Zentyal para Administradores de Redes VERSION 2.2 ¢¥zentyal Linux Small Business ServerVERSION 2.2 “y ¢>zentyal Linux Small Business ServerCréditos (0) Elaborado por: Box Technologies SL Ozentyal Hes? 50018.-Zaragora D) Aviso de Copyright Copyright © 2011 eBox Technologies SL, Todos los derechos reservados. Ninguna parte de este manual ppodré ser reproduce, transmitide, ranserita,almacenada en un sistema de recuperation ni raducida 3 ualquier idioms, de cualquier forma o por evalquier medio, sin el consentimiento previo por escrito de ‘Box Technologies SL. Sibien seha hecho todo lo pasible para garantizar que la informacian contenids en este manual es precisa yy completa, eBox Technologies, S.L.no se hace responsable de erores ni omisiones,ni deningin dao oca- Slonado por al. uso de este producto, eBox Technologies S.L suministra estos materiales “tal y como estén Yu suministo no implica ningun tipo de garantia, ni expresa ni implicita, incluyendo ~ pero sin limitarse 2 ellas~ las relativas al cumplimiento de criterios comerciales y ala adecuacion a propésitos particulaes. Elcopyright de este manual pertenece a eBox Technologies S.L Zentyal @ y el logo de Zentyal son marcas registradas de eBox Technologies SL. Todos los demas nombres de marcas mencionados en este manual ‘son marcas comerciales 0 registradas de sus respectivosttulares, y se usan Gnicamente con fines ident fieatvos,Indice 1. Introducci6n a Zentyal 9 1.1. Presentacién, 9 2.14 Las pymesy 18s TICS. asuesnnnnte piace 1.1.2 Zentyal: servidor Linux para pymes....... 10 1.13. Acerca de este manual . 2 1.2. Instalacién ............. . a. — mW 1.21. ELinstalador de Zentyal 33 1.2.2. Configuraci6n inicial...... seonninnenneeienmnneeeenne 1.2.3. Requisitos de hardware ae Pr 1.3. Primeros pasos con Zentyal 25 1.3.1 La interfez web de administracion de Zentyal. 25 1.3.2. Emplazamiento en la red de Zentyal ° ' 31 1.3.3. Configuracion de red en Zentyat 32 1.3.4. Ejemplos précticos HACE 1.4, Actualizaci6n de software 39 1.4.1. Gestién de componentes de Zentyal 39 1.4.2. Actualizaciones del sistema, . eonsnnnennnnnnene 1.4.3. Actualizaciones automaticas. conc svennnenne ene MD 1.4.4. Ejercicios propuestos a 15. Cliente de Zentyal Cloud a2 1.5.1. Subscribir un servidor Zentyal a Zentyal Cloud (Subscripcién basica).... 43 1.5.2. Copia de seguridad de la configuracién a Zentyal Cloud 45 1.5.3. Otros servicios disponibles con la Suscripcién Bésica 46 1.6. Preguntas de Auto-evaluacion “7 2. Zentyal Infrastructure 49 2.1, Servicio de resolucién de nombres de dominio (DNS) 49 2.1.1. Configuracién de un servidor DNS caché con Zentyal 53 2.1.2. Prony DNS transparente 55 2.13. Redirectores DNS 55 2.1.4. Configuracién de un servidor DNS autoritario con Zentyal. 54 2.1.5. Ejemplos practicos . . 59 2.1.6. Ejercicios propuestos.......... empnerennirenennerrsten 62 2.2. Servicio de sincronizacién de hora (utP). ai cb 62 2.2.1. Configuracion del cliente NTP. 63 2.2.2. Configuracién de un servidor NTP con Zentyal soe 2.23. Ejemplos practicos. soos 5indice Zentyal2.2 para Administradores de Redes 2.3. Servicio de configuracién de red (DHCP) 2.3.1. Configuracién de un servidor DHCP con Zentyal. 2.3.2. Ejemplos Practicos. 2.3.3. Ejercicios propuestos 2.4, Autoridad de certificacién (CA) 2.4.1. Infraestructura de clave publica (PKI) 2.4.2. Importacién de certificados en los clientes. 2.4.3. Configuracién de una Autoridad de Certificacién con Zentyal. 2.4.4. Ejemplos practicos 2.5. Servicio de publicacién de paginas web b (HTTP) 2.5.1. Configuracién de un servidor HTTP con Zentyal. 2.5.2. Ejemplos practicos 2.5.3. Ejercicios propuestos 2.6. Servicio de Transferencia de ficheros (FTP) 2.6.1. Configuracién del cliente FTP. 2.6.2. Configuracion de un servidor FTP con Zentyal. 