sistemas autorizados puedan utilizarlos. Esto es especialmente crucial en entornos donde la autenticación mutua es requerida, ya que RACF puede ayudar a gestionar los certificados tanto del cliente como del servidor de manera segura y centralizada.
