Muy buenas,
Estoy haciendo una aplicación web para la que quiero establecer una autenticación lo más segura posible. Sin ser ningún experto y habiendo leído aquí y allí, había pensado en "montar" una infraestructura de clave pública privada (es decir, sólo a nivel de red interna para los usuarios que usen la aplicación web) para autenticar y también, si es posible, firmar digitalmente unos documentos que se generan en la propia aplicación web (es decir, digamos que se generan una especie de "informes" en el servidor web, y la idea que tengo es ver si el que genera el informe puede firmarlo digitalmente.
Como ya os digo, no estoy muy ducho en el tema y tengo muchas dudas:
- ¿Qué necesito para "instalar" un PKI privado? Entiendo que un equipo que haga las veces de CA, ¿no? ¿Qué opciones en el mercado hay?
- ¿Cómo es el proceso de generación de un certificado?
- Estos certificados, tengo que instalarlos en los equipos que utilicen los usuarios de la aplicación, ¿no?
- ¿Qué tengo que tener en cuenta en el desarrollo de la aplicación web para hacer una autenticación por certificado digital? Es decir, en algún momento tendré que incluir en el código de la aplicación que el servidor se comunique con el CA para comprobar la identidad del usuario que pide acceso (si es legítimo o no)
- ¿Cómo podría usar el PKI para implementar la firma digital?
Si alguien me puede explicar un poco todo esto me hace un graaan favor. O tal vez redirigirme a un buen libro o documento donde los expliquen bien; he leído bastante pero tengo un lío muy elegante en la cabeza.
Muchas gracias!!