CA Nimsoft ® Unified Management Portal™ Guía de implementación de HTTPS 7.1 Historial de revisiones del documento Versión del documento Fecha Cambios 1.0 Diciembre 2013 Versión inicial para UMP 7.1. Avisos legales Copyright © 2013, CA. All rights reserved. Garantía El material incluido en este documento se proporciona "tal cual" y es sujeto a sufrir modificaciones, sin previo aviso, en ediciones futuras. En la medida que lo permita la legislación aplicable, Nimsoft LLC no da ningún tipo de garantías, ya sean explícitas o implícitas, con respecto a este manual y cualquier tipo de información contenida en el presente, incluyendo, sin limitación, las garantías implícitas de comercialidad y de adecuación para un fin específico. Nimsoft LLC no se hará responsable de los errores o los daños incidentales o consecuenciales derivados del suministro, uso o desempeño de esta documentación o de cualquier otra información contenida en la presente. En el caso de que Nimsoft LLC y el usuario tengan un acuerdo por escrito independiente sobre los términos de garantía cubriendo el material contenido en la presente que entre en conflicto con los presentes términos, los términos de garantía del acuerdo independiente son los que regirán. Licencias de tecnología El hardware y/o software que se describe en esta documentación están suministrados bajo una licencia y únicamente se pueden utilizar o copiar en conformidad con los términos de dicha licencia. No se puede reproducir ninguna parte de este manual de ninguna manera ni por ningún medio (incluido el almacenamiento electrónico y la recuperación o traducción a un idioma extranjero) sin consentimiento por escrito ni acuerdo previo por parte de Nimsoft LLC, tal y como rigen las leyes de copyright internacionales y de Estados Unidos. Leyenda de derechos restringidos Si el software está dirigido al uso del gobierno de Estados Unidos, al desempeñar un contrato o subcontrato principal, el software se entrega y se autoriza como "Software de equipo comercial", tal y como se ha definido en DFAR 252.227-7014 (junio 1995); o como un "elemento comercial", en FAR 2.101 (a); o como "Software de equipo restringido", en FAR 52.227-19 (junio 1987); u otro tipo de regulación de agencia equivalente o cláusula de contrato. El uso, la duplicación o la revelación del software se rige por los términos de licencia comerciales y estándares de Nimsoft LLC. Los departamentos y agencias del gobierno de Estados Unidos no recibirán más derechos a parte de los Derechos restringidos que se han definido en FAR 52.227-19(c)(1-2) (junio 1987). Los usuarios del gobierno de EE. UU. no recibirán más que los Derechos restringidos, tal y como se ha definido en FAR 52.227-14 (junio 1987) o en DFAR 252.227-7015 (b)(2) (noviembre 1995), según corresponda en los datos técnicos. Marcas comerciales Nimsoft es una marca comercial de CA. Adobe®, Acrobat®, Acrobat Reader® y Acrobat Exchange® son marcas comerciales registradas de Adobe Systems Incorporated. Intel® y Pentium® son marcas comerciales registradas en Estados Unidos de Intel Corporation. Java(TM) es una marca comercial de EE. UU. de Sun Microsystems, Inc. Microsoft® y Windows® son marcas comerciales registradas de EE. UU. de Microsoft Corporation. Netscape(TM) es una marca comercial de EE. UU. de Netscape Communications Corporation. Oracle® es una marca comercial registrada de EE. UU. de Oracle Corporation, Redwood City, California. UNIX® es una marca comercial registrada de Open Group. ITIL® es una marca registrada de Office of Government Commerce (OGC, Oficina de Comercio Gubernamental) en el Reino Unido y otros países. Todas las demás marcas comerciales, nombres comerciales, marcas de servicio y logotipos a los que se hace referencia aquí pertenecen a sus empresas respectivas. Para obtener más información sobre el software de dominio público, consulte el documento Licencias de terceros de Nimsoft Monitor y los términos de uso en: http://docs.nimsoft.com/prodhelp/en_US/Library/index.htm?toc.htm?1981724.html. Contacto con CA Nimsoft Contacto con CA Support Para su comodidad, CA Technologies proporciona un sitio en el que se puede acceder a la informaci_n que necesita acerca de los productos de CA para la oficina en casa, peque_as empresas y acerca de los productos de CA Technologies de empresa. Desde la p_gina http://www.ca.com/worldwide, se puede acceder a los siguientes recursos: ■ Informaci_n para el contacto telef_nico y en l_nea para poder acceder a los servicios de atenci_n al cliente y de asistencia t_cnica ■ Informaci_n sobre foros y comunidades de usuarios ■ Descargas de documentaci_n y productos ■ Pol_ticas y directrices de CA Support ■ Otros recursos _tiles adecuados para el producto C_mo proporcionar comentarios sobre la documentaci_n del producto Env_e comentarios o preguntas acerca de la documentaci_n del producto de CA Technologies Nimsoft a nimsoft.techpubs@ca.com. Si desea proporcionar comentarios sobre la documentaci_n de productos de CA Technologies, rellene nuestra breve encuesta de clientes que est_ disponible en el sitio web de CA Support que se encuentra en http://ca.com/docs. Contenido Capítulo 1: Introducción 7 Wasp y HTTPS con UMP ............................................................................................................................................... 8 La devolución de llamada de ssl_reinitialize_keystore ......................................................................................... 9 Casos de uso para HTTPS............................................................................................................................................ 