Certificados para Equilibrio de Carga de Trabajo

En esta sección se proporciona información sobre dos tareas opcionales para proteger certificados:

  • Configuración de HASH (0x2c1a078) para verificar un certificado de una autoridad de confianza

  • Configuración de HASH (0x2c1a078) para verificar el certificado autofirmado predeterminado de Citrix WLB

Información general

HASH (0x2c1a078) y Equilibrio de carga de trabajo se comunican a través de HTTPS. En consecuencia, durante la configuración de equilibrio de carga de trabajo, el asistente crea automáticamente un certificado de prueba autofirmado. Este certificado de prueba autofirmado permite Equilibrio de carga de trabajo establecer una conexión SSL a HASH (0x2c1a078).

Nota:

El certificado autofirmado es un marcador de posición para facilitar la comunicación HTTPS y no procede de una entidad emisora de certificados de confianza. Para mayor seguridad, se recomienda utilizar un certificado firmado por una entidad emisora de certificados de confianza.

De forma predeterminada, Equilibrio de carga de trabajo crea esta conexión SSL con HASH (0x2c1a078) automáticamente. No es necesario realizar ninguna configuración de certificado durante o después de la configuración para Equilibrio de carga de trabajo para crear esta conexión SSL.

Sin embargo, para utilizar un certificado de otra entidad emisora de certificados, como uno firmado de una entidad comercial, debe configurar Equilibrio de carga de trabajo y HASH (0x2c1a078) para usarlo.

Independientemente del certificado que utilice Equilibrio de carga de trabajo, de forma predeterminada, HASH (0x2c1a078) no valida la identidad del certificado antes de establecer la conexión con Equilibrio de carga de trabajo. Para configurar HASH (0x2c1a078) para buscar un certificado específico, debe exportar el certificado raíz que se utilizó para firmar el certificado, copiarlo en HASH (0x2c1a078) y configurar HASH (0x2c1a078) para comprobarlo cuando se realiza una conexión a Equilibrio de carga de trabajo. En este escenario, HASH (0x2c1a078) actúa como cliente y Equilibrio de carga de trabajo actúa como servidor.

 Esta ilustración muestra cómo HASH (0x2c1a078) verifica que un certificado específico esté presente antes de que permita que el dispositivo virtual Equilibrio de carga de trabajo establezca una conexión con él a través de SSL. En este caso, el certificado real (el certificado con la clave privada) está en el servidor de Equilibrio de carga de trabajo y el certificado que se utilizó para firmarlo, está en el maestro de grupo HASH (0x2c1a078).

Dependiendo de sus objetivos de seguridad, puede:

Configurar HASH (0x2c1a078) para verificar el certificado autofirmado

Puede configurar HASH (0x2c1a078) para comprobar que el certificado autofirmado de Citrix WLB es auténtico antes de que HASH (0x2c1a078) permita la conexión de Equilibrio de carga de trabajo.

Importante:

Para verificar el certificado autofirmado de Citrix WLB, debe conectarse a Equilibrio de carga de trabajo mediante su nombre de host. Para buscar el nombre de host Equilibrio de carga de trabajo, ejecute elhostname comando en el dispositivo virtual.

Si desea configurar Equilibrio de carga de trabajo para comprobar el certificado autofirmado WLB HASH (0x2e6cb58), lleve a cabo los pasos del procedimiento siguiente.

Para configurar HASH (0x2c1a078) para verificar el certificado autofirmado:

  1. Copie el certificado autofirmado del dispositivo virtual Equilibrio de carga de trabajo en el maestro de grupo. El certificado autofirmado de Citrix WLB se almacena en /etc/ssl/certs/server.pem. Ejecute lo siguiente en el maestro de grupo para copiar el certificado:

    scp root@wlb-ip:/etc/ssl/certs/server.pem .
    
  2. Si recibe un mensaje que indica quewlb-ip no se puede establecer la autenticidad de, escribayes para continuar.

  3. Introduzca la contraseña raíz del dispositivo virtual Equilibrio de carga de trabajo cuando se le solicite, el certificado se copiará en el directorio actual.

