Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Ejemplo de Configuración de Instalación Manual de Certificados de Proveedores Externos para Utilizarlos con WebVPN en PIX/ASA 7.x

25 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (27 Agosto 2007) | Comentarios

Contenido

Prerrequisitos
      Requisitos
      Componentes Utilizados
      Convenciones
Configuración
      Paso 1. Verificación de la Exactitud de los Valores de Día, Hora y Zona Horaria
      Paso 2. Generación del Par de Claves RSA
      Paso 3. Creación del Trustpoint
      Paso 4. Generación de la Inscripción para Certificados
      Paso 5. Autenticación del Trustpoint
      Paso 6. Instalación del Certificado
      Paso 7. Configuración de la WebVPN para Utilizar el Certificado Recientemente Instalado
Verificación
Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este ejemplo de configuración describe cómo instalar manualmente un certificado digital de un proveedor externo en un ASA para utilizar con WebVPN. En este ejemplo se utiliza un Certificado de prueba de Verisign. Cada paso contiene el procedimiento de aplicación del ASDM y un ejemplo de la CLI.

Prerrequisitos

Requisitos

Este documento requiere que usted tenga acceso a una Autoridad de Certificación (CA) para obtener una inscripción para certificados. Los proveedores externos de CA compatibles son Baltimore, Cisco, Entrust, iPlanet/Netscape, Microsoft, RSA y VeriSign.

Componentes Utilizados

En este documento se utiliza un ASA 5510 que ejecuta la versión 7.2(1) de software y un ASDM versión 5.2(1). Sin embargo, los procedimientos de este documento sirven para cualquier dispositivo ASA que ejecute la versión 7.x con cualquier versión compatible de ASDM.

Convenciones

Consulte las Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Configuración

Para instalar un certificado digital de un proveedor externo en el PIX/ASA, siga los pasos siguientes:

Paso 1. Verificación de la Exactitud de los Valores de Día, Hora y Zona Horaria
Paso 2. Generación del Par de Claves RSA
Paso 3. Creación del Trustpoint
Paso 4. Generación de la Inscripción para Certificados
Paso 5. Autenticación del Trustpoint
Paso 6. Instalación del Certificado
Paso 7. Configuración de la WebVPN para Utilizar el Certificado Recientemente Instalado

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más infomación sobre los comandos utilizados en esta sección.

Paso 1. Verificación de la Exactitud de los Valores de Día, Hora y Zona Horaria

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Properties.

  2. Expanda Device Administration y elija Clock.

  3. Verifique que la información que se enumera sea exacta.

    Los valores de Día, Hora y Zona Horaria deben ser exactos para que se produzca la validación correcta del certificado.

    [+] Mostrar Imagen [ASDM]

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa#show clock

11:02:20.244 UTC Thu Jul 19 2007
ciscoasa#

Paso 2. Generación del Par de Claves RSA

La clave pública RSA generada se combina con la información de identidad del ASA para crear una petición de certificado PKCS#10. Se debe identificar claramente el nombre de la clave con el Trustpoint para el cual se crea el par de claves.

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Properties.

  2. Expanda Certificate y elija Key Pair.

  3. Haga clic en Add.

    [+] Mostrar Imagen [ASDM]

  4. Ingrese el nombre de la clave, elija el tamaño del módulo y seleccione el tipo de uso.

    Nota: El tamaño recomendado para el par de claves es 1024.

  5. Haga clic en Generate.

    El par de claves creado debe aparecer en la lista de la columna Key Pair Name.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa#conf t

ciscoasa(config)#crypto key generate rsa label my.verisign.key modulus 1024

! Genera un par de claves RSA de 1024 bits; "label" define el nombre del par de claves.

INFO: The name for the keys will be: my.verisign.key
Keypair generation process begin. Please wait...
ciscoasa(config)#

Paso 3. Creación del Trustpoint

Se requieren Trustpoints para declarar la Autoridad de Certificación (CA) que utilizará el ASA.

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Properties.

  2. Expanda Certificate y luego expanda Trustpoint.

  3. Elija Configuration y luego haga clic en Add.

    [+] Mostrar Imagen [ASDM]

  4. Configure los siguientes valores:

    • Trustpoint Name: El nombre del trustpoint debe estar relacionado con el uso deseado. (En este ejemplo, se utiliza my.verisign.trustpoint).
    • Key pair: Seleccione el par de claves generado en el Paso 2. (my.verisign.key)

  5. Asegúrese de que Manual Enrollment esté seleccionado.

  6. Haga clic en Certificate Parameters.

    Aparece el cuadro de diálogo Certificate Parameters.

