Acceso SSL 1.

1. Accede a esta página.
   Razona muy seriamente lo que sucede.
   Acepta el certificado sólo para esta sesión. %%% Hemos accedido a una página segura cuyo certificado está emitido para un servidor distinto.
   Al aceptar el certificado, se mantiene la confidencialidad, pero se pierde la autenticidad. Para recuperarla, es necesario emplear medios no-criptográficos, es decir validarla por contenidos, lo cual, en general, no siempre es posible, como en este caso. %%%
2. Accede a esta página.
   Razona lo que sucede. %%% Con firefox, no me deja entrar por causas desconocidas. Con explorer me pide un certificado. %%%

Solicitud de certificados 1.

1. Para empezar, pincha aquí.
2. Observa que te pide la Visa, dile que lo quieres gratuito.
3. Si tu dirección de correo es del tipo Nombre.Apellido@alumail.uji.es, es ésta la que debes de usar y no alxxxxxx.
4. Mira el código fuente de la página y averigua cómo y dónde se generan las llaves. %%% Hay un tag keygen. %%%
5. Procede a generar las llaves.
6. Mozilla/Firefox te pedirá una una contraseña, que debes inventarte en ese momento. No la olvides, protege tus llaves privadas.
7. Recibirás un email. Mientras llega, piensa en la seguridad delproceso realizado:
   • ¿Es seguro guardar la llave privada ahí?
   • ¿Es seguro el proceso de generación de la llave?
   %%% Es razonablemente seguro: la contraseña de firefox la protege suficientemente.
   El proceso de generación es seguro en la medida en que confiemos en el administrador del ordenador/ordenadores de la UJI implicados en el procedimiento: el PC de aulas y el sistema donde está el Linux que se monta por NFS. %%%
8. Lee el mail y sigue las instrucciones.
9. Una vez tienes el certificado, puedes comprobar que está a través del gestor de certificados:
   • En el menú Editar/Preferencias/Avanzado/Seguridad/Certificados elige Gestionar.
   • Tu certificado estrá ahí. Seleccionalo y plusa Guardar.
   • Dale el nombre VsEmail.p12.
   • Ponle una buena contraseña, ¡y no la olvides!.
   • Ya puedes cerrar el gestor.
10. Coje papel y lápiz e intenta definir exactamente lo que Verisign certifica. %%% Verissign certifica que, en un instante dado, la persona que ha realizado el proceso de generación del certificado, ha podido leer el correo que Verisign ha dirigido a la dirección especificada en el certificado. %%%
11. Desde un terminal, ejecuta

    openssl pkcs12 -in VsEmail.p12 -out VsEmail.pem

    ¿Por qué te pide tantas contraseñas?. %%% Una para leer el .p12 y otra (dos veces) para proteger la llave privada en formato PEM. %%%
12. Analiza el contenido del fichero PEM. %%% Hay una llave privada y un certificado. El certificado lo puedo ver usando

    openssl x509 -text

    %%%
13. Observa las características del certificado obtenido.
14. Haz copia de seguridad de los archivos.
15. Accede al e-UJIer con el vertificado de Verisign. Razona lo que pasa. %%% La UJI no acepta este tipo de certificados. %%%

    ---

16. Con firefox (autenticado), solicita un certificado a la FNMT, pinchando aquí.
17. Piensa en el proceso de aceptación de la CA.
18. El código que te dan debes anotarlo en un papel.
19. Cuando acudas al punto de registro, en el mismo papel, anota tu dirección de correo correcta.
20. Recuerda que debes acudir con DNI y fotocopia.

Solicitud de certificados 2.

1. Arranca Windows XP.
2. Arranca explorer.
3. Accede a Verisign.
4. Solicita un certificado como antes. Al generar las llaves, usa el CSP que te propone y elige el nivel de seguridad medio.
5. Recuerda observar el código fuente de la página para entender cómo se generan las llaves.
6. Accede al menú Herramientas/Opciones de Internet, pestaña Contenido, botón Certificados.
7. ¿Dónde está tu llave privada?. %%% En el disco duro del Windows. %%%
8. ¿Qué piensas hacer ahora?. %%% En le proceso de solicitud del certificado, he olvidado marcar la casilla donde me permite guardar la contraseña cifrada con una contraseña, ahora mismo está accesible en el disco duro.
   Tendré que quitar la llave del disco duro, ahora mismo no se como. Windows me permite quitar el certificado, lo quito, aparentemente todo está bien. %%%

   ---

9. Estudia lo que te dice este programa. %%% Parece que las llaves privadas no se borran al borrar el cert, este programa lo hace. %%%

El clauer y tus certificados GVA.

