(1) Utilizaci�n de keytool para generar un par de claves p�blica-privada

Gu�a de aprendizaje sobre la configuraci�n del cliente SSH

Tema - (1) Utilizaci�n de keytool para generar un par de claves p�blica-privada

El primer paso en la configuraci�n de una sesi�n de pantalla VT para la autenticaci�n de clientes SSH mediante una clave p�blica es utilizar el programa keytool para generar un par de claves p�blica-privada.

Acerca de keytool

keytool es un programa de utilidad con varias finalidades que se incluye en el JRE de Java 2 Versi�n 1.4 y se distribuye con Host On-Demand para gestionar claves y certificados.

Una perspectiva desde plataformas similares a Unix

Puesto que keytool es una herramienta con varias finalidades para gestionar claves y certificados, puede que le resulte muy sencillo comprender la generaci�n de un par de claves p�blica-privada consultando en primer lugar una herramienta menos compleja disponible en plataformas similares a Unix, denominada ssh-keygen. (Esto es meramente ilustrativo. No puede utilizar ssh-keygen para generar claves p�blica-privada para Host On-Demand).

Obtenci�n de keytool

Puede obtener acceso a keytool desde el servidor de Host On-Demand de las dos maneras siguientes:

keytool se distribuye con los programas de utilidad de tiempo de ejecuci�n de Java instalados con Host On-Demand. En la plataforma Windows, esta herramienta se encuentra en la siguiente ubicaci�n:
<directorio_instalaci�n>\jre\bin\keytool.exe
keytool se incluye en el JRE de Java 2 Versi�n 1.4 para la plataforma de Windows que se distribuye con Host On-Demand. Este es el JRE que los clientes que se ejecutan en Windows pueden descargar desde el servidor. El archivo que contiene el JRE es IBM-Win32-JRE.exe. En la plataforma Windows del servidor Host On-Demand, este archivo se encuentra en la siguiente ubicaci�n:
<directorio_instalaci�n>\<directorio_publicaci�n>\JREInstall\IBM-Win32-JRE.exe
- Debe ejecutar el archivo .EXE anterior en una plataforma Windows para instalar el JRE de Java 2 Versi�n 1.4 en dicha plataforma.
- Aunque este JRE de Java 2 Versi�n 1.4 es s�lo para plataformas Windows, el archivo .EXE anterior se incluye en cualquier instalaci�n de Host On-Demand Versi�n 8.0, independientemente de la plataforma en la que se instale el servidor de Host On-Demand.

Invocaci�n de keytool para generar un par de claves p�blica-privada.

A continuaci�n se muestra un ejemplo de invocaci�n de keytool para crear un par de claves p�blica-privada. (En el ejemplo siguiente, los par�metros se graban en varias l�neas con el fin de ofrecer mayor claridad. Cuando se invoca keytool, debe escribir el nombre del programa y sus par�metros en una sola l�nea).

      keytool
      -genkey
      -keystore  f:\tm\keys\johnkeystore
      -alias     johnkey02
      -storepass johnstorepass
      -keypass   johnstorepass
      -dname "CN=John Smith, OU=Development, O=Standard Supplies Inc.,
             L=Anytown, S=North Carolina, C=US"

Los par�metros tienen el siguiente significado:

Par�metro:	Significado:
-genkey	Indica a keytool que genere un par de claves p�blica-privada.
-keystore	Especifica la v�a de acceso y el nombre de archivo del almac�n de claves que se va a crear (si todav�a no existe) o que se va a a�adir (si ya existe). Un almac�n de claves es un archivo que contiene uno o varios pares de claves p�blica-privada.
-alias	Especifica el alias para el par de claves p�blica-privada. Un alias es una cadena de caracteres que identifica el par de claves p�blica-privada en el almac�n de claves.
-storepass	Especifica la contrase�a necesaria para acceder al almac�n de claves.
-keypass	Especifica la contrase�a necesaria para acceder al par de claves p�blica-privada.
-dname	Especifica el nombre distinguido para un certificado asociado con la clave. Tenga en cuenta que el nombre distinguido est� entre comillas dobles. Los seis par�metros dentro de la serie entrecomillada tienen el siguiente significado: CN - Nombre com�n del propietario del certificado OU - Unidad de organizaci�n del propietario del certificado O - Organizaci�n a la que pertenece el propietario del certificado L - Nombre de localidad del propietario del certificado S - Estado o provincia del propietario del certificado C - Pa�s del propietario del certificado

Los elementos de la lista siguiente proporcionan comentarios adicionales en cada uno de los par�metros de la invocaci�n de ejemplo de keytool anterior.

