Download Cómputo y Visualización científica en la UNAM

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
Document related concepts
no text concepts found
Transcript 
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
DIRECCIÓN GENERAL DE CÓMPUTO Y DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN
UNAM CA con EJBCA:
Procesos y mejoras
Fabian Romo
Director. Sistemas y Servicios Institucionales
24/10/15
DSSI - DGTIC - UNAM
1
Antecedentes
• La Firma Electrónica de la UNAM (FEA) opera desde 2012
con EJBCA (Enterprise Java Bean Certificate Authority)
• EJBCA es una plataforma de PKI para Autoridad
Certificadora de uso libre, basada en Java.
• Desde 2015 está disponible en la UNAM CA, que
depende de la Dirección de Sistemas de la DGTIC.
• Se propuso al grupo de TAGPMA (The Americas Grid
Policy Management Authority) y fue aceptada en
septiembre de 2015.
• Inicio de operaciones el 1 de diciembre de 2015
24/10/15
DSSI - DGTIC - UNAM
2
Situación actual
• Se han concluido los parámetros de normalización de
cerificados digitales para cumplir con los parámetros
de TAGPMA.
• Se han agregado diversas mejoras:
– Se dispone de un Módulo de Alta Seguridad (HSM) en
coubicación, salvaguardando la llave raíz que es de 4096
bits.
– El resguardo de la llave raíz y de la CA está ubicada en Alta
Disponibilidad (redundancia)
– Se ha simplificado el proceso para la emisión, renovación y
revocación de los certificados digitales.
24/10/15
DSSI - DGTIC - UNAM
3
¿Por qué EJBCA en lugar de Open CA?
•
•
•
•
•
•
•
•
•
•
•
Experiencia del grupo UNAM
Autenticación reforzada desde intranet/extranet/internet.
Comunicación segura con servidores y clientes SSL/TLS.
Adecuado SSL PKI.
Capacidad de acceso con Smartcards
Auto enrolamiento en Linux / Windows /Mac
Generación automatizada de Máquinas Virtuales seguras
Firmado y encriptamiento de correo
Compatibilidad con comunicaciones seguras vía VPN
Single sign-on
Enrolamiento de dispositivos móviles iOS, Android en redes LTE, 4G
con protocolo CMP
• Capacidad para MDM
24/10/15
DSSI - DGTIC - UNAM
4
Infraestructura con EJBCA para CA y RA
• Servidor Red Hat Enterprise Linux release 6.3
(Santiago)
• Servidor de aplicaciones Jboss 7.1.0
• Apache Ant versión 1.9.4 basado en XML
• Java 1.6.0_24 con OpenJDK RTE y servidor de 64 bits
• EJBCA 6.1.1
• Base de Datos PostgreSQL 8.4.10
24/10/15
DSSI - DGTIC - UNAM
5
Nueva UNAM Grid CA
• Mejor con HSM
– Antes: la CA offline usaba llaves suaves con transferencia
de CSR’s de un equipo a otro.
– Ahora: Equipo certificado para FIPS con protección de la
llave privada de la CA.
• Certificados más seguros
– Antes: Rol de administrador con baja protección
– Ahora: Rol del administrador con llave específica para la
aprobación de tareas. Potencial emisión de certificados
por tarea (Registrante, Agente, etc)
24/10/15
DSSI - DGTIC - UNAM
6
Nueva UNAM Grid CA
• Seguridad Física:
– Antes: Una o dos PC, fuera de línea. Proceso manual
– Ahora: Ubicación en sitio que cumple con ANSI/TIA942
nivel tres. Coubicación con acceso restringido a individuos
identificados
• Administración / control:
– Antes: Seguimiento manual de emisión de certificados
(XLS)
– Ahora: Sistema integral de emisión, revocación y solicitud
24/10/15
DSSI - DGTIC - UNAM
7
Tareas en curso
•
•
•
•
•
•
Completar requerimientos de TAGPMA
Completar el proceso de revocación en Open CA
Conclusión de documentación
Emisión de documentos de políticas (PSC)
Presentación a los grupos de usuarios
Migración de usuarios
24/10/15
DSSI - DGTIC - UNAM
8
Ejemplo: Proceso de enrolamiento actual
24/10/15
DSSI - DGTIC - UNAM
9
Ejemplo: Nuevo proceso de enrolamiento
24/10/15
DSSI - DGTIC - UNAM
10
Resumen: Principales mejoras
• Plataforma de código abierto (EJBCA) robusta, confiable y
adaptable
• Crecimiento de llave raíz a 4096 bits
• Certificados hasta 2048 bits
• Algoritmo de SHA1 hacia SHA2
• Migración transparente sin afectar a los usuarios
• Infraestructura con máquinas virtuales, redundante, en
Centro de Datos y Coubicación
• Sistema criptográfico ad-hoc para FIPS nivel 3
• Capacidad de integración con la FEA de la UNAM
• Fortalecimiento de todo el ciclo de emisión con apego a
estándares.
24/10/15
DSSI - DGTIC - UNAM
11
Dudas / comentarios
fabian.romo@unam.mx
24/10/15
DSSI - DGTIC - UNAM
12
Related documents
base de datos - Govern de les Illes Balears
base de datos - Govern de les Illes Balears
4.3.2. Elemento - Govern de les Illes Balears
4.3.2. Elemento - Govern de les Illes Balears
Requerimientos tecnológicos y de explotación
Requerimientos tecnológicos y de explotación
Manual rápido para corrección de bloqueo de JAVA_1docx
Manual rápido para corrección de bloqueo de JAVA_1docx
Facilidad de uso en sitios web
Facilidad de uso en sitios web
LINEAMIENTOS PARA SITIOS WEB INSTITUCIONALES DE LA UNAM
LINEAMIENTOS PARA SITIOS WEB INSTITUCIONALES DE LA UNAM
ESTÁNDAR DE COMPETENCIA I.
ESTÁNDAR DE COMPETENCIA I.
Sistema Unico de Registro de Informacion (SURI) Objetivo
Sistema Unico de Registro de Informacion (SURI) Objetivo
Productos - ANF Autoridad de Certificación
Productos - ANF Autoridad de Certificación