Certificados Digitales

Hola a tod@s, tengo un problema. Necesito hacer una aplicación web (de administración para mis clientes) y tengo que hacerlo con https y certificados digitales. Dispongo de Windows 2003 Enterprise y Certificate Services 2003 (incluido con el sistema operativo). Y después de esta introducción...
lo que necesito es asignar un certificado digital a cada cliente, pero personalizando los campos de dicho certificado. Necesitaría incluir unos campos (que obtengo de una base de datos). No sé si se puede hacer, pero lo que más me importa, es...cómo relleno los datos de un certificado de cliente, y cómo desde .NET puedo recuperarlos.
Muchas Gracias por todo.

No sé si te sirva esto, pero por las dudas míralo:

http://www.adictosaltrabajo.com/tuto...?pagina=iisssl

Gracias por la info que proporcionaron .... No se si lograste solucionar tu problem.. yo ahora estoy en las mismas y la verdad me encuentro estancado tratando de utilizar .net con certificados para los usuarios de una red privada.. agradeceria mucho si pudieran facilitarme algun link o info adicional

Atte

Yo lo que hago para crear mis certificados es usar Open SSL


Salu2

Tengo S.O. w2000 profesional con IIS. he instalado openssl para crear un certificado digital para servidor.

tambien necesito crear certificados cliente, despues de tanto buscar por la red. he ejecutado los siguientes pasos:

Para el certificado Servidor

clave privada del servidor
*****************************
openssl genrsa -des3 -out cakey.pem 2048
-----------------------------------

creacion info certificado CA para el servidor
***********************************************
openssl req -new -x509 -key cakey.pem -out cacert.pem -days 365
-------------------------------------------------------

creacion certificado digital de nuestra web para el servidor
************************************************** ********openssl x509 -req -days 365 -in certreq.txt -CA cacert.pem -CAkey cakey.pem -CAcreateserial -out iis.crt
--------------------------------------------------------------------------


Para un certificado Cliente

generando clave privada
*****************************
$ openssl genrsa -des3 -out clientkey.pem 2048

creando uncertificado de requerimiento
**********************************************
$ openssl req -new -nodes -out clientreq.pem -keyout clientkey.pem -subj "/C=US/ST=CA/L=City/CN=localhost/emailAddress=root@localhost"

firmando el requerimiento con la CA creada anteriormente en el servidor
************************************************** ***
openssl x509 -req -days 365 -CA cacert.pem -CAkey cakey.pem -CAcreateserial -in clientreq.pem -out clientcert.pem

generando un certificado cliente
***********************************
openssl pkcs12 -export -clcerts -in clientcert.pem -inkey clientkey.pem -out clientpkcs12.pfx

este archivo lo instalo en el servidor, (boton derecho -> add pfx)
al final en el IIS ya he añadido el certificado raiz. y he configurado el servidor web para que pida certificados del cliente....

Cuando voy a http://localhost/
se muestra el candadito en la parte inferior, (y me dice que no hay ningun certificado cliente) .lo que yo esperaba es qeu me mostrara un aventanita y me pidiera la frase... para mi certificado cliente.

1.- Quiero saber si el codigo que genere con openssl alguien lo pueda chequear y si ha visto otra manera de hacerlo...

2. Como hacer que el Certificado raiz reconozca los certificados cliente firmados por el mismo...

3. Como desinstalar un certificado generado por mi que ya no me sirve?

No estoy entendiendo mucho de como funciona esto realmente, lo que deseo es firmar documentos haciendo uso de los certifcados digitales...

si alguine sabe deme un ayuda o alguna direccion , etc.
gracias

JOhana

Buenas yo tengo un problema parecido al tuyo, pero en este caso, los certificados cliente que quiero usar son de la Fabrica Nacional de Moneda y Timbre.

Te respondo a lo que se

1- No tengo ni idea de si está bien.

2- En el explorador del servidor te vas a Hermientas-Opciones de Internet- Contenido - Certificados, y en la pestaña de certificados de coianza raiz CA o algo así, selccionas el que quieres con doble click, te vas a la pestaña de Detalles, pulsas sobre Mostrar Propiedades y habilitas la opción de autentificar clientes.Con esto conseguí que me saliese la dichosa ventanita para firmar (mi problema es que los de la FNMT me los revoca y me da un 403.13, sin embargo otros me los coje sin problemas)

3- Para desistalarlo, si te refieres al IIS, es igual que lo instalaste pero te sale una opción para desistalar, si te refieres al explorador (en IE) en Hermientas-Opciones de Internet- Contenido - Certificados, te vas al almacén donde está lo seleccionas y te da la opción de exportarlo o quitarlo.

suerte!!!!

