certificado sitio web

buenas ivan

ante todo muchas gracias.

La CA esta instalada sobre win 2k server y es una enterprise. Miraré lo q
me comentas del "Strong private key protection" q no lo habia visto. Esa
opcion esta por los mappings?? Algun consejo para configurarla?? lo q me
comentas de poner el pin me interesa.

gracias

saludos,


"Ivan [MS MVP]" escribió en el mensaje
news:%

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que
tienes AD, no vamos a darle mas vueltas a esto

Nada... ni caso vaya empanada que tengo ;-) blanco y en botella..
y yo me empeño en decir Kas de naranja

Un saludo.
Ivan
MS MVP ISA Server

"Ivan [MS MVP]" escribió en el mensaje
news:e98NF6$

"miguel" escribió en el mensaje
news:%239m%

buenas Ivan,

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que
tienes AD, no vamos a darle mas vueltas a esto

Probé con "one to one mappings" en IIS mappings, pero me mapea
directamente e "Implicit mappings" (el certificado se asocia a el
usuaro

Que tipo de CA utilizas ? una enterprise CA ? SObre que version de
Windows ? 2003 EE?
A priori, creo que lo mejor es usar usar "AD Mappings", "implicit
mappings" y logicamente one-to-one mappings.

el usuario con el certificado y quiero que el usuario tenga q poner las
credenciales y ademas que solo ese usuario pueda logarse,

No, asi no funciona el uso de certificados. Lo que puedes hacer en ese
caso es habilitar "Strong private key protection" para cada vez que se
acceda a la clave privada del certificado, se solicite un PIN
(contraseña). En este caso es perfectamente viable, no asi en otros,
como por ejemplo EFS. Otra opcion es usar smart cards.

no me sirve q una vez pasados los certificados cuando me pide el login
se lo logue cualquier usuario del AD. El certficado es nuestro, es
decir creado por nosotros en AD.

Como te he conmentado antes, si utilizas implicit mappings (el
certificado se asocia a la cuenta de usuario basandose en la inormacion
incluida dentro del Subject o Subject alternate name del certificado),
one-to-one mapings y strong private key proteccion, solo el usuario que
tenga en su poder el certificado, conozca el PIN de dicho certificado y
su cuenta de usuario este autorizada en el stio web (Seguridad NTFS),
podra acceder.

Ya se q el certificado tiene esa finalidad, como tu indicas. Pero si me
roban un portatil en el cual va el certificado cliente (en el IE) y
con ese portátil se conectan a la pag web podría acceder, por eso
queremos q se tengan q logar y q solo se pueda logar el usuario el cual
inicio la sesión con su certificado cliente.

Si habilitas "Strong private key proteccion", no hay ese problema. Con
el certificado solo no puede hacer nada, necesita el PIN. Te insito de
nuevo que para este caso, autentificacion web, se puede utilizar, no
asi en otros certificados, depende.

No se si me he explicado bien, si te hacen falta mas datos dímelo q te
los pongo

Pues si me dices sobre que version del SO operativo esta instalada la CA
y si es una enterprise CA o una stand alone, mejor que mejor

Un saludo.
Ivan
MS MVP ISA Server

Como utilizas Web Enrollment, cuando solicitas el certificado, dentro de
"Key Options", tienes la opcion de habilitar "Enable strong private key
protection".

Si vas a hacer un uso intensivo de PKI, te recomiendo que utilices una CA
2003 pero, muy importante, sobre Windows 2003 Enterprise. Poder utilizar
plantillas de certificados y autoenrollment a nivel de usuario, son
opciones imprescindibles que Windows 2000 o 2003 standard no poseen

Un saludo.
Ivan
MS MVP ISA Server

"miguel" escribió en el mensaje
news:

buenas ivan

ante todo muchas gracias.

La CA esta instalada sobre win 2k server y es una enterprise. Miraré lo q
me comentas del "Strong private key protection" q no lo habia visto. Esa
opcion esta por los mappings?? Algun consejo para configurarla?? lo q me
comentas de poner el pin me interesa.

gracias

saludos,


"Ivan [MS MVP]" escribió en el mensaje
news:%

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que
tienes AD, no vamos a darle mas vueltas a esto

Nada... ni caso vaya empanada que tengo ;-) blanco y en
botella.. y yo me empeño en decir Kas de naranja

Un saludo.
Ivan
MS MVP ISA Server

"Ivan [MS MVP]" escribió en el mensaje
news:e98NF6$

"miguel" escribió en el mensaje
news:%239m%

buenas Ivan,

Lógicamente si digo q me pide un usuario y password del AD es q hay
AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que
tienes AD, no vamos a darle mas vueltas a esto

Probé con "one to one mappings" en IIS mappings, pero me mapea
directamente e "Implicit mappings" (el certificado se asocia a el
usuaro

Que tipo de CA utilizas ? una enterprise CA ? SObre que version de
Windows ? 2003 EE?
A priori, creo que lo mejor es usar usar "AD Mappings", "implicit
mappings" y logicamente one-to-one mappings.

el usuario con el certificado y quiero que el usuario tenga q poner
las credenciales y ademas que solo ese usuario pueda logarse,

No, asi no funciona el uso de certificados. Lo que puedes hacer en ese
caso es habilitar "Strong private key protection" para cada vez que se
acceda a la clave privada del certificado, se solicite un PIN
(contraseña). En este caso es perfectamente viable, no asi en otros,
como por ejemplo EFS. Otra opcion es usar smart cards.

no me sirve q una vez pasados los certificados cuando me pide el login
se lo logue cualquier usuario del AD. El certficado es nuestro, es
decir creado por nosotros en AD.