10 Requisitos previos ...................................................................................................................................................... 10 Recursos adicionales .................................................................................................................................................. 10 Capítulo 2: Implementación de un certificado de SSL autofirmado de 1024 bits 11 Procedimiento del certificado autofirmado de 1024 bits .......................................................................................... 11 Capítulo 3: Implementación de un certificado de SSL autofirmado de 2048 bits 15 Procedimiento del certificado autofirmado de 2048 bits .......................................................................................... 16 Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad 21 Entidad, intermediario y certificados raíz .................................................................................................................. 22 Visualización de certificados raíz ........................................................................................................................ 22 Procedimiento del certificado de SSL firmado por la autoridad ................................................................................ 23 Capítulo 5: Implementación de un certificado de SSL de carácter comodín 29 Procedimiento del certificado de carácter comodín .................................................................................................. 30 Apéndice A: Solución de problemas con certificados de SSL 33 El alias <wasp> ya existe ............................................................................................................................................ 33 El nombre del alias wasp no identifica una entrada clave ......................................................................................... 33 Excepción de bloque final determinada ..................................................................................................................... 34 Comando de keytool no encontrado.......................................................................................................................... 35 El certificado del firmante no coincide con el nombre del emisor ............................................................................ 36 Contenido 5 Capítulo 1: Introducción Este documento describe cómo configurar una conexión Secure Sockets Layer (SSL) para acceder a UMP a través de HTTPS. Proporciona instrucciones para configurar un certificado auto-firmado o un certificado firmado por la autoridad. Además, este documento incluye instrucciones para implementar un certificado de carácter comodín. Este documento utiliza un enfoque basado en un escenario. Esto significa que cada capítulo (después de este capítulo inicial) proporciona instrucciones independientes para un escenario específico. Estos escenarios son los siguientes: ■ Capítulo 2 - Implementación de un certificado de SSL autofirmado de 1024 bits (en la página 11) ■ Capítulo 3 - Implementación de un certificado de SSL autofirmado de 2048 bits (en la página 15) ■ Capítulo 4 - Implementación de un certificado de SSL firmado por la autoridad (en la página 21) ■ Capítulo 5 - Implementación de un certificado de SSL de carácter comodín (en la página 29) Este capítulo (Capítulo 1) proporciona información importante para conocer antes de empezar. Existen varios factores que pueden afectar a los pasos que se utilizan para implementar HTTPS en el entorno. Solución de problemas con certificados de SSL (en la página 33) proporciona ayuda con algunas de las incidencias comunes que se pueda encontrar. Capítulo 1: Introducción 7 Wasp y HTTPS con UMP Wasp y HTTPS con UMP La finalidad de esta sección es proporcionar información básica sobre wasp así como sobre las actividades relacionadas descritas en esta guía. Las instrucciones reales para configurar wasp se proporcionan en los escenarios de cada capítulo. La configuración de UMP para utilizar HTTPS implica la configuración de WASP. WASP (proveedor de servicios de aplicaciones web) es un servidor web de Tomcat incrustado que se ejecuta como una sonda. Se distribuye al sistema durante la instalación de UMP y después aparece como sonda en el Gestor de la infraestructura. Sin tener en cuenta el certificado que se desea implementar, el primer paso en cada escenario de esta guía es modificar el archivo wasp.cfg para activar HTTPS. Cuando se aplica este cambio, ocurre lo siguiente: ■ wasp.keystore, un archivo cifrado que almacena certificados, se genera en el directorio <UMP_installation>/Nimsoft/probes/service/wasp/conf ■ Un certificado autofirmado de 1024 bits se genera automáticamente en wasp.keystore Si necesita un certificado diferente, se debe obtener el certificado y reemplazar el certificado auto-firmado de 1024 bits que se genera automáticamente. Las instrucciones de cada escenario proporcionan los pasos específicos para ello. Importante: Si es necesario un certificado distinto del certificado autofirmado de 1024 bits generado automáticamente que se describe más arriba, es necesario asegurarse de que ha leído y entendido la sección La devolución de llamada de ssl_reinitialize_keystore (en la página 9). 