Respecto al 2º Punto a mi me da un error en el paso:

firmando el requerimiento con la CA creada anteriormente en el servidor
3096:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib
.c:642:Expecting: CERTIFICATE REQUEST

pero no tengo ni idea

upsss...
ahite mando el codigo referente a esa linea:

paso 1:
crea un archivo con el nombre clientext.txt
y guarda los siguientes valores

subjectAltName = email:[ ]
basicConstraints = critical,CA:FALSE
nsCertType = client,email
nsComment = "This certificate was issued for testing purposes"


------------------------------------------------------------


en el paso
firmando el requerimiento con la CA creada anteriormente en el servidor
************************************************** ***
openssl x509 -req -days 365 -CA cacert.pem -CAkey cakey.pem -CAcreateserial -in clientreq.pem -extfile clientext.txt -out clientcert.pem

listo!! y sigue los pasos tal como estan alli descritos;

si no te funciona, borra los guiones y vuelvelos a escribir, a veces openssl se ocnfunde unpoco rexpecto a eso

Respecto a este paso,he realizado todos ellos pero igual,no pasa nada. me sigue moestrando la famosa pgina de error, con el mensaje :

This page requires you have a valid Client Certificate


ayuda por favor. es muy urgente para mi trabajo de investigacion

PDTA: Pienso que tal vez el certificado raiz que he creado pueda tener unproblema, o es necesario que el certificado raiz que he creado tenga que ser autenticado siempre por una CA externa?

Ola de nuevo, he conseguido crear el certificado cliente, siguiendo los pasos que me dijiste, la página que te sale es supongo que los sabes es porque como bien dices no da como válidos ninguno de los certificados personales de tu almacen, por lo que no te sale la ventanita.

Bien a lo que iba, siguiendo tus pasos he creado el CA del server y el del cliente, y como dices no autentifica el primero al segundo (a mi si me sale la ventanita puesto que tengo más que sí son válidos), por lo que creo que además hay que crear una lista de certificados revocados CRL o algo así he leído por la internete. ahora mismo estoy recavando información y haciendo pruebas, ya que a mi tambien me interesa darle a mis clientes mis certificados y no que tengan que ir al Ayuntamiento u otro lugar a por uno oficial.

Asi pues yo orientaría mi búsqueda hacia ese sentido, si quieres mirar tu por otro lado, mejor (divide y vencerás). en cuanto sepa algo lo pongo.

Un saludo.

Por cierto, si quieres para hacer pruebas te recomiendo un certificado cliente Thawte, es totalmente gratuito y es el que a mi no me da problemas

ayuuiuuuuuuuuuuda!!!, me he bajado un certidficado raiz de prueb y lo instale en mi maquina y configure en el IIS todo lo que tenia que hacerse, (que requiera certificados cliente) y no funciona, haste instale el certificado en mmc, y nada, hay alguna otra configuracion especial qeu deba realizar???

Has probado el de Twawte como te dije???El IIS da igual que certificado tenga instalado, el que importa a la hora a autentificar a un cliente, es el de éste y los que tenga el servidor en el almacen de certificados. Por eso te recomiendo Thawte xq el certificado raiz viene en el IE, y los certificados cliente son gratuitos. Al IIS no hay que hacerle nada especial, sólo entrar por https y ponerle o que acepte o que requiera Certificados Cliente.

Hola a todos...
Yo tambien ando con la Autoridad Certificador FNMT, pero como podria utilizar la FNMT para firmar unos pdf (una factura pdf).

Gracias ...
[email protected]

Como puedo crear certificados del lado del cliente usando openssl y servidor apache, si alquien puede darme una idea..... Gracias

Del lado del cliente no se puede, lo puedes hacer del lado del servidor y luego enviarlo al cliente, en el mensaje 5,vienen todas las instrucciones necesarias.

tengo un problema al generar los certificados del lado del cliente y es el siguiente:
the name on the security certificate invalid or does not match the name of the site
Alquien podria decirme como puedo solucionarlo.
Gracias de antemano

Has echo un copy paste de todos y cada uno de los pasos del mensaje 5??? cuando te da ese error.

Buenas,
He hecho todos los comandos como tu, y me pasa lo mismo. He configurado el IE para que me salga una ventana para elegir yo el certificado cuando un servidor lo pida. Y a pesar de haber instalado el certificado de cliente, en la ventana donde me pide escoger certificado sale vacía. Yo creo que ahi está el problema que a pesar de tener el certificado de cliente instalado, por alguna razon IE no lo ve como un certificado de cliente valido.
Has conseguido algo luanah40?