1. Inserta tu clauer.
2. Desde IE, accede al menú Herramientas/Opciones de Internet, pestaña Contenido, botón Certificados.
3. Observa tus certificados de la GVA.
4. Bórralos con el botón correspondiente. ¿Qué pasa?. ¿Por qué?. %%% No me deja. El clauer no soporta borrar certificados vía CryptoAPI, debe hacerse con el gestor del clauer. %%%
5. Saca el clauer.
6. Haz doble click sobre el PKCS12 de firma de la GVA (originalmente estaban en el floppy) y sigue el proceso de importación del certificado. %%% En "nivel de seguridad", he elegido nivel alto y una buena constraseña. %%%
7. Razona la situación actual. %%% Mi llave privada está en el disco duro, pero protegida con una constraseña. %%%
8. Inserta el clauer, vuelve a la página de Verisign y selecciona como CSP el del clauer. Comprueba que se generan las llaves con el clauer.
9. Desde linux, usuario autenticado, importa el pkcs12 con firefox, usando el gestor de certificados.
10. Abre con openssl el PKCS12 de firma de la GVA y estudia el certificado.

    ---

11. Aprende a usar los comando clls, clview, clexport y climport.

SSH

1. Prepara el archivo que contiene el pkcs12 de firma de la CA de la GVA.
2. Genera la llave pública de ssh correspondiente a la llave privada, usando ssh-keygen.
3. Pon la llave pública en mortadelo de modo que puedas probar que funciona correctamente.

Acceso SSL 2.

1. Repite el acceso a esta página.
   Razona lo que sucede.
2. La página contiene tus datos personales.
3. Piensa en la siguientes cuestiones:
   
   • ¿Has entregado tu llave privada?
   • ¿Has dado alguna información confidencial?
   • Razona la seguridad de la operación.
4. Accede por ssh a al.nisu.org.
5. Crea el directorio ~/public_html si no lo tienes ya y ponle los permisos adecuados (también a tu directorio principal):

   cd
   mkdir public_html
   chmod 711 . public_html

6. accede a public_html y crea un fichero index si no lo tienes ya:

cd public_html
vi index.html
chmod 644 index.html

7. Accede a la URL:

   http://alxxxxxx.al.nisu.org/

8. Desde un terminal, accede a tu directorio public_html y crea en él un fichero .htaccess:

vi .htaccess

y coloca en él:

order deny,allow
deny from all

9. Prueba de nuevo a acceder a la mencionada URL.
10. Edita .htaccess y añade:
    

    allow from uji.es

11. Prueba de nuevo a acceder a esa URL.
12. Edita .htaccess y cambia TODO su contenido por:
    

    SSLRequireSSL

13. Prueba de nuevo a acceder a esa URL.
14. Vamos a acceder a esa página, pero con https en lugar de http, la URL cambia y es https://sec.nisu.org/al/alxxxxxx/ .
15. Edita .htaccess y añade:

SSLVerifyClient optional_no_ca
SSLRequire %{SSL_CLIENT_S_DN_CN} =~ m/.*NIF 123456788Z$/

Piensa un poco en lo que has añadido.
16. Prueba de nuevo a acceder a la misma URL. Que pruebe un compañero.
17. Experimenta diversas combianciones de todo ello.

SSH II.

1. Prepara el archivo PKCS12 de la GVA (firma)
2. Genera la llave pública de ssh correspondiente a la mencionada llave privada, usando ssh-keygen.
3. Pon la llave pública en anubis de modo que puedas probar que funciona correctamente.

La red es insegura.

1. Esta práctica es muy peligrosa, asúmelo o no la hagas.
2. Con este navegador, abre una ventana nueva y accede al aulavirtual de la uji, autenticado, es decir, entra en alguna asignatura; después cierra la ventana, pero no el navegador.
3. Con este navegador, accede a este enlace. ¿Qué ha pasado?.
4. ¿Te parece seguro? ¿Sí? Pues vuelve a acceder al mismo enlace.
5. Piensa cómo podrías hacer esto automáticamente a un colega.