2.6.3. Ejemplos practicos 2.7. Gestién de maquinas virtuales... 2.7.1. Creacién de maquinas virtuales con Zentyal 2.7.2. Mantenimiento de maquinas virtuales. 2.8. Preguntas de Auto-evaluacion Zentyal Gateway 3.1. Abstracciones de red de alto nivel en Zentyal 3.1.1. Objetos de red 3.1.2. Servicios de red, 3.1.3. Ejemplos précticos 3.1.4, Ejercicios propuestos 3.2. Cortafuegos 3.2.1. Configuracién de un cortafuegos con Zentyal 3.2.2. Redireccién de puertos con Zentyal 3.2.3. Ejemplos practicos... 3.2.4, Ejercicios propuestos 3.3. Encaminamiento 3.3.1. Configuraci6n del encaminamiento con Zentyal 3.3.2. Configuracién del balanceo con Zentyal 3.3.3. Configuracién de la tolerancia a fallos con Zentyal 3.3.4, Ejemplos practicos 3.3.5. Ejetticios propuestos 3.4. Calidad de servicio 3.4.1, Configuracién de la calidad de servicio con Zentyat 3.4.2. Ejemplos practicOs oc esnsseenen nee . a Sees Be BRE 100 103 103 104, 106 108 109 109 109 113 114, 115 116 117 119 120 122 125 125 126 127Linwx Small Business Server 3.4.3, Blercicios propuestos 3.5. Servicio de autenticacién de red (RADIUS) 3.5.1. Configuracion del Punto de Acceso con RADIUS 3.5.2. Configuracién del cliente RADIUS... 3.5.3. Configuracin de un servidor RADIUS con Zentyal. 3.5.4. Ejemplos précticos 3.6, Portal cautivo 5.6.1. Configuracion de un portal cautivo con Zentyal, 3.6.2. Listado de usuarios. 3.6.3. Limitaci6n del uso de ancho de banda 3.6.4. Uso del portal cautivo 3.6.5. Ejercicios propuestos 3.7. Servicio de Proxy HTTP 1:74. Congurnttinson el navegador de on Fon HTTP 3.7.2. Configuracién del Proxy HTTP con Zentyal 3.7.3. Eliminando anuncios de la web 13.7.4, Limitacién de las descargas con Zentyal 3.7.5. Filtrado de contenidos con Zentyal 3.7.6. Ejemplos practicos 3.7.7. Ejercicios propuestos 3.8, Preguntas de Auto-evaluacin Zentyal Unified Threat Manager 4.1. Configuracién Avanzada para el proxy HTTP 4.1.1. Configuracion de perfiles de fitrado 4.1.2. Perfil de filtrado por objeto 4.1.3. Filtrado basado en grupos de usuarios 4.1.4, Filtrado basado en grupos de usuarios para objetos. 44.5. Ejemplos practicos 4.1.6. Ejercicios propuestos., a 4.2. Servicio de redes privadas virtuales (VPN) con OpenVPN 4.2.1. Configuraci6n del cliente OpenVPN 4.2.2. Configuracion de un servidor OpenVPN con Zentyal 4.2.3. Configuracion de un servidor VPN para la interconexion de redes.... 4.2.4, Bjemplos practicos, 4.2.5. Bjercicios propuestos 4.3. Servicio de redes privadas virtuales (VPN) con IPsec 43.1. Configuracién de un tdnel IPsec con Zentyal. 4,, Servicio de redes privadas virtuales (VPN) con PPTP. 4.4.1. Configuracién del cliente PPTP 4.4.2. Configuracion de un servidor PPTP con Zentyat 128 128 128 130 136 137 138 138 139 139 140 141 141 meUsy 146 148 148 149 152 153 154 157 158 158 158 159 160 161 162 163 163 166 169 170 173 173 176 175 176 180indice Zentyal2.2 para Administradores de Redes 4.5. Sistema de Deteccién de Intrusos (IDS) 181 4.5.1. Configuracién de un IDS con Zentyal 182 4.5.2. Alertas del IDS 183 45.3. Ejemplos practicos...... 184 4.5.4, Ejercicios propuestos 185 4.6. Preguntas de Auto-evaluacién 185 5. Zentyal Office... / : ‘i 187 5.1. Servicio de directorio (LDAP) 187 5.1.1, Configuraci6n de servidores Zentyal en modo maestro/esclavo 188 5.1.2. Configuracion de Zentyal como esclavo de Windows Active Directory. 190 5.1.3, Configuracion de un servidor LDAP con Zentyal..... a oe AB Sb Aincindel Uae csi RT 5.1.5. Ejemplos practicos s 198 5.1.6. Ejercicios propuestos 199 5.2. Servicio de comparticién de ficheros y de autenticacién 199 5.2.1. Configuracién de un servidor de ficheros con Zentyal. 