Protección de claves privadas
Introducción
- Los certificados se almacenan en una base de datos incrustada en el servidor FAS. Las claves privadas asociadas se almacenan mediante la cuenta de Servicio de red del servidor FAS y se marcan como no exportables de forma predeterminada.
Existen dos tipos de claves privadas:
- La clave privada asociada al certificado de la entidad de registro, de la plantilla de certificado Citrix_RegistrationAuthority.
-
Las claves privadas asociadas a los certificados de usuario, de la plantilla de certificado Citrix_SmartcardLogon.
- En realidad, existen dos certificados de entidad de registro: Citrix_RegistrationAuthority_ManualAuthorization (válido durante 24 horas de forma predeterminada) y Citrix_RegistrationAuthority (válido durante dos años de forma predeterminada).
Durante el paso 3 de la ficha Configuración inicial en la consola de administración de Federated Authentication Service (FAS), al hacer clic en Autorizar, el servidor FAS genera un par de claves y envía una solicitud de firma de certificado a la entidad de certificación para el certificado Citrix_RegistrationAuthority_ManualAuthorization. Este es un certificado temporal, válido durante 24 horas de forma predeterminada. La entidad de certificación no emite automáticamente este certificado; su emisión debe ser autorizada manualmente en la entidad de certificación por un administrador. Una vez que el certificado se emite al servidor FAS, FAS usa el certificado Citrix_RegistrationAuthority_ManualAuthorization para obtener automáticamente el certificado Citrix_RegistrationAuthority (válido durante dos años de forma predeterminada). El servidor FAS elimina el certificado y la clave de Citrix_RegistrationAuthority_ManualAuthorization tan pronto como obtiene el certificado Citrix_RegistrationAuthority.
La clave privada asociada al certificado de la entidad de registro es particularmente sensible, porque la política de certificados de la entidad de registro permite a quien posea la clave privada emitir solicitudes de certificado para el conjunto de usuarios configurados en la plantilla. Como consecuencia, quien controle esta clave puede conectarse al entorno como cualquiera de los usuarios del conjunto.
Puedes configurar el servidor FAS para proteger las claves privadas de una manera que se ajuste a los requisitos de seguridad de tu organización, usando una de las siguientes opciones:
- Microsoft Enhanced RSA and AES Cryptographic Provider o Microsoft Software Key Storage Provider para el certificado de la entidad de registro y las claves privadas de los certificados de usuario.
- Microsoft Platform Key Storage Provider con un chip Trusted Platform Module (TPM) para la clave privada del certificado de la entidad de registro, y Microsoft Enhanced RSA and AES Cryptographic Provider o Microsoft Software Key Storage Provider para las claves privadas de los certificados de usuario.
- Un servicio criptográfico o proveedor de almacenamiento de claves de un proveedor de Hardware Security Module (HSM) con el dispositivo HSM para el certificado de la entidad de registro y las claves privadas de los certificados de usuario.
Configuración de claves privadas
Configura FAS para usar una de las tres opciones. Usa un editor de texto para modificar el archivo Citrix.Authentication.FederatedAuthenticationService.exe.config. La ubicación predeterminada del archivo es la carpeta Program Files\Citrix\Federated Authentication Service en el servidor FAS.
FAS lee el archivo de configuración solo cuando se inicia el servicio. Si se cambia algún valor, FAS debe reiniciarse para que los nuevos ajustes se apliquen.