8 Guía de implementación de HTTPS Wasp y HTTPS con UMP La devolución de llamada de ssl_reinitialize_keystore Tal y como se describe en la sección anterior, el certificado autofirmado de 1024 bits se genera automáticamente en wasp.keystore cuando se activa HTTPS en el archivo wasp.cfg. Para utilizar cualquier otro certificado será necesario introducir una contraseña válida para wasp.keystore; sin embargo, wasp.keystore tiene una contraseña desconocida codificada de forma rígida. Por lo tanto, la primera vez que se configura WASP para HTTPS se recomienda ejecutar la devolución de llamada de ssl_reinitialize_keystore y establecer una nueva contraseña. La devolución de llamada de ssl_reinitialize_keystore vuelve a crear wasp.keystore y su hash de contraseña. Cuando se ejecuta esta devolución de llamada se debe introducir una nueva contraseña como argumento y después almacenar de forma segura la nueva contraseña para su uso futuro. Si se pierde o se olvida esta contraseña, la única forma de restablecerla es reinicializando wasp.keystore de nuevo. Importante: Utilice con cuidado la devolución de llamada de ssl_reinitialize_keystore. Esta devolución de llamada cambia el hash de cifrado de wasp.keystore e invalidará los certificados que esté utilizando actualmente. Por ello se recomienda realizar una copia de seguridad de la clave individual y de los archivos de certificado porque en caso de tener que reinicializar el almacén de claves, se puedan recargar las claves y los certificados en el almacén de claves nuevo. Además, no se debe utilizar la utilidad de keytool para cambiar la contraseña de wasp.keystore, ya que wasp no reconocerá la nueva contraseña. Actualmente la única forma de cambiar la contraseña de wasp.keystore es utilizar la devolución de llamada de ssl_reinitialize_keystore. Capítulo 1: Introducción 9 Casos de uso para HTTPS Casos de uso para HTTPS CA Nimsoft recomienda consultar con sus ingenieros de seguridad de red y los especialistas de cumplimiento acerca de los requisitos de seguridad específicos antes de usar esta guía. En general, los requisitos de seguridad estándares de la industria exigen el uso del cifrado de SSL para las comunicaciones cliente-servidor mediante una red no fiable. Esto incluye las situaciones siguientes: ■ Si los usuarios acceden a UMP mediante una red pública como Internet ■ Si las sesiones se realizan en una parte no segura de la red como redes inalámbricas en salas de reuniones o en áreas de acceso público ■ Si las sesiones se realizan a través de redes móviles Nota: Para entornos de alta seguridad se recomienda utilizar como mínimo un cifrado de 2048 bits. Sin embargo, es necesario tener en cuenta que las longitudes clave de RSA más largas afectan significativamente a la velocidad del cifrado y del descifrado especialmente. Requisitos previos Antes de utilizar los escenarios en este documento, asegúrese de que cumple los requisitos previos siguientes: ■ Su entorno está configurado para ejecutar comandos de keytool si se planea utilizar un certificado distinto de un certificado autofirmado de 1024 bits. Esto significa que la variable del sistema de $PATH incluye una ruta a java.exe y keytool. Consulte la sección Comando de keytool no encontrado (en la página 35) para consultar información adicional. ■ Está familiarizado con la infraestructura de claves públicas (PKI) y la administración del sistema. Recursos adicionales Además del apéndice Solución de problemas con certificados de SSL (en la página 33), los sitios web siguientes proporcionan herramientas útiles y recursos para configurar y gestionar certificados SSL: ■ http://docs.oracle.com/javase/1.5.0/docs/tooldocs/windows/keytool.html ■ www.sslshopper.com 10 Guía de implementación de HTTPS Capítulo 2: Implementación de un certificado de SSL autofirmado de 1024 bits Este capítulo proporciona instrucciones para configurar UMP para que utilice un certificado de SSL autofirmado de 1024 bits. Los pasos de alto nivel para implementar un certificado de SSL autofirmado de 1024 bits se muestran en el siguiente diagrama de flujo. Los pasos del dibujo superior corresponden a los pasos de la sección siguiente, Procedimiento del certificado autofirmado de 1024 bits (en la página 11). Procedimiento del certificado autofirmado de 1024 bits Esta sección describe cómo modificar el archivo wasp.cfg para utilizar las comunicaciones SSL con UMP. Cuando se aplican estos cambios, se genera automáticamente un certificado autofirmado de 1024 bits y se almacena en wasp.keystore. Nota: El certificado de SSL de 1024 bits generado automáticamente tiene un periodo de validez de un año. Capítulo 2: Implementación de un certificado de SSL autofirmado de 1024 bits 11 Procedimiento del certificado autofirmado de 1024 bits 1. Modifique el archivo wasp.cfg para utilizar HTTPS: a. Abra Gestor de la infraestructura. b. Vaya al servidor que ejecuta UMP y busque la sonda de wasp. c. Pulse la tecla <Ctrl> al hacer clic con el botón secundario del ratón en la sonda de wasp y, a continuación, seleccione Configuración sin formato. d. Con la sección de configuración resaltada, busque la clave https_port y haga clic en Editar clave para especificar un puerto. En caso necesario, haga clic en Nueva clave e introduzca https_port. Nota: El valor máximo del puerto que se puede establecer es 65535. e. Edite la clave https_max_threads para configurar el número de solicitudes de https simultáneas. El valor predeterminado es 500. Después de hacer clic en Aceptar, wasp estará configurado para utilizar una conexión HTTPS. La primera vez que se inicia wasp con HTTPS activado, se genera un almacén de claves nuevo, wasp.keystore, que se almacena en <instalación_UMP>/probes/service/wasp/conf. Además, el certificado autofirmado de 1024 bits se genera y se almacena en el archivo wasp.keystore. Nota: Si está utilizando un certificado autofirmado y el explorador Mozilla Firefox, será necesario establecer la variable de configuración de WASP webapps/sdp/use_html_upload=1 para cargar imágenes y cuadros de mandos. Esto se debe a limitaciones del complemento Adobe FlashPlayer. 