Logon w2k3serv

Chip Card Computing

Configurar el logon de tarjetainteligente mediante el Cryptokit en un

servidor con Windows 2003

COPYRIGHT © 2004 C3PO CHIP CARD COMPUTING 1 Logon Windows 2003 Server

Chip Card Computing

Copyright © 2004, C3PO, S.L.Se ha intentado por todos los medios que toda la información contenida en estedocumento sea lo más fiable y precisa posible. C3PO, S.L. no es responsable decualquier daño directo o indirecto o pérdida de negocio derivada de inexactitudes uomisiones. Las especificaciones contenidas en este documento pueden sufrir cambios sinprevio aviso. C3PO es una marca registrada por C3PO, S.L. Microsoft Windows™, Microsoft WindowsNT™, y Windows 95/98™ son marcas registradas por Microsoft Corporation. Cualquierotro nombre de producto referenciado en esta guía es marca registrada de su respectivofabricante.Código de Referencia: Logon Windows 2003 Server

Información de contacto:C3PO, S.L.Bertran, 11308023 Barcelona - [email protected]://www.c3po.es


Chip Card Computing

Índice1.- Introducción..................................................................................................................... 42.- Instalación del Controlador de Dominio y Active Directory............................................. 63.- Características de los diversos tipos de CAs............................................................... 144.- Instalación de la CA...................................................................................................... 165.- Preparación de la CA para generar certificados en la tarjeta....................................... 246.- Activación de los permisos de las páginas Active Server............................................. 267.- Instalación del Cryptokit................................................................................................ 288.- Instalación del lector LTC31 USB................................................................................. 299.- Generación del certificado del Agente de Inscripción................................................... 3510.- Generación de los certificados para el resto de usuarios........................................... 3911.- Iniciar una sesión con la tarjeta inteligente................................................................. 4612.- Configuración de la extracción de la tarjeta................................................................ 4713.- Renovación del certificado de la CA........................................................................... 4914.- Glosario....................................................................................................................... 51Apéndice: Descripción del proyecto en Windows 2000 Server.......................................... 53


Chip Card Computing

1.- Introducción

El objetivo de este manual es detallar los pasos necesarios para conseguir poder iniciaruna sesión en Windows con sólo insertar una tarjeta criptográfica.Esta funcionalidad resulta muy interesante en las empresas que tienen montado unservidor de dominio que identifica a cada usuario, por lo que los empleados estánconectados en red y deben escribir cada vez su nombre de usuario y contraseña parainiciar una sesión en Windows. Este método conlleva un posible riesgo de que alguienpueda entrar en nuestra cuenta sabiendo nuestro nombre de usuario y contraseña.Mediante el uso del login por tarjeta, sólo se puede entrar en la sesión de un usuario si seposee la tarjeta de éste y se conoce el PIN (número de identificación personal) de latarjeta.Cabe destacar que sólo se puede implementar esta técnica en máquinas que tenganinstalado Windows 2000, XP o 2003, en sus distintas versiones. En el resto de versionesde Windows (95, 98, Me y NT4) no es posible la implantación de este sistema.La estructura de máquinas que se comenta en este documento es una posible soluciónpara implantar la funcionalidad comentada pero no la única. En esta solución se garantizaun mínimo de seguridad entre las tres distintas máquinas que componen este sistema deincio de sesión.Las 3 partes que forman la estructura son:– El servidor principal: con funciones de Servidor de Nombres del Dominio (DNS),

Servidor de Usuarios y Máquinas del Dominio (Active Directory) y AutoridadCertificadora (CA). Este servidor sólo podrá tener instalado Windows 2000 Server oWindows 2003 Server.

– El Agente de Inscripción (Enrollment Agent): esta máquina generará todos loscertificados para los empleados de la empresa a través del servidor principal.

– El resto de máquinas de los empleados: cualquier otra máquina con la que se podráiniciar una sesión en Windows 2000, XP o 2003.

Cabe destacar que este manual describe los pasos a seguir para configurar un servidorprincipal dónde se ha instalado Windows 2003 Server. En caso de haber montado unservidor con Windows 2000 Server, debe seguir los mismos procedimientos que secomentan aquí, pero los asistentes de configuración que encontrará serán diferentes.