Establece los valores relevantes en el archivo Citrix.Authentication.FederatedAuthenticationService.exe.config de la siguiente manera:
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp (cambiar entre las API CAPI y CNG)
| Valor | Comentario |
|---|---|
| true | Usar API CAPI |
| false (predeterminado) | Usar API CNG |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderName (nombre del proveedor a usar)
| Valor | Comentario |
|---|---|
| Microsoft Enhanced RSA and AES Cryptographic Provider | Proveedor CAPI predeterminado |
| Microsoft Software Key Storage Provider | Proveedor CNG predeterminado |
| Microsoft Platform Key Storage Provider | Proveedor TPM predeterminado. Ten en cuenta que TPM no se recomienda para claves de usuario. Usa TPM solo para la clave de la entidad de registro. Si planeas ejecutar tu servidor FAS en un entorno virtualizado, consulta con tu proveedor de TPM e hipervisor si la virtualización es compatible. |
| HSM_Vendor CSP/Key Storage Provider | Suministrado por el proveedor de HSM. El valor difiere entre proveedores. Si planeas ejecutar tu servidor FAS en un entorno virtualizado, consulta con tu proveedor de HSM si la virtualización es compatible. |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderType (obligatorio solo en caso de API CAPI)
| Valor | Comentario |
|---|---|
| 24 | Predeterminado. Se refiere a la propiedad Microsoft KeyContainerPermissionAccessEntry.ProviderType PROV_RSA_AES 24. Siempre debe ser 24 a menos que estés usando un HSM con CAPI y el proveedor de HSM especifique lo contrario. |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.KeyProtection (cuando FAS necesita realizar una operación de clave privada, usa el valor especificado aquí) Controla la marca “exportable” de las claves privadas. Permite el uso de almacenamiento de claves TPM, si es compatible con el hardware.
| Valor | Comentario |
|---|---|
| NoProtection | La clave privada se puede exportar. |
| GenerateNonExportableKey | Predeterminado. La clave privada no se puede exportar. |
| GenerateTPMProtectedKey | La clave privada se gestionará usando el TPM. La clave privada se almacena a través del ProviderName que especificaste en ProviderName (por ejemplo, Microsoft Platform Key Storage Provider) |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.KeyLength (especifica el tamaño de la clave privada en bits)
| Valor | Comentario |
|---|---|
| 2048 | Predeterminado. También se pueden usar 1024 o 4096. |
La configuración del archivo de configuración se representa gráficamente de la siguiente manera (los valores predeterminados de instalación se muestran en rojo):
Ejemplos de escenarios de configuración
Ejemplo 1
Este ejemplo cubre la clave privada del certificado de la entidad de registro y las claves privadas de los certificados de usuario almacenadas usando el Microsoft Software Key Storage Provider.
Esta es la configuración predeterminada posterior a la instalación. No se requiere ninguna configuración adicional de clave privada.
Ejemplo 2
Este ejemplo muestra la clave privada del certificado de la autoridad de registro almacenada en el TPM de hardware de la placa base del servidor FAS a través del Proveedor de almacenamiento de claves de plataforma de Microsoft, y las claves privadas de los certificados de usuario almacenadas mediante el Proveedor de almacenamiento de claves de software de Microsoft.
Este escenario asume que el TPM de la placa base de tu servidor FAS se ha habilitado en la BIOS según la documentación del fabricante del TPM y luego se ha inicializado en Windows; consulta https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-vista/cc749022(v=ws.10).
Uso de la consola de administración de FAS
La consola de administración de FAS no puede realizar solicitudes de firma de certificados sin conexión, por lo que no se recomienda usarla a menos que tu organización permita solicitudes de firma de certificados en línea para certificados de autoridad de registro.
Al realizar la configuración inicial de FAS, después de implementar las plantillas de certificado y configurar la autoridad de certificación, pero antes de autorizar el servicio (paso 3 en la secuencia de configuración):
Paso 1: Modifica el archivo de configuración cambiando la siguiente línea de la siguiente manera:
El archivo debería aparecer ahora de la siguiente manera:
Algunos TPM restringen la longitud de la clave. La longitud de clave predeterminada es de 2048 bits. Asegúrate de especificar una longitud de clave compatible con tu hardware.
Paso 2: Reinicia el servicio de autenticación federada de Citrix para leer los valores del archivo de configuración.
Paso 3: Autoriza el servicio.