2. Reinicie WASP. WASP se habrá configurado correctamente para utilizar SSL con un certificado autofirmado de 1024 bits. 3. 4. Pruebe la conexión HTTPS: a. Verifique que se puede acceder ahora a UMP mediante HTTPS. b. Haga clic en el icono de bloqueo a la izquierda de la URL en la ventana de direcciones del explorador para consultar información sobre la conexión. Establecimiento de la redirección automática de HTTP a HTTPS: a. Busque el siguiente directorio: <Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-IN F/classes. b. Abra el archivo portal-ext.properties en un editor de texto. c. En el final del archivo portal-ext.properties, agregue la línea web.server.protocol=https. d. Guarde el archivo portal-ext.properties y reinicie la sonda WASP. Ahora UMP estará configurado para redirigir un intento de inicio de sesión de HTTP a HTTPS. 12 Guía de implementación de HTTPS Procedimiento del certificado autofirmado de 1024 bits Capítulo 2: Implementación de un certificado de SSL autofirmado de 1024 bits 13 Capítulo 3: Implementación de un certificado de SSL autofirmado de 2048 bits Este capítulo proporciona instrucciones para configurar UMP para que utilice un certificado de SSL autofirmado de 2048 bits. Los pasos de alto nivel para implementar un certificado de SSL autofirmado de 2048 bits se muestran en el siguiente diagrama de flujo. Capítulo 3: Implementación de un certificado de SSL autofirmado de 2048 bits 15 Procedimiento del certificado autofirmado de 2048 bits Los pasos del dibujo superior corresponden a los pasos de la sección siguiente, Procedimiento del certificado autofirmado de 2048 bits (en la página 16). Procedimiento del certificado autofirmado de 2048 bits Siga los pasos siguientes: 1. Modifique el archivo wasp.cfg para utilizar HTTPS: a. Abra Gestor de la infraestructura. b. Vaya al servidor que ejecuta UMP y busque la sonda de wasp. c. Pulse la tecla <Ctrl> al hacer clic con el botón secundario del ratón en la sonda de wasp y, a continuación, seleccione Configuración sin formato. d. Con la sección de configuración resaltada, busque la clave https_port y haga clic en Editar clave para especificar un puerto. En caso necesario, haga clic en Nueva clave e introduzca https_port. Nota: El valor máximo del puerto que se puede establecer es 65535. e. Edite la clave https_max_threads para configurar el número de solicitudes de https simultáneas. El valor predeterminado es 500. Después de hacer clic en Aceptar, wasp estará configurado para utilizar una conexión HTTPS. La primera vez que se inicia wasp con HTTPS activado, se genera un almacén de claves nuevo, wasp.keystore, que se almacena en <instalación_UMP>/probes/service/wasp/conf. Además, el certificado autofirmado de 1024 bits se genera y se almacena en el archivo wasp.keystore. Nota: Si está utilizando un certificado autofirmado y el explorador Mozilla Firefox, será necesario establecer la variable de configuración de WASP webapps/sdp/use_html_upload=1 para cargar imágenes y cuadros de mandos. Esto se debe a limitaciones del complemento Adobe FlashPlayer. 16 Guía de implementación de HTTPS Procedimiento del certificado autofirmado de 2048 bits 2. Reinicialización de wasp.keystore y restablecimiento de la contraseña. Importante: Realice los subpasos siguientes solamente si como mínimo una de las declaraciones siguientes es verdadera: ■ No conoce la contraseña de wasp.keystore. ■ Esta es la primera vez que está configurando UMP para utilizar HTTPS. Si ninguna de las dos declaraciones superiores es verdadera, lea y comprenda la sección La devolución de llamada de ssl_reinitialize_keystore (en la página 9) antes de utilizar los subpasos siguientes. a. Abra Gestor de la infraestructura. b. Vaya al servidor que ejecuta UMP. c. Haga clic en la sonda WASP para resaltarla. d. Pulse <Ctrl>+<P> para abrir la utilidad de sonda. e. En el menú desplegable bajo el conjunto de comandos de sonda, seleccione ssl_reinitialize_keystore. f. Introduzca una nueva contraseña como argumento. Nota: Utilice una contraseña que tenga como mínimo seis caracteres. La utilidad de sonda de wasp no impedirá utilizar una contraseña más corta, pero no se podrán realizar cambios a wasp.keystore tal y como se describe posteriormente en estos pasos. g. Haga clic en el botón de reproducción verde para ejecutar la devolución de llamada. La barra de estado de Comando muestra el texto Aceptar. La contraseña esta blecida se registra de forma s egura para utilizarla en el futuro. 3. Genere un par de claves pública y privada con una clave privada de 2048 bits: a. Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP. Nota: Ejecute los comandos de keytool siguientes en el mismo directorio que el archivo wasp.keystore, normalmente <UMP_installation>/probes/service/wasp/conf. La utilidad de keytool se encuentra en el directorio donde se encuentra JRE, normalmente en <UMP_installation>/jre/<jre_version>/bin/keytool. b. Verifique que tiene una contraseña válida para wasp.keystore: <UMP_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore c. Suprima la clave privada generada automáticamente: <UMP_installation>/jre/<jre_version>/bin/keytool -delete -alias wasp -keystore wasp.keystore d. Verifique que la clave se ha suprimido: <UMP_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore Capítulo 3: Implementación de un certificado de SSL autofirmado de 2048 bits 17 Procedimiento del certificado autofirmado de 2048 bits e. Genere el par de claves pública y privada con una clave privada de 2048 bits: <UMP_installation>/jre/<jre_version>/bin/keytool -genkeypair -alias wasp -keyalg RSA -keysize 2048 -keystore wasp.keystore –validity <days_cert_is_valid> f. Cuando se solicita el nombre y apellido, introduzca FQDN. g. Cuando se solicite, introduzca las entradas siguientes: ■ Unidad organizativa ■ Organización ■ Ciudad o localidad ■ Estado o provincia ■ Código de país de dos letras Se le solicitará que confirme que la información introducida es correcta. 