Estructura de los capítulosDurante los diversos capítulos se irá viendo cómo llegar a tener esta estructura enfuncionamiento, de forma que:– Del capítulo 1 al 5 se describen los pasos a seguir para montar el servidor principal.– En los capítulos 6 y 7 se instala el Cryptokit y el lector en las máquinas de los

empleados y en la máquina del Agente de Inscripción.– En los capítulos 8 y 9 se comenta cómo configurar el Agente de Incripción.


Chip Card Computing

– Y por último, en los capítulos 10 y 11 se explica cómo se inicia una sesión en Windowscon la tarjeta CERES.

Convenciones tipográficas utilizadas en este manual

NegritaSe escribirán en negrita los nombres propios de utilidades o recursos importantes

respecto este manual, como por ejemplo: Servidor de Aplicaciones.

CursivaSe escribirán en cursiva las opciones que tendrá que seleccionar en su pantalla,

como por ejemplo: Pulse en Aceptar.

SubrayadoSe escribirán subrayadas las palabras que hagan referencia un capítulo de este

manual, como por ejemplo: Características de los diversos tipos de CAs.

Carácter MonoespaciadoSe escribirán en caracteres monoespaciados aquellas palabras que indiquen

nombres de archivos, carpetas o una dirección url, como por ejemplo: Setup.exe.

Combinaciones de teclado

En una combinación de teclado (como Ctrl-Alt-Supr), un guión indica que las teclas debenser pulsadas simultáneamente, es decir, en la combinación anterior la tecla Ctrl, la teclaAlt y la tecla Supr serán pulsadas a la vez para realizar la acción deseada.


Chip Card Computing

2.- Instalación del Controlador de Dominio y Active Directory

Como ya irá comprobando en todo este manual, la puesta a punto del servidor segestionará mediante la aplicación que viene por defecto en el sistema operativo,Administre su servidor. Lo primero que le indicamos es cómo se accede a esta aplicación y a medida que seanecesario, le indicaremos cómo incrementar sus funcionalidades. En este primer apartadoinstalará un Controlador de Dominio y el Active Directory.

1. Haga clic en Inicio, apunte en Herramientas administrativas y haga clic en Administresu servidor.Aparecerá la pantalla siguiente:


Chip Card Computing

2. Para añadir una función haga clic en Agregar o quitar función y en Siguiente.


Chip Card Computing

3. Para que el servidor acepte login con Windows es preferible seleccionar la primeraopción. Haga clic en Configuración típica para un servidor principal y en Siguiente.


Chip Card Computing

4. Introduzca el nombre que desea para su dominio y haga clic en Siguiente.


Chip Card Computing

5. Introduzca el nombre que usará para identificar el nombre de dominio en su red local yhaga clic en Siguiente.

6. Si tiene otro Servidor DNS puede introducir la dirección IP de éste para posiblesreenvíos de consultas. Si no dispone de otro servidor, seleccione la otra opción. Enambos casos, haga clic en Siguiente.


Chip Card Computing

7. Se mostrará un resumen de las opciones seleccionadas. Si está todo correcto, pulseen Siguiente.


Chip Card Computing

8. En este momento, se instalarán todos los componentes previos y una vez terminadodeberá reiniciar el equipo. Se mostrará la pantalla siguiente:


Chip Card Computing

9. Haga clic en Siguiente y después en Finalizar. Ahora con las opciones instaladas desu servidor, la pantalla incial del administrador de su servidor debería ser similar aésta:


Chip Card Computing

3.- Características de los diversos tipos de CAs.

Para planificar su estructura de Autoridad Certificadora (CA), antes debe comprenderlos diferentes tipos de CAs disponibles con Windows Server 2003 y las funciones quepueden desempeñar. Los servicios de certificado de Windows Server 2003 soporta losdos tipos de CAs siguientes:• Empresa• Independiente

Estos dos tipos pueden configurarse tanto CAs Raíz como CAs Subordinadas.

Entidad emisora raíz de la empresaUna entidad emisora raíz es la CA con mayor confianza en la jerarquía de una empresabasada en Windows 2003 . Por razones de seguridad, se suele configurar para generarcertificados sólo para sus CAs subordinadas. Debe adoptar este tipo de entidad si deseagenerar certificados para los usuarios y máquinas dentro de la empresa.

