Procedimiento del certificado autofirmado de 1024 bits

Anuncio
CA Nimsoft ® Unified
Management Portal™
Guía de implementación de HTTPS
7.1
Historial de revisiones del documento
Versión del documento
Fecha
Cambios
1.0
Diciembre 2013
Versión inicial para UMP 7.1.
Avisos legales
Copyright © 2013, CA. All rights reserved.
Garantía
El material incluido en este documento se proporciona "tal cual" y es sujeto a sufrir modificaciones, sin previo aviso, en
ediciones futuras. En la medida que lo permita la legislación aplicable, Nimsoft LLC no da ningún tipo de garantías, ya sean
explícitas o implícitas, con respecto a este manual y cualquier tipo de información contenida en el presente, incluyendo, sin
limitación, las garantías implícitas de comercialidad y de adecuación para un fin específico. Nimsoft LLC no se hará responsable
de los errores o los daños incidentales o consecuenciales derivados del suministro, uso o desempeño de esta documentación o
de cualquier otra información contenida en la presente. En el caso de que Nimsoft LLC y el usuario tengan un acuerdo por
escrito independiente sobre los términos de garantía cubriendo el material contenido en la presente que entre en conflicto con
los presentes términos, los términos de garantía del acuerdo independiente son los que regirán.
Licencias de tecnología
El hardware y/o software que se describe en esta documentación están suministrados bajo una licencia y únicamente se
pueden utilizar o copiar en conformidad con los términos de dicha licencia.
No se puede reproducir ninguna parte de este manual de ninguna manera ni por ningún medio (incluido el almacenamiento
electrónico y la recuperación o traducción a un idioma extranjero) sin consentimiento por escrito ni acuerdo previo por parte
de Nimsoft LLC, tal y como rigen las leyes de copyright internacionales y de Estados Unidos.
Leyenda de derechos restringidos
Si el software está dirigido al uso del gobierno de Estados Unidos, al desempeñar un contrato o subcontrato principal, el
software se entrega y se autoriza como "Software de equipo comercial", tal y como se ha definido en DFAR 252.227-7014 (junio
1995); o como un "elemento comercial", en FAR 2.101 (a); o como "Software de equipo restringido", en FAR 52.227-19 (junio
1987); u otro tipo de regulación de agencia equivalente o cláusula de contrato. El uso, la duplicación o la revelación del
software se rige por los términos de licencia comerciales y estándares de Nimsoft LLC. Los departamentos y agencias del
gobierno de Estados Unidos no recibirán más derechos a parte de los Derechos restringidos que se han definido en FAR
52.227-19(c)(1-2) (junio 1987). Los usuarios del gobierno de EE. UU. no recibirán más que los Derechos restringidos, tal y como
se ha definido en FAR 52.227-14 (junio 1987) o en DFAR 252.227-7015 (b)(2) (noviembre 1995), según corresponda en los datos
técnicos.
Marcas comerciales
Nimsoft es una marca comercial de CA.
Adobe®, Acrobat®, Acrobat Reader® y Acrobat Exchange® son marcas comerciales registradas de Adobe Systems Incorporated.
Intel® y Pentium® son marcas comerciales registradas en Estados Unidos de Intel Corporation.
Java(TM) es una marca comercial de EE. UU. de Sun Microsystems, Inc.
Microsoft® y Windows® son marcas comerciales registradas de EE. UU. de Microsoft Corporation.
Netscape(TM) es una marca comercial de EE. UU. de Netscape Communications Corporation.
Oracle® es una marca comercial registrada de EE. UU. de Oracle Corporation, Redwood City, California.
UNIX® es una marca comercial registrada de Open Group.
ITIL® es una marca registrada de Office of Government Commerce (OGC, Oficina de Comercio Gubernamental) en el Reino
Unido y otros países.
Todas las demás marcas comerciales, nombres comerciales, marcas de servicio y logotipos a los que se hace referencia aquí
pertenecen a sus empresas respectivas.
Para obtener más información sobre el software de dominio público, consulte el documento Licencias de terceros de Nimsoft
Monitor y los términos de uso en: http://docs.nimsoft.com/prodhelp/en_US/Library/index.htm?toc.htm?1981724.html.
Contacto con CA Nimsoft
Contacto con CA Support
Para su comodidad, CA Technologies proporciona un sitio en el que se puede acceder a
la informaci_n que necesita acerca de los productos de CA para la oficina en casa,
peque_as empresas y acerca de los productos de CA Technologies de empresa. Desde la
p_gina http://www.ca.com/worldwide, se puede acceder a los siguientes recursos:
■
Informaci_n para el contacto telef_nico y en l_nea para poder acceder a los
servicios de atenci_n al cliente y de asistencia t_cnica
■
Informaci_n sobre foros y comunidades de usuarios
■
Descargas de documentaci_n y productos
■
Pol_ticas y directrices de CA Support
■
Otros recursos _tiles adecuados para el producto
C_mo proporcionar comentarios sobre la documentaci_n del producto
Env_e comentarios o preguntas acerca de la documentaci_n del producto de CA
Technologies Nimsoft a nimsoft.techpubs@ca.com.
Si desea proporcionar comentarios sobre la documentaci_n de productos de CA
Technologies, rellene nuestra breve encuesta de clientes que est_ disponible en el sitio
web de CA Support que se encuentra en http://ca.com/docs.
