Cadena de certificados hasta el certificado raíz
Los certificados de una PKI suelen estar organizados de modo jerárquico: En la cúspide de
la jerarquía se encuentran los certificados raíz, también denominados certificados root. Son
aquellos que no están certificados por una entidad emisora jerárquicamente superior. El
titular y el emisor de los certificados raíz son idénticos. Los certificados raíz se consideran
absolutamente fiables, ya que constituyen la piedra de toque de la confianza en la
transacción, y por lo tanto al receptor le debe constar de forma fehaciente su fiabilidad. Se
almacenan en un área prevista para certificados fiables.
Según la PKI, la función de los certificados raíz puede consistir, p. ej., en firmar certificados
de entidades emisoras jerárquicamente inferiores, los denominados certificados intermedios.
De este modo, la confianza se traslada del certificado raíz al certificado intermedio. El
certificado intermedio puede firmar un certificado igual que un certificado raíz, por lo que
ambos se denominan "certificados CA".
Esta jerarquía puede recorrer varios certificados intermedios hasta llegar al certificado de
entidad final (end-entity). El certificado de entidad final es el certificado del usuario, que
debe identificarse.
Para la validación se recorre la misma jerarquía en sentido contrario: Como se ha descrito
anteriormente, se determina el emisor del certificado, se verifica la firma con su clave
pública, después se determina el certificado del emisor de certificados jerárquicamente
superior hasta que se recorre la cadena de traspaso de confianza completa hasta el
certificado raíz.
Resumen: La cadena de certificados intermedios hasta el certificado raíz (la ruta de
certificados) debe existir en todo dispositivo que vaya a validar un certificado de entidad final
del interlocutor, con independencia del tipo de secure communication que se configure.
3.6.4
Administración de certificados mediante STEP 7
STEP 7 a partir de la versión V14, junto con las CPU S7-1500 a partir de la versión de
FW 2.0, soportan la PKI de Internet (RFC 5280) de modo que una CPU S7-1500 es capaz
de comunicarse con otros equipos que también soportan la PKI de Internet.
De esto se deriva el uso de certificados X.509, p. ej., para comprobar certificados del modo
descrito en los apartados anteriores.
STEP 7, a partir de V14, utiliza una PKI similar a la PKI de Internet. No existe compatibilidad
con Certificate Revocation Lists (CRL), p. ej.
Comunicación
Manual de funciones, 12/2017, A5E03735817-AF
Servicios de comunicación
3.6 Secure communication
45