Paso 4: Emite manualmente la solicitud de certificado pendiente desde el servidor de la autoridad de certificación. Una vez obtenido el certificado de la autoridad de registro, el paso 3 de la secuencia de configuración en la consola de administración aparecerá en verde. En este punto, la clave privada del certificado de la autoridad de registro se habrá generado en el TPM. El certificado será válido durante 2 años de forma predeterminada.
Para confirmar que la clave privada del certificado de la autoridad de registro se está almacenando correctamente en el TPM, usa los siguientes comandos de PowerShell. El campo PrivateKeyProvider se establecerá en Microsoft Platform Crypto Provider si la clave privada del certificado de la autoridad de registro se almacena en el TPM:
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
Get-FasAuthorizationCertificate -FullCertInfo -Address localhost
<!--NeedCopy-->
Paso 5: Vuelve a modificar el archivo de configuración a lo siguiente:
Nota:
Aunque FAS puede generar certificados de usuario con claves protegidas por TPM, el hardware del TPM puede ser demasiado lento para implementaciones grandes.
Paso 6: Reinicia FAS. Esto obliga al servicio a volver a leer el archivo de configuración y a reflejar los valores modificados. Las operaciones automáticas posteriores de clave privada afectarán a las claves de certificado de usuario; esas operaciones no almacenarán las claves privadas en el TPM, sino que usarán el Proveedor de almacenamiento de claves de software de Microsoft.
Paso 7: Selecciona la ficha Reglas en la consola de administración de FAS y modifica la configuración como se describe en Instalar y configurar.
Uso de PowerShell
El certificado de la autoridad de registro se puede solicitar sin conexión mediante PowerShell. Esto es adecuado para organizaciones que no quieren que su autoridad de certificación emita un certificado de autoridad de registro a través de una solicitud de firma de certificado en línea. No puedes realizar una solicitud de firma de certificado de autoridad de registro sin conexión mediante la consola de administración de FAS.
Paso 1: Durante la configuración inicial de FAS mediante la consola de administración, completa solo los dos primeros pasos: “Implementar plantillas de certificado” y “Configurar una autoridad de certificación”.
Paso 2: En tu servidor de autoridad de certificación, agrega el complemento MMC de Plantillas de certificado. Haz clic con el botón derecho en la plantilla Citrix_RegistrationAuthority_ManualAuthorization y selecciona Duplicar plantilla.
Selecciona la ficha General. Cambia el nombre y el período de validez. En este ejemplo, el nombre es Offline_RA y el período de validez es de 2 años:
Paso 3: En tu servidor de autoridad de certificación, agrega el complemento MMC de la autoridad de certificación. Haz clic con el botón derecho en Plantillas de certificado. Selecciona Nuevo y, a continuación, haz clic en Plantilla de certificado para emitir. Elige la plantilla que acabas de crear.
Paso 4: Carga los siguientes cmdlets de PowerShell en el servidor FAS:
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
Paso 5: Genera el par de claves RSA dentro del TPM del servidor FAS y crea la solicitud de firma de certificado introduciendo el siguiente cmdlet de PowerShell en el servidor FAS. Nota: Algunos TPM restringen la longitud de la clave. La longitud de clave predeterminada es de 2048 bits. Asegúrate de especificar una longitud de clave compatible con tu hardware.
New-FasAuthorizationCertificateRequest -UseTPM $true -address \<FQDN of FAS Server>
Por ejemplo:
New-FasAuthorizationCertificateRequest -UseTPM $true -address fashsm.auth.net
Se muestra lo siguiente:
Notas:
- El GUID de Id. (en este ejemplo, “5ac3d8bd-b484-4ebe-abf8-4b2cfd62ca39”) es necesario en un paso posterior.
- Piensa en este cmdlet de PowerShell como una “anulación” única que se usa para generar la clave privada del certificado de la autoridad de registro.
- Al ejecutar este cmdlet, se comprueban los valores que se leen del archivo de configuración cuando se inició FAS para determinar la longitud de clave que se va a usar (el valor predeterminado es 2048).