-genkey
keytool es una herramienta de varias finalidades. Esta es la opci�n que indica a keytool que genere un par de claves p�blica-privada.
-keystore f:\tm\keys\johnkeystore
En contraste con ssh-keygen (la herramienta disponible en plataformas similares a Unix), que genera archivos independientes para la clave p�blica y la clave privada, keytool almacena ambas claves como una sola entrada en un archivo denominado almac�n de archivos. Al ejecutar keytool varias veces, puede a�adir varias entradas de claves p�blica-privada en el mismo almac�n de claves. Aqu�, la v�a de acceso y el nombre de archivo del almac�n de claves es f:\tm\keys\johnkeystore.
-alias johnkey02
Puesto que keytool permite m�s de un par de claves que se deben almacenar en un almac�n de claves, keytool requiere que se pueda especificar un alias para cada nuevo par de claves. Un alias es una cadena de caracteres de identificaci�n, como por ejemplo mykey o johnkey02, que distingue un par de claves de otros pares de claves almacenados en el mismo almac�n de claves. Un alias debe ser exclusivo dentro de un �nico almac�n de claves.
-storepass johnstorepass
keytool requiere que especifique una contrase�a para el almac�n de claves. Aqu� la contrase�a es johnstorepass.
Si el almac�n de claves ya no existe, keytool crea el almac�n de claves y asocia esta contrase�a con �l (cifrado). Cuando posteriormente desee acceder al almac�n de claves, ya sea para leer desde �l o para grabar en �l, debe especificar la contrase�a de almac�n de claves. Si olvida la contrase�a del almac�n de claves, no hay modo de recuperarla.

De forma similar, ssh-keygen (la herramienta disponible en plataformas similares a Unix) le permite especificar una contrase�a que se necesita para acceder al archivo de clave privada.
-keypass johnstorepass
keytool tambi�n necesita que especifique una contrase�a para la entrada individual que contiene el par de claves p�blica-privada. Es decir, no s�lo necesita una contrase�a para abrir el almac�n de claves, sino que tambi�n debe tener una contrase�a para acceder a una entrada individual (que contiene un par de claves p�blica-privada) en el almac�n de claves.
Si lo desea, puede simplificar las cosas de alg�n modo utilizando la misma contrase�a para la contrase�a del almac�n de claves y la contrase�a de clave. Aqu�, la contrase�a de clave es la misma que la contrase�a del almac�n de claves, johnstorepass.
-dname "CN=John Smith, OU=Development, O=Standard Supplies Inc., L=Anytown, S=North Carolina, C=US"
Esta informaci�n es necesaria para crear un certificado autofirmado. keytool acomoda la clave p�blica en un certificado autofirmado X.509 v1.
Aunque debe especificar esta informaci�n cuando se genera un par de claves p�blica-privadas con keytool, este certificado no lo utiliza Host On-Demand ni el servidor SSH durante la autenticaci�n de cliente SSH mediante una clave p�blica.

Existen otras opciones que se utilizan con la opci�n -genkey. Sin embargo, normalmente no se deben especificar estas opciones adicionales. Cuando no se especifican estas opciones, keytool utiliza el valor predeterminado. La tabla siguiente muestra las opciones adicionales y los valores predeterminados que se utilizan cuando no se especifican estas opciones adicionales.

Par�metro:	Significancia (valor predeterminado):
-keyalg	Algoritmo utilizado para generar el par de claves p�blica-privada (DSA).
-sigalg	Algoritmo utilizado para la firma del certificado (cuando DSA es el algoritmo de clave predeterminada, el algoritmo de firma de certificados predeterminado es SHA1withDSA).
-keysize	Tama�o de la clave p�blica y de la clave privada (1024 bits).
-storetype	Formato del almac�n de claves (JKS, un formato de almac�n de claves de propiedad de Sun Microsystems).
-validity	N�mero de d�as que deben transcurrir antes de que caduque el certificado autofirmado (180 d�as). Dado que el certificado autofirmado no se utiliza en la autenticaci�n de clave p�blica SSH, la caducidad del certificado no afecta a una sesi�n de Host On-Demand configurada para utilizar SSH con la autenticaci�n de clave p�blica. La autenticaci�n de clave p�blica contin�a funcionando de forma segura incluso despu�s de que caduque el certificado autofirmado.

Otras operaciones que se pueden realizar con keytool

Pulse aqu� para ver algunas de las dem�s operaciones que puede realizar con keytool.