La entidad emisora CA raíz tiene los siguientes requerimientos:– Servidor DNS instalado (requerido por el Active Directory).– Directiva de Seguridad del dominio instalada. – Derechos de administrador en el DNS, directorio y servidores CA.

Entidad emisora subordinada de la empresaUna entidad subordinada es una CA que genera certificados dentro de la empresa, perono es la CA de mayor confianza. (Es subordinada respecto a otra CA en la jerarquía).

La entidad emisora CA subordinada tiene los siguientes requerimientos:– Servidor DNS instalado (requerido por Active Directory).– Directiva de Seguridad del dominio instalada. – Una CA padre que puede ser una CA externa de una asociación o una CA raíz.

Entidad emisora raíz independienteComo la anterior entidad raíz mencionada, es la CA con mayor confianza en la jerarquíade una empresa. No obstante, como es independiente, no requiere tener el ActiveDirectory instalado y no utiliza las plantillas de certificados para generarlos. Cualquierpetición de certificado, debe ser aprobada por el administrador de la red para que se


Chip Card Computing

considere un certificado válido. Debe instalar una entidad emisora raíz independiente sitiene previsto generar certificados para aplicaciones de seguridad de clave pública enredes externas a su empresa o Internet, en las cuales, los clientes tienen cuentas deWindows 2000 o Windows 2003 Server, y el volumen de certificados a generar yadministrar es relativamente bajo. Las entidades emisoras raíz suelen generar loscertificados sólo para entidades subordinadas.

Una CA independiente requiere derechos de administrador en el servidor local.

Entidad emisora subordinada independienteUna CA subordinada independiente es una CA que opera en solitario como un servidorde certificados para los clientes, o existe en una jerarquía de confianza de la empresa yse sitúa por encima de otra entidad subordinada. Debe instalar esta CA si desea generarcertificados para otras entidades externas a la empresa y preservar el acceso directo a laCA raíz.

La entidad emisora CA subordinada independiente tiene los siguientes requerimientos:– Una asociación con una CA que procese los certificados generados por ésta.– Derechos de administrador en el servidor local.

Cuadro resumen de las opciones para cada tipo principal de CA

Opción CA empresa CAindependiente

Publica certificados en el Active Directory y usa elActive Directory para validar la solicitud decertificados.

X

Puede estar en modo “offline”. XSe configura para generar certificadosautomáticamente. XPermite al administrador aprobar las peticiones decertificados manualmente. XUtiliza las plantillas de certificados. XAutentica las peticiones en el Active Directory. X


Chip Card Computing

4.- Instalación de la CA.

La siguiente función a añadir es que el servidor sea una Autoridad Certificadora y por lotanto, pueda generar certificados.

1. Primero debe instalar Internet Information Server (IIS). En la pantalla del Administresu servidor, pulse en Agregar o Quitar función y en Siguiente.

2. Debería aparecer la pantalla siguiente, en la cuál debe seleccionar Servidor deAplicaciones y haga clic en Siguiente.


Chip Card Computing

3. Existe la opción de añadir un par de opciones extras en su servidor: Extensiones deservidor de FrontPage y Habilitar ASP.NET. Para nuestro objetivo, no es necesarioestas funcionalidades, si lo desea añádalas. En ambos casos pulse en Siguiente.


Chip Card Computing

4. Aparecerá un resumen de las opciones seleccionadas previamente. Pulse enSiguiente.

5. Se instalarán todas las opciones anteriores y al finalizar se mostrará la siguientepantalla, pulse en Finalizar.


Chip Card Computing

6. Ahora deberá instalar el Servidor de Certificados (Certificate Server). Diríjase aAgregar o Quitar Componentes de Windows de Agregar o Quitar Programas del Panelde Control. Allí seleccione Servicios de Certificate Server para instalar.

7. Puede que aparezca un aviso entre la relación del nombre del equipo y dominio y loscertificados. Pulse Sí para continuar.


Chip Card Computing

8. Ahora deberá especificar el tipo de CA que quiere que implemente su servidor. Si dudade cuál es la CA que mejor se adapta a sus necesidades o si desea más informaciónacerca de cada una de las distintas CAs, consulte el capítulo 3: Características de losdiversos tipos de CAs. Una vez ya lo tenga decidido pulse Siguiente.