Contenido
Capítulo 1: Introducción
7
Wasp y HTTPS con UMP ............................................................................................................................................... 8
La devolución de llamada de ssl_reinitialize_keystore ......................................................................................... 9
Casos de uso para HTTPS............................................................................................................................................ 10
Requisitos previos ...................................................................................................................................................... 10
Recursos adicionales .................................................................................................................................................. 10
Capítulo 2: Implementación de un certificado de SSL autofirmado de
1024 bits
11
Procedimiento del certificado autofirmado de 1024 bits .......................................................................................... 11
Capítulo 3: Implementación de un certificado de SSL autofirmado de
2048 bits
15
Procedimiento del certificado autofirmado de 2048 bits .......................................................................................... 16
Capítulo 4: Implementación de un certificado de SSL firmado por la
autoridad
21
Entidad, intermediario y certificados raíz .................................................................................................................. 22
Visualización de certificados raíz ........................................................................................................................ 22
Procedimiento del certificado de SSL firmado por la autoridad ................................................................................ 23
Capítulo 5: Implementación de un certificado de SSL de carácter comodín
29
Procedimiento del certificado de carácter comodín .................................................................................................. 30
Apéndice A: Solución de problemas con certificados de SSL
33
El alias <wasp> ya existe ............................................................................................................................................ 33
El nombre del alias wasp no identifica una entrada clave ......................................................................................... 33
Excepción de bloque final determinada ..................................................................................................................... 34
Comando de keytool no encontrado.......................................................................................................................... 35
El certificado del firmante no coincide con el nombre del emisor ............................................................................ 36
Contenido 5
Capítulo 1: Introducción
Este documento describe cómo configurar una conexión Secure Sockets Layer (SSL) para
acceder a UMP a través de HTTPS. Proporciona instrucciones para configurar un
certificado auto-firmado o un certificado firmado por la autoridad. Además, este
documento incluye instrucciones para implementar un certificado de carácter comodín.
Este documento utiliza un enfoque basado en un escenario. Esto significa que cada
capítulo (después de este capítulo inicial) proporciona instrucciones independientes
para un escenario específico. Estos escenarios son los siguientes:
■
Capítulo 2 - Implementación de un certificado de SSL autofirmado de 1024 bits (en
la página 11)
■
Capítulo 3 - Implementación de un certificado de SSL autofirmado de 2048 bits (en
la página 15)
■
Capítulo 4 - Implementación de un certificado de SSL firmado por la autoridad (en la
página 21)
■
Capítulo 5 - Implementación de un certificado de SSL de carácter comodín (en la
página 29)
Este capítulo (Capítulo 1) proporciona información importante para conocer antes de
empezar.
Existen varios factores que pueden afectar a los pasos que se utilizan para implementar
HTTPS en el entorno. Solución de problemas con certificados de SSL (en la página 33)
proporciona ayuda con algunas de las incidencias comunes que se pueda encontrar.
Capítulo 1: Introducción 7
Wasp y HTTPS con UMP
Wasp y HTTPS con UMP
La finalidad de esta sección es proporcionar información básica sobre wasp así como
sobre las actividades relacionadas descritas en esta guía. Las instrucciones reales para
configurar wasp se proporcionan en los escenarios de cada capítulo.
La configuración de UMP para utilizar HTTPS implica la configuración de WASP. WASP
(proveedor de servicios de aplicaciones web) es un servidor web de Tomcat incrustado
que se ejecuta como una sonda. Se distribuye al sistema durante la instalación de UMP y
después aparece como sonda en el Gestor de la infraestructura.
Sin tener en cuenta el certificado que se desea implementar, el primer paso en cada
escenario de esta guía es modificar el archivo wasp.cfg para activar HTTPS. Cuando se
aplica este cambio, ocurre lo siguiente:
■
wasp.keystore, un archivo cifrado que almacena certificados, se genera en el
directorio <UMP_installation>/Nimsoft/probes/service/wasp/conf
■
Un certificado autofirmado de 1024 bits se genera automáticamente en
wasp.keystore
Si necesita un certificado diferente, se debe obtener el certificado y reemplazar el
certificado auto-firmado de 1024 bits que se genera automáticamente. Las instrucciones
de cada escenario proporcionan los pasos específicos para ello.
Importante: Si es necesario un certificado distinto del certificado autofirmado de
1024 bits generado automáticamente que se describe más arriba, es necesario
asegurarse de que ha leído y entendido la sección La devolución de llamada de
ssl_reinitialize_keystore (en la página 9).
8 Guía de implementación de HTTPS
Wasp y HTTPS con UMP
La devolución de llamada de ssl_reinitialize_keystore
Tal y como se describe en la sección anterior, el certificado autofirmado de 1024 bits se
genera automáticamente en wasp.keystore cuando se activa HTTPS en el archivo
wasp.cfg. Para utilizar cualquier otro certificado será necesario introducir una
contraseña válida para wasp.keystore; sin embargo, wasp.keystore tiene una
contraseña desconocida codificada de forma rígida. Por lo tanto, la primera vez que se
configura WASP para HTTPS se recomienda ejecutar la devolución de llamada de
ssl_reinitialize_keystore y establecer una nueva contraseña.
La devolución de llamada de ssl_reinitialize_keystore vuelve a crear wasp.keystore y su
hash de contraseña. Cuando se ejecuta esta devolución de llamada se debe introducir
una nueva contraseña como argumento y después almacenar de forma segura la nueva
contraseña para su uso futuro. Si se pierde o se olvida esta contraseña, la única forma
de restablecerla es reinicializando wasp.keystore de nuevo.
Importante: Utilice con cuidado la devolución de llamada de ssl_reinitialize_keystore.
Esta devolución de llamada cambia el hash de cifrado de wasp.keystore e invalidará los
certificados que esté utilizando actualmente. Por ello se recomienda realizar una copia
de seguridad de la clave individual y de los archivos de certificado porque en caso de
tener que reinicializar el almacén de claves, se puedan recargar las claves y los
certificados en el almacén de claves nuevo.