200 5.2.2. Configuracion de clientes Samba 203 5.2.3. Configuracién de un servidor de autenticacién con Zentyal .......0.. 204 5.2.4, Configuracién de clientes POC eos 206 5.2.5, Ejercicios propuestos 207 5.3. Servicio de comparticién de impresoras, 208 5.3.1. Configuraci6n de un servidor de impresoras con Zentyal 208 5.3.2. Ejercicios propuestos aa 5.4. Copias de seguridad au 5.4.1. Disefio de un sistema de copias de seguridad 2a 5.4.2. Backup de la configuracién de Zentyal. 212 5.4.3. Configuracion de copias de seguridad de datos en servidores Zentyal... 213 5.4.4. Como recuperarse de un desastre....... evant 218 5.4.5. Ejercicios propuestos 221 5.5. Preguntas de Auto-evaluaci6n 224 6. Zentyal Unified Communications 223 6.1. Servicio de correo electrénico (SMTP/POP3-IMAP4) 226 6.1.1. Configuracin de un servidor SMTP/POP3-IMAP4 con Zentyal 226 6.1.2. Configuraci6n del cliente de correo......... See een 6.1.3. Ejemplos practicos.. seins js sore 3B 6.1.4, Ejercicios propuestos 239 6.2. Filtrado de correo electrénico 240 6.2.1. Esquema del filtrado de correo en Zentyal. isin 240 6.2.2 Listas de control de conexiones externas 246 6.2.3. Proxy transparente para buzones de correo POPS 247 6.2.4, Ejemplos practic05 ne . 248zentyal Linwx Small Business Server 6.3. Servicio de correo web 248 6.3.1. Configuracién del correo web con Zentyal 249 6.4. Servicio de groupware (Zarafa) 250 6.4.1. Configuraci6n de un servidor groupware (Zarafa) con Zentyal............250 6.4.2. Configuracién de un servidor groupware (Zarafa) con Zentyal 252 655. Servicio de mensajeria instanténea (Jabber/XMPP) 255 6.5.1. Configuracin de un servidor Jabber/XMPP con Zentyal 256 6.5.2. Configuracién de un cliente Jabber 257 6.5.3. Configurando salas de conferencia Jabber . 261 6.5.4. Ejemplos practicos 265 65.5. Ejercicios propuestos soninninnstnseinnnnnnninnennnnnne 26S 6.6. Servicio de Voz sobre IP 266 6.6.1. Configuracién de un servidor Vor IP con Zentyal. . 270 6.6.2. Configuracién de un softphone para conectar a Zentyal. sone 2 6.6.3. Uso de las funcionalidades de Voz IP de Zentyal 216 6.6.4. Ejemplos practicos 277 6.6.5. Ejercicios propuestos A 27 6.7. Preguntas de Auto-evaluacion 278 Mantenimiento de Zentyal. 281 7.1. Registros 282 7.1.1. Consulta de registros en Zentyal 282 7.1.2. Configuraci6n de registros en Zentyal.. aacattraaitracas tae 7.1.3, Registro de auditoria de administradores 285 7.1.4. Ejemplos practicos 287 7.1.5. Ejercicios propuestos 287 7.2. Eventos y alertas 288 7.2.1. La configuracién de eventos y alertas en Zentyal... . soo 288 7.2.2. Ejemplos practicos 290 7.2.3. Ejercicios propuestos 290 7.3. Monitorizacién = sit a Sarton eO 7.3.1. Métricas, : 7 . ica 7.3.2. Monitorizacién del uso de ancho de banda : 294 7.33. Alertas . tlt 7.3.4. Ejercicios propuestos a CAE RRA ETRE 7.4, Herramientas de soporte 297 7.44. Informe de la configuracion.......... . : 297 7.42. Acceso remoto de soporte . 297 Uso avanzado de Zentyal 299 8.1. Importacién de datos de configuracion 299 8.2. Personalizacién avanzada de servicios 300indice Zentyal2.2 para Administradores de Redes 8.3. Entorno de desarrollo de nuevos médulos 302 8.4. Politica de publicacion de versiones 303 8.4.1. Ciclo de versiones de Zentyal ...... eemnees — we 303, 8.4.2. Politica de Soporte oc osssnneetnsnsnnensnnnsnneernmnsnneeennnsnnaneeesnnse, SOM 85. Politica de gestion de errores 304, 8.5.1. Parches y actualizaciones de seguridad ies DOB! 8.6. Soporte técnico e 305 8.6.1. Soporte de la comunidad. 2305 8.6.2. Soporte cOMEFCIAL erointnentnnnnnninnnesinsnes 308 8.7. Ejercicios propuestos . 