Certificados para Equilibrio de Carga de Trabajo

En esta sección se proporciona información sobre dos tareas opcionales para proteger certificados:

  • Configuración de Citrix Hypervisor para verificar un certificado de una autoridad de confianza

  • Configuración de Citrix Hypervisor para verificar el certificado autofirmado de Citrix WLB predeterminado

Información general

Citrix Hypervisor y Workload Balancing se comunican a través de HTTPS. Por consiguiente, durante la configuración de equilibrio de carga de trabajo, el asistente crea automáticamente un certificado de prueba autofirmado. Este certificado de prueba autofirmado permite a Workload Balancing establecer una conexión SSL con Citrix Hypervisor.

Nota:

El certificado autofirmado es un marcador de posición para facilitar la comunicación HTTPS y no procede de una entidad emisora de certificados de confianza. Para mayor seguridad, se recomienda utilizar un certificado firmado por una entidad emisora de certificados de confianza.

De forma predeterminada, Equilibrio de carga de trabajo crea esta conexión SSL con Citrix Hypervisor automáticamente. No es necesario realizar ninguna configuración de certificado durante o después de la configuración de Equilibrio de carga de trabajo para crear esta conexión SSL.

Sin embargo, para utilizar un certificado de otra entidad emisora de certificados, como uno firmado por una autoridad comercial, debe configurar Equilibrio de carga de trabajo y Citrix Hypervisor para que lo utilicen.

Independientemente del certificado que utilice Equilibrio de carga de trabajo, de forma predeterminada, Citrix Hypervisor no valida la identidad del certificado antes de establecer la conexión con Equilibrio de carga de trabajo. Para configurar Citrix Hypervisor para que busque un certificado específico, debe exportar el certificado raíz que se utilizó para firmar el certificado, copiarlo en Citrix Hypervisor y configurar Citrix Hypervisor para que lo compruebe cuando se establezca una conexión con Workload Balancing. En este escenario, Citrix Hypervisor actúa como cliente y Equilibrio de carga de trabajo actúa como servidor.

 En esta ilustración se muestra cómo Citrix Hypervisor comprueba que existe un certificado específico antes de que el dispositivo virtual Equilibrio de carga de trabajo establezca una conexión con él a través de SSL. En este caso, el certificado real (el certificado con la clave privada) está en el servidor Equilibrio de carga de trabajo y el certificado que se utilizó para firmarlo está en el maestro de grupo de Citrix Hypervisor.

Dependiendo de sus objetivos de seguridad, puede:

Configurar Citrix Hypervisor para verificar el certificado autofirmado

Puede configurar Citrix Hypervisor para comprobar que el certificado autofirmado de Citrix WLB es auténtico antes de que Citrix Hypervisor permita la conexión de Equilibrio de carga de trabajo.

Importante:

Para verificar el certificado autofirmado de Citrix WLB, debe conectarse a Equilibrio de carga de trabajo mediante su nombre de host. Para buscar el nombre de host Equilibrio de carga de trabajo, ejecute elhostname comando en el dispositivo virtual.

Si desea configurar Equilibrio de carga de trabajo para verificar el certificado autofirmado de Citrix WLB, lleve a cabo los pasos del procedimiento siguiente.

Para configurar Citrix Hypervisor para verificar el certificado autofirmado:

  1. Copie el certificado autofirmado del dispositivo virtual Equilibrio de carga de trabajo al maestro de grupos. El certificado autofirmado de Citrix WLB se almacena en /etc/ssl/certs/server.pem. Ejecute lo siguiente en el maestro de grupo para copiar el certificado:

    scp root@wlb-ip:/etc/ssl/certs/server.pem .
    
  2. Si recibe un mensaje que indica quewlb-ip no se puede establecer la autenticidad de, escribayes para continuar.

  3. Introduzca la contraseña raíz del dispositivo virtual Equilibrio de carga de trabajo cuando se le solicite, el certificado se copiará en el directorio actual.

  4. Instale el certificado. Ejecute elpool-certificate-install comando desde el directorio donde copió el certificado. Por ejemplo:

    xe pool-certificate-install filename=server.pem
    
  5. Compruebe que el certificado se instaló correctamente ejecutando elpool-certificate-list comando en el maestro de grupo:

    xe pool-certificate-list
    

    Si instaló el certificado correctamente, el resultado de este comando incluye el certificado raíz exportado (por ejemplo, server.pem). Al ejecutar este comando se enumeran todos los certificados SSL instalados, incluido el certificado que acaba de instalar.