Además, no se debe utilizar la utilidad de keytool para cambiar la contraseña de
wasp.keystore, ya que wasp no reconocerá la nueva contraseña. Actualmente la única
forma de cambiar la contraseña de wasp.keystore es utilizar la devolución de llamada de
ssl_reinitialize_keystore.
Capítulo 1: Introducción 9
Casos de uso para HTTPS
Casos de uso para HTTPS
CA Nimsoft recomienda consultar con sus ingenieros de seguridad de red y los
especialistas de cumplimiento acerca de los requisitos de seguridad específicos antes de
usar esta guía.
En general, los requisitos de seguridad estándares de la industria exigen el uso del
cifrado de SSL para las comunicaciones cliente-servidor mediante una red no fiable. Esto
incluye las situaciones siguientes:
■
Si los usuarios acceden a UMP mediante una red pública como Internet
■
Si las sesiones se realizan en una parte no segura de la red como redes inalámbricas
en salas de reuniones o en áreas de acceso público
■
Si las sesiones se realizan a través de redes móviles
Nota: Para entornos de alta seguridad se recomienda utilizar como mínimo un cifrado
de 2048 bits. Sin embargo, es necesario tener en cuenta que las longitudes clave de RSA
más largas afectan significativamente a la velocidad del cifrado y del descifrado
especialmente.
Requisitos previos
Antes de utilizar los escenarios en este documento, asegúrese de que cumple los
requisitos previos siguientes:
■
Su entorno está configurado para ejecutar comandos de keytool si se planea utilizar
un certificado distinto de un certificado autofirmado de 1024 bits. Esto significa que
la variable del sistema de $PATH incluye una ruta a java.exe y keytool. Consulte la
sección Comando de keytool no encontrado (en la página 35) para consultar
información adicional.
■
Está familiarizado con la infraestructura de claves públicas (PKI) y la administración
del sistema.
Recursos adicionales
Además del apéndice Solución de problemas con certificados de SSL (en la página 33),
los sitios web siguientes proporcionan herramientas útiles y recursos para configurar y
gestionar certificados SSL:
■
http://docs.oracle.com/javase/1.5.0/docs/tooldocs/windows/keytool.html
■
www.sslshopper.com
10 Guía de implementación de HTTPS
Capítulo 2: Implementación de un
certificado de SSL autofirmado de 1024 bits
Este capítulo proporciona instrucciones para configurar UMP para que utilice un
certificado de SSL autofirmado de 1024 bits. Los pasos de alto nivel para implementar
un certificado de SSL autofirmado de 1024 bits se muestran en el siguiente diagrama de
flujo.
Los pasos del dibujo superior corresponden a los pasos de la sección siguiente,
Procedimiento del certificado autofirmado de 1024 bits (en la página 11).
Procedimiento del certificado autofirmado de 1024 bits
Esta sección describe cómo modificar el archivo wasp.cfg para utilizar las
comunicaciones SSL con UMP. Cuando se aplican estos cambios, se genera
automáticamente un certificado autofirmado de 1024 bits y se almacena en
wasp.keystore.
Nota: El certificado de SSL de 1024 bits generado automáticamente tiene un periodo de
validez de un año.
Capítulo 2: Implementación de un certificado de SSL autofirmado de 1024 bits 11
Procedimiento del certificado autofirmado de 1024 bits
1.
Modifique el archivo wasp.cfg para utilizar HTTPS:
a.
Abra Gestor de la infraestructura.
b.
Vaya al servidor que ejecuta UMP y busque la sonda de wasp.
c.
Pulse la tecla <Ctrl> al hacer clic con el botón secundario del ratón en la sonda
de wasp y, a continuación, seleccione Configuración sin formato.
d.
Con la sección de configuración resaltada, busque la clave https_port y haga
clic en Editar clave para especificar un puerto. En caso necesario, haga clic en
Nueva clave e introduzca https_port.
Nota: El valor máximo del puerto que se puede establecer es 65535.
e.
Edite la clave https_max_threads para configurar el número de solicitudes de
https simultáneas.
El valor predeterminado es 500.
Después de hacer clic en Aceptar, wasp estará configurado para utilizar una
conexión HTTPS. La primera vez que se inicia wasp con HTTPS activado, se
genera un almacén de claves nuevo, wasp.keystore, que se almacena en
<instalación_UMP>/probes/service/wasp/conf. Además, el certificado
autofirmado de 1024 bits se genera y se almacena en el archivo wasp.keystore.
Nota: Si está utilizando un certificado autofirmado y el explorador Mozilla
Firefox, será necesario establecer la variable de configuración de WASP
webapps/sdp/use_html_upload=1 para cargar imágenes y cuadros de mandos.
Esto se debe a limitaciones del complemento Adobe FlashPlayer.
2.
Reinicie WASP.
WASP se habrá configurado correctamente para utilizar SSL con un certificado
autofirmado de 1024 bits.
3.
4.
Pruebe la conexión HTTPS:
a.
Verifique que se puede acceder ahora a UMP mediante HTTPS.
b.
Haga clic en el icono de bloqueo a la izquierda de la URL en la ventana de
direcciones del explorador para consultar información sobre la conexión.
Establecimiento de la redirección automática de HTTP a HTTPS:
a.
Busque el siguiente directorio:
<Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-IN
F/classes.
b.
Abra el archivo portal-ext.properties en un editor de texto.
c.
En el final del archivo portal-ext.properties, agregue la línea
web.server.protocol=https.
d.
Guarde el archivo portal-ext.properties y reinicie la sonda WASP.
Ahora UMP estará configurado para redirigir un intento de inicio de sesión de
HTTP a HTTPS.
