guía de instalación y administración de trustid revoke agent

[email protected]

elevenpaths.com

ElevenPaths, innovación radical y disruptiva en seguridad

Guía de Instalación y Administración de

TrustID Revoke Agent

Guía de instalación y administración de TrustID Revoke Agent

V.2.1 – Octubre 2016

2016 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 2 de 12

CONTENIDOS

1 Introducción ............................................................................................................... 3

2 Guía de Instalación...................................................................................................... 4

2.1 Requisitos de instalación de TrustID® Revoke Agent ............................................................... 4

2.2 Instalación del software TrustID® Revoke Agent...................................................................... 4

2.3 Distribución masiva de “TrustID® Revoke Agent” .................................................................... 5

3 Guía de Administración ............................................................................................... 7

3.1 Configuración de TrustID® Revoke Agent ................................................................................. 7

3.2 Carga de la plantilla administrativa .......................................................................................... 7

3.3 Parámetros de configuración ................................................................................................... 8

3.4 Replicación de la configuración en entornos con Directorio Activo ........................................ 8

3.5 Resolución de problemas ......................................................................................................... 9

4 Recursos .................................................................................................................... 11




1 Introducción

El producto TrustID® Revoke Server permite la integración en la organización de múltiples entidades externas emisoras de certificados, mediante un sistema de validación centralizada del estado de revocación de los certificados digitales que utilizan los usuarios y sistemas de la organización, proporcionando además, la capacidad de personalización del proceso de revocación basado en reglas definidas por el administrador, y eliminando la necesidad de conceder acceso a cada puesto o aplicación a los servidores de publicación de CRLs en Internet de cada proveedor de servicios de certificación.

El módulo TrustID® Revoke Agent, proporciona un método sencillo para que todos aquellos procesos que utilizan el API de criptografía de Windows (CryptoAPI) en el proceso de verificación del estado de revocación de certificados se integren automáticamente en el nuevo sistema centralizado de validación de certificados proporcionado por TrustID® Revoke Server.

De este modo, aplicaciones cliente tan extendidas como Outlook, Office e Internet Explorer y aplicaciones de servidor como Microsoft Internet Information Server (IIS), Microsoft ISA Server, Microsoft Exchange y Microsoft SharePoint entre otras accederán directamente al servicio proporcionado por TrustID® Revoke Server simplemente mediante la instalación y configuración de TrustID® Revoke Agent en el equipo.




2 Guía de Instalación

2.1 Requisitos de instalación de TrustID® Revoke Agent

TrustID® Revoke Agent es un módulo para entornos corporativos con redes basadas en sistema operativo Microsoft Windows. Para su instalación son necesarios los siguientes requisitos:

Sistemas Operativos Microsoft Windows, con las últimas actualizaciones de seguridad. Las versiones soportadas son: Windows 2000 Pro (con Service Pack 4), Windows 2000 Server o Advanced Server (ambos con Service Pack 4), Windows XP Pro (con Service Pack 2), Windows Server 2003 Standard o Enterprise Edition (con Service Pack 1), Windows Server 2003 R2 Standard o Enterprise Edition, Windows Vista (Home Basic, Home Premium, Business o Ultimate), Windows 7 (Home Premium, Professional o Ultimate), Windows Server 2008 o 2008 R2.

Al menos 10 MB de espacio libre de espacio en disco.

2.2 Instalación del software TrustID® Revoke Agent

TrustID® Revoke Agent consta de un único módulo de instalación, etiquetado como “TrustID Revoke Agent Setup”, que instala tanto los módulos necesarios para la verificación de la revocación como la plantilla administrativa para la configuración del módulo. Este módulo de instalación debe ser ejecutado en todos aquellos equipos en los que se desee que las aplicaciones Windows deban verificar el estado de revocación de certificados de manera centralizada usando TrustID® Revoke Server.

Para instalar “TrustID® Revoke Agent” es necesario que la cuenta del usuario que ejecuta la instalación tenga privilegios administrativos. Hay que tener en cuenta que la instalación de “TrustID® Revoke Agent” necesita reinicio de equipo para que pueda ser completada de modo correcto, por tanto, es conveniente planificar este proceso.

Para instalar “TrustID® Revoke Agent” simplemente se debe ejecutar el archivo “TrustID Revoke Agent.msi” correspondiente1. Al finalizar la misma aparecerá la ventana de solicitud de reinicio.

Imagen 01: Solicitud de reinicio.