9. En este ejemplo, seleccionamos la primera opción, Entidad emisora raíz de laempresa.


Chip Card Computing

10.En la siguiente pantalla deberá introducir el nombre con el que se identificará suServidor de Certificados. Una vez escrito, pulse Siguiente.


Chip Card Computing

11.Se generarán las claves del certificado raíz y después deberá especificar lasubicaciones donde se guardarán la base de datos y el registro de los certificados.Pulse Siguiente.

12.Aparecerá una advertencia informando de la necesidad de detener los servicios decertificados para poder continuar. Pulse Sí.


Chip Card Computing

13.Para finalizar la instalación se muestra una advertencia de los posibles riesgos deactivar las ASP. Cuando toda la instalación concluya, compruebe los permisos de laspáginas ASP. Si va a continuar la instalación ahora pulse Sí y puede saltarse elcapítulo 6 sobre Activación de los permisos de las páginas Active Server, de locontrario pulse No.

14.Una vez finalizada la instalación de Certificate Server, pulse Finalizar.


Chip Card Computing

5.- Preparación de la CA para generar certificados en la tarjeta.

Tal como tiene configurado hasta ahora el servidor, no puede generar certificados parahacer logon con ninguna tarjeta criptográfica ni con ningún lector. Por lo que debe añadirlas plantillas de certificados correspondientes para soportar esta función.

1. Así pues, en la Autoridad Certificadora creada deber añadir nuevas plantillas decertificado para que pueda generar certificados dentro de la tarjeta inteligente. EnHerramientas administrativas seleccione Entidad Emisora de Certificados.

2. Seleccione la carpeta Plantillas de certificado para visualizar las diversas plantillas.Necesita disponer de las plantillas Agente de inscripción, Usuario de tarjetainteligente e Inicio de sesión con tarjeta inteligente. Encima de la ventana de laderecha haga clic con el botón derecho y en el submenú Nuevo seleccione Plantilla oCertificado que se va a emitir.


Chip Card Computing

3. En la pantalla de las diferentes plantillas, seleccione las mencionadas anteriormente ypulse Aceptar.

4. Una vez las tres plantillas estén instaladas, le debería aperecer una pantalla similar aésta:


Chip Card Computing

6.- Activación de los permisos de las páginas Active Server.

Una vez ya tiene las plantillas instaladas, se deben dar los permisos correctos (sianteriormente no los ha activado) para poder conectarse al servidor de certificados ysolicitarlos.

1. Diríjase a Administre su servidor.2. Seleccione Servidor de Aplicaciones.3. Despliegue el menú Administrador de Internet Information Services (IIS) y el submenú

Equipo Local hasta llegar a Extensiones de Servicio Web como se muestra en laimagen:


Chip Card Computing

4. Debe permitir que los usuarios puedan conectarse a las páginas del Active Serverpara poder solicitar los certificados. Para dar los permisos correctos debe seleccionarla opción Páginas Active Server, que ahora está en estado Prohibido, y pulse encimaPermitir.

5. Ahora ya está listo para solicitar certificados.


Chip Card Computing

7.- Instalación del CryptokitEl Cryptokit es un software que le instala los componentes necesarios para trabajar conel lector LTC31 y la tarjeta CERES. La instalación del Cryptokit será necesaria en todaslas máquinas clientes que deseen hacer el logon con tarjeta en Windows. Ademástambién debe instalarse en la máquina del Agente de Inscripción para poder expedir loscertificados clientes.1. Se puede bajar de la web en http://www.c3po.es/pv_cryptokit.html la

última versión del Cryptokit y descomprimirla en un directorio temporal, o si disponedel Cryptokit en formato CD-ROM, insértelo en la unidad lectora.

2. Dentro de este directorio o CD tendrá un fichero Setup.exe, ejecútelo. El proceso deinstalación dura unos segundos, al cabo de éstos le aparecerá una pantalla en la quese le pedirá que reinicie el equipo. Pulse Sí.