12 Guía de implementación de HTTPS
Procedimiento del certificado autofirmado de 1024 bits
Capítulo 2: Implementación de un certificado de SSL autofirmado de 1024 bits 13
Capítulo 3: Implementación de un
certificado de SSL autofirmado de 2048 bits
Este capítulo proporciona instrucciones para configurar UMP para que utilice un
certificado de SSL autofirmado de 2048 bits. Los pasos de alto nivel para implementar
un certificado de SSL autofirmado de 2048 bits se muestran en el siguiente diagrama de
flujo.
Capítulo 3: Implementación de un certificado de SSL autofirmado de 2048 bits 15
Procedimiento del certificado autofirmado de 2048 bits
Los pasos del dibujo superior corresponden a los pasos de la sección siguiente,
Procedimiento del certificado autofirmado de 2048 bits (en la página 16).
Procedimiento del certificado autofirmado de 2048 bits
Siga los pasos siguientes:
1.
Modifique el archivo wasp.cfg para utilizar HTTPS:
a.
Abra Gestor de la infraestructura.
b.
Vaya al servidor que ejecuta UMP y busque la sonda de wasp.
c.
Pulse la tecla <Ctrl> al hacer clic con el botón secundario del ratón en la sonda
de wasp y, a continuación, seleccione Configuración sin formato.
d.
Con la sección de configuración resaltada, busque la clave https_port y haga
clic en Editar clave para especificar un puerto. En caso necesario, haga clic en
Nueva clave e introduzca https_port.
Nota: El valor máximo del puerto que se puede establecer es 65535.
e.
Edite la clave https_max_threads para configurar el número de solicitudes de
https simultáneas.
El valor predeterminado es 500.
Después de hacer clic en Aceptar, wasp estará configurado para utilizar una
conexión HTTPS. La primera vez que se inicia wasp con HTTPS activado, se
genera un almacén de claves nuevo, wasp.keystore, que se almacena en
<instalación_UMP>/probes/service/wasp/conf. Además, el certificado
autofirmado de 1024 bits se genera y se almacena en el archivo wasp.keystore.
Nota: Si está utilizando un certificado autofirmado y el explorador Mozilla
Firefox, será necesario establecer la variable de configuración de WASP
webapps/sdp/use_html_upload=1 para cargar imágenes y cuadros de mandos.
Esto se debe a limitaciones del complemento Adobe FlashPlayer.
16 Guía de implementación de HTTPS
Procedimiento del certificado autofirmado de 2048 bits
2.
Reinicialización de wasp.keystore y restablecimiento de la contraseña.
Importante: Realice los subpasos siguientes solamente si como mínimo una de las
declaraciones siguientes es verdadera:
■
No conoce la contraseña de wasp.keystore.
■
Esta es la primera vez que está configurando UMP para utilizar HTTPS.
Si ninguna de las dos declaraciones superiores es verdadera, lea y comprenda la
sección La devolución de llamada de ssl_reinitialize_keystore (en la página 9) antes
de utilizar los subpasos siguientes.
a.
Abra Gestor de la infraestructura.
b.
Vaya al servidor que ejecuta UMP.
c.
Haga clic en la sonda WASP para resaltarla.
d.
Pulse <Ctrl>+<P> para abrir la utilidad de sonda.
e.
En el menú desplegable bajo el conjunto de comandos de sonda, seleccione
ssl_reinitialize_keystore.
f.
Introduzca una nueva contraseña como argumento.
Nota: Utilice una contraseña que tenga como mínimo seis caracteres. La
utilidad de sonda de wasp no impedirá utilizar una contraseña más corta, pero
no se podrán realizar cambios a wasp.keystore tal y como se describe
posteriormente en estos pasos.
g.
Haga clic en el botón de reproducción verde para ejecutar la devolución de
llamada.
La barra de estado de Comando muestra el texto Aceptar.
La contraseña esta blecida se registra de forma s egura para utilizarla en el futuro.
3.
Genere un par de claves pública y privada con una clave privada de 2048 bits:
a.
Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP.
Nota: Ejecute los comandos de keytool siguientes en el mismo directorio que el
archivo wasp.keystore, normalmente
<UMP_installation>/probes/service/wasp/conf.
La utilidad de keytool se encuentra en el directorio donde se encuentra JRE,
normalmente en <UMP_installation>/jre/<jre_version>/bin/keytool.
b.
Verifique que tiene una contraseña válida para wasp.keystore:
<UMP_installation>/jre/<jre_version>/bin/keytool -list
-keystore wasp.keystore
c.
Suprima la clave privada generada automáticamente:
<UMP_installation>/jre/<jre_version>/bin/keytool -delete
-alias wasp -keystore wasp.keystore
d.
Verifique que la clave se ha suprimido:
<UMP_installation>/jre/<jre_version>/bin/keytool -list
-keystore wasp.keystore
Capítulo 3: Implementación de un certificado de SSL autofirmado de 2048 bits 17
Procedimiento del certificado autofirmado de 2048 bits
e.
Genere el par de claves pública y privada con una clave privada de 2048 bits:
<UMP_installation>/jre/<jre_version>/bin/keytool -genkeypair
-alias wasp -keyalg RSA -keysize 2048 -keystore wasp.keystore
–validity <days_cert_is_valid>
f.
Cuando se solicita el nombre y apellido, introduzca FQDN.
g.
Cuando se solicite, introduzca las entradas siguientes:
■
Unidad organizativa
■
Organización
■
Ciudad o localidad
■
Estado o provincia
■
Código de país de dos letras
Se le solicitará que confirme que la información introducida es correcta.
4.
