UNAM CA con EJBCA: Procesos y mejoras UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO DIRECCIÓN GENERAL DE CÓMPUTO Y DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN UNAM CA con EJBCA: Procesos y mejoras Fabian Romo Director. Sistemas y Servicios Institucionales 24/10/15 DSSI - DGTIC - UNAM

Antecedentes La Firma Electrónica de la UNAM (FEA) opera desde 2012 con EJBCA (Enterprise Java Bean Certificate Authority) EJBCA es una plataforma de PKI para Autoridad Certificadora de uso libre, basada en Java. Desde 2015 está disponible en la UNAM CA, que depende de la Dirección de Sistemas de la DGTIC. Se propuso al grupo de TAGPMA (The Americas Grid Policy Management Authority) y fue aceptada en septiembre de 2015. Inicio de operaciones el 1 de diciembre de 2015 24/10/15 DSSI - DGTIC - UNAM

Situación actual Se han concluido los parámetros de normalización de cerificados digitales para cumplir con los parámetros de TAGPMA. Se han agregado diversas mejoras: Se dispone de un Módulo de Alta Seguridad (HSM) en coubicación, salvaguardando la llave raíz que es de 4096 bits. El resguardo de la llave raíz y de la CA está ubicada en Alta Disponibilidad (redundancia) Se ha simplificado el proceso para la emisión, renovación y revocación de los certificados digitales. 24/10/15 DSSI - DGTIC - UNAM

¿Por qué EJBCA en lugar de Open CA? Experiencia del grupo UNAM Autenticación reforzada desde intranet/extranet/internet. Comunicación segura con servidores y clientes SSL/TLS. Adecuado SSL PKI. Capacidad de acceso con Smartcards Auto enrolamiento en Linux / Windows /Mac Generación automatizada de Máquinas Virtuales seguras Firmado y encriptamiento de correo Compatibilidad con comunicaciones seguras vía VPN Single sign-on Enrolamiento de dispositivos móviles iOS, Android en redes LTE, 4G con protocolo CMP Capacidad para MDM 24/10/15 DSSI - DGTIC - UNAM

Infraestructura con EJBCA para CA y RA Servidor Red Hat Enterprise Linux release 6.3 (Santiago) Servidor de aplicaciones Jboss 7.1.0 Apache Ant versión 1.9.4 basado en XML Java 1.6.0_24 con OpenJDK RTE y servidor de 64 bits EJBCA 6.1.1 Base de Datos PostgreSQL 8.4.10 24/10/15 DSSI - DGTIC - UNAM

Nueva UNAM Grid CA Mejor con HSM Certificados más seguros Antes: la CA offline usaba llaves suaves con transferencia de CSR’s de un equipo a otro. Ahora: Equipo certificado para FIPS con protección de la llave privada de la CA. Certificados más seguros Antes: Rol de administrador con baja protección Ahora: Rol del administrador con llave específica para la aprobación de tareas. Potencial emisión de certificados por tarea (Registrante, Agente, etc) 24/10/15 DSSI - DGTIC - UNAM

Nueva UNAM Grid CA Seguridad Física: Administración / control: Antes: Una o dos PC, fuera de línea. Proceso manual Ahora: Ubicación en sitio que cumple con ANSI/TIA942 nivel tres. Coubicación con acceso restringido a individuos identificados Administración / control: Antes: Seguimiento manual de emisión de certificados (XLS) Ahora: Sistema integral de emisión, revocación y solicitud 24/10/15 DSSI - DGTIC - UNAM

Tareas en curso Completar requerimientos de TAGPMA Completar el proceso de revocación en Open CA Conclusión de documentación Emisión de documentos de políticas (PSC) Presentación a los grupos de usuarios Migración de usuarios 24/10/15 DSSI - DGTIC - UNAM

Ejemplo: Proceso de enrolamiento actual 24/10/15 DSSI - DGTIC - UNAM

Ejemplo: Nuevo proceso de enrolamiento 24/10/15 DSSI - DGTIC - UNAM

Resumen: Principales mejoras Plataforma de código abierto (EJBCA) robusta, confiable y adaptable Crecimiento de llave raíz a 4096 bits Certificados hasta 2048 bits Algoritmo de SHA1 hacia SHA2 Migración transparente sin afectar a los usuarios Infraestructura con máquinas virtuales, redundante, en Centro de Datos y Coubicación Sistema criptográfico ad-hoc para FIPS nivel 3 Capacidad de integración con la FEA de la UNAM Fortalecimiento de todo el ciclo de emisión con apego a estándares. 24/10/15 DSSI - DGTIC - UNAM

Dudas / comentarios fabian.romo@unam.mx 24/10/15 DSSI - DGTIC - UNAM