306 Apéndice A. Entorno de pruebas con VirtualBox 309 A.1. Acerca de la virtualizaci6n i sii 309 A2, VirtualBox 310 A.2.1, Creacion de una maquina virtual en VirtualBox... stannic RIE ‘A.2.2. Configuraci6n de una maquina virtual en VirtualBox. silent ee A.2.3, Instanténeas en VirtualBox... preeewnee 320 A.2.4, Afiadir un disco duro virtual adicional 321 Apéndice B. Escenarios avanzados de red 323 B.1. Escenario 1: Servidor Zentyal virtualizado con conexién a Internet y acce- 50 desde el anfitridn y cliente interno, 323 B.2. Escenario 2: Servidor Zentyal virtualizado con acceso desde el anfitrién y otro cliente con conexién a Internet a través de dos gateways 325 B.3. Escenario 3: Servidor Zentyal virtualizado con conexién a Internet y acce- so desde el anfitrién y otros dos clientes 327 B.4. Escenario 4: Servidor Zentyal virtualizado conectado a otro Zentyal virtua- lizado uniendo redes separadas 328 B.5. Escenario 5: Servidor Zentyal virtualizado con conexién a Internet, acceso desde el anfitrion, clientes en red interna y externa 329 ‘Apéndice C. LVM 331 C.1.LVM 331 C.2. Ejemplo practico A 332 C3. Ejemplo practico B 333 Apéndice D. Respuestas a la auto-evaluacion 335Capitulo Zentyol Infrastructure 192.168.1.29 y en Afiadir nueva le damos un nombre significative al rango que pasaré a asignar Zentyal 4. ACCION. Guardar los cambios. EFECTO. Ahora Zentyal gestiona la configuracién del servidor DHCP. 5. ACCION, Comprobar desde el Dashboard que la direccion concedida aparece en el wid- get IPs asignadas con DHCP. EDERCICIOS PROPUESTOS Deseraicioa Configurar el servicio de DHCP para que asigne siempre la misma direccién IP a una mé- quina. Comprobar desde esa maquina que funciona correctamente. CO percicios Cambiar el tiempo de concesién maximo. Cambiar los pardmetros de dhclient en su f- chero de configuracién, para enviar una peticién con una concesién mayor de la permiti- da. Qué ocurre? Comprobar el contenido de las concesiones en /var/lib/dhcp3/dhctient leases, OC perciaoc Integrar los médulos de DHCP y DNS para servir nombres de los clientes DHCP. Dar ejem- plos usando dominios estaticos y dindmicos usando rangos y asignaciones estaticos. AUTORIDAD DE CERTIFICACION (CA) INFRAESTRUCTURA DE CLAVE PUBLICA (PKI) Las tecnologias de encriptacién permiten garantizar la autenticidad, privacidad e integri- dad en las comunicaciones de los datos transmitidos. Sin embargo, el principal problema de todos mecanismos de cifrado de clave compartida consiste en como distribuir esta cla- ve entre los usuarios sin que puedan ser interceptadas por terceros. Para solucionar este problema existe la infraestructura de clave publica’ (Public Key Infraestructure - PKI). Esta tecnologia nos permite compartir claves en un medio inseguro, sin que sea posible la su- plantacién, intercepcién 0 modificacion de los datos entre dos usuarios. En la PK\ cada usuario genera un par de claves: una publica y una privada. La publica es dis- tribuida entre los demés usuarios y la privada guardada cuidadosamente. Cualquiera que quiera encriptar un mensaje debe hacerlo con su clave privada y la publica del destinata- rio. De esta manera el mensaje s6lo puede ser descifrado con la clave privada de éste, y al haber sido encriptado con la clave privada del emisor, conociendo su publica, podemos gorantizar su integridad. 35 Hay que tener 36 htp/feswiip venta que las asignacionesestitces no aparecen en el widget del DHCP, estructura de_clave pilin,@>zentyal Unuy Small Business Server Figura 2.32. Frade con ctave pablica No obstante, esta solucién tiene un nuevo problema: si cualquiera puede presentar una clave pablica, gcémo garantizamos que un participante es realmente quien dice ser y no ‘esté suplantando una identidad que no le corresponde? Para resolver este problema, se ‘crearon los certificados’”. Un certificado es un fichero que contiene una clave publica, frmada por un tercero. A este tercero en el que depositamos ta confianza de verificar las identidades se le denomina ‘Autoridad de Certificacién (Certification Authority - CA)". 