Tras reiniciar el equipo se podrá observar en la lista de programas del "Panel de Control" el software TrustID Revoke Agent.

1 Si el equipo donde se instala es un servidor “Terminal Services” debe seguirse el procedimiento recomendado para la instalación de software, es decir, acceda a la instalación del producto desde “Panel de Control/ Agregar o quitar programas”.




Image 02: TrustID Revoke Agent en la lista de programas.

La desinstalación del módulo la debe realizar un usuario con privilegios administrativos, y se realiza como un programa más, a través del "Panel de Control"-"Programas y características".

2.3 Distribución masiva de “TrustID® Revoke Agent”

La tecnología de instalación de TrustID® Revoke Agent basada en Windows Installer es válida tanto para despliegues individuales como para despliegues masivos. Adicionalmente, según cada caso, los despliegues pueden requerir un procedimiento interactivo o, por el contrario, totalmente silencioso (nula interacción con el usuario). La Tecnología Windows Installer está preparada para resolver este tipo de circunstancias.

TrustID® Revoke Agent es compatible con múltiples sistemas de distribución de software existentes en el mercado. En caso de que la organización posea software específico para distribución de software hay que ponerse contacto con el administrador para planificar y preparar la distribución de TrustID® Revoke Agent. A la hora de realizar esta planificación debe tenerse en cuenta lo siguiente:

La instalación necesita ejecutarse en un contexto de seguridad con privilegios administrativos.

Debe analizarse y en caso necesario, ejecutar los procedimientos adecuados para asegurar que los prerrequisitos del producto se cumplen tal y como indica esta guía antes de proceder al despliegue.

Si la herramienta de distribución no es capaz de ejecutar archivos de instalación de Windows Installer (.msi) puede utilizarse el archivo “setup.exe” que acompaña al archivo de distribución “TrustID Revoke Agent Setup.msi” o, si se prefiere, utilizar la utilidad msiexec.exe para desencadenar el proceso de instalación.

Para obtener información de cómo personalizar una instalación basada en tecnología Windows Installer pueden consultarse las páginas destinadas a tal efecto en la Web de Microsoft: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/command_line _options.asp o ponerse en contacto con el suministrador del sistema operativo.

Para obtener información sobre la tecnología Windows Installer puede consultarse la dirección Web: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/windows_ installer_start_page.asp?frame=true

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/command_line%20_options.asp

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/command_line%20_options.asp

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/windows_%20installer_start_page.asp?frame=true

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/windows_%20installer_start_page.asp?frame=true




Para obtener información sobre cómo integrar la tecnología Windows Installer en el software de distribución deberá consultarse la documentación de este último o contactar con un representante del software de distribución.




3 Guía de Administración

Es posible configurar el acceso al Servicio Web a través de un Proxy utilizando la herramienta proxycfg tal y como detalla el artículo: http://support.microsoft.com/kb/289481/en-us.

3.1 Configuración de TrustID® Revoke Agent

Tras la instalación de TrustID® Revoke Agent y para el correcto funcionamiento del producto, es necesario llevar a cabo el proceso de configuración de los parámetros para la conexión con el servidor de TrustID®Revoke Server.

Existen dos tipos de parámetros de configuración para TrustID® Revoke Agent:

Parámetros de conexión con el servicio web de TrustID® Revoke Server. Aunque toda la configuración del agente se realiza de manera centralizada, para la consulta de esta, es necesario configurar una serie de parámetros para la conexión con el servidor de TrustID® Revoke Server. Para ello se ha creado una plantilla administrativa de Windows que permitirá realizar la configuración tanto de una manera individual puesto a puesto como, (en caso de tener una infraestructura con Directorio Activo), de una manera única y centralizada para todos ellos mediante una política de grupo.

Parámetros de funcionamiento del Agente. La configuración de estos parámetros se realiza de manera centralizada para todos los agentes mediante la web de administración de TrustID® Revoke Server. Puede accederse a información sobre la configuración del Agente en la Guía de administración de TrustID® Revoke Server.

3.2 Carga de la plantilla administrativa

Para cargar una plantilla administrativa en el editor de políticas de grupo puede seguir los siguientes pasos:

1. Abrir el Editor de Políticas de Grupo bien desde la línea de comandos con la instrucción gpedit.msc, o mediante el complemento de MMC Editor de Políticas de Grupo.