3. Una vez el PC reinicie, la instalación ya habrá finalizado.


Chip Card Computing

8.- Instalación del lector LTC31 USB

1. En la misma carpeta donde está todo el Cryptokit descomprimido tendrá loscontroladores del lector LTC31.

2. Conecte el lector a un puerto USB y el sistema detectará el lector.


Chip Card Computing

3. Segundos después le preguntará cómo desea instalar los controladores, seleccioneInstalar desde una lista o ubicación específica y pulse Siguiente:


Chip Card Computing

4. Seleccione la segunda casilla y escriba la ubicación donde se encuentran loscontroladores del lector. Éstos están situados dentro del directorio dondedescomprimió Cryptokit, en la carpeta USB dentro de Drivers LTC31 (haga clic enExaminar si es necesario). Pulse Siguiente.


Chip Card Computing

5. Windows buscará los drivers donde se ha especificado:

6. Es posible que aparezca una pantalla advirtiendo que los controladores no estánfirmados por Microsoft. No se preocupe, los controladores que va a instalar funcionanperfectamente y no verá disminuido el rendimiento de su ordenador. Pulse Continuar.


Chip Card Computing

7. Ahora se copiarán los controladores del lector en la carpeta adecuada del S.O.


Chip Card Computing

8. Una vez todos los ficheros estén copiados pulse Finalizar para terminar el proceso deinstalación.


Chip Card Computing

9.- Generación del certificado del Agente de Inscripción

Dado que es muy probable que deba generar gran cantidad de certificados para todos losclientes/empleados y es poco viable que cada uno de ellos genere su certificado, existe laposibilidad de configurar un PC para poder solicitar todos los certificados de los clientes.Esta máquina, que a partir de ahora será el Agente de Inscripción, actuará comointermediario entre el Servidor de Certificados (CA) y cualquier cliente que necesite uncertificado, de modo que la CA confiará en él para expedirlo. Esta confianza se basa en lageneración previa de un certificado que autentique el Agente de Inscripción como tal.Es muy recomendable que la máquina donde se genere sea otra diferente al Servidor deCertificados.

1. Desde la máquina destinada a desempeñar la función de Agente de Inscripción,conéctese al Servidor de Certificados usando el navegador Internet Explorer. Ladirección usual para conectarse al Servidor de Certificados eshttp://<nombre_de_máquina>/certsrv (donde <nombre_de_máquina> deberásustituirlo por el nombre de máquina del Servidor de Certificados, en nuestro caso,ASBW2K3.


Chip Card Computing

2. Seleccione la tarea Solicitar un certificado.

3. Y ahora Solicitud de certificado avanzada.

4. Ahora pulse encima de la opción Crear y enviar una solicitud a esta CA.


Chip Card Computing

5. En este formulario seleccione como plantilla de certificado la de Agente deInscripción, el Cryptographic Service Provider (CSP), es preferible que escoja laopción Enhanced que aparece por defecto y sin modificar ninguna otra opción pulse enel botón Enviar. Este certificado se genera en software por lo que debe almacenarseen una máquina segura diferente a la CA. El Proveedor de Servicios de Cifrado (CSP)es el módulo criptográfico que se usará para generar el certificado y las clavesasociadas. Cada uno de estos CSPs tiene sus propio funcionamiento, por ejemplo, elCeresCSP es el módulo criptográfico que se utilizará para generar el certificado consus claves en la tarjeta.

6. Una vez el certificado esté generado, aparecerá la siguente pantalla, en la cuál deberápulsar Instalar este certificado para que se almacene en el PC y se concluya lasolicitud.


Chip Card Computing

7. Si la instalación del certificado ha concluído con éxito se mostrará la siguiente pantalla:


Chip Card Computing

10.- Generación de los certificados para el resto de usuarios

A partir de ahora, todo consiste en generar tantos certificados en la tarjeta criptográficacomo sea necesario. Siempre se llevará a cabo el mismo procedimiento, el cuál sedescribe a continuación:

1. La máquina en que se ha instalado el certificado del Agente de Inscripción, deberáconectarse al servidor de certificados vía Internet Explorer y solicitar un certificadoavanzado.