  6. Sincronice el certificado del maestro con todos los hosts del grupo ejecutando elpool-certificate-sync comando en el maestro de grupo:

    xe pool-certificate-sync
    

    La ejecución delpool-certificate-sync comando en el maestro sincroniza las listas de certificados y revocación de certificados en todos los servidores del grupo con el maestro. Esto garantiza que todos los hosts del grupo utilicen los mismos certificados.

    No hay salida de este comando. Sin embargo, el siguiente paso no funciona si este no funcionó correctamente.

  7. Indique a Citrix Hypervisor que verifique el certificado antes de conectarse al dispositivo virtual Equilibrio de carga de trabajo. Ejecute el siguiente comando en el maestro de grupo:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Consejo:

    Al presionar la tecla Tab, se rellena automáticamente el UUID del grupo.

  8. (Opcional) Para comprobar que este procedimiento funcionó correctamente, lleve a cabo los siguientes pasos:

    1. Para probar si el certificado se sincroniza con los demás hosts del grupo, ejecute elpool-certificate-list comando en esos hosts.

    2. Para comprobar si Citrix Hypervisor está configurado para verificar el certificado, ejecute elpool-param-get comando con el parámetroparam-name =wlb-verify-cert. Por ejemplo:

      xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
      

Configurar Citrix Hypervisor para verificar un certificado de autoridad de certificación

Puede configurar Citrix Hypervisor para verificar un certificado firmado por una entidad emisora de certificados de confianza.

Para los certificados de autoridad de confianza, Citrix Hypervisor requiere un certificado exportado o una cadena de certificados (los certificados intermedios y raíz) en formato.pem que contenga la clave pública.

Si desea que Equilibrio de carga de trabajo utilice un certificado de autoridad de confianza, haga lo siguiente:

  1. Obtener un certificado firmado de la entidad emisora de certificados. Consulte Tarea 1: Obtención de un certificado de autoridad de certificación.

  2. Siga las instrucciones deTarea 2: Especificación del nuevo certificadopara especificar y aplicar el nuevo certificado.

  3. Instale los certificados obtenidos y habilite la verificación de certificados en el maestro de grupo. Consulte Tarea 3: Importación de la cadena de certificados en el grupo.

Antes de comenzar estas tareas, asegúrese de:

  • Conoce la dirección IP del maestro de grupo de Citrix Hypervisor.

  • Citrix Hypervisor puede resolver el nombre de host Equilibrio de carga de trabajo. (Por ejemplo, puede intentar hacer ping al FQDN de Equilibrio de carga de trabajo desde la consola de Citrix Hypervisor para el maestro de grupo.)

Importante:

Si desea utilizar una dirección IP para conectarse a Equilibrio de carga de trabajo, debe especificar esa dirección IP como Nombre alternativo del sujeto (SAN) al crear el certificado.

Tarea 1: Obtención de un certificado de autoridad de certificación

Para obtener un certificado de una entidad emisora de certificados, debe generar una solicitud de firma de certificados (CSR). La generación de una CSR para el dispositivo virtual Equilibrio de carga de trabajo es un proceso de dos tareas. Debe (1) crear una clave privada y (2) usar esa clave privada para generar la CSR. Debe realizar ambos procedimientos en el dispositivo virtual Equilibrio de carga de trabajo.

Directrices para especificar el nombre común

El nombre común (CN) que especifique al crear una CSR debe coincidir exactamente con el FQDN del dispositivo virtual Equilibrio de carga de trabajo y el FQDN o la dirección IP que especificó en el cuadro Dirección del cuadro de diálogo Conectar al servidor WLB.

Para asegurarse de que el nombre coincide, especifique el nombre común mediante una de estas directrices:

  • Especifique la misma información para el nombre común del certificado que especificó en el cuadro de diálogo Conectar al servidor WLB. Por ejemplo, si el dispositivo virtual Equilibrio de carga de trabajo tiene un nombrewlb-vpx.yourdomain, especifiquewlb-vpx.yourdomainen Conectarse al servidor WLB y proporcionewlb-vpx.yourdomaincomo nombre común al crear la CSR.