Importe el par de claves pública y privada en wasp.keystore:
<UMP_installation>/jre/<jre_version>/bin/keytool –import
–trustcacerts –alias wasp –file <my_domain>.crt –keystore
wasp.keystore
5.
Reinicie WASP.
Wasp se habrá configurado correctamente para utilizar SSL con un certificado
autofirmado de 2048 bits.
6.
7.
Pruebe la conexión HTTPS:
a.
Verifique que se puede acceder ahora a UMP mediante HTTPS.
b.
Haga clic en el icono de bloqueo a la izquierda de la URL en la ventana de
direcciones del explorador para consultar información sobre la conexión.
Registro de la información del certificado:
a.
Si se ha utilizado la devolución de llamada de ssl_reinitialize_keystore, se debe
registrar de forma segura la nueva contraseña establecida para wasp.keystore.
b.
Asegúrese de registrar el periodo de validez que se ha establecido para el
certificado.
c.
Realice la copia de seguridad de los archivos de certificado en una ubicación
segura.
18 Guía de implementación de HTTPS
Procedimiento del certificado autofirmado de 2048 bits
8.
Establecimiento de la redirección automática de HTTP a HTTPS:
a.
Busque el siguiente directorio:
<Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-IN
F/classes.
b.
Abra el archivo portal-ext.properties en un editor de texto.
c.
En el final del archivo portal-ext.properties, agregue la línea
web.server.protocol=https.
d.
Guarde el archivo portal-ext.properties y reinicie la sonda WASP.
Ahora UMP estará configurado para redirigir un intento de inicio de sesión de
HTTP a HTTPS.
Capítulo 3: Implementación de un certificado de SSL autofirmado de 2048 bits 19
Capítulo 4: Implementación de un
certificado de SSL firmado por la autoridad
Los pasos de alto nivel para implementar un certificado firmado por la autoridad se
muestran en el siguiente diagrama de flujo.
Los pasos del dibujo superior corresponden a los pasos de la sección Procedimiento del
certificado SSL firmado por la autoridad (en la página 23).
Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad 21
Entidad, intermediario y certificados raíz
Entidad, intermediario y certificados raíz
Un número de autoridades de certificación emiten certificados intermedios o
encadenados. Si su autoridad de certificación emite certificados encadenados,
normalmente recibirá los archivos de certificado siguientes:
■
Un certificado de entidad
■
Uno o más certificados intermedios
■
Se puede incluir un certificado raíz
Se debe cargar el certificado de entidad y cualquier certificado intermedio que
proporcione su autoridad de certificación. Es posible que no sea necesario cargar un
certificado raíz. Esto es debido a que la instalación de NMS instala automáticamente
Java Runtime Environment (JRE) que incluye los certificados raíz de muchas autoridades
de certificación. Sin embargo, su autoridad de certificación puede proporcionar un
certificado raíz nuevo y recomendar que lo cargue.
Visualización de certificados raíz
Se pueden consultar los certificados raíz instalados automáticamente con JRE durante la
instalación de NMS.
Siga los pasos siguientes:
1.
Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP.
2.
Cambie los directorios tal y como se muestra a continuación:
cd <UMP_installation>/jre/<jre_version>/lib/security
3.
Emita el siguiente comando:
<UMP_installation>/jre/<jre_version>/bin/keytool keytool -list
-keystore cacerts
El sistema solicita que introduzca la contraseña de almacén de claves. Después de
introducir una contraseña válida, el sistema muestra los certificados raíz
predeterminados en el archivo cacerts.
22 Guía de implementación de HTTPS
Procedimiento del certificado de SSL firmado por la autoridad
Procedimiento del certificado de SSL firmado por la autoridad
Siga los pasos siguientes:
1.
Modifique el archivo wasp.cfg para utilizar HTTPS:
a.
Abra Gestor de la infraestructura.
b.
Vaya al servidor que ejecuta UMP y busque la sonda de wasp.
c.
Pulse la tecla <Ctrl> al hacer clic con el botón secundario del ratón en la sonda
de wasp y, a continuación, seleccione Configuración sin formato.
d.
Con la sección de configuración resaltada, busque la clave https_port y haga
clic en Editar clave para especificar un puerto. En caso necesario, haga clic en
Nueva clave e introduzca https_port.
Nota: El valor máximo del puerto que se puede establecer es 65535.
e.
Edite la clave https_max_threads para configurar el número de solicitudes de
https simultáneas.
El valor predeterminado es 500.
Después de hacer clic en Aceptar, wasp estará configurado para utilizar una
conexión HTTPS. La primera vez que se inicia wasp con HTTPS activado, se
genera un almacén de claves nuevo, wasp.keystore, que se almacena en
<instalación_UMP>/probes/service/wasp/conf. Además, el certificado
autofirmado de 1024 bits se genera y se almacena en el archivo wasp.keystore.
Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad 23
Procedimiento del certificado de SSL firmado por la autoridad
2.
Reinicialización de wasp.keystore y restablecimiento de la contraseña.
Importante: Realice los subpasos siguientes solamente si como mínimo una de las
declaraciones siguientes es verdadera:
■
No conoce la contraseña de wasp.keystore.
■
Esta es la primera vez que está configurando UMP para utilizar HTTPS.
Si ninguna de las dos declaraciones superiores es verdadera, lea y comprenda la
sección La devolución de llamada de ssl_reinitialize_keystore (en la página 9) antes
de utilizar los subpasos siguientes.
a.
Abra Gestor de la infraestructura.
b.
Vaya al servidor que ejecuta UMP.
c.
Haga clic en la sonda WASP para resaltarla.
d.
Pulse <Ctrl>+<P> para abrir la utilidad de sonda.
e.
En el menú desplegable bajo el conjunto de comandos de sonda, seleccione
ssl_reinitialize_keystore.
f.