2. Una vez en esta pantalla, haga clic en la tercera opción (Solicitar un certificado parauna tarjeta inteligente de otro usuario usando la Estación de inscripción de certificadospara tarjetas inteligentes):

3. Puede que aparezca esta advertencia:


Chip Card Computing

Si esto ocurre, será por culpa del nivel de seguridad configurado en la página que sesolicitan los certificados. Se debe bajar el nivel de seguridad al mínimo para poderdescargar el ActiveX solicitado.

4. Pulse Opciones de Internet del menú de Internet Explorer Herramientas. Seleccione lapestaña Seguridad y pulse encima del icono Intranet Local.

5. Aquí, pulse encima de Nivel predeterminado.


Chip Card Computing

6. Le aparecerá una barra de desplazamiento vertical, la cuál debe desplazar hasta elnivel más bajo. Este nivel será el nivel de seguridad Baja que permitirá descargar elcontrol ActiveX. Pulse Aceptar.


Chip Card Computing

7. Ahora ya puede volver a la página de solicitud de certificado anterior. Aparecerá unaadvertencia del control ActiveX y en ella pulse Sí.


Chip Card Computing

8. A partir de aquí, ya puede solicitar un certificado para una tercera persona y éste seinstalará en la tarjeta CERES de esta persona. Para ello, debe seleccionar elCeresCSP como el Proveedor de servicios de cifrado, la Entidad emisora decertificados debe ser el servidor donde tiene instalado la CA (en nuestro caso esC3PO CERTIFICATE SERVER), la Plantilla de certificados a seleccionar dependerádel uso deseado del certificado, si sólo quiere iniciar la sesión de Windows con latarjeta escoja Inicio de sesión de Tarjeta Inteligente. No obstante, si desea másfunciones criptográficas seleccione la plantilla Usuario de Tarjeta Inteligente. En elrecuadro de Certificado de firma de administrador debe seleccionar el certificadogenerado previamente en software, normalmente aparece seleccionado por defecto, yen el último recuadro debe escoger al usuario al que quiere generar el certificado. Esteusuario debería existir en el Active Directory del servidor.


Chip Card Computing

9. Una vez seleccionado el usuario, inserte la tarjeta en el lector y pulse Inscribir. Unaventana le pedirá el PIN de la tarjeta. Introdúzcalo y pulse Aceptar.


Chip Card Computing

10.Segundos más tarde, le aparecerá esta pantalla confirmando la instalación correctadel certificado. Lo puede ver pulsando Ver certificado:

11.Si desea generar más certificados en otras tarjetas, pulse Usuario Nuevo. Elprocedimiento es exactamente el mismo, salvo que se debe seleccionar otro usuario.

12.En este momento ya puede operar con el certificado.


Chip Card Computing

11.- Iniciar una sesión con la tarjeta inteligente

Una vez se han configurado adecuadamente tanto el cliente con la tarjeta inteligentecomo el servidor de certificados, ya puede iniciar una sesión de Windows 2000, XP o2003. En el momento de iniciar la sesión aparecerá la pantalla de bienvenida de Windows, queen este caso tendrá un icono con un lector:

Para iniciar su sesión de forma normal deberá teclear Ctrl-Alt-Supr y después escribir sucontraseña. A partir de ahora, también existe la posibilidad de entrar en su sesiónmediante el certificado que se instaló en la tarjeta criptográfica.En lugar de teclear Ctrl-Alt-Supr puede insertar su tarjeta en el lector y la pantalla lecambiará a ésta:

Con tan sólo teclear el PIN de su tarjeta, ya podrá iniciar su sesión. En este momento, elcontrolador de dominio comprueba que el propietario del certificado que hay en la tarjetacoincide con un usuario del Active Directory y también se comprueba que el PIN de latarjeta es el correcto. De lo contrario, no se podrá iniciar la sesión.


Chip Card Computing

12.- Configuración de la extracción de la tarjeta

Existen varias estrategias que se pueden configurar para definir un comportamientocuando se extrae la tarjeta del lector habiendo iniciado una sesión con la tarjetacriptográfica.

1. Haga clic en Inicio, Herramientas Administrativas y entre en Directiva de SeguridadDe dominio. Para visualizar todas las opciones de seguridad disponibles despliegue lascarpetas Configuración de seguridad, Directivas locales hasta llegar a Opciones deSeguridad.