17 hpZ/eswikipediaorg/wit/Centficada_de_clave publica 8 http/“eswikipediaorg/wik/Autordod_de-certificacionCapitulo) Mario Rossi's > etch Seape vet Figura 232. Expedicion de un cetifcado, Zentyal integra OpenSSL" para la gestidn de la Autoridad de Certificacién y del ciclo de vida de los certificados expedidos por ésta IMPORTACION DE CERTIFICADOS EN LOS CLIENTES: Para poder validar cualquier certificado emitido por una Autoridad de Certificacién gestio- nada por Zentyal, hay que importar en el sistema el certificado de ésta, En Windows XP iremos a Inicio > Configuracién > Panel de control, y en esta ventana se- leccionaremos Conexiones de red e Internet. @o RENN cj un ctegoria a 3 Pe BR ee a Be a oe Figura 235, Panel de control. 39 winwopensslong/Ozentyal ny Small Business Server En ésta seleccionaremos la opcién Opciones de Internet. Figura 2.54, Conesiones de red e Internet. Apareceré una nueva ventana, Propiedades de Internet, seleccionaremos la pestafia Conte- nnido: y pulsaremos en Certificados... go Figura 2.35. Propledades de Internet.Capitulo Zentyol Infrastructure En esa ventana Certificados podemos ver diferentes pestafias donde se clasifican los dife- rentes tipos de certificados almacenados. Para importar el nuestro pulsaremos Importar. eo ete: = rer crc tenets exer Le] ‘ates [| eae 6. Certificados. Comenzaré un asistente para la importacién de nuevos certificados. Continuaremos con el Siguiente paso. go fenansinees, EE inate Figura 2.37. Asistente para importaco En Nombre de archivo seleccionaremos dénde se encuentra el fichero con el certificado Utilizando Examinar... Una vez seleccionado el certificado a importar, seguimos hacia el siguiente paso.Ozentyal nur Small Business Server Figura 238. Asistente para importacién de certificads. En la ventana Almacén de certificados marcamos la opcién Seleccionar autométicamente et almacén de certficados en base al tipo de certificado y continuaremos una vez mas hacia el siguiente paso, Figura 2.39. Asistente para importacion de certificades. ‘Se mostrar un resumen de las acciones a ejecutar y ya solo quedaré Finatizar, Figura 2.40. Asistente para importacion de cetificados. ]—8 Capitulo 2 daielipaincin Si todo fue bien, un didlogo informaré consecuentemente. go ‘Fgura 2.42. Asistente para importacién de certificados. Podemos ya verificar que el certificado de nuestra CA aparece en la lista de certificados. Figura 2.42. Certfcados. ‘También podemos afadir el certificado de la CA un navegador como Mozilla Firefox. Vea- ‘mos como hacerlo en este caso sobre Ubuntu. Lo primero es ejecutar el navegador e ira Editar > Preferencias. En esta ventana seleccio- naremos la pestafia Avanzado, luego la pestafia Cifrado y pulsaremos en Ver certficados. Figura 2.45, Preferencias avanzadas.@>zentyal Unuy Small Business Server De manera muy similar al caso anterior, se muestran los distintos tipos de certificados cla- sificados en diferentes pestafias. Seleccionaremos la de Autoridades. eo (Gms Cis Figura 2.44. Certifcados de Autoridades. Procederemos a Importarel certficado de la CA seleccionando el fchero donde se encuen- nos mostrar la siguiente ventana, para elegir en que situaciones queremos cconfiar en esta nueva Autoridad de Certificacién. tra, Entonces eo “rietu eoape oe enna rasa Aaa Ca ur crren-eseation any Cera pra ls vets tin? Corner escheat 1 etree Cp