  • Si conectó su grupo a Equilibrio de carga de trabajo mediante una dirección IP, utilice el FQDN como nombre común y especifique la dirección IP como nombre alternativo del sujeto (SAN). Sin embargo, esto puede no funcionar en todas las situaciones.

Nota:

La verificación de certificados es una medida de seguridad diseñada para evitar conexiones no deseadas. Como resultado, los certificados de Equilibrio de carga de trabajo deben cumplir requisitos estrictos o la verificación del certificado no se realizará correctamente y Citrix Hypervisor no permitirá la conexión. Del mismo modo, para que la verificación de certificados se realice correctamente, debe almacenar los certificados en las ubicaciones específicas en las que Citrix Hypervisor espera encontrar los certificados.

Para crear un archivo de clave privada:

  1. Cree un archivo de clave privada:

    openssl genrsa -des3 -out privatekey.pem 2048
    
  2. Elimine la contraseña:

    openssl rsa -in privatekey.pem -out privatekey.nop.pem
    

Nota:

Si introduce la contraseña de forma incorrecta o incoherente, es posible que reciba algunos mensajes que indican que hay un error en la interfaz de usuario. Puede ignorar el mensaje y simplemente volver a ejecutar el comando para crear el archivo de clave privada.

Para generar la CSR:

  1. Generar la CSR:

    1. Cree la CSR usando la clave privada:

      openssl req -new -key privatekey.nop.pem -out csr
      
    2. Siga las indicaciones para proporcionar la información necesaria para generar la RSE:

      Nombre del país. Introduzca los códigos de país del Certificado SSL para su país. Por ejemplo, CA para Canadá o JM para Jamaica. Puede encontrar una lista de los códigos de país del Certificado SSL en la web.

      Nombredel Estado o Provincia (nombre completo). Introduzca el estado o la provincia donde se encuentra el grupo. Por ejemplo, Massachusetts o Alberta.

      Nombre de la localidad. El nombre de la ciudad donde se encuentra la piscina.

      Nombre de la organización. El nombre de su empresa u organización.

      Nombre de unidad organizativa. Introduzca el nombre del departamento. Este campo es opcional.

      Nombre común. Introduzca el FQDN del servidor de Equilibrio de carga de trabajo. Debe coincidir con el nombre que utiliza el grupo para conectarse a Equilibrio de carga de trabajo.

      Dirección de correo electrónico. Esta dirección de correo electrónico se incluye en el certificado cuando se genera.

    3. Proporcione atributos opcionales o haga clic en Intro para omitir el suministro de esta información.

      La solicitud CSR se guarda en el directorio actual y se denominacsr.

  2. Para mostrar la CSR en la ventana de la consola, ejecute los siguientes comandos en la consola del dispositivo Equilibrio de carga de trabajo:

    cat csr
    
  3. Copie toda la solicitud de certificado y use la CSR para solicitar el certificado a la entidad emisora de certificados.

Tarea 2: Especificar el nuevo certificado

Utilice este procedimiento para especificar Equilibrio de carga de trabajo utilizar un certificado de una entidad emisora de certificados. Este procedimiento instala los certificados raíz y (si están disponibles) intermedios.

Para especificar un nuevo certificado:

  1. Descargue el certificado firmado, el certificado raíz y, si la entidad emisora de certificados tiene uno, el certificado intermedio de la entidad emisora de certificados.

  2. Si no ha descargado los certificados en el dispositivo virtual Equilibrio de carga de trabajo. Lleve a cabo una de las siguientes acciones:

    1. Si está copiando los certificados de un equipo con Windows al dispositivo Equilibrio de carga de trabajo, utilice WinSCP u otra utilidad de copia para copiar los archivos.

    Para el nombre del host, puede ingresar la dirección IP y dejar el puerto en el valor predeterminado. El nombre de usuario y la contraseña suelen ser root y cualquiera que sea la contraseña establecida durante la configuración.