PD: no conocerá alguien algun servidor de certificados web que pueda instalarme que no sea el que viene con w2000 server? es que ahora mismo no puedo disponer de un w2000 server.

Como puedo conseguir eso? he entrado en https://www.thawte.com y no encuentro la opcion
gracias

Los certificados de thawte, los puedes conseguir en free personal e-mail cetrifcates.

Has instalado en el almacén de certificados el certificado raiz con el que has generado tu certificado personal del OpenSSL????

tienes que importar el archivo que genera esta instrucción:

openssl x509 -req -days 365 -CA cacert.pem -CAkey cakey.pem -CAcreateserial -in clientreq.pem -out clientcert.pem

al almacen de certificados raiz de confianza del equipo.

Ok gracias, acabo de pedirlo, me ha legado unas claves al mail he entrado y no veo certificado, supongo que tengo que esperar dos dias no?

Respecto a lo otro, he intentado agregar el clientcert.pem en el apartado de certificados del IE, pero en vez de agregarmelo en "peronales" me lo agrega en autoridades intermediarias. No se si eso es lo que te referias con "almacen de certificados de confianza del equipo"
muchas graciass por ayudarme

creo recordar que yo no tuve que esperar nada, apenas unos miutos, no haber, el tuyo personal el que se genera en la ultima intrucción lo debes agragar al almacen de personales. Pero el que te he dicho lo tienes que importar en el almacer de certificados raiz del equipo (NO del usaurio), es decir:

Herramientas - Opciones - Contenido - Certificados - Entidades emisoras raiz de confianza - Importar - Siguiente - "Seleccionar Archivo" - Colocar en el siguiente almacén (Examinar) - Mostrar Almacenes físicos - Entidades emisoras raiz - Equipo local - Aceptar -Aceptar- Finalizar.

Con esto ya lo debes tener listo, para que te reconozca tu certificado personal generado con OpenSSL.

Buenas,
ya he puesto el clientcert.pem tambien en el de entidades emisoras raiz de confianza pero nada.
Me sale la pantalla donde se supone que tengo que escoger el certificado pero sale vacía, y en certificados personales tengo uno. Se supone que debería de aparecer ahí no?

Puede darme algun problema el utilizar el mismo pc como cliente y servidor?

Graciasss

Por fin he conseguido el certificado de thaste. Y ahora si que en la lista me aparece para seleccionar ese certificado. Aunque sigue sin aparecerme como opcion el certificado por ssl :(

Si es normal que te salga, es una advertencia de que están solicitando la clave privada de tu certificado personal para certificar, y debes darle permiso si confias en quien te la pide. Es más siempre que vayas a firmar te saldrá.

Lo del OpenSSL, creo que m ralle yo, tienes que importar:

cacert.pem

al almacer de raiz de confianza (asegurate que es el almacén del equipo no el almacen personal)

y después tienes que importar

clientpkcs12.pfx

como certificado personal, entonces si que te debe aparecer éste también en la lista.

He conseguido que no salga el aviso, del thaste, exportando el certificado y volviendolo a importar ;)

El cacert.pem ya lo tenia metido, me hacia falta para que no direra el aviso al entrar a la web, ya que el certificado de la web tambien lo he creado con ssl. Pero nada sigue sin aparecer en la lista :(

Haz

Inicio - Ejecutar -> mmc

Archivo - Agregar o quitar Complemento - Agregar - >Certificados - botón Agregar - Cuenta de Equipo - Equipo Local - Finalizar - Cerrar - Aceptar.

Certificados (Equipo Local) - Entidades emisoras raíz de confianza- Certificados

Aquí busca tu certificado raíz, si no está aquí, importalo (botón derecho en la carpeta certificados, Tareas, importar), si sí que está..........bueno si está miraremos otras opciones.

Por cierto, si ya no te sale la ventanita como dices, es xq cuando lo has exportado, lo has hecho sin clave privada, lo que al importarlo lo has hecho sin clave privada. A mi no me parece buena idea, pero no se.

Por fin, agregandolo desde el mmc ya ha funcionado muchas graciasss, si no es por ti me parece que no me entero nunca, no hay mucha documentacion sobre certificados cliente en internet...

Respecto a la ventanita, con este certificado creado con openssl no me sale. Por lo que he entendido (que no entiendo mucho la verdad). Al importarlo hay una opcion que puedo activar o desctivar que dice si quiero confirmar cada vez que voy a usar el certificado. Si la activo al importarlo si que me sale esa ventana si no no.
Por otra parte, al importarlo me pide la pass para usar la clave privada, asi que entiendo que sigo usando la clave privada. Así supongo que todo esta bien no?