4. Importe el par de claves pública y privada en wasp.keystore: <UMP_installation>/jre/<jre_version>/bin/keytool –import –trustcacerts –alias wasp –file <my_domain>.crt –keystore wasp.keystore 5. Reinicie WASP. Wasp se habrá configurado correctamente para utilizar SSL con un certificado autofirmado de 2048 bits. 6. 7. Pruebe la conexión HTTPS: a. Verifique que se puede acceder ahora a UMP mediante HTTPS. b. Haga clic en el icono de bloqueo a la izquierda de la URL en la ventana de direcciones del explorador para consultar información sobre la conexión. Registro de la información del certificado: a. Si se ha utilizado la devolución de llamada de ssl_reinitialize_keystore, se debe registrar de forma segura la nueva contraseña establecida para wasp.keystore. b. Asegúrese de registrar el periodo de validez que se ha establecido para el certificado. c. Realice la copia de seguridad de los archivos de certificado en una ubicación segura. 18 Guía de implementación de HTTPS Procedimiento del certificado autofirmado de 2048 bits 8. Establecimiento de la redirección automática de HTTP a HTTPS: a. Busque el siguiente directorio: <Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-IN F/classes. b. Abra el archivo portal-ext.properties en un editor de texto. c. En el final del archivo portal-ext.properties, agregue la línea web.server.protocol=https. d. Guarde el archivo portal-ext.properties y reinicie la sonda WASP. Ahora UMP estará configurado para redirigir un intento de inicio de sesión de HTTP a HTTPS. Capítulo 3: Implementación de un certificado de SSL autofirmado de 2048 bits 19 Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad Los pasos de alto nivel para implementar un certificado firmado por la autoridad se muestran en el siguiente diagrama de flujo. Los pasos del dibujo superior corresponden a los pasos de la sección Procedimiento del certificado SSL firmado por la autoridad (en la página 23). Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad 21 Entidad, intermediario y certificados raíz Entidad, intermediario y certificados raíz Un número de autoridades de certificación emiten certificados intermedios o encadenados. Si su autoridad de certificación emite certificados encadenados, normalmente recibirá los archivos de certificado siguientes: ■ Un certificado de entidad ■ Uno o más certificados intermedios ■ Se puede incluir un certificado raíz Se debe cargar el certificado de entidad y cualquier certificado intermedio que proporcione su autoridad de certificación. Es posible que no sea necesario cargar un certificado raíz. Esto es debido a que la instalación de NMS instala automáticamente Java Runtime Environment (JRE) que incluye los certificados raíz de muchas autoridades de certificación. Sin embargo, su autoridad de certificación puede proporcionar un certificado raíz nuevo y recomendar que lo cargue. Visualización de certificados raíz Se pueden consultar los certificados raíz instalados automáticamente con JRE durante la instalación de NMS. Siga los pasos siguientes: 1. Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP. 2. Cambie los directorios tal y como se muestra a continuación: cd <UMP_installation>/jre/<jre_version>/lib/security 3. Emita el siguiente comando: <UMP_installation>/jre/<jre_version>/bin/keytool keytool -list -keystore cacerts El sistema solicita que introduzca la contraseña de almacén de claves. Después de introducir una contraseña válida, el sistema muestra los certificados raíz predeterminados en el archivo cacerts. 22 Guía de implementación de HTTPS Procedimiento del certificado de SSL firmado por la autoridad Procedimiento del certificado de SSL firmado por la autoridad Siga los pasos siguientes: 1. Modifique el archivo wasp.cfg para utilizar HTTPS: a. Abra Gestor de la infraestructura. b. Vaya al servidor que ejecuta UMP y busque la sonda de wasp. c. Pulse la tecla <Ctrl> al hacer clic con el botón secundario del ratón en la sonda de wasp y, a continuación, seleccione Configuración sin formato. d. Con la sección de configuración resaltada, busque la clave https_port y haga clic en Editar clave para especificar un puerto. En caso necesario, haga clic en Nueva clave e introduzca https_port. Nota: El valor máximo del puerto que se puede establecer es 65535. e. Edite la clave https_max_threads para configurar el número de solicitudes de https simultáneas. El valor predeterminado es 500. Después de hacer clic en Aceptar, wasp estará configurado para utilizar una conexión HTTPS. La primera vez que se inicia wasp con HTTPS activado, se genera un almacén de claves nuevo, wasp.keystore, que se almacena en <instalación_UMP>/probes/service/wasp/conf. Además, el certificado autofirmado de 1024 bits se genera y se almacena en el archivo wasp.keystore. Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad 23 Procedimiento del certificado de SSL firmado por la autoridad 2. Reinicialización de wasp.keystore y restablecimiento de la contraseña. Importante: Realice los subpasos siguientes solamente si como mínimo una de las declaraciones siguientes es verdadera: ■ No conoce la contraseña de wasp.keystore. ■ Esta es la primera vez que está configurando UMP para utilizar HTTPS. Si ninguna de las dos declaraciones superiores es verdadera, lea y comprenda la sección La devolución de llamada de ssl_reinitialize_keystore (en la página 9) antes de utilizar los subpasos siguientes. a. Abra Gestor de la infraestructura. b. Vaya al servidor que ejecuta UMP. c. Haga clic en la sonda WASP para resaltarla. d. Pulse <Ctrl>+<P> para abrir la utilidad de sonda. e. En el menú desplegable bajo el conjunto de comandos de sonda, seleccione ssl_reinitialize_keystore. f. Introduzca una nueva contraseña como argumento. Nota: Utilice una contraseña que tenga como mínimo seis caracteres. La utilidad de sonda de wasp no impedirá utilizar una contraseña más corta, pero no se podrán realizar cambios a wasp.keystore tal y como se describe posteriormente en estos pasos. g. Haga clic en el botón de reproducción verde para ejecutar la devolución de llamada. La barra de estado de Comando muestra el texto Aceptar. h. 3. La contraseña establecida se registra de forma segura para utilizarla en el futuro. Genere un par de claves pública y privada: a. Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP. Nota: Ejecute los comandos de keytool siguientes en el mismo directorio que el archivo wasp.keystore, normalmente <UMP_installation>/probes/service/wasp/conf. La utilidad de keytool se encuentra en el directorio donde se encuentra JRE, normalmente en <UMP_installation>/jre/<jre_version>/bin/keytool. b. Verifique que tiene una contraseña válida para wasp.keystore: <UMP_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore c. Suprima la clave privada generada automáticamente: <UMP_installation>/jre/<jre_version>/bin/keytool -delete -alias wasp -keystore wasp.keystore 24 Guía de implementación de HTTPS Procedimiento del certificado de SSL firmado por la autoridad d. Verifique que la clave se ha suprimido: <UMP_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore e. Genere un par de claves pública y privada con el tamaño clave requerido: <UMP_installation>/jre/<jre_version>/bin/keytool -genkeypair -alias wasp -keyalg RSA -keysize <key_size> -keystore wasp.keystore –validity <days_cert_is_valid> f. Cuando se solicita el nombre y apellido, introduzca FQDN. g. Cuando se solicite, introduzca las entradas siguientes: ■ Unidad organizativa ■ Organización ■ Ciudad o localidad ■ Estado o provincia ■ Código de país de dos letras Se le solicitará que confirme que la información introducida es correcta. 4. Genere una solicitud de firma de certificado (CSR): <instalación_UMP>/jre/<versión_jre>/bin/keytool -certreq -alias wasp -validity <días_validez_certificado> -keystore wasp.keystore -file <su_dominio>.csr 5. Cree una copia de la copia de seguridad de wasp.keystore. Nota: Éste paso no es obligatorio pero muy recomendable. En el caso de que encuentre un problema más tarde en este procedimiento, una copia de la copia de seguridad de wasp.keystore evitará tener que repetir los pasos anteriores. 6. Envíe la CSR a la autoridad de certificación: a. Pegue la CSR en el formulario web de la autoridad de certificación. b. Elimine cualquier carácter que se encuentre antes de ----BEGIN CERTIFICATE REQUEST y después de END CERTIFICATE REQUEST----. Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad 25 Procedimiento del certificado de SSL firmado por la autoridad 7. Importe los archivos de certificado firmados por la autoridad a wasp.keystore: Nota: Todas las entradas del almacén de claves deben utilizar un único alias. Se debe utilizar el alias wasp para el certificado firmado o de la entidad. Si la autoridad de certificación proporciona varios certificados intermedios, cada certificado intermedio debe utilizar también un único alias. a. Si su autoridad de certificación proporcionaba un certificado raíz, importe el certificado raíz: <instalación_UMP>/jre/<versión_jre>/bin/keytool -import -trustcacerts -alias <certificado_raíz> -file <certificado_raíz>.cer -keystore wasp.keystore b. Importe el primer certificado intermedio: <instalación_UMP>/jre/<versión_jre>/bin/keytool -import -trustcacerts -alias <primer_certificado_intermedio> -file <primer_certificado_intermedio>.cer -keystore wasp.keystore c. Repita el paso anterior para todos certificados intermedios adicionales. d. Importe el certificado firmado. Este es el certificado de entidad si se ha recibido un certificado encadenado: <instalación_UMP>/jre/<versión_jre>/bin/keytool –import –trustcacerts –alias wasp –file <su_dominio>.crt –keystore wasp.keystore 8. Reinicie WASP. WASP se habrá configurado correctamente para utilizar una conexión SSL con un certificado firmado por la autoridad. 9. Pruebe la conexión HTTPS: a. Verifique que se puede acceder ahora a UMP mediante HTTPS. b. Haga clic en el icono de bloqueo a la izquierda de la URL en la ventana de direcciones del explorador para consultar información sobre la conexión. 10. Registro de la información del certificado: a. Si se ha utilizado la devolución de llamada de ssl_reinitialize_keystore, se debe registrar de forma segura la nueva contraseña establecida para wasp.keystore. b. Asegúrese de registrar el periodo de validez que se ha establecido para el certificado. c. Realice la copia de seguridad de los archivos de certificado en una ubicación segura. 