    1. Si está copiando los certificados de un equipo Linux al dispositivo Equilibrio de carga de trabajo, utilice SCP u otra utilidad de copia para copiar los archivos en el directorio que elija en el dispositivo Equilibrio de carga de trabajo. Por ejemplo:

      scp root_ca.pem root@wlb-ip:/path_on_your_WLB
      
  3. En el dispositivo virtual Equilibrio de carga de trabajo, combine el contenido de todos los certificados (certificado raíz, certificado intermedio (si existe) y certificado firmado) en un archivo. Por ejemplo:

    cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
    
  4. Cambie el nombre del certificado y la clave existentes mediante el comando mover:

    mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
    mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
    
  5. Copie el certificado combinado:

    mv server.pem /etc/ssl/certs/server.pem
    
  6. Copie la clave privada creada anteriormente:

    mv privatekey.nop.pem /etc/ssl/certs/server.key
    
  7. Haga que la clave privada sea legible solo por root. Utilicechmod el comando para corregir permisos.

    chmod 600 /etc/ssl/certs/server.key
    
  8. Reiniciarstunnel:

    killall stunnel
    stunnel
    

Tarea 3: Importar la cadena de certificados en el grupo

Después de obtener certificados, debe importar (instalar) los certificados en el maestro del grupo de Citrix Hypervisor y sincronizar los hosts del grupo para utilizar esos certificados. A continuación, puede configurar Citrix Hypervisor para comprobar la identidad y validez del certificado cada vez que Equilibrio de carga de trabajo se conecte a un host.

  1. Copie el certificado firmado, el certificado raíz y, si la entidad emisora de certificados tiene uno, el certificado intermedio de la entidad emisora de certificados en el maestro de grupo de Citrix Hypervisor.

  2. Instale el certificado raíz en el maestro de grupo:

    xe pool-certificate-install filename=root_ca.pem
    
  3. Si procede, instale el certificado intermedio en el maestro de grupo:

    xe pool-certificate-install filename=intermediate_ca.pem
    
  4. Compruebe los certificados instalados correctamente ejecutando este comando en el maestro de grupos:

    xe pool-certificate-list
    

    Al ejecutar este comando se enumeran todos los certificados SSL instalados. Si los certificados se instalaron correctamente, aparecerán en esta lista.

  5. Sincronice el certificado en el maestro de grupo con todos los hosts del grupo:

    xe pool-certificate-sync
    

    La ejecución delpool-certificate-sync comando en el maestro sincroniza los certificados y las listas de revocación de certificados en todos los servidores de grupo con el maestro de grupo. Esto garantiza que todos los hosts del grupo utilicen los mismos certificados.

  6. Indique a Citrix Hypervisor que verifique un certificado antes de conectarse al dispositivo virtual Equilibrio de carga de trabajo. Ejecute el siguiente comando en el maestro de grupo:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Consejo:

    Al presionar la tecla Tab, se rellena automáticamente el UUID del grupo.

  7. Si, antes de habilitar la verificación de certificados, especificó una dirección IP en el cuadro de diálogo Conectarse a WLB, es posible que se le pida que vuelva a conectar el grupo a Equilibrio de carga de trabajo.

    En este caso, especifique el FQDN del dispositivo Equilibrio de carga de trabajo en el cuadro Dirección del cuadro de diálogo Conectar a WLB exactamente como aparece en el nombre común (CN) del certificado . (Debe introducir el FQDN, ya que el nombre común y el nombre que Citrix Hypervisor utiliza para conectarse deben coincidir.)

Sugerencias para la solución de problemas

  • Si, después de configurar la verificación de certificados, el grupo no puede conectarse a Equilibrio de carga de trabajo, compruebe si el grupo puede conectarse si desactiva la verificación de certificados (ejecutandoxe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool). Si puede conectarse con la verificación desactivada, el problema está en la configuración del certificado. Si no puede conectarse, el problema está en las credenciales de Equilibrio de carga de trabajo o en la conexión de red.

  • Algunas entidades emisoras de certificados comerciales proporcionan herramientas para verificar el certificado instalado correctamente. Considere la posibilidad de ejecutar estas herramientas si estos procedimientos no ayudan a aislar el problema. Si estas herramientas requieren especificar un puerto SSL, especifique el puerto 8012 o el puerto que haya configurado durante la configuración de equilibrio de carga de trabajo.

  • Si, después de seguir estos procedimientos, aparece un mensaje de error en la ficha WLB que indica «Hubo un error al conectarse al servidor WLB», puede haber un conflicto entre el nombre común del certificado y el nombre del dispositivo virtual Equilibrio de carga de trabajo. El nombre del dispositivo virtual Equilibrio de carga de trabajo y el nombre común del certificado deben coincidir exactamente.