- Debido a que -UseTPM se establece en $true en esta operación manual de clave privada del certificado de la autoridad de registro iniciada por PowerShell, el sistema ignora los valores del archivo que no coinciden con la configuración necesaria para usar un TPM.
- La ejecución de este cmdlet no cambia ninguna configuración en el archivo de configuración.
- Durante las operaciones automáticas posteriores de clave privada del certificado de usuario iniciadas por FAS, se usan los valores que se leyeron del archivo cuando se inició FAS.
- También es posible establecer el valor KeyProtection en el archivo de configuración en GenerateTPMProtectedKey cuando el servidor FAS emite certificados de usuario para generar claves privadas de certificado de usuario protegidas por el TPM.
Para verificar que se usó el TPM para generar el par de claves, busca en el registro de aplicaciones del Visor de eventos de Windows en el servidor FAS, en el momento en que se genera el par de claves.
Nota: “[TPM: True]”
Seguido de:
Nota: “Proveedor: [CNG] Microsoft Platform Crypto Provider”
Paso 6: Copia la sección de solicitud de certificado en un editor de texto y guárdala en el disco como un archivo de texto.
Paso 7: Envía la solicitud de firma de certificado a tu autoridad de certificación escribiendo lo siguiente en PowerShell en el servidor FAS:
certreq -submit -attrib "certificatetemplate:\<plantilla de certificado del paso 2>" \<archivo de solicitud de certificado del paso 6>
Por ejemplo:
certreq -submit -attrib "certificatetemplate:Offline_RA" C:\Users\Administrator.AUTH\Desktop\usmcertreq.txt
Se muestra lo siguiente:
En este punto, podría aparecer una ventana de Lista de autoridades de certificación. La autoridad de certificación en este ejemplo tiene habilitada la inscripción tanto HTTP (arriba) como DCOM (abajo). Selecciona la opción DCOM, si está disponible:
Una vez especificada la autoridad de certificación, PowerShell muestra el ID de solicitud:
Paso 8: En el servidor de la autoridad de certificación, en el complemento MMC de la autoridad de certificación, haz clic en Solicitudes pendientes. Anota el ID de solicitud. Luego, haz clic con el botón derecho en la solicitud y elige Emitir.
Paso 9: Selecciona el nodo Certificados emitidos. Busca el certificado que se acaba de emitir (el ID de solicitud debe coincidir). Haz doble clic para abrir el certificado. Selecciona la ficha Detalles. Haz clic en Copiar a archivo. Se inicia el Asistente para exportación de certificados. Haz clic en Siguiente. Elige las siguientes opciones para el formato de archivo:
El formato debe ser “Estándar de sintaxis de mensajes criptográficos – Certificados PKCS #7 (.P7B)” y debe seleccionarse “Incluir todos los certificados en la ruta de certificación si es posible”.
Paso 10: Copia el archivo de certificado exportado al servidor FAS.
Paso 11: Importa el certificado de la autoridad de registro en el servidor FAS introduciendo el siguiente cmdlet de PowerShell en el servidor FAS:
Por ejemplo:
Se muestra lo siguiente:
Para confirmar que la clave privada del certificado de la autoridad de registro se está almacenando correctamente en el TPM, usa los siguientes comandos de PowerShell. El campo PrivateKeyProvider se establecerá en Microsoft Platform Crypto Provider si la clave privada del certificado de la autoridad de registro se almacena en el TPM:
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
Get-FasAuthorizationCertificate -FullCertInfo -Address localhost
<!--NeedCopy-->
Paso 12: Cierra la consola de administración de FAS y luego reiníciala.
Nota: El paso “Autorizar este servicio” tiene una marca de verificación verde.
Paso 13: Selecciona la ficha Reglas en la consola de administración de FAS y edita la configuración descrita en Instalar y configurar.
Ejemplo 3
Este ejemplo cubre una clave privada de certificado de autoridad de registro y claves privadas de certificados de usuario almacenadas en un HSM. Este ejemplo asume un HSM configurado. Tu HSM tendrá un nombre de proveedor, por ejemplo, “Proveedor de almacenamiento de claves del proveedor de HSM”.
