En esta página vamos a incorporar, con vuestra ayuda, todas las cuestiones relacionadas con validaciones o verificaciones a realizar para el buen funcionamiento de TCS.
- Validación DCV de dominio
- Verificación de CAA
- Validar certificados EV y CS en CertCentral - ¿Cómo añadir un administrador autorizado?
- ¿Es posible requerir validación a los certificados personales solicitados de forma federada?
- ¿Cómo añado un nuevo perfil a un dominio que ya tenía validado?
Validación de dominio DCV/Email
¿Cómo realizo la validación DCV de dominios utilizando el correo?
DigiCert
Digicert enviará un email con un link de validación a las direcciones de email que estén en el WHOIS, además de a las direcciones:
- admin@#domain#
- administrator@#domain#
- webmaster@#domain#
- hostmaster@#domain#
- postmaster@#domain#
para cada uno de los dominios que se estén intentando validar.
El administrador debe tener acceso a alguna de las direcciones de email a las que llegará el correo o en el peor de los casos tener contacto directo con quién pueda pulsar el link de esos correos.
En caso de que no se disponga de acceso a ninguna de ellas hay 2 opciones, solicitar que habiliten el acceso a alguna de ellas o incorporar nuestra dirección de correo al campo de contacto administrativo o técnico asociados al dominio en su registro del Whois.
Sectigo
Sectigo no envía los correos a las 5 direcciones de correo habituales. En su lugar pregunta a qué dirección deseamos que se envíe el correo.
Los mensajes relacionados con las validaciones suelen venir de las direcciones:
- support@sectigo.com
- support@cert-manager.com
- no_reply_support@trust-provider.com - para DCV
Por ello conviene tener dichas direcciones de correo en nuestras listas blancas.
Verificación de CAA
El RFC 6844 define la implementación de un estándar para la Autorización de Entidades de Certificación (Certification Authority Authorization, CAA) utilizando el registro CAA del DNS.
Mediante los registros CAA se especifican una o más entidades de certificación autorizadas a emitir certificados SSL/TLS a un dominio o subdominio específicos. Además de ello, los dueños de los dominios tienen la posibilidad de indicar una dirección de correo electrónico en la que recibirán las notificaciones en caso que se realice una solicitud de certificado, bajo ese dominio, a una autoridad de certificación no autorizada.
Las CAs han implantado este mecanismo para la validación de los dominios a la hora de emitir los certificados. Requieren que se utilice el registro CAA del DNS y se añada a sus CAs. Por ello, si a la hora de validar un dominio, no encuentran el registro CAA correctamente configurado, enviarán un mail al solicitante con un texto similar al siguiente:
Hello XXXXX, I am trying to finish the validation of your certificate order for aaaaa.domain.es and I need your help with just one thing: We are in need of your CAA record to be updated with an entry for CA-NAME for each sub-domain on your order. If you can please update your CAA record, we can work to get the order approved. We look forward to your response! Thanks and have a good one!
Es necesario hacer lo que indican en el mensaje para que puedan validar el dominio y emitir el certificado. Para ello recomendamos utilizar el CAA Record Generator.
Y no debemos olvidar que:
- CAA es obligatorio para las entidades de certificación a partir del 8 de septiembre de 2017
- CAA es voluntario para los propietarios de los dominios, así que si un dominio no publica un conjunto de registros CAA, la CA emitirá los certificados como hasta ahora
Nota:
Parece que Sectigo verifica el registro CAA durante la validación DCV de los dominios, así que si estamos usando CAA, aunque no se haya solicitado ningún certificado todavía, hay que asegurarse de agregar a Sectigo, junto a DigiCert en los registros CAA.
Validar certificados EV y CS en CertCentral- ¿Cómo añadir un administrador autorizado?
Hay que añadir otra validación EV para la misma institución seleccionando la nueva persona.-
CERTIFICATES ->
Organizations ->
[click sobre la organización] ->
Submit for Validation ->
[seleccionar EV] y
[elegir usuario nuevo desde el desplegable]
Para que la nueva persona se muestre en ese desplegable, debe tener correctamente rellenos los campos teléfono y puesto de trabajo.
Más información: punto “8.2.4 How to View the EV, EV Code Signing, and Code Signing Certificate Approvers for an Organisation” de la DigiCert User Guide Version 4.3 - (2016.02.05)
¿Es posible requerir validación a los certificados personales solicitados de forma federada?
El acceso federado requiere de un entitlement específico para que un usuario pueda solicitar el certificado personal. Se supone que sólo se le da ese entitlement a los usuarios que necesiten certificados y, con ello, se ahorra el administrador tener que estar aprobando/denegando solicitudes.
Así se diseñó, pero si se quiere añadir también la aprobación por parte del administrador puede hacerse, según se indica en la página 36 del documento DigiCert User Guide Version, en la sección Configuring Client Certificate Approval
En concreto, entrando como administrador de la división y seleccionando preferencias propias, en lugar de heredar las que se han configurado en RedIRIS para todas las divisiones, al final de la página, bajo el punto Certificate Requests se encuentra un item llamado Client Certificate Approval que hay que marcar.
NOTA: Tal y como se dice en la página 37 de la DigiCert User Guide (GÉANT):
Important SAML Note: If you are using SAML, turning on the Client Certificate Approval feature will interrupt the SAML certificate enrollment process.
La solicitud será tratada como si fuese una solicitud de certificado personal "similar" a la que se realizaría si solicitases un certificado Grid Premium desde CertCentral.
Por ello del CN no se generará correctamente y la activación de esta opción no está aconsejada.
¿Cómo añado un nuevo perfil en CertCentral, a un dominio que ya tenía validado?
Hay que seleccionar el dominio deseado y enviar una nueva validación
-
Cuenta -> Domain Validation -> (seleccionar dominio) -> Submit for Validation -> (elegir el nuevo perfil para la validación)