eters een. cs eco ent A pa igi propa ee exami cee, fatten woceamenes ncaa oes) ER ore cotter cen Figura 2.45. Importar nuevo certificad.Capitulo Zentyol Infrastructure Mediante Ver nos mostraré los detalles del certificado, Figura 2.46, Detalles del ceticada, Una vez verificado que el certificado es correcto y seleccionados los usos para los que vamos a confiar en esta CA, s6lo queda pulsar Aceptaryy verificar que el certificado aparece en lalista, 8a Se en Sei om “Manatees ne seamed ec acer mitees "Sooner astoy chi ian Figura 2.67. Certificados screen surennsccnecnit te En Zentyal, el médulo Autoridad de Certificacion es autogestionado, lo que quiere decir ‘que no necesita ser habilitado en Estado del Médulo como el resto, sino que para comenzar ‘utilizar este servicio hay que inicializar la CA. Las funcionalidades del modulo no estarén disponibles hasta que no hayamos efectuado esta accion. ‘Accederemos a Autoridad de Certificacién > General y nos encontraremos con el formula- rio para inicializar la CA. Se requeriré el Nombre de Organizacién y el nimero de Dias paraOzentyal nur Small Business Server expirar. Ademés, también es posible especificar opcionalmente Cédigo del Pais {acrénimo de dos letras que sigue el estandar |SO-3166-1"), Ciudad y Estado. Qo Figura 2,48, Crear Cer icado de la Autoridad de Cetificacion Ala hore de establecer la fecha de expiracién hay que tener en cuenta que en ese momen- to se revocaran todos los certificados expedidos por esta CA, provocando la parada de los servicios que dependan de estos certificados. Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos nece- sarios son el Nombre Comiin del certificado y los Dias para Expirar. Este Gttimo dato esté Limitado por el hecho de que ningdn certificado puede ser valido durante més tiempo que la CA. Enel caso de que estemos usando estos certificados para un servicio, como podria ser un servidor web o un servidor de correo, el Nombre Comuin deberé coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el nombre de dominio zentyal. ‘home.tan para acceder la interfaz de administracion web de Zentyal, ser8 necesario un certificado con ese Nombre Comin. En el caso de que el certificado sea un certificado de Usuario, usaremos normalmente su direccién de correo como Nombre Comtin. Opcionalmente se pueden definir Subject Alternative Names" para el certificado. Estos sir- vven para establecer nombres comunes 2 un certificado: un nombre de dominio o direccién IP para dominio virtual HTTP o una direccién de correo para firmar los mensajes de correo electrénico. Una vez el certificado haya sido creado, aparecerd en la lista de certificados, estando dis- ponible para el administrador y el resto de médulos. A través de la lista de certificados podemos realizar distintas acciones con ellos: ® Descargar las claves publica, privada y el certificado, Renovar un certificado, Revocar un certificado, Reexpedir un certificado previamente revocado 0 caducado. fn sobre ins Subje Alternative Nome fease hp rww.openss.ong/doesloppsinSO9V5Capitulo Zentyol infrastructure Figura 2.49 Listado decertificados. El paquete con las claves descargadas contiene también un archivo PKCS12 que incluye la clave privade y el certificado, y que puede instalarse directamente en otros programas ‘como navegadores web, clientes de correo, etc. Si renovamos un certificado, el actual seré revocado y uno nuevo con la nueva fecha de ‘expiracion seré expedido. Y si se renueva la CA, todos los certificados se renovarén con la nueva CA tratando de mantener la antigua fecha de expiracién. Si esto no es posible de- bido @ que es posterior ala fecha de expiracién de la CA, entonces se estableceré la fecha de expiracién de la CA. eo Figura 2.50. Renovar un certifcado. Si revocamos un certificado no podremos utilizarlo més, ya que esta accién es permanente no se puede deshacer. Opcionalmente podemos seleccionar la razén para revocarlo: ® unspecified: motivo no especificado. » keyCompromise: la clave privada ha fo comprometide, * CACompromise: la clave privada de la autoridad de certificacién ha sido comprome- tida, ® affiliationChanged: se ha producido un cambio en ta afiliacion de la clave publica firmads hacia otra organizacion, » superse | certificado ha sido renovado y por tanto reemplaza al emitido. * cessation©fOperation: cese de operaciones de la entidad certificada. * certificateHold: certificado suspendido.Ozentyal nur Small Business Server removeFrom€RL: actualmente sin implementar, da soporte @ los CRL diferenciales, es decir, istas de certificados cuyo estado de revocacién ha cambiado, Bo Figura 2.54. Revocar un certfcads. Cuando un certificado expire, el resto de médulos seran notificados. La fecha de expiracion de cada certificado se comprueba una vez al dia y cada vez que se accede al listado de certificados. Certificados de Servicios En Autoridad de Certificacién > Certficados de Servicios, podemos encontrar la lista de mo- dulos de Zentyal que usan certificados para su funcionamiento. Cada médulo genera sus cettificados autofirmados, pero podemos remplazar estos certificados por otros emitidos pornuestra CA. Para cada servicio se puede generar un certificado especificando su Nombre Comin, Sino existe un certificado con el nombre especificado, la Autoridad de Certificacién lo creara automaticamente. Figura 2.52. Certificados de Servicios. do, tendremos que reiniciar el médulo sobre el que hemos activado el cer- tificado para que lo comience a utilizar, al igual que si renovamos el certificado asociado.Capitulo Zentyol Infrastructure g 2as ‘TRUCO. Para utilizar certificados firmados por una Autoridad Certificadora comer- ial, deberemos seguir el procedimiento habitual para generar una clave privada y luego un CSR (Certificate Signing Request) para que ellos nos envien el certificado firmado que usaremos en el servicio. Veamos un ejemplo de como se haria para un servidor de correo: 1.- Generamosa clave privada: openss1 genrsa -out dominio.tld.key 2048 2.- Usando la clave privada generamos el CSR: openssi req -new -key dominio.tld.key -out dominio.tid.csr 3-Enviamos el fichero CSR a la Autoridad Certificadora que nos devolverd el certi- ficado que guardaremos en un fichero como dominio.tld.ert. ‘4- Miramos para cada servicio en sus ficheros de configuracién dénde se guarda el certificado, en el caso de Postfix en /ete/postfin/sasl/postfixpem, asi que proce- demos a sobreescribir ese fichero con el certificado y la clave privada y le damos permisos de lectura exclusivamente para root: cat dominio,tid.crt dominio, tid.key > /etc/postfix/sasi/post- fix.pem chnod 400 /ete/postfix/sasl/postfix.pem 5. Procederemos de manera anéloga para Zarafa: dominio.tid.crt dominio.tid.key > /etc/zarata/ssi/ssi-pem chnod 400 /etc/zarafa/ss1/se1.pen 6. Es buena idea guardar una copia de seguridad de la clave privada y el certifica- do, y revisar que todos los ficheros que contienen la clave privada s6lo los puede Leer root y/o el usuario con el que se ejecuts el servicio, EJEMPLOS PRACTICOS (C BXEMPLO PRACTICO A Pr En la empresa ContaFoo S.. estan implantando protocolos de seguridad en las comu- ricaciones internas para cumplir con la legistacion vigente. Las distintas intranets van a funcionar bajo HTTPS y el correo electrénico usaré SSU/TLS, pero para ello necesi- tan importar el certificado de la Autoridad