2. Pulsar con el botón derecho sobre el nodo Plantillas Administrativas que se encuentra debajo de Configuración de Equipo, y seleccionar la opción Añadir/Quitar Plantillas.

3. Tras pulsar el botón Agregar (o Añadir), seleccionar el fichero TrustID Revoke Agent.ADM (el fichero debería encontrarse bajo el directorio de Windows en la carpeta inf) y pulsar Abrir.

4. Finalmente pulsar el botón Cerrar.

La plantilla personalizada para la configuración de TrustID® Revoke Agent estará disponible en el editor de políticas de grupo.

Más información sobre la carga y uso de plantillas administrativas personalizadas en el artículo de la base de datos de conocimiento de Microsoft http://support.microsoft.com/default.aspx?scid=kb;EN-US;816662

http://support.microsoft.com/kb/289481/en-us

http://es.slideshare.net/elevenpaths/gua-de-administracin-de-trustid-revoke-server

http://es.slideshare.net/elevenpaths/gua-de-administracin-de-trustid-revoke-server

http://support.microsoft.com/default.aspx?scid=kb;EN-US;816662

http://support.microsoft.com/default.aspx?scid=kb;EN-US;816662




3.3 Parámetros de configuración

Una vez realizada la carga de la plantilla administrativa el siguiente punto para la configuración de TrustID® Revoke Agent es habilitar la política y configurar los parámetros de conexión, para ello se deben seguir los siguientes pasos:

1. En el Editor de Políticas de Grupo, desplegar el nodo Plantillas Administrativas que se encuentra debajo de Configuración de Equipo.

2. Expandir el nodo SmartAccess y seleccionar TrustID Revoke Agent Connection Parameters.

3. En la lista de la derecha abrir el elemento Configure Connection Parameters.

4. Habilitar la política y configurar los siguientes parámetros:

Server Name: Nombre o dirección IP del servidor de TrustID® Revoke al que se conectará el agente.

Port: Número de puerto para la conexión con el servicio web de TrustID® Revoke. Valor por defecto: 80.

User Name: Nombre de usuario para la conexión con el servicio web de TrustID® Revoke. Si el acceso al servidor es anónimo se deberá dejar este valor vacío.

Password: Clave de acceso para la conexión con el servicio web de TrustID® Revoke. Si el acceso al servidor es anónimo se deberá dejar este valor vacío.

Use Https: Flag para indicar si la conexión con el servicio web de TrustID® Revoke se realizará mediante el protocolo Https o Http.

Name Resolution Timeout: Tiempo límite empleado en cada petición para resolver el nombre del servidor, expresado en segundos. El valor 0, por defecto, indica tiempo ilimitado.

Connect Timeout: Tiempo límite empleado en cada petición para realizar la conexión TCP con el servidor Web, expresado en segundos. El valor 0 indica tiempo ilimitado. El valor por defecto es 60 segundos.

Send Timeout: Tiempo límite empleado en cada petición para realizar la petición SOAP contra el servidor Web, expresado en segundos. El valor 0 indica tiempo ilimitado. El valor por defecto es 30 segundos.

Receive Timeout: Tiempo límite empleado en cada petición para recibir la respuesta SOAP del servidor Web, expresado en segundos. El valor 0 indica tiempo ilimitado. El valor por defecto es 30 segundos.

5. Pulsar el botón Aceptar.

3.4 Replicación de la configuración en entornos con Directorio Activo

En aquellos entornos en los que la configuración se realice de manera centralizada a través del Directorio Activo, la configuración establecida mediante la plantilla administrativa deberá ser replicada a los equipos del directorio a los que se haya aplicado la política. Esta replicación se llevará a cabo por los mecanismos normales de replicación del Directorio Activo que, según la configuración del mismo, puede ocurrir tras cierto retardo de tiempo.

Es posible forzar la réplica inmediata de esta configuración ejecutando el comando gpupdate /force en los equipos con Windows 2003 o mediante el comando secedit /refreshpolicy machine_policy /enforce para el caso de equipos con sistemas Windows 2000.




3.5 Resolución de problemas

Si durante el proceso de validación del estado de revocación de los certificados se produjera algún problema, TrustID® Revoke Agent creará eventos en el log personalizado TrustID Revoke Agent del visor de sucesos del sistema indicando el tipo de problema ocurrido.