26 Guía de implementación de HTTPS Procedimiento del certificado de SSL firmado por la autoridad 11. Establecimiento de la redirección automática de HTTP a HTTPS: a. Busque el siguiente directorio: <Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-IN F/classes. b. Abra el archivo portal-ext.properties en un editor de texto. c. En el final del archivo portal-ext.properties, agregue la línea web.server.protocol=https. d. Guarde el archivo portal-ext.properties y reinicie la sonda WASP. Ahora UMP estará configurado para redirigir un intento de inicio de sesión de HTTP a HTTPS. Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad 27 Capítulo 5: Implementación de un certificado de SSL de carácter comodín Este capítulo describe cómo configurar UMP para utilizar un certificado de SSL de carácter comodín. Los certificados de SSL de carácter comodín permiten proteger su dominio y un número ilimitado de subdominios mediante un solo certificado de SSL, *.<your_domain>.com. Los pasos de alto nivel para implementar un certificado firmado de SSL de carácter comodín se muestran en el siguiente diagrama de flujo. Los pasos del dibujo superior corresponden a los pasos de la sección Procedimiento del certificado de carácter comodín (en la página 30). Capítulo 5: Implementación de un certificado de SSL de carácter comodín 29 Procedimiento del certificado de carácter comodín Procedimiento del certificado de carácter comodín Después de haber obtenido un certificado de carácter comodín, utilice los pasos de esta sección para configurar UMP. Siga los pasos siguientes: 1. Modifique el archivo wasp.cfg para utilizar HTTPS: a. Abra Gestor de la infraestructura. b. Vaya al servidor que ejecuta UMP y busque la sonda de wasp. c. Pulse la tecla <Ctrl> al hacer clic con el botón secundario del ratón en la sonda de wasp y, a continuación, seleccione Configuración sin formato. d. Con la sección de configuración resaltada, busque la clave https_port y haga clic en Editar clave para especificar un puerto. En caso necesario, haga clic en Nueva clave e introduzca https_port. Nota: El valor máximo del puerto que se puede establecer es 65535. e. Edite la clave https_max_threads para configurar el número de solicitudes de https simultáneas. El valor predeterminado es 500. Después de hacer clic en Aceptar, wasp estará configurado para utilizar una conexión HTTPS. La primera vez que se inicia wasp con HTTPS activado, se genera un almacén de claves nuevo, wasp.keystore, que se almacena en <instalación_UMP>/probes/service/wasp/conf. Además, el certificado autofirmado de 1024 bits se genera y se almacena en el archivo wasp.keystore. 30 Guía de implementación de HTTPS Procedimiento del certificado de carácter comodín 2. Reinicialización de wasp.keystore y restablecimiento de la contraseña. Importante: Realice los subpasos siguientes solamente si como mínimo una de las declaraciones siguientes es verdadera: ■ No conoce la contraseña de wasp.keystore. ■ Esta es la primera vez que está configurando UMP para utilizar HTTPS. Si ninguna de las dos declaraciones superiores es verdadera, lea y comprenda la sección La devolución de llamada de ssl_reinitialize_keystore (en la página 9) antes de utilizar los subpasos siguientes. a. Abra Gestor de la infraestructura. b. Vaya al servidor que ejecuta UMP. c. Haga clic en la sonda WASP para resaltarla. d. Pulse <Ctrl>+<P> para abrir la utilidad de sonda. e. En el menú desplegable bajo el conjunto de comandos de sonda, seleccione ssl_reinitialize_keystore. f. Introduzca una nueva contraseña como argumento. Nota: Utilice una contraseña que tenga como mínimo seis caracteres. La utilidad de sonda de wasp no impedirá utilizar una contraseña más corta, pero no se podrán realizar cambios a wasp.keystore tal y como se describe posteriormente en estos pasos. g. Haga clic en el botón de reproducción verde para ejecutar la devolución de llamada. La barra de estado de Comando muestra el texto Aceptar. h. 3. La contraseña establecida se registra de forma segura para utilizarla en el futuro. Importe el par de claves pública y privada en wasp.keystore: a. Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP. Nota: Ejecute los comandos de keytool siguientes en el mismo directorio que el archivo wasp.keystore, normalmente <UMP_installation>/probes/service/wasp/conf. La utilidad de keytool se encuentra en el directorio donde se encuentra JRE, normalmente en <UMP_installation>/jre/<jre_version>/bin/keytool. b. Emita el comando de keytool siguiente para verificar el alias de wasp: <Nimsoft_installation>/jre/<jre_version>/bin/keytool -list -alias wasp -keystore wasp.keystore c. Emita el comando siguiente para importar el certificado y las claves: <Nimsoft_installation>/jre/<jre_version>/bin/keytool -import -keystore wasp.keystore -srckeystore <my_keystore>.p12 -srcstoretype PKCS12 -alias wasp Capítulo 5: Implementación de un certificado de SSL de carácter comodín 31 Procedimiento del certificado de carácter comodín d. Elija Sí en pregunta ¿Desea sobrescribir la entrada del alias wasp existente? e. Emita el comando siguiente para verificar que wasp.keystore se ha actualizado: <Nimsoft_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore 4. Reinicie wasp. Wasp está ahora configurado para utilizar un certificado de carácter comodín. 5. 6. 