No se puede exportar la clave privada no exportable
¡Bienvenido a PKIGUIDE! Hemos creado especialmente este sitio para responder a algunas de las preguntas formuladas por los importadores, exportadores, agentes marítimos y agentes de compensación, sobre los certificados digitales PKI de Etisalat utilizados con Mersall II, un nuevo proyecto de la Aduana de Dubai. Por favor, no dude en enviar sus comentarios o preguntas a [email protected] y vuelva a consultar periódicamente las respuestas y actualizaciones de nuestros esfuerzos por aumentar la base de conocimientos sobre el tema.
Una vez que haya instalado su certificado en su PC, debe hacer una copia de seguridad del mismo. Hacer una copia de seguridad de un certificado tiene dos propósitosa)Puede restaurar su certificado en caso de que lo pierda de su PC debido a cualquier razónb)Puede instalar y utilizar el mismo certificado en otro PCLos siguientes son los pasos para exportar (hacer una copia de seguridad) de su certificado de usuario desde el PC actual.1. Abra Internet Explorer en la máquina donde descargó e instaló su certificado.2.. Haga clic en Herramientas.3.. Seleccione Opciones de Internet.4.. Seleccione Contenido en el menú superior5.. Haga clic en Certificados6.. Seleccione su certificado en la pestaña “Personal” y luego haga clic en exportar7.. Se iniciará el asistente de exportación.8.. Asegúrese de que exporta la clave privada del certificado (Nota: El certificado no está completo sin la clave privada. No podrá restaurar el certificado más tarde si no tiene la clave privada) 9.. Si lo desea, puede proteger su clave privada con una contraseña (opcional) 10.. Incluya todos los archivos de la ruta de certificación y luego guarde el archivo11.. Ponga un nombre a su certificado y guárdelo en algún lugar de su PC o en un medio de almacenamiento externo11.. Complete el Asistente de Exportación haciendo clic en el botón Finalizar12.. Haga clic en el botón OK
Exportar certificado desde el registro
Yo sugeriría utilizar tarjetas inteligentes para este propósito (en las que la clave se almacena y se utiliza en la tarjeta y, por lo general, no se revela al ordenador). De esta manera, al menos, el hacker interno tendría que encontrar la contraseña administrativa de la tarjeta o hackearla de otra manera, lo cual es mucho menos trivial que copiar una almacenada en el software.
También podrías considerar el uso de certificados informáticos que codifiquen el nombre de host del ordenador, y asegurarte de que tu software de autenticación lo valide. Sin embargo, como generalmente es bastante fácil cambiar los nombres de host de los ordenadores, sugeriría que esto no ofrecería casi ninguna ventaja.
Windows 10 exportar clave privada no exportable
Un componente crítico de su infraestructura de gestión de identidades de máquinas suele incluir un módulo de seguridad de hardware (HSM), un dispositivo físico que se conecta a la red y en el que se gestionan las claves secretas. Los HSM son la forma más segura de proteger física y digitalmente sus claves, incluidas las claves de misión crítica como las claves de firma de código. También puede utilizar un HSM para realizar tareas adicionales en su entorno con esas claves seguras, como el cifrado o la creación de firmas digitales. Un HSM puede ofrecerle la posibilidad de acelerar el rendimiento, ya que la firma basada en hardware es más rápida que su equivalente en software.
Por su diseño, un HSM proporciona dos capas de seguridad. En primer lugar, las claves están protegidas físicamente, ya que se almacenan en un dispositivo cerrado en una ubicación segura con un acceso muy controlado. En segundo lugar, las claves son lógicamente seguras, ya que mantienen sus claves secretas, bueno, secretas. El hardware y el software están diseñados para los más altos niveles de certificación de seguridad, y esta separación de las funciones criptográficas de las funciones de programación y lógica empresarial protege contra vectores de ataque críticos.
Cómo marcar la clave privada del certificado como exportable
Windows 10 ofrece certmgr.msc, una herramienta para gestionar el almacén local de certificados. Sin embargo, Windows 10 también ofrece una función para desactivar la exportación de la clave privada (ver más abajo). Con el jailbreak de iSECPartners (GitHub) puedes exportarla de todos modos.
Para permitir la exportación de la clave privada, hay que descargar primero el jailbreak. iSECPartners no ofrece ningún comunicado sobre las funcionalidades de GitHub. Los binarios se registran directamente en el repositorio Git. Debes clonar el repositorio o simplemente descargarlo como archivo zip (enlace directo para la descarga del ZIP). Ahora abra un shell de Windows y cambie al directorio de binarios del repositorio. Ahora ejecute el siguiente comando con el usuario bajo el cual están almacenados los certificados:
Importante: El archivo contiene el certificado público y la clave privada correspondiente. Por lo tanto, es extremadamente importante proteger este archivo con una contraseña fuerte y protegerlo contra el acceso no autorizado (por ejemplo: restringir los derechos de lectura).