Chip Card Computing

2. Haga doble clic en la opción Inicio de sesión interactivo: comportamiento de extracciónde tarjeta inteligente. El cuadro de diálogo que aparece es el siguiente:

3. Existen tres opciones disponibles. Escogiendo No se requiere opción implica que nose haga nada en el momento de la extracción. Bloquear estación de trabajo bloquea elPC cuando se extrae, desbloqueándose cuando se vuelve a insertar la tarjeta. Porúltimo, Forzar cierre de sesión cierra la sesión al usuario del PC. Escoja la opciónadecuada para sus necesidades y pulse en Aceptar.

4. Cabe destacar que estas opciones seleccionadas se aplican a todos los usuarios deldominio. Si desea una opción u otra dependiendo del usuario, puede definir lasopciones para cada usuario de forma local.


Chip Card Computing

13.- Renovación del certificado de la CA

Cuando se caduque el certificado raíz de su CA, ya no podrá generar más certificados.En este caso, es preciso que renueve el certificado.

1. Diríjase a Herramientas administrativas seleccione Entidad Emisora de Certificados.Aparecerá una página similar a ésta:

2. Sitúese encima del nombre de su Servidor de Certificados (en este caso, C3POCERTIFICATE SERVER), haga clic con el botón derecho del ratón y seleccione laopción Renovar certificado de entidad emisora....


Chip Card Computing

3. Aparecerá una pantalla preguntándole si desea detener el Servidor de Certificados.Pulse Sí.

4. En el siguiente cuadro de diálogo se especifica qué conlleva la generación de uncertificado raíz. Una vez se lo haya leído, pulse en Aceptar.

Una vez finalizado este proceso el certificado queda renovado e instalado en el sistema.


Chip Card Computing

14.- Glosario

ActiveX Las tecnologías ActiveX® permiten que el software sea distribuidopor Internet. Encontrará ActiveX en la forma de controles ActiveX,usualmente artículos de gráficos como emblemas que sedesplazan, en sitios de Web. Piense en ellos como pequeñosprogramas dentro del sitio que se ejecutan en su computadora.Un control ActiveX puede ser firmado digitalmente por su autor.

Active Directory Repositorio de usuarios y máquinas que tienen acceso al dominiode la red administrado por el servidor principal.

Active Server Pages Es el entorno de ejecución "lado-servidor" de Internet InformationServer que posibilita la ejecución de "Scripts ActiveX" ycomponentes "ActiveX Server" en el servidor. Con la combinaciónde scripts y componentes, las organizaciones pueden crearfácilmente contenido dinámico y potentes aplicaciones basadasen Web (aplicaciones para Internet).

Agente de Inscripción Máquina encargada de solicitar los certificados paraterceras personas utilizando un certificado generado previamenteque le autentica como tal.

ASP Véase Active Server Pages.

Autoridad Certificadora Máquina encargada de gestionar los certificados a generar,puede gestionarlos de forma idependiente o relacionándose conotras Autoridades Certificadoras.

CA Véase Autoridad Certificadora.

CeresCSP Módulo criptográfico usado con la tarjeta CERES.

Certificate Server Véase Servidor de Certificados.

Cryptographic Service Provider Véase Proveedor de Servicios Criptográficos.

Cryptokit Kit criptográfico que consiste en un lector LTC31, una tarjetacriptográfica CERES y del software Crypto-tool destinado parafunciones de seguridad. En este manual se comenta una desus funcionalidades, el logon con tarjeta para Windows.

CSP Véase Proveedor de Servicios Criptográficos.

Directiva de seguridad Conjunto de opciones y reglas para modificar la seguridadde una máquina con Windows, del servidor de Windows o detodo el dominio del Active Directory.

DNS Acrónimo de Domain Name System, es decir, Sistema deNombres del Dominio. Es el servicio encargado de traducir losnombres de usuarios y máquinas que están en el ActiveDirectory en direcciones de red, para que se entiendan los


Chip Card Computing

diferentes ordenadores.

Enrollment Agent Véase Agente de Inscripción.

IIS Véase Internet Information Server.

Internet Information Server Conjunto de servicios disponibles en Windows 2003Server para que el servidor tenga funciones de servidor Web.