  7. Haga clic en Edit y configure los atributos enumerados en la siguiente tabla:

    Atributo

    Descripción

    CN

    Nombre Completo de Dominio Calificado (FQDN) que se utilizará para las conexiones a su firewall (por ejemplo, webvpn.cisco.com)

    OU

    Nombre del departamento

    O

    Nombre de la empresa (evite utilizar caracteres especiales)

    C

    Código de país (código de 2 letras sin puntuación)

    St

    Estado (debe escribirse el nombre, por ejemplo, North Carolina)

    L

    Ciudad


    Para configurar estos valores, elija un valor del menú desplegable Attribute, ingrese el valor y haga clic en Add.


  8. [+] Mostrar Imagen [ASDM]
  9. Después de agregar los valores adecuados, haga clic en OK.

  10. En el cuadro de diálogo Certificate Parameters, ingrese el FQDN en el campo Specify FQDN.

    Este valor debería ser el mismo FQDN que utilizó para el nombre común (CN).

    [+] Mostrar Imagen [ASDM]

  11. Haga clic en OK.

  12. Verifique que esté seleccionado el par de claves correcto y haga clic en el botón Use manual enrollment.

  13. Haga clic en OK y luego en Apply.

    [+] Mostrar Imagen [ASDM]

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#crypto ca trustpoint my.verisign.trustpoint

! Crea el trustpoint.

ciscoasa(config-ca-trustpoint)#enrollment terminal

! Especifica cortar y pegar la inscripción con este trustpoint.


ciscoasa(config-ca-trustpoint)#subject-name CN=wepvpn.cisco.com,OU=TSWEB,
                               O=Cisco Systems,C=US,St=North Carolina,L=Raleigh

! Define el nombre distintivo x.500.


ciscoasa(config-ca-trustpoint)#keypair my.verisign.key

! Especifica el par de claves generado en el Paso 3.

ciscoasa(config-ca-trustpoint)#fqdn webvpn.cisco.com


! Especifica el nombre alternativo del asunto (DNS:).

ciscoasa(config-ca-trustpoint)#exit

Paso 4. Generación de la Inscripción para Certificados

Procedimiento ASDM

  1. Haga clic en Configuration y luego en Properties.

  2. Expanda Certificate y elija Enrollment.

  3. Verifique que esté seleccionado el Trustpoint creado en el Paso 3 y haga clic en Enroll.

    Aparece un cuadro de diálogo que indica la petición de inscripción para certificados (también denominada petición de firma de certificado).

    [+] Mostrar Imagen [ASDM]

  4. Copie la petición de inscripción PKCS#10 en un archivo de texto y luego envíe la CSR al proveedor externo correspondiente.

    Después de que el proveedor externo recibe la CSR, éste debe emitir un certificado de identidad para su instalación.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#crypto ca enroll my.verisign.trustpoint

! Inicia la CSR. Ésta es la petición que se 
! enviará mediante la Web o mediante email al proveedor externo.

% Start certificate enrollment ..
% The subject name in the certificate will be: CN=webvpn.cisco.com,OU=TSWEB,
                                 O=Cisco Systems,C=US,St=North Carolina,L=Raleigh

% The fully-qualified domain name in the certificate will be: webvpn.cisco.com

% Include the device serial number in the subject name? [yes/no]: no


! No incluya el número de serie del dispositivo en el asunto.


Display Certificate Request to terminal? [yes/no]: yes

! Muestra la petición de inscripción PKCS#10 realizada a la terminal.
! Será necesario que la copie desde la terminal a un archivo
! de texto o a un campo de texto Web para enviarla al CA de proveedores externos.

Certificate Request follows:
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---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no
ciscoasa(config)#

Paso 5. Autenticación del Trustpoint

Después de haber recibido el certificado de identidad del proveedor externo, puede seguir con este paso.

Procedimiento ASDM

  1. Guarde el certificado de identidad en su computadora local.

  2. Si le entregaron un certificado con codificado base64 que no llegó en forma de archivo, debe copiar el mensaje base64 y pegarlo en un archivo de texto.

  3. Cambie la extensión del archivo a .cer.

    Nota: Después de haber cambiado la extensión del archivo a .cer, su icono debe verse como un certificado.

  4. Haga doble clic en el archivo del certificado.

    Aparece el cuadro de diálogo Certificate.

    [+] Mostrar Imagen [ASDM]

    Nota: Si aparece el mensaje "Windows no posee suficiente información para verificar este certificado" en la ficha General, debe obtener el certificado del proveedor externo CA raíz o un certificado de CA intermedio antes de continuar con este procedimiento. Comuníquese con el proveedor externo o con el administrador de CA para obtener el CA emisor raíz o el certificado de CA intermedio.