de Certificacién que gestionan con Zentyal. Crearemos la CAy luego importaremos su certificado en los clientes que usan Windows XP. ACCION. En Autoridad de Certificacién > General. En el formutario Expedirel Certificado de la Autoridad de Certificacién rellenamos tos campos Nombre de la Organizacion y Dias para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certifcacién, EFECTO. El par de claves de la Autoridad de Certificacién es generado y su certificado expedido. La nueva CA se mostraré en el istado de certificados. El formulario para crear la Autoridad de Certificacién sera sustituido por uno para expedir certificados norma- tes, ACCION. Desde el listado de certificados, descargaremos el de ls CA, un archivo con nombre CA-key-and-cert tar.gz que dentro contiene la clave publica ca-public-keypemyOzentyal nur Small Business Server 25 el certificado ca-cert,pem. Siguiendo el procedimiento descrito més arriba, importare- mos el fichero del certificado ca-cert pem en las maquinas Windows XP. EFECTO. El nuevo certificado aparecerd en el listado de certificados, y todo certificado emitido por esta CA sera aceptado por las estaciones de trabajo de los usuarios con Windows XP. SERVICIO DE PUBLICACION DE PAGINAS WEB (HTTP) La Web?” es uno de los servicios més comunes en Internet, tanto que se ha convertido en su cara mas visible para la mayoria de los usuarios. Este servicio esta basado en la trans sion de paginas web mediante el protocol HTTP. HTTP (Hypertext Transfer Protocol} es un protocolo orientado a un proceso de solicitudes y respuestas. El cliente, también denominado User Agent, realiza una peticion de acceso 2 un recurso a un servidor HTTP. El servidor que alberge ese recurso solicitado, procesa y devuelve una respuesta con ese recurso, que puede ser una pagina web HTML, una ima- _gen o cualquier otro fichero que incluso haya sido generado dinémicamente en base a los parémetros de la peticidn, Estos recursos se identifican utilizando URLs (Uniform Resource Locators}, unos identificadores conocidos habitualmente como direcciones web. Una peticién por parte del cliente tiene el siguiente formato: Una primera linea conteniendo . Por ejemplo GET / index.htm! HTTP/1.1 solicita el recurso /index.html mediante GET y usando el proto- colo HITP/4.1. Una linea con cada une de las cabeceras, como Host, Cookie, Referer o User-Agent entre otros. Por ejemplo Host: zentyalcom que indica que la peticién se hace al do- minio zentyal.com, Una linea en blanco, Un cuerpo de forma opcional, ut vidor usando el método POST. ado por ejemplo para enviar informacién al ser- La cabecera Host es usada para especificar sobre qué dominio queremos realizar la peti- cin HTTP. Esto posibilita tener diferentes dominios con diferentes paginas web sobre el mismo servidor. En este caso los dominios resolveran a ta misma direccidn IP det servidor, que examinando la cabecera Host podrs discernir a qué host virtual o dominio va dirigida la peticion, Hay varios métodos con los que el cliente puede pedir informacin aunque los més comu- nes son GET y POST. Vamos a comentar algunos: {® GET. Solicita un recurso, Deberta ser inacuo para el servidor y no causar ningun cambio en las aplicaciones web alojadas. {@ HEAD. Soticita informacién sobre un recurso, al igual que GET, pero la respuesta no incluiré el cuerpo, s6lo la cabecera, De esta forma se puede obtener mete-informacién del recurso sin descargerlo. @ POST. Envia informacion a un recurso que debe procesar el servidor, a través de un for- mulario web por ejemplo. Esta informacion se incluye en el cuerpo de la petici6n. 23 http/eswikipedia.org/wikt/Mypertext 24 Mtpi/eswikipediaorg/wik/Loclieador un