Si planeas ejecutar tu servidor FAS en un entorno virtualizado, consulta con tu proveedor de HSM sobre la compatibilidad con hipervisor.
Paso 1. Durante la configuración inicial de FAS usando la consola de administración, completa solo los dos primeros pasos: “Implementar plantillas de certificado” y “Configurar una autoridad de certificación”.
Paso 2: Consulta la documentación del proveedor de tu HSM para determinar cuál debe ser el valor de ProviderName de tu HSM. Si tu HSM usa CAPI, el proveedor podría denominarse en la documentación como Proveedor de servicios criptográficos (CSP). Si tu HSM usa CNG, el proveedor podría denominarse como Proveedor de almacenamiento de claves (KSP).
Paso 3: Modifica el archivo de configuración de la siguiente manera:
El archivo debería aparecer ahora de la siguiente manera:
Este escenario asume que tu HSM usa CNG, por lo que el valor de ProviderLegacyCsp se establece en false. Si tu HSM usa CAPI, el valor de ProviderLegacyCsp debe establecerse en true. Consulta la documentación del proveedor de tu HSM para determinar si tu HSM usa CAPI o CNG. Consulta también la documentación del proveedor de tu HSM sobre las longitudes de clave admitidas para la generación de claves RSA asimétricas. En este ejemplo, la longitud de la clave se establece en el valor predeterminado de 2048 bits. Asegúrate de que la longitud de clave que especifiques sea compatible con tu hardware.
Paso 4: Reinicia el Servicio de autenticación federada de Citrix para leer los valores del archivo de configuración.
Paso 5: Genera el par de claves RSA dentro del HSM y crea la solicitud de firma de certificado haciendo clic en Autorizar en la ficha Configuración inicial de la consola de administración de FAS.
Paso 6: Para verificar que el par de claves se generó en el HSM, comprueba las entradas de la aplicación en el registro de eventos de Windows:
Nota: [Proveedor: [CNG] Proveedor de almacenamiento de claves del proveedor de HSM]
Paso 7: En el servidor de la entidad de certificación, en la MMC de la entidad de certificación, selecciona el nodo Solicitudes pendientes:
Haz clic con el botón derecho en la solicitud y selecciona Emitir.
Nota: El paso “Autorizar este servicio” tiene una marca de verificación verde.
Paso 8: Selecciona la ficha Reglas en la consola de administración de FAS y modifica la configuración como se describe en Instalar y configurar.
Almacenamiento de certificados de FAS
FAS no usa el almacén de certificados de Microsoft en el servidor de FAS para almacenar sus certificados. Usa una base de datos incrustada.
Para determinar el GUID del certificado de la entidad de registro, introduce los siguientes cmdlets de PowerShell en el servidor de FAS:
Add-pssnapin Citrix.a\*
Get-FasAuthorizationCertificate –address \<FAS server FQDN>
Por ejemplo, Get-FasAuthorizationCertificate –address cg-fas-2.auth.net:
Para obtener una lista de certificados de usuario, introduce:
Get-FasUserCertificate –address \<FAS server FQDN>
Por ejemplo, Get-FasUserCertificate –address cg-fas-2.auth.net
Nota:
Cuando usas un HSM para almacenar claves privadas, los contenedores de HSM se identifican con un GUID. El GUID de la clave privada en el HSM se puede obtener usando:
Get-FasUserCertificate –address \<FAS server FQDN> -KeyInfo $truePor ejemplo:
Get-FasUserCertificate –address fas3.djwfas.net -KeyInfo $true
Información relacionada
- Instalar y configurar es la referencia principal para la instalación y configuración de FAS.
- Las implementaciones comunes de FAS se resumen en el artículo Información general sobre las arquitecturas de Federated Authentication Services.
- Otros artículos “prácticos” se presentan en el artículo Configuración avanzada.