En este apartado se muestran los mensajes más comunes que se pueden presentar durante el proceso de validación de revocación llevada a cabo por TrustID® Revoke Agent:

1. “La configuración para el proveedor de revocación no existe o está inaccesible.”: Este error se produce cuando el proveedor de revocación no puede acceder a la configuración de conexión bien porque no se haya realizado la configuración con la plantilla administrativa (ver apartado Configuración de TrustID Revoke Agent) o bien porque la configuración no se haya replicado al equipo (ver apartado Replicación de la configuración).

Una vez replicada de manera correcta la configuración, ésta deberá encontrarse en el registro del equipo debajo de la rama HKLM\Software\SmartAccess\SmartID Revoke Agent\ Configuration si esta rama no existiese se produciría este error.

Acciones: Mediante el editor del registro de Windows verificar la existencia de esta rama en el equipo en el que se está produciendo el error y utilizar los apartados de Configuración de TrustID Revoke Agent y Replicación de la configuración para configurar el proveedor de revocación de manera correcta.

2. “Configuración no válida: se debe configurar un valor para el campo Servidor del Servicio Web.”: Este mensaje se muestra si, aún habiéndose replicado la política de configuración de TrustID® Revoke Agent, el campo Server Name no contiene ningún valor. Este campo siempre ha de contener algún valor incluso si el servidor de fuese la propia máquina local.

Acciones: Utilice la plantilla administrativa de configuración de TrustID® Revoke Agent para indicar un valor adecuado para el campo Server Name. Más información sobre el uso de la plantilla administrativa en los apartados de Configuración de TrustID Revoke Agent y Replicación de la configuración de esta guía.

3. “El Servicio Web %ServiceName% no está en línea o no ha respondido en el tiempo adecuado. MÁS INFORMACIÓN: %Function% %Error%”

Este error se produce cuando el agente no puede conectarse al servicio web indicado en %ServiceName% en el servidor y puerto indicados y con las credenciales de usuario y clave suministradas.

Los campos %Function% y %Error% indicarán tanto el nombre de la función como el error HTTP producidos.

Acciones: Verificar que hay conectividad entre el equipo con el servidor web y en el puerto indicados, verificar que las credenciales configuradas son correctas. Los campos código de error y descripción contendrán información sobre el motivo por el que no se ha podido realizar la conexión. Para más información sobre los códigos de error consultar el artículo de la base de datos de conocimiento de Microsoft http://msdn2.microsoft.com/en-us/library/aa383770 .aspx.

http://msdn2.microsoft.com/en-us/library/aa383770%20.aspx

http://msdn2.microsoft.com/en-us/library/aa383770%20.aspx




4. “Se ha producido un error en la llamada al Servicio Web %ServiceName%.

RESPUESTA DEL SERVIDOR: %HTTP Status Code% %ServerResponse%”

Este mensaje aparece cuando se produce un error durante la ejecución del servicio web indicado en %ServiceName%. El campo %HTTP Status Code% indica el código de error HTTP y el campo %ServerResponse% mostrará el contenido del error reportado por el servidor (SOAP Exception).

Acciones: Las acciones que se deben llevar a cabo dependerán del error indicado en %ServerResponse%. Dado que es un error producido en el servidor, es conveniente, también, revisar el contenido del visor de eventos del servidor de TrustID® Revoke Server.

5. “La configuración para el proveedor de revocación ha caducado pero el Web Service de configuración no está accesible. El proceso continuará utilizando la configuración caducada.“: Este mensaje es un mensaje de advertencia. Aparecerá si el equipo cliente no tiene acceso al servidor web de TrustID® Revoke Server (está trabajando en modo desconectado) y, además, la configuración cacheada en el cliente está caducada. En este caso, puesto que no será posible descargar una configuración actualizada para el agente, éste continuará trabajando con la configuración de la que dispone aunque ésta esté caducada.

Acciones: Idealmente el cliente debería conectarse al servicio web en cuanto sea posible para descargar una configuración actualizada pero en cualquier caso el agente continuará trabajando en modo desconectado.




4 Recursos

Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.

https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

http://blog.elevenpaths.com/

https://www.youtube.com/user/ElevenPaths

http://vimeo.com/elevenpaths

http://www.slideshare.net/elevenpaths/




La información contenida en el presente documento es propiedad de Telefónica Digital España, S.L.U. (“TDE”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDE y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDE se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDE.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDE no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDE y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDE y sus filiales se reservan todo los derechos sobre las mismas.

PUBLICACIÓN:

Octubre 2016

En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina, y Colombia.

TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:

elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths

guía de instalación y administración de trustid revoke agent

Technology