Introduzca una nueva contraseña como argumento.
Nota: Utilice una contraseña que tenga como mínimo seis caracteres. La
utilidad de sonda de wasp no impedirá utilizar una contraseña más corta, pero
no se podrán realizar cambios a wasp.keystore tal y como se describe
posteriormente en estos pasos.
g.
Haga clic en el botón de reproducción verde para ejecutar la devolución de
llamada.
La barra de estado de Comando muestra el texto Aceptar.
h.
3.
La contraseña establecida se registra de forma segura para utilizarla en el
futuro.
Genere un par de claves pública y privada:
a.
Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP.
Nota: Ejecute los comandos de keytool siguientes en el mismo directorio que el
archivo wasp.keystore, normalmente
<UMP_installation>/probes/service/wasp/conf.
La utilidad de keytool se encuentra en el directorio donde se encuentra JRE,
normalmente en <UMP_installation>/jre/<jre_version>/bin/keytool.
b.
Verifique que tiene una contraseña válida para wasp.keystore:
<UMP_installation>/jre/<jre_version>/bin/keytool -list
-keystore wasp.keystore
c.
Suprima la clave privada generada automáticamente:
<UMP_installation>/jre/<jre_version>/bin/keytool -delete
-alias wasp -keystore wasp.keystore
24 Guía de implementación de HTTPS
Procedimiento del certificado de SSL firmado por la autoridad
d.
Verifique que la clave se ha suprimido:
<UMP_installation>/jre/<jre_version>/bin/keytool -list
-keystore wasp.keystore
e.
Genere un par de claves pública y privada con el tamaño clave requerido:
<UMP_installation>/jre/<jre_version>/bin/keytool -genkeypair
-alias wasp -keyalg RSA -keysize <key_size> -keystore
wasp.keystore –validity <days_cert_is_valid>
f.
Cuando se solicita el nombre y apellido, introduzca FQDN.
g.
Cuando se solicite, introduzca las entradas siguientes:
■
Unidad organizativa
■
Organización
■
Ciudad o localidad
■
Estado o provincia
■
Código de país de dos letras
Se le solicitará que confirme que la información introducida es correcta.
4.
Genere una solicitud de firma de certificado (CSR):
<instalación_UMP>/jre/<versión_jre>/bin/keytool -certreq -alias
wasp -validity <días_validez_certificado> -keystore wasp.keystore
-file <su_dominio>.csr
5.
Cree una copia de la copia de seguridad de wasp.keystore.
Nota: Éste paso no es obligatorio pero muy recomendable. En el caso de que
encuentre un problema más tarde en este procedimiento, una copia de la copia de
seguridad de wasp.keystore evitará tener que repetir los pasos anteriores.
6.
Envíe la CSR a la autoridad de certificación:
a.
Pegue la CSR en el formulario web de la autoridad de certificación.
b.
Elimine cualquier carácter que se encuentre antes de ----BEGIN CERTIFICATE
REQUEST y después de END CERTIFICATE REQUEST----.
Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad 25
Procedimiento del certificado de SSL firmado por la autoridad
7.
Importe los archivos de certificado firmados por la autoridad a wasp.keystore:
Nota: Todas las entradas del almacén de claves deben utilizar un único alias. Se
debe utilizar el alias wasp para el certificado firmado o de la entidad. Si la autoridad
de certificación proporciona varios certificados intermedios, cada certificado
intermedio debe utilizar también un único alias.
a.
Si su autoridad de certificación proporcionaba un certificado raíz, importe el
certificado raíz:
<instalación_UMP>/jre/<versión_jre>/bin/keytool -import
-trustcacerts -alias <certificado_raíz> -file
<certificado_raíz>.cer -keystore wasp.keystore
b.
Importe el primer certificado intermedio:
<instalación_UMP>/jre/<versión_jre>/bin/keytool -import
-trustcacerts -alias <primer_certificado_intermedio> -file
<primer_certificado_intermedio>.cer -keystore wasp.keystore
c.
Repita el paso anterior para todos certificados intermedios adicionales.
d.
Importe el certificado firmado. Este es el certificado de entidad si se ha recibido
un certificado encadenado:
<instalación_UMP>/jre/<versión_jre>/bin/keytool –import
–trustcacerts –alias wasp –file <su_dominio>.crt –keystore
wasp.keystore
8.
Reinicie WASP.
WASP se habrá configurado correctamente para utilizar una conexión SSL con un
certificado firmado por la autoridad.
9.
Pruebe la conexión HTTPS:
a.
Verifique que se puede acceder ahora a UMP mediante HTTPS.
b.
Haga clic en el icono de bloqueo a la izquierda de la URL en la ventana de
direcciones del explorador para consultar información sobre la conexión.
10. Registro de la información del certificado:
a.
Si se ha utilizado la devolución de llamada de ssl_reinitialize_keystore, se debe
registrar de forma segura la nueva contraseña establecida para wasp.keystore.
b.
Asegúrese de registrar el periodo de validez que se ha establecido para el
certificado.
c.
Realice la copia de seguridad de los archivos de certificado en una ubicación
segura.
26 Guía de implementación de HTTPS
Procedimiento del certificado de SSL firmado por la autoridad
11. Establecimiento de la redirección automática de HTTP a HTTPS:
a.
Busque el siguiente directorio:
<Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-IN
F/classes.
b.
Abra el archivo portal-ext.properties en un editor de texto.
c.
En el final del archivo portal-ext.properties, agregue la línea
web.server.protocol=https.
d.
Guarde el archivo portal-ext.properties y reinicie la sonda WASP.
Ahora UMP estará configurado para redirigir un intento de inicio de sesión de
HTTP a HTTPS.