  4. Instale el certificado. Ejecute elpool-certificate-install comando desde el directorio donde copió el certificado. Por ejemplo:

    xe pool-certificate-install filename=server.pem
    
  5. Verifique que el certificado se haya instalado correctamente ejecutando elpool-certificate-list comando en el maestro de grupo:

    xe pool-certificate-list
    

    Si instaló el certificado correctamente, la salida de este comando incluye el certificado raíz exportado (por ejemplo, server.pem). Al ejecutar este comando se enumeran todos los certificados SSL instalados, incluido el certificado que acaba de instalar.

  6. Sincronice el certificado del maestro a todos los hosts del grupo ejecutando elpool-certificate-sync comando en el maestro de grupo:

    xe pool-certificate-sync
    

    Al ejecutar elpool-certificate-sync comando en el maestro, se sincronizan las listas de certificados y de revocación de certificados en todos los servidores del grupo con el maestro. Esto garantiza que todos los hosts del grupo utilicen los mismos certificados.

    No hay salida de este comando. Sin embargo, el siguiente paso no funciona si este no funcionó correctamente.

  7. Indique a HASH (0x2c1a078) que compruebe el certificado antes de conectarse al dispositivo virtual Equilibrio de carga de trabajo. Ejecute el siguiente comando en el maestro de grupo:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Consejo:

    Al presionar la tecla Tab se rellena automáticamente el UUID del grupo.

  8. (Opcional) Para comprobar que este procedimiento funcionó correctamente, lleve a cabo los siguientes pasos:

    1. Para probar si el certificado se sincronizó con los demás hosts del grupo, ejecute elpool-certificate-list comando en esos hosts.

    2. Para probar si HASH (0x2c1a078) se estableció para verificar el certificado, ejecute elpool-param-get comando con el parámetroparam-name = wlb-verify-cert. Por ejemplo:

      xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
      

Configurar HASH (0x2c1a078) para verificar un certificado de autoridad de certificación

Puede configurar HASH (0x2c1a078) para verificar un certificado firmado por una entidad emisora de certificados de confianza.

Para los certificados de autoridad de confianza, HASH (0x2c1a078) requiere un certificado exportado o cadena de certificados (los certificados intermedios y raíz) en formato.pem que contenga la clave pública.

Si desea que Equilibrio de carga de trabajo utilice un certificado de autoridad de confianza, haga lo siguiente:

  1. Obtener un certificado firmado de la entidad emisora de certificados. Consulte Tarea 1: Obtención de un certificado de certificado-autoridad.

  2. Siga las instrucciones deTarea 2: Especificar el nuevo certificadopara especificar y aplicar el nuevo certificado.

  3. Instale los certificados obtenidos y habilite la verificación de certificados en el maestro del grupo. Consulte Tarea 3: Importación de la cadena de certificados en el grupo.

Antes de comenzar estas tareas, asegúrese de:

  • Conoce la dirección IP del maestro de grupo HASH (0x2c1a078).

  • HASH (0x2c1a078) puede resolver el nombre de host Equilibrio de carga de trabajo. (Por ejemplo, puede intentar hacer ping al FQDN de equilibrio de carga de trabajo desde la consola HASH (0x2c1a078) para el maestro de grupo.)

Importante:

Si desea utilizar una dirección IP para conectarse a Equilibrio de carga de trabajo, debe especificar esa dirección IP como Nombre alternativo del sujeto (SAN) al crear el certificado.

Tarea 1: Obtención de un certificado de certificado-autoridad

Para obtener un certificado de una entidad emisora de certificados, debe generar una solicitud de firma de certificados (CSR). La generación de una CSR para el dispositivo virtual Equilibrio de carga de trabajo es un proceso de dos tareas. Debe (1) crear una clave privada y (2) usar esa clave privada para generar la CSR. Debe realizar ambos procedimientos en el dispositivo virtