Este artículo aborda un problema técnico relacionado con el uso de certificados en dispositivos FortiGate, específicamente en cómo se valida el uso de claves mejoradas en los certificados. Comprender este proceso es crucial para garantizar la correcta configuración de conexiones seguras, ya que un error en este ámbito puede impedir que los certificados sean utilizados adecuadamente en configuraciones específicas. Este artículo guiará al lector a través del diagnóstico y la solución de problemas asociados a este tema.
Descripción del problema
Este artículo describe cómo FortiGate valida el uso habilitado de la clave en el certificado y decide si dicho certificado puede ser seleccionado para diferentes partes de la configuración.
Alcance
FortiOS.
Diagnóstico paso a paso
Por defecto, un CSR (Solicitud de Firma de Certificado) generado por FortiGate no incluye ningún uso de clave mejorada para que la CA (Autoridad Certificadora) lo firme. A continuación, se presenta un ejemplo del CSR generado en el FortiGate:
El mismo CSR después de que se decodifica el archivo .csr:
Datos:
Versión: 0 (0x0)
Sujeto: CN=10.128.202.29
Información de clave pública del sujeto:
Algoritmo de clave pública: rsaEncryption
Clave pública: (2048 bit)
Atributos:
Extensiones solicitadas:
X509v3 Restricciones Básicas:
CA:FALSE
X509v3 Nombre Alternativo del Sujeto:
Dirección IP:10.128.202.29
X509v3 Uso de Clave:
Firma Digital, Cifrado de Clave
Algoritmo de Firma: sha256WithRSAEncryption
Por lo tanto, el campo de uso mejorado de claves es definido por la CA para establecer el propósito del certificado y/o la plantilla elegida por el servidor que firma. En este ejemplo, la CA (FortiAuthenticator) define el uso mejorado de clave como ‘IPsec IKE Intermediate (entidad final)’:
Solución recomendada
Una vez importado a FortiGate, los siguientes campos se muestran para el campo de extensiones:
Extensiones:
X509v3 Restricciones Básicas
CA:FALSE
X509v3 Identificador de Clave del Sujeto
25:82:1B:35:0D:32:E8:D8:E3:85:39:69:CF:86:CB:B0:B8:09:98:55
X509v3 Identificador de Clave de la Autoridad
keyid:18:FD:97:3A:78:A3:89:DA:0B:AF:3E:25:10:23:E6:0A:D9:3F:F6:F9 DirName:/C=CA/CN=FAC.test.lab/[email protected] serial:14:AC:D4:8F:8F:2D:74:50
X509v3 Uso de Clave
Firma Digital, Cifrado de Clave
X509v3 Uso de Clave Mejorado
1.3.6.1.5.5.8.2.2
X509v3 Puntos de Distribución de CRL
Nombre Completo: URI:http://10.21.4.177/app/cert/crl/top_level.crl
Acceso a Información de la Autoridad
OCSP – URI:http://10.21.4.177:2560/
X509v3 Nombre Alternativo del Sujeto
Dirección IP:10.128.202.29
Como el propósito de este certificado no es para autenticación de servidor, el certificado (creado anteriormente en el laboratorio) no está disponible para ser seleccionado en la configuración de VPN SSL o en la configuración del sistema:
No obstante, puede ser utilizado bajo el método de autenticación de firma en la configuración del túnel IPsec ya que tiene el propósito necesario:
En resumen, al firmar un CSR por una CA o al utilizar SCEP, es importante confirmar qué extensiones la CA agregará a la clave pública del certificado. Si el uso mejorado de la clave está configurado para la autenticación del servidor, entonces el certificado puede ser utilizado para cualquier propósito en FortiOS.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!