Capítulo 4: Implementación de un certificado de SSL firmado por la autoridad 27
Capítulo 5: Implementación de un
certificado de SSL de carácter comodín
Este capítulo describe cómo configurar UMP para utilizar un certificado de SSL de
carácter comodín. Los certificados de SSL de carácter comodín permiten proteger su
dominio y un número ilimitado de subdominios mediante un solo certificado de SSL,
*.<your_domain>.com.
Los pasos de alto nivel para implementar un certificado firmado de SSL de carácter
comodín se muestran en el siguiente diagrama de flujo.
Los pasos del dibujo superior corresponden a los pasos de la sección Procedimiento del
certificado de carácter comodín (en la página 30).
Capítulo 5: Implementación de un certificado de SSL de carácter comodín 29
Procedimiento del certificado de carácter comodín
Procedimiento del certificado de carácter comodín
Después de haber obtenido un certificado de carácter comodín, utilice los pasos de esta
sección para configurar UMP.
Siga los pasos siguientes:
1.
Modifique el archivo wasp.cfg para utilizar HTTPS:
a.
Abra Gestor de la infraestructura.
b.
Vaya al servidor que ejecuta UMP y busque la sonda de wasp.
c.
Pulse la tecla <Ctrl> al hacer clic con el botón secundario del ratón en la sonda
de wasp y, a continuación, seleccione Configuración sin formato.
d.
Con la sección de configuración resaltada, busque la clave https_port y haga
clic en Editar clave para especificar un puerto. En caso necesario, haga clic en
Nueva clave e introduzca https_port.
Nota: El valor máximo del puerto que se puede establecer es 65535.
e.
Edite la clave https_max_threads para configurar el número de solicitudes de
https simultáneas.
El valor predeterminado es 500.
Después de hacer clic en Aceptar, wasp estará configurado para utilizar una
conexión HTTPS. La primera vez que se inicia wasp con HTTPS activado, se
genera un almacén de claves nuevo, wasp.keystore, que se almacena en
<instalación_UMP>/probes/service/wasp/conf. Además, el certificado
autofirmado de 1024 bits se genera y se almacena en el archivo wasp.keystore.
30 Guía de implementación de HTTPS
Procedimiento del certificado de carácter comodín
2.
Reinicialización de wasp.keystore y restablecimiento de la contraseña.
Importante: Realice los subpasos siguientes solamente si como mínimo una de las
declaraciones siguientes es verdadera:
■
No conoce la contraseña de wasp.keystore.
■
Esta es la primera vez que está configurando UMP para utilizar HTTPS.
Si ninguna de las dos declaraciones superiores es verdadera, lea y comprenda la
sección La devolución de llamada de ssl_reinitialize_keystore (en la página 9) antes
de utilizar los subpasos siguientes.
a.
Abra Gestor de la infraestructura.
b.
Vaya al servidor que ejecuta UMP.
c.
Haga clic en la sonda WASP para resaltarla.
d.
Pulse <Ctrl>+<P> para abrir la utilidad de sonda.
e.
En el menú desplegable bajo el conjunto de comandos de sonda, seleccione
ssl_reinitialize_keystore.
f.
Introduzca una nueva contraseña como argumento.
Nota: Utilice una contraseña que tenga como mínimo seis caracteres. La
utilidad de sonda de wasp no impedirá utilizar una contraseña más corta, pero
no se podrán realizar cambios a wasp.keystore tal y como se describe
posteriormente en estos pasos.
g.
Haga clic en el botón de reproducción verde para ejecutar la devolución de
llamada.
La barra de estado de Comando muestra el texto Aceptar.
h.
3.
La contraseña establecida se registra de forma segura para utilizarla en el
futuro.
Importe el par de claves pública y privada en wasp.keystore:
a.
Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP.
Nota: Ejecute los comandos de keytool siguientes en el mismo directorio que el
archivo wasp.keystore, normalmente
<UMP_installation>/probes/service/wasp/conf.
La utilidad de keytool se encuentra en el directorio donde se encuentra JRE,
normalmente en <UMP_installation>/jre/<jre_version>/bin/keytool.
b.
Emita el comando de keytool siguiente para verificar el alias de wasp:
<Nimsoft_installation>/jre/<jre_version>/bin/keytool -list
-alias wasp -keystore wasp.keystore
c.
Emita el comando siguiente para importar el certificado y las claves:
<Nimsoft_installation>/jre/<jre_version>/bin/keytool -import
-keystore wasp.keystore -srckeystore <my_keystore>.p12
-srcstoretype PKCS12 -alias wasp
Capítulo 5: Implementación de un certificado de SSL de carácter comodín 31
Procedimiento del certificado de carácter comodín
d.
Elija Sí en pregunta ¿Desea sobrescribir la entrada del alias wasp existente?
e.
Emita el comando siguiente para verificar que wasp.keystore se ha actualizado:
<Nimsoft_installation>/jre/<jre_version>/bin/keytool -list
-keystore wasp.keystore
4.
Reinicie wasp.
Wasp está ahora configurado para utilizar un certificado de carácter comodín.
5.
6.
7.
Pruebe la conexión HTTPS:
a.
Verifique que se puede acceder ahora a UMP mediante HTTPS.
b.
Haga clic en el icono de bloqueo a la izquierda de la URL en la ventana de
direcciones del explorador para consultar información sobre la conexión.
Registro de la información del certificado:
a.
Si se ha utilizado la devolución de llamada de ssl_reinitialize_keystore, se debe
registrar de forma segura la nueva contraseña establecida para wasp.keystore.
b.
Asegúrese de registrar el periodo de validez que se ha establecido para el
certificado.
c.
