Este recorrido detallado explica una variedad de enfoques para agregar una autoridad de certificación de confianza a los navegadores Chrome y Firefox.
Los navegadores web utilizan Secure Sockets Layer (SSL) para encriptar el tráfico entre los sistemas de los clientes y las computadoras de los servidores para proteger los datos confidenciales como la información de la seguridad social y los datos de las tarjetas de crédito. Para que un certificado SSL funcione correctamente, el navegador web también debe confiar en la entidad que emitió el certificado (también conocida como autoridad de certificación), lo que implica la instalación del certificado del emisor para que el navegador sepa que el emisor es válido y fiable.
La mayoría de los navegadores confían automáticamente en las autoridades de certificación de uso común, como Verisign, DigiCert y Entrust. Sin embargo, si utiliza una autoridad de certificación interna no fiable para generar certificados SSL para recursos internos, su navegador le molestará cuando intente conectarse.
El navegador web Chrome mostrará algo similar a la .
Para ello es necesario hacer clic en Avanzado . A continuación, debe hacer clic en Continuar con[nombre de host] para continuar.
El navegador Firefox mostrará un contenido similar al de la . Haga clic en Avanzado y, a continuación, en Añadir excepción . Al hacer clic en Confirmar excepción de seguridad se permitirá el acceso.
Sin embargo, aunque estos consejos para ambos navegadores le permitirán llegar al sitio, tendrá que hacerlo para CADA sitio para el que su CA interna haya emitido un certificado SSL.
Afortunadamente, hay una manera mejor. Puede configurar su(s) sistema(s) para que confíen en todos los certificados de una autoridad de certificación instalando el certificado SSL de ese sistema como una autoridad de certificación raíz de confianza. De esta forma, Chrome y Firefox no volverán a pedirte que accedas a ningún sitio con un certificado de esa CA.
Nota: Este artículo se centra en estos dos navegadores de terceros; un artículo futuro cubrirá Internet Explorer/Microsoft Edge. Los pasos que se enumeran a continuación son precisos en el momento de redactar este documento, pero las versiones futuras de estos navegadores pueden incluir diferentes opciones de menú.
Obtenga su certificado de CA
En primer lugar, debe obtener una copia de ese certificado SSL de su CA en formato DER. Si su CA ejecuta Windows, siga los pasos que se indican a continuación. (Si no es así, tendrá que investigar los detalles de su sistema operativo en particular.)
Vaya al Panel de control y abra la carpeta Herramientas administrativas.
Haga doble clic en Autoridad de certificación .
Haga clic con el botón derecho del ratón en el servidor y seleccione Propiedades .
Haga clic en Ver certificado .
Haga clic en la ficha Detalles .
Haga clic en Copiar a archivo y, a continuación, en Siguiente .
Deje la opción DER Encoded Binary X.509 (.CER) seleccionada y haga clic en Next.
Especifique el nombre de archivo (c:\CA_certificate.cer, por ejemplo) y haga clic en Siguiente y, a continuación, en Finalizar.
El certificado se guardará en la ubicación especificada.
Adición de los certificados CA como autoridad raíz de confianza a Chrome
Si utiliza Active Directory, lo mejor es utilizar la directiva de grupo para que todos los sistemas de su organización puedan confiar en los certificados de la CA. Chrome confiará en el certificado si se implementa de esta manera.
Utilización de la directiva de grupo para configurar los sistemas Windows para que confíen en su CA
Copie el certificado en el controlador de dominio.
Vaya al Panel de control y abra Herramientas administrativas.
Administración de directivas de grupo abiertas .
Haga clic con el botón derecho del ratón en su dominio y elija Crear una GPO en este dominio y vincularlo aquí.
Proporcione un nombre para el objeto de directiva de grupo, como Certificado de CA, y haga clic en Aceptar .
Haga clic con el botón derecho en la nueva GPO y haga clic en Editar.
Ampliar las políticas.
Expandir la configuración de Windows.
Expandir la configuración de seguridad.
Ampliar las políticas de clave pública .
Haga clic con el botón derecho del ratón en Autoridades de certificación raíz de confianza y seleccione Importar.
Haga clic en Siguiente.
Haga clic en Examinar y, a continuación, busque y seleccione el certificado de CA que ha copiado en este equipo.
Haga clic en Siguiente, haga clic en Finalizar y, a continuación, en Aceptar.
Ahora debería ver el certificado que se muestra en el campo de la derecha (Figura M.
Figura M
Si no está ejecutando Active Directory en su organización, no puede aprovechar la directiva de grupo, pero puede agregar manualmente el certificado de CA en un host para confiar en los certificados SSL relacionados.
Tenga en cuenta que puede añadir el certificado en Chrome, pero es aconsejable que lo añada en el propio Windows, ya que esto cubrirá otras aplicaciones que puedan conectarse al sitio web.
Configuración manual de un sistema Windows para que confíe en su CA
En primer lugar, copie su certificado de CA en el equipo host en el que desea trabajar.
Abra un Símbolo del sistema y ejecute Certificate Manager con el siguiente comando ):
certmgr.msc
En el marco izquierdo, expanda Certificados raíz de confianza, haga clic con el botón derecho en Certificados y seleccione Todas las tareas >Importar .
En el Asistente para la importación de certificados, haga clic en Siguiente .
Haga clic en Siguiente, luego en Examinar, luego en Examinar y seleccione el certificado de CA que ha copiado en este equipo (Figura Q.
Figura Q
Para colocar todos los certificados en la siguiente tienda, seleccione Autoridades de certificación raíz de confianza.
Haga clic en Siguiente y, a continuación, en Finalizar.
Haga clic en Sí para acceder a cualquier pregunta final.
Adición de los certificados de CA como autoridad raíz de confianza a Firefox
Desafortunadamente, Firefox no confía en los certificados de CA que Windows hace por defecto, por lo que las instrucciones de la sección anterior sólo funcionarán si realiza este cambio de configuración en Firefox:
En Firefox, escriba about:config en la barra de direcciones.
Si se le solicita, acepte las advertencias.
Desplácese hacia abajo hasta la entrada security.enterprise_roots.enabled, que se debe establecer en False.
Haga doble clic en el valor para cambiarlo a True.
Firefox debe promulgar la configuración inmediatamente.
Si no estás utilizando Active Directory/Group Policy, puedes configurar Firefox para que confíe en tu CA.
Configuración manual de Firefox para que confíe en tu CA
Copie el certificado CA en el equipo host en el que desee trabajar.
Haga clic en Herramientas (Figura R.
Figura R
Seleccione Opciones y haga clic en Avanzadas y, a continuación, seleccione la ficha Certificados (Figura S.
Figura S
Haga clic en Ver certificados y seleccione Autoridades (Figura T.
Figura T
Haga clic en Importar, luego busque el archivo CA y selecciónelo (Figura U.
Figura U
Marque todas las opciones de Confianza en esta CA como se muestra arriba y haga clic en Aceptar.
Firefox debería ahora confiar en las autoridades de certificación y dejar de proporcionar advertencias de seguridad.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
….
Tus pensamientos
¿Has aplicado alguna de estas técnicas para añadir una CA de confianza a Chrome y Firefox? Comparta sus consejos y experiencias con otros miembros de ConsejoTecnologico.com.