Como te he conmentado antes, si utilizas implicit mappings (el
certificado se asocia a la cuenta de usuario basandose en la inormacion
incluida dentro del Subject o Subject alternate name del certificado),
one-to-one mapings y strong private key proteccion, solo el usuario que
tenga en su poder el certificado, conozca el PIN de dicho certificado y
su cuenta de usuario este autorizada en el stio web (Seguridad NTFS),
podra acceder.

Ya se q el certificado tiene esa finalidad, como tu indicas. Pero si
me roban un portatil en el cual va el certificado cliente (en el IE)
y con ese portátil se conectan a la pag web podría acceder, por eso
queremos q se tengan q logar y q solo se pueda logar el usuario el
cual inicio la sesión con su certificado cliente.

Si habilitas "Strong private key proteccion", no hay ese problema. Con
el certificado solo no puede hacer nada, necesita el PIN. Te insito de
nuevo que para este caso, autentificacion web, se puede utilizar, no
asi en otros certificados, depende.

No se si me he explicado bien, si te hacen falta mas datos dímelo q te
los pongo

Pues si me dices sobre que version del SO operativo esta instalada la
CA y si es una enterprise CA o una stand alone, mejor que mejor

Un saludo.
Ivan
MS MVP ISA Server

Como utilizas Web Enrollment, cuando solicitas el certificado, dentro de
"Key Options", tienes la opcion de habilitar "Enable strong private key
protection".

Si vas a hacer un uso intensivo de PKI, te recomiendo que utilices una CA
2003 pero, muy importante, sobre Windows 2003 Enterprise. Poder utilizar
plantillas de certificados y autoenrollment a nivel de usuario, son
opciones imprescindibles que Windows 2000 o 2003 standard no poseen

Un saludo.
Ivan
MS MVP ISA Server

"miguel" escribió en el mensaje
news:

buenas ivan

ante todo muchas gracias.

La CA esta instalada sobre win 2k server y es una enterprise. Miraré lo q
me comentas del "Strong private key protection" q no lo habia visto. Esa
opcion esta por los mappings?? Algun consejo para configurarla?? lo q me
comentas de poner el pin me interesa.

gracias

saludos,


"Ivan [MS MVP]" escribió en el mensaje
news:%

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que
tienes AD, no vamos a darle mas vueltas a esto

Nada... ni caso vaya empanada que tengo ;-) blanco y en
botella.. y yo me empeño en decir Kas de naranja

Un saludo.
Ivan
MS MVP ISA Server

"Ivan [MS MVP]" escribió en el mensaje
news:e98NF6$

"miguel" escribió en el mensaje
news:%239m%

buenas Ivan,

Lógicamente si digo q me pide un usuario y password del AD es q hay
AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que
tienes AD, no vamos a darle mas vueltas a esto

Probé con "one to one mappings" en IIS mappings, pero me mapea
directamente e "Implicit mappings" (el certificado se asocia a el
usuaro

Que tipo de CA utilizas ? una enterprise CA ? SObre que version de
Windows ? 2003 EE?
A priori, creo que lo mejor es usar usar "AD Mappings", "implicit
mappings" y logicamente one-to-one mappings.

el usuario con el certificado y quiero que el usuario tenga q poner
las credenciales y ademas que solo ese usuario pueda logarse,

No, asi no funciona el uso de certificados. Lo que puedes hacer en ese
caso es habilitar "Strong private key protection" para cada vez que se
acceda a la clave privada del certificado, se solicite un PIN
(contraseña). En este caso es perfectamente viable, no asi en otros,
como por ejemplo EFS. Otra opcion es usar smart cards.

no me sirve q una vez pasados los certificados cuando me pide el login
se lo logue cualquier usuario del AD. El certficado es nuestro, es
decir creado por nosotros en AD.

Como te he conmentado antes, si utilizas implicit mappings (el
certificado se asocia a la cuenta de usuario basandose en la inormacion
incluida dentro del Subject o Subject alternate name del certificado),
one-to-one mapings y strong private key proteccion, solo el usuario que
tenga en su poder el certificado, conozca el PIN de dicho certificado y
su cuenta de usuario este autorizada en el stio web (Seguridad NTFS),
podra acceder.

Ya se q el certificado tiene esa finalidad, como tu indicas. Pero si
me roban un portatil en el cual va el certificado cliente (en el IE)
y con ese portátil se conectan a la pag web podría acceder, por eso
queremos q se tengan q logar y q solo se pueda logar el usuario el
cual inicio la sesión con su certificado cliente.

Si habilitas "Strong private key proteccion", no hay ese problema. Con
el certificado solo no puede hacer nada, necesita el PIN. Te insito de
nuevo que para este caso, autentificacion web, se puede utilizar, no
asi en otros certificados, depende.

No se si me he explicado bien, si te hacen falta mas datos dímelo q te
los pongo

Pues si me dices sobre que version del SO operativo esta instalada la
CA y si es una enterprise CA o una stand alone, mejor que mejor

Un saludo.
Ivan
MS MVP ISA Server