7. Pruebe la conexión HTTPS: a. Verifique que se puede acceder ahora a UMP mediante HTTPS. b. Haga clic en el icono de bloqueo a la izquierda de la URL en la ventana de direcciones del explorador para consultar información sobre la conexión. Registro de la información del certificado: a. Si se ha utilizado la devolución de llamada de ssl_reinitialize_keystore, se debe registrar de forma segura la nueva contraseña establecida para wasp.keystore. b. Asegúrese de registrar el periodo de validez que se ha establecido para el certificado. c. Realice la copia de seguridad de los archivos de certificado en una ubicación segura. Establecimiento de la redirección automática de HTTP a HTTPS: a. Busque el siguiente directorio: <Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-IN F/classes. b. Abra el archivo portal-ext.properties en un editor de texto. c. En el final del archivo portal-ext.properties, agregue la línea web.server.protocol=https. d. Guarde el archivo portal-ext.properties y reinicie la sonda WASP. Ahora UMP estará configurado para redirigir un intento de inicio de sesión de HTTP a HTTPS. 32 Guía de implementación de HTTPS Apéndice A: Solución de problemas con certificados de SSL Este apéndice proporciona información para ayudarle a solucionar los problemas de implementación de SSL con UMP. Esta sección contiene los siguientes temas: El alias <wasp> ya existe (en la página 33) El nombre del alias wasp no identifica una entrada clave (en la página 33) Excepción de bloque final determinada (en la página 34) Comando de keytool no encontrado (en la página 35) El certificado del firmante no coincide con el nombre del emisor (en la página 36) El alias <wasp> ya existe Síntoma: Veo la excepción: java.lang.Exception: par de claves no generado, el alias <wasp> ya existe Solución: Todas las entradas del almacén de claves deben utilizar un único alias. Cuando se configura wasp.cfg para activar SSL, el certificado autofirmado de 1024 bits mediante el alias wasp se genera automáticamente en wasp.keystore. Para utilizar un certificado distinto se debe suprimir primero esta entrada del almacén de claves. Emita el comando de keytool siguiente en el mismo directorio que wasp.keystore: <UMP_installation>/jre/<jre_version>/bin/keytool -delete -alias wasp -keystore wasp.keystore El nombre del alias wasp no identifica una entrada clave Síntoma: Veo la excepción: java.io.IOException: El nombre del alias wasp no identifica una entrada clave Apéndice A: Solución de problemas con certificados de SSL 33 Excepción de bloque final determinada Solución: Esta excepción puede producirse si se ha generado una CSR mediante Microsoft Internet Information Services (IIS). Si se utiliza IIS, es posible que el certificado y las claves que se obtienen de una autoridad de certificación no estén en un formato que wasp.keystore pueda importar. En este caso, se deben convertir los archivos de certificado a PKCS#12 o formato PFX antes de importarlos. Nota: Es necesario disponer de OpenSSL, una biblioteca que proporciona funcionalidades de cifrado. Se pueden obtener distribuciones binarias en http://www.openssl.org/related/binaries.html. Emita el comando openssl siguiente para convertir el certificado al formato PFX: openssl pkcs12 -export -out <pfx_file>.pfx -inkey <private_key>.key -in <cert_file>.crt -certfile CACert.crt Consulte el sitio Web https://www.sslshopper.com para obtener más ayuda con la conversión de archivos de certificado. Excepción de bloque final determinada Síntoma: Veo la excepción: javax.crypto.BadPaddingException: Bloque final determinado no rellenado correctamente Solución: Nota: Es necesario disponer de OpenSSL, una biblioteca que proporciona funcionalidades de cifrado. Se pueden obtener distribuciones binarias en http://www.openssl.org/related/binaries.html. Emita los comandos de OpenSSL siguientes para sobrescribir el alias wasp existente en el almacén de claves: openssl pkcs12 -in <my_pfx_file>.pfx -out <my_pem_file>.pem openssl pkcs12 -export -in <my_pem_file> -out <my_keystore>.p12 -name wasp 34 Guía de implementación de HTTPS Comando de keytool no encontrado Comando de keytool no encontrado Síntoma: Cuando emito un comando de keytool, un mensaje me dice que el comando no se ha encontrado. Solución: Verifique que se establecen rutas para java.exe y keytool en la variable del sistema de $PATH: 1. Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP. 2. Emita el comando siguiente en el mismo directorio que wasp.keystore, normalmente <UMP_installation>/probes/service/wasp/conf: java -version 3. Si el sistema devuelve errores en lugar de información de versión de Java, agregue rutas para java.exe y keytool a la variable del sistema de $PATH. Apéndice A: Solución de problemas con certificados de SSL 35 El certificado del firmante no coincide con el nombre del emisor El certificado del firmante no coincide con el nombre del emisor Síntoma: Veo la excepción: java.security.cert.CertificateException: El nombre del asunto del certificado del firmante no coincide con el nombre del emisor de la cadena del certificado proporcionado Solución: Puede suceder esto o una excepción similar si su autoridad de certificación ha emitido un certificado encadenado pero no se han cargado los certificados intermedios. Se debe cargar el certificado de la entidad y cualquier certificado intermedio que proporcione su autoridad de certificación. Emita el comando de keytool siguiente en el mismo directorio que wasp.keystore, normalmente <UMP_installation>/probes/service/wasp/conf: <UMP_installation>/jre/<jre_version>/bin/keytool -import -keystore wasp.keystore -trustcacerts -file <intermediate_cert>.CER Nota: Todas las entradas del almacén de claves deben utilizar un único alias. Se debe utilizar el alias wasp para el certificado firmado o de la entidad. Si la autoridad de certificación proporciona varios certificados intermedios, cada certificado intermedio debe utilizar también un único alias. Consulte la sección Entidad, intermediario y certificados raíz (en la página 22) para ver más información. 36 Guía de implementación de HTTPS