Realice la copia de seguridad de los archivos de certificado en una ubicación
segura.
Establecimiento de la redirección automática de HTTP a HTTPS:
a.
Busque el siguiente directorio:
<Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-IN
F/classes.
b.
Abra el archivo portal-ext.properties en un editor de texto.
c.
En el final del archivo portal-ext.properties, agregue la línea
web.server.protocol=https.
d.
Guarde el archivo portal-ext.properties y reinicie la sonda WASP.
Ahora UMP estará configurado para redirigir un intento de inicio de sesión de
HTTP a HTTPS.
32 Guía de implementación de HTTPS
Apéndice A: Solución de problemas con
certificados de SSL
Este apéndice proporciona información para ayudarle a solucionar los problemas de
implementación de SSL con UMP.
Esta sección contiene los siguientes temas:
El alias <wasp> ya existe (en la página 33)
El nombre del alias wasp no identifica una entrada clave (en la página 33)
Excepción de bloque final determinada (en la página 34)
Comando de keytool no encontrado (en la página 35)
El certificado del firmante no coincide con el nombre del emisor (en la página 36)
El alias <wasp> ya existe
Síntoma:
Veo la excepción:
java.lang.Exception: par de claves no generado, el alias <wasp> ya
existe
Solución:
Todas las entradas del almacén de claves deben utilizar un único alias. Cuando se
configura wasp.cfg para activar SSL, el certificado autofirmado de 1024 bits mediante el
alias wasp se genera automáticamente en wasp.keystore. Para utilizar un certificado
distinto se debe suprimir primero esta entrada del almacén de claves.
Emita el comando de keytool siguiente en el mismo directorio que wasp.keystore:
<UMP_installation>/jre/<jre_version>/bin/keytool -delete -alias
wasp -keystore wasp.keystore
El nombre del alias wasp no identifica una entrada clave
Síntoma:
Veo la excepción:
java.io.IOException: El nombre del alias wasp no identifica una
entrada clave
Apéndice A: Solución de problemas con certificados de SSL 33
Excepción de bloque final determinada
Solución:
Esta excepción puede producirse si se ha generado una CSR mediante Microsoft
Internet Information Services (IIS). Si se utiliza IIS, es posible que el certificado y las
claves que se obtienen de una autoridad de certificación no estén en un formato que
wasp.keystore pueda importar. En este caso, se deben convertir los archivos de
certificado a PKCS#12 o formato PFX antes de importarlos.
Nota: Es necesario disponer de OpenSSL, una biblioteca que proporciona
funcionalidades de cifrado. Se pueden obtener distribuciones binarias en
http://www.openssl.org/related/binaries.html.
Emita el comando openssl siguiente para convertir el certificado al formato PFX:
openssl pkcs12 -export -out <pfx_file>.pfx -inkey <private_key>.key
-in <cert_file>.crt -certfile CACert.crt
Consulte el sitio Web https://www.sslshopper.com para obtener más ayuda con la
conversión de archivos de certificado.
Excepción de bloque final determinada
Síntoma:
Veo la excepción:
javax.crypto.BadPaddingException: Bloque final determinado no
rellenado correctamente
Solución:
Nota: Es necesario disponer de OpenSSL, una biblioteca que proporciona
funcionalidades de cifrado. Se pueden obtener distribuciones binarias en
http://www.openssl.org/related/binaries.html.
Emita los comandos de OpenSSL siguientes para sobrescribir el alias wasp existente en
el almacén de claves:
openssl pkcs12 -in <my_pfx_file>.pfx -out <my_pem_file>.pem
openssl pkcs12 -export -in <my_pem_file> -out <my_keystore>.p12 -name
wasp
34 Guía de implementación de HTTPS
Comando de keytool no encontrado
Comando de keytool no encontrado
Síntoma:
Cuando emito un comando de keytool, un mensaje me dice que el comando no se ha
encontrado.
Solución:
Verifique que se establecen rutas para java.exe y keytool en la variable del sistema de
$PATH:
1.
Abra un símbolo del sistema de administrador en el servidor que ejecuta UMP.
2.
Emita el comando siguiente en el mismo directorio que wasp.keystore,
normalmente <UMP_installation>/probes/service/wasp/conf:
java -version
3.
Si el sistema devuelve errores en lugar de información de versión de Java, agregue
rutas para java.exe y keytool a la variable del sistema de $PATH.
Apéndice A: Solución de problemas con certificados de SSL 35
El certificado del firmante no coincide con el nombre del emisor
El certificado del firmante no coincide con el nombre del
emisor
Síntoma:
Veo la excepción:
java.security.cert.CertificateException: El nombre del asunto del
certificado del firmante no coincide con el nombre del emisor de la
cadena del certificado proporcionado
Solución:
Puede suceder esto o una excepción similar si su autoridad de certificación ha emitido
un certificado encadenado pero no se han cargado los certificados intermedios. Se debe
cargar el certificado de la entidad y cualquier certificado intermedio que proporcione su
autoridad de certificación.
Emita el comando de keytool siguiente en el mismo directorio que wasp.keystore,
normalmente <UMP_installation>/probes/service/wasp/conf:
<UMP_installation>/jre/<jre_version>/bin/keytool -import -keystore
wasp.keystore -trustcacerts -file <intermediate_cert>.CER
Nota: Todas las entradas del almacén de claves deben utilizar un único alias. Se debe
utilizar el alias wasp para el certificado firmado o de la entidad. Si la autoridad de
certificación proporciona varios certificados intermedios, cada certificado intermedio
debe utilizar también un único alias.
Consulte la sección Entidad, intermediario y certificados raíz (en la página 22) para ver
más información.
36 Guía de implementación de HTTPS
Descargar