  5. Haga clic en la ficha Certificate Path.

  6. Haga clic en el certificado de CA que está ubicado encima de su certificado de identidad emitido y haga clic en View Certificate.

    [+] Mostrar Imagen [ASDM]

    Aparece información detallada sobre el certificado de CA intermedio.

  7. Haga clic en Details.

    [+] Mostrar Imagen [ASDM]

  8. Haga clic en Copy to File.

  9. En el Certificate Export Wizard, haga clic en Next.

  10. En el cuadro de diálogo Export File Format, haga clic en el botón Base-64 encoded X.509 (.CER) y haga clic en Next.

    [+] Mostrar Imagen [ASDM]

  11. Ingrese el nombre del archivo y la ubicación donde desea guardar el certificado de CA.

  12. Haga clic en Next y luego en Finish.

    [+] Mostrar Imagen [ASDM]

  13. Haga clic en OK en el cuadro de diálogo Export Successful.

  14. Acceda a la ubicación donde guardó el certificado de CA.

  15. Abra el archivo con un editor de texto como Notepad. (Haga clic con el botón derecho en el archivo y elija Send To > Notepad).

  16. El mensaje con codificado base64 debería tener un aspecto similar al certificado que se muestra en esta imagen:

    [+] Mostrar Imagen [ASDM]

  17. En el ASDM, haga clic en Configuration y luego en Properties.

  18. Expanda Certificate y elija Authentication.

  19. Haga clic en el botón Enter the certificate text in hexadecimal or base64 format.

  20. Pegue el Certificado de CA con formato base64 de su editor de texto al área de texto.

  21. Haga clic en Authenticate.

    [+] Mostrar Imagen [ASDM]

  22. Haga clic en OK.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#crypto ca authenticate my.verisign.trustpoint

! Inicia un mensaje para pegar la raíz CA base64 o el certificado intermedio. 

Enter the base 64 encoded CA certificate.
End with the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit


! Certificado pegado manualmente en la CLI.

INFO: Certificate has the following attributes:
Fingerprint:     8de989db 7fcc5e3b fdde2c42 0813ef43
Do you accept this certificate? [yes/no]: yes

Trustpoint 'my.verisign.trustpoint' is a subordinate CA
                and holds a non self-signed certificate.
Trustpoint CA certificate accepted.

% Certificate successfully imported
ciscoasa(config)#

Paso 6. Instalación del Certificado

Procedimiento ASDM

Utilice el certificado de identidad proporcionado por el proveedor externo para realizar estos pasos:

  1. Haga clic en Configuration y luego en Properties.

  2. Expanda Certificate y luego elija Import Certificate.

  3. Haga clic en el botón Enter the certificate text in hexadecimal or base64 format y pegue el certificado de identidad base64 en el campo de texto.

    [+] Mostrar Imagen [ASDM]

  4. Haga clic en Import y luego en OK.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#crypto ca import my.verisign.trustpoint certificate

! Inicia un mensaje para pegar el certificado de identidad base64
! proporcionado por el proveedor externo. 


% The fully-qualified domain name in the certificate will be: webvpn.cisco.com


Enter the base 64 encoded certificate.
End with the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit

INFO: Certificate successfully imported
ciscoasa(config)#

Paso 7. Configuración de la WebVPN para Utilizar el Certificado Recientemente Instalado

Procedimiento ASDM

  1. Haga clic en Configuration, luego en Properties y luego elija SSL.

  2. En el área Trustpoints, seleccione la interfaz que se utilizará para cerrar las sesiones WebVPN. (En este ejemplo, se utiliza la interfaz externa).

  3. Haga clic en Edit.

    Aparece el cuadro de diálogo Edit SSL Trustpoint.

    [+] Mostrar Imagen [ASDM]

  4. En el menú desplegable Enrolled Trustpoint, elija el trustpoint que creó en el Paso 3.
  5. Haga clic en OK y luego en Apply.

Ahora se debería utilizar su nuevo certificado para todas las sesiones WebVPN con terminación en la interfaz especificada. Consulte la sección Verificación de este documento para obtener información sobre cómo verificar que la instalación sea correcta.

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#ssl trust-point my.verisign.trustpoint outside

! Especifica el trustpoint que proporcionará el certificado
! SSL para la interfaz definida. 

ciscoasa(config)#write memory

Building configuration...
Cryptochecksum: 694687a1 f75042af ccc6addf 34d2cb08

8808 bytes copied in 3.630 secs (2936 bytes/sec)
[OK]
ciscoasa(config)#

! Guarde la configuración.

Verificación

En esta sección, se describe cómo confirmar que se instaló el certificado de un proveedor externo de manera correcta.

Reemplazo del Certificado con Firma Automática del ASA

En esta sección, se describe cómo reemplazar el certificado con firma automática del ASA que está instalado.

  1. Emita una petición de firma de certificado a Verisign.

    Después de recibir el certificado que solicitó a Verisign, puede instalarlo directamente en el mismo trustpoint.

  2. Ingrese el siguiente comando: crypto ca enroll Verisign

    Aparece un mensaje para que responda preguntas.

  3. Cuando aparezca Display Certificate Request to terminal?, responda yes y envíe el resultado a Verisign.

  4. Una vez que recibe el certificado nuevo, ingrese el siguiente comando: crypto ca import Verisign certificate

Consultar Certificados Instalados

Procedimiento ASDM

  1. Haga clic en Configuration y en Properties.

  2. Expanda Certificate y elija Manage Certificates.

    En el área Manage Certificates debería aparecer el certificado de CA que se utilizó para la autenticación del Trustpoint y el certificado de identidad que emitió el proveedor externo.

    [+] Mostrar Imagen [ASDM]

Ejemplo de Línea de Comandos

ciscoasa

ciscoasa(config)#show crypto ca certificates

! Muestra todos los certificados instalados en el ASA.


Certificate
  Status: Available
  Certificate Serial Number: 32cfe85eebbd2b5e1e30649fd266237d
  Certificate Usage: General Purpose
  Public Key Type: RSA (1024 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca (c)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=webvpn.cisco.com
    ou=Terms of use at www.verisign.com/cps/testca (c)05
    ou=TSWEB
    o=Cisco Systems
    l=Raleigh
    st=North Carolina
    c=US
  OCSP AIA:
    URL: http://ocsp.verisign.com
  CRL Distribution Points:
    [1]  http://SVRSecure-crl.verisign.com/SVRTrial2005.crl
  Validity Date:
    start date: 00:00:00 UTC Jul 19 2007
    end   date: 23:59:59 UTC Aug 2 2007
  Associated Trustpoints: my.verisign.trustpoint

! El certificado de identidad recibido del proveedor externo se muestra arriba.

CA Certificate
  Status: Available
  Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
  Certificate Usage: General Purpose
  Public Key Type: RSA (2048 bits)
  Issuer Name:
    cn=VeriSign Trial Secure Server Test Root CA
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Subject Name:
    cn=VeriSign Trial Secure Server Test CA
    ou=Terms of use at https://www.verisign.com/cps/testca (c)05
    ou=For Test Purposes Only. No assurances.
    o=VeriSign\, Inc.
    c=US
  Validity Date:
    start date: 00:00:00 UTC Feb 9 2005
    end   date: 23:59:59 UTC Feb 8 2015
  Associated Trustpoints: my.verisign.trustpoint


! El certificado de CA intermedio se muestra antes.

Verificación del Certificado Instalado para WebVPN con un Explorador Web

Para verificar que la WebVPN utiliza el certificado nuevo, siga estos pasos:

  1. Conéctese a su interfaz WebVPN mediante un explorador web. Utilice https:// junto con el FQDN que utilizó para solicitar el certificado (por ejemplo, https://webvpn.cisco.com).

    Si recibe una de las alertas de seguridad que aparecen a continuación, realice el procedimiento que corresponde a esa alerta:

    • The Name of the Security Certificate Is Invalid or Does Not Match the Name of the Site (El Nombre del Certificado de Seguridad es Inválido o No Coincide con el Nombre del Sitio)

      Verifique si utilizó el FQDN/CN correcto para conectarse a la interfaz WebVPN del ASA. Debe utilizar el FQDN/CN que definió al solicitar el certificado de identidad. Puede utilizar el comando show crypto ca certificates trustpointname para verificar los certificados FQDN/CN.

    • The security certificate was issued by a company you have not chosen to trust... (El certificado de seguridad fue emitido por una empresa en la que usted eligió no confiar...)

      Siga estos pasos para instalar el certificado raíz del proveedor externo en su explorador web:

      1. En el cuadro de diálogo Security Alert, haga clic en View Certificate.

      2. En el cuadro de diálogo Certificate, haga clic en la ficha Certificate Path.

      3. Seleccione el certificado de CA que está ubicado encima de su certificado de identidad emitido y haga clic en View Certificate.

      4. Haga clic en Install Certificate.

      5. En el cuadro de diálogo Certificate Install Wizard, haga clic en Next.

      6. Seleccione el botón Automatically select the certificate store based on the type of certificate, haga clic en Next, y luego en Finish.

      7. Haga clic en Yes cuando reciba el mensaje de confirmación Install the certificate.

      8. Cuando vea el mensaje Import operation was successful, haga clic en OK y luego en Yes.

    • NOTA: Dado que en este ejemplo se utiliza el Certificado de Prueba de Verisign, se debe instalar el Certificado Raíz de CA de prueba de Verisign para evitar errores de verificación cuando se conectan los usuarios.

  2. Haga doble clic en el icono de bloqueo que aparece en la esquina inferior derecha de la página de inicio de sesión WebVPN.

    Debe aparecer la información del certificado instalado.

  3. Revise los contenidos para verificar que coincidan con el certificado del proveedor externo.

    [+] Mostrar Imagen [ASDM]

Comandos

En el ASA, puede utilizar varios comandos show en la línea de comandos para verificar el estado de un certificado.

  • show crypto ca trustpoint: Muestra los trustpoints configurados.

  • show crypto ca certificate: Muestra todos los certificados instalados en el sistema.

  • show crypto ca crls: Muestra las listas de revocación de certificados (CRL) almacenadas en la memoria caché.

  • show crypto key mypubkey rsa: Muestra todos los pares de claves crypto generados.

La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

Troubleshooting

En esta sección, encontrará información que puede utilizar para resolver problemas de configuración.

Aquí verá algunos posibles errores que se pueden producir:

  • % Warning: CA cert is not found. The imported certs might not be usable.INFO: Certificate successfully imported

    El certificado de CA no se autenticó correctamente. Utilice el comando show crypto ca certificate trustpointname para verificar que se instaló el certificado de CA. Busque la línea que comienza con CA Certificate. Si el certificado de CA está instalado, verifique que haga referencia al trustpoint correcto.

    ciscoasa

    ciscoasa#show crypto ca certificate my.verisign.trustpoint | b CA Certificate
    CA Certificate
      Status: Available
      Certificate Serial Number: 63b1a5cdc59f78801da0636cf975467b
      Certificate Usage: General Purpose
      Public Key Type: RSA (2048 bits)
      Issuer Name:
        cn=VeriSign Trial Secure Server Test Root CA
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Subject Name:
        cn=VeriSign Trial Secure Server Test CA
        ou=Terms of use at https://www.verisign.com/cps/testca (c)05
        ou=For Test Purposes Only. No assurances.
        o=VeriSign\, Inc.
        c=US
      Validity Date:
        start date: 19:00:00 EST Feb 8 2005
        end   date: 18:59:59 EST Feb 8 2015
      Associated Trustpoints: my.verisign.trustpoint
    ciscoasa#
    


  • ERROR: Failed to parse or verify imported certificate

    Puede producirse este error cuando instala el certificado de identidad y el certificado CA raíz o intermedio correcto autenticado con el trustpoint asociado. Debe quitar y volver a realizar la autenticación con el certificado de CA raíz o intermedio correcto. Consulte al proveedor externo para verificar que haya recibido el certificado CA correcto.

  • Certificate does not contain general purpose public key

    Este error se puede producir cuando intenta instalar su certificado de identidad en el Trustpoint incorrecto. Intenta instalar un certificado de identidad no válido o el par de claves asociado al Trustpoint no coincide con la clave pública incluida en el certificado de identidad. Utilice el comando show crypto ca certificates trustpointname para verificar que instaló su certificado de identidad en el trustpoint correcto. Busque la línea que contiene Associated Trustpoints: Si en la lista aparece un trustpoint incorrecto, utilice los procedimientos descritos en este documento para quitar y volver a instalar el trustpoint correcto. También verifique que el par de llaves no haya cambiado desde que se generó la CSR.

  • Error Message: %PIX|ASA-3-717023 SSL failed to set device certificate for trustpoint [trustpoint name]

    Se muestra este mensaje al producirse una falla cuando se establece un certificado de dispositivo para el trustpoint dado, a fin de autenticar la conexión SSL. Cuando aparece la conexión SSL, se intenta configurar el certificado del dispositivo que se utilizará. Si se produce una falla, se registra un mensaje de error que incluye el trustpoint configurado que debe utilizarse para cargar el certificado del dispositivo y el motivo de la falla.

    nombre del trustpoint: Nombre del trustpoint para el cual el SSL no pudo configurar un certificado del dispositivo.

  • Acción Recomendada: Resolver el problema indicado por la razón informada para la falla.

    1. Asegúrese de que el trustpoint especificado esté inscrito y posea un certificado del dispositivo.
    2. Asegúrese que el certificado del dispositivo sea válido.
    3. De ser necesario, vuelva a inscribir el dispositivo.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 97856