PIN Acrónimo de Personal Identification Number, es decir, Número deIdentificación Personal. Es un código para proteger la tarjetacriptográfica de lecturas y escrituras en zonas restringidas.

Proveedor de Servicios Criptográficos Módulo con funciones criptográficasque se utiliza para generar un certificado y las claves asociadas aéste.

Servidor de Aplicaciones Conjunto de opciones disponibles en Windows 2003Server que proporciona la tecnología necesaria para crear,distribuir y trabajar con servicios Web de XML, con aplicacionesWeb y aplicaciones distribuidas. Estas tecnologías incluyenASP.NET, COM+ y los servicios de Internet Information Server(IIS).

Servidor de Certificados Máquina encargada de generar los certificados para laspeticiones de generación, revocación o renovación de certificadosrecibidas.


Chip Card Computing

Apéndice: Descripción del proyecto en Windows 2000 Server

Si desea configurar el logon con tarjeta en un Windows 2000 Server, este manualtambién le puede ser de utilidad. Las herramientas a instalar y configurar sonexactamente las mismas que en Windows 2003. No obstante, los pasos a seguir tienenalgunas diferencias. El objetivo de este apéndice es ayudarle a montar el proyectodescrito en este manual, aunque sea en Windows 2000 Server.No hace falta mencionar que todas las imágnes mostradas en este manual serándiferentes de las que observará mientras lo configure.De forma análoga a la versión 2003, en Windows 2000 también existe un cuadro demandos para poder configurar el servidor. Para acceder a él basta con dirijirse al Panelde control, pulsar en Herramientas Administrativas y Configurar el Servidor.Desde allí, con ayuda de los asistentes de instalación, puede configurar tanto elControlador de Dominio como Active Directory y DNS.Los pasos a seguir son los siguientes:1. Instalación del Controlador de Dominio y Active Directory

• Primero, debe instalar Active Directory creando un Controlador de Dominio nuevopara un nuevo árbol de dominio.

2. Instalación del servidor DNS• Desde el asistente de Componentes de Windows, debe seleccionar Servicios de

Red y dentro de los subcomponentes, los Servicos de DNS.3. Configuración de la Autoridad Certificadora (CA)

• Antes de configurar la CA debe tener instalado y configurado Active Directory e IIS(Internet Information Server).

• Desde Agregar o Quitar Componentes de Windows, seleccione Servidor deCertificados. El asistente pedirá todos los datos correspondientes al certificado raízde su CA, así como los ficheros donde se almacenarán las listas de revocación.

4. Generación de las plantillas de certificado para emitir certificados en la tarjetainteligente• En la Entidad emisora de Certificados deberá instalar las plantillas de certificados

siguientes (si sólo desea el logon, con la segunda plantilla es suficiente):• Usuarios de tarjeta inteligente• Inicio de sesión de tarjeta inteligente

5. Configuración de una estación de inscripción de tarjeta inteligente• En la máquina destinada a ser estación de inscipción, debe solicitar un certificado

de Agente de Inscripción a la CA e instalarlo.6. Instalación de Cryptokit y el lector LTC31

• Deberá instalar Cryptokit y un lector LTC31 en toda máquina donde desee hacer


Chip Card Computing

logon con tarjeta y en la estación de inscripción.7. Solicitud de los certificados de usuarios de tarjeta inteligente en la estación de

inscripción• Desde la estación de inscripción solicitaremos todos los certificados de los usuarios

a la CA. Cabe mencionar que estos usuarios deben estar presentes en el ActiveDirectory del Windows 2000 Server.

8. Comprobación del correcto funcionamiento• En cualquier máquina del dominio que tenga instalado Cryptokit y un lector LTC31,

se podrá iniciar una sesión con tarjeta inteligente.

Se puede apreciar que los pasos son similares a los descritos en este manual paraWindows 2003 Server. Las primeras configuraciones que deben hacerse difieren un pocoen cuánto a accesibilidad de las aplicaciones ya que en la versión 2003 todas lasconfiguraciones están agrupadas según su finalidad. No obstante, con Windows 2000Server también puede implementar un proyecto de logon con tarjeta inteligente en sutotalidad, sin tener que actualizar ningún componente adicional.


Logon w2k3serv

Documents

Transcript of Logon w2k3serv