La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

UNAM CA con EJBCA: Procesos y mejoras

Publicada porJosé Antonio Segura Quiroga Modificado hace 6 años

Presentaciones similares

Presentación del tema: "UNAM CA con EJBCA: Procesos y mejoras"— Transcripción de la presentación:

1 UNAM CA con EJBCA: Procesos y mejoras
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO DIRECCIÓN GENERAL DE CÓMPUTO Y DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN UNAM CA con EJBCA: Procesos y mejoras Fabian Romo Director. Sistemas y Servicios Institucionales 24/10/15 DSSI - DGTIC - UNAM

2 Antecedentes La Firma Electrónica de la UNAM (FEA) opera desde 2012 con EJBCA (Enterprise Java Bean Certificate Authority) EJBCA es una plataforma de PKI para Autoridad Certificadora de uso libre, basada en Java. Desde 2015 está disponible en la UNAM CA, que depende de la Dirección de Sistemas de la DGTIC. Se propuso al grupo de TAGPMA (The Americas Grid Policy Management Authority) y fue aceptada en septiembre de 2015. Inicio de operaciones el 1 de diciembre de 2015 24/10/15 DSSI - DGTIC - UNAM

3 Situación actual Se han concluido los parámetros de normalización de cerificados digitales para cumplir con los parámetros de TAGPMA. Se han agregado diversas mejoras: Se dispone de un Módulo de Alta Seguridad (HSM) en coubicación, salvaguardando la llave raíz que es de 4096 bits. El resguardo de la llave raíz y de la CA está ubicada en Alta Disponibilidad (redundancia) Se ha simplificado el proceso para la emisión, renovación y revocación de los certificados digitales. 24/10/15 DSSI - DGTIC - UNAM

4 ¿Por qué EJBCA en lugar de Open CA?
Experiencia del grupo UNAM Autenticación reforzada desde intranet/extranet/internet. Comunicación segura con servidores y clientes SSL/TLS. Adecuado SSL PKI. Capacidad de acceso con Smartcards Auto enrolamiento en Linux / Windows /Mac Generación automatizada de Máquinas Virtuales seguras Firmado y encriptamiento de correo Compatibilidad con comunicaciones seguras vía VPN Single sign-on Enrolamiento de dispositivos móviles iOS, Android en redes LTE, 4G con protocolo CMP Capacidad para MDM 24/10/15 DSSI - DGTIC - UNAM

5 Infraestructura con EJBCA para CA y RA
Servidor Red Hat Enterprise Linux release 6.3 (Santiago) Servidor de aplicaciones Jboss 7.1.0 Apache Ant versión basado en XML Java 1.6.0_24 con OpenJDK RTE y servidor de 64 bits EJBCA 6.1.1 Base de Datos PostgreSQL 24/10/15 DSSI - DGTIC - UNAM

6 Nueva UNAM Grid CA Mejor con HSM Certificados más seguros
Antes: la CA offline usaba llaves suaves con transferencia de CSR’s de un equipo a otro. Ahora: Equipo certificado para FIPS con protección de la llave privada de la CA. Certificados más seguros Antes: Rol de administrador con baja protección Ahora: Rol del administrador con llave específica para la aprobación de tareas. Potencial emisión de certificados por tarea (Registrante, Agente, etc) 24/10/15 DSSI - DGTIC - UNAM

7 Nueva UNAM Grid CA Seguridad Física: Administración / control:
Antes: Una o dos PC, fuera de línea. Proceso manual Ahora: Ubicación en sitio que cumple con ANSI/TIA942 nivel tres. Coubicación con acceso restringido a individuos identificados Administración / control: Antes: Seguimiento manual de emisión de certificados (XLS) Ahora: Sistema integral de emisión, revocación y solicitud 24/10/15 DSSI - DGTIC - UNAM

8 Tareas en curso Completar requerimientos de TAGPMA
Completar el proceso de revocación en Open CA Conclusión de documentación Emisión de documentos de políticas (PSC) Presentación a los grupos de usuarios Migración de usuarios 24/10/15 DSSI - DGTIC - UNAM

9 Ejemplo: Proceso de enrolamiento actual
24/10/15 DSSI - DGTIC - UNAM

10 Ejemplo: Nuevo proceso de enrolamiento
24/10/15 DSSI - DGTIC - UNAM

11 Resumen: Principales mejoras
Plataforma de código abierto (EJBCA) robusta, confiable y adaptable Crecimiento de llave raíz a 4096 bits Certificados hasta 2048 bits Algoritmo de SHA1 hacia SHA2 Migración transparente sin afectar a los usuarios Infraestructura con máquinas virtuales, redundante, en Centro de Datos y Coubicación Sistema criptográfico ad-hoc para FIPS nivel 3 Capacidad de integración con la FEA de la UNAM Fortalecimiento de todo el ciclo de emisión con apego a estándares. 24/10/15 DSSI - DGTIC - UNAM

12 Dudas / comentarios 24/10/15 DSSI - DGTIC - UNAM

Descargar ppt "UNAM CA con EJBCA: Procesos y mejoras"

Presentaciones similares

Diseño de Esquemas de Seguridad

Diseño de Esquemas de Seguridad
Repositorios de recursos digitales educativos

Repositorios de recursos digitales educativos
LEY DE AMPARO Y LAS TIC. ALCANCES INFORMÁTICOS DE LA LEY DE AMPARO. Desde el punto de vista informático, la ley de amparo establece que debe implementarse.

LEY DE AMPARO Y LAS TIC. ALCANCES INFORMÁTICOS DE LA LEY DE AMPARO. Desde el punto de vista informático, la ley de amparo establece que debe implementarse.
ESCALABILIDAD Y SEGURIDAD Presentación. 01 Escalabilidad.

ESCALABILIDAD Y SEGURIDAD Presentación. 01 Escalabilidad.
Administración de Base de Datos MySQL, MariaDB y PostgreSQL Modulo VII Software libre 1 Ivan Marcelo Chacolla Morochi Correo:

Administración de Base de Datos MySQL, MariaDB y PostgreSQL Modulo VII Software libre 1 Ivan Marcelo Chacolla Morochi Correo:
Administración de Linux Ponente: Pablo Cabezas Mateos Universidad de Salamanca 26 de Noviembre de 2.010.

Administración de Linux Ponente: Pablo Cabezas Mateos Universidad de Salamanca 26 de Noviembre de
Área TIC Identificación en la USC Identificación federada mediante SIR/STORK Diego Conde Pérez 18.11.2010.

Área TIC Identificación en la USC Identificación federada mediante SIR/STORK Diego Conde Pérez
Expandiendo mercados a través de nuevos medios de pago Guayaquil - 26 de agosto del 2016.

Expandiendo mercados a través de nuevos medios de pago Guayaquil - 26 de agosto del 2016.
Síntesis SINTESIS es una empresa de tecnología de información, que tiene 15 años de experiencia y se especializa en transacciones en línea. Desarrolla.

Síntesis SINTESIS es una empresa de tecnología de información, que tiene 15 años de experiencia y se especializa en transacciones en línea. Desarrolla.
Situación actual y perspectivas de futuro: hacia la identidad electrónica LIDECO 25 de Noviembre 2014 Mag. Ing. Jorge Abin De María.

Situación actual y perspectivas de futuro: hacia la identidad electrónica LIDECO 25 de Noviembre 2014 Mag. Ing. Jorge Abin De María.
MINISTERIO DE EDUCACION DIRECCION DE TRANSPARENCIA INSTITUCIONAL Principales prioridades y resultados institucionales de la Dirección de Transparencia.

MINISTERIO DE EDUCACION DIRECCION DE TRANSPARENCIA INSTITUCIONAL Principales prioridades y resultados institucionales de la Dirección de Transparencia.
Foro Nacional de Certificación y Firma Electrónica Lic. Zorelly González Certificación Electrónica y la FII Fundación Instituto de Ingeniería.

Foro Nacional de Certificación y Firma Electrónica Lic. Zorelly González Certificación Electrónica y la FII Fundación Instituto de Ingeniería.
COMUNICACIÓN Y TICS Károl Fernanda Barragán M. Jennylith Dayana Ardila P. Wendy Paola Pinto F.

COMUNICACIÓN Y TICS Károl Fernanda Barragán M. Jennylith Dayana Ardila P. Wendy Paola Pinto F.
Línea gestión de empresas

Línea gestión de empresas
La Ingeniería de Sistemas

La Ingeniería de Sistemas
Informe mensual IT Agosto 2016.

Informe mensual IT Agosto 2016.
Autenticación y acceso a los RREE en la UC3M

Autenticación y acceso a los RREE en la UC3M
Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:

Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:
SSO METALIB UPV prototipo.

SSO METALIB UPV prototipo.
Sistemas Distribuidos

Sistemas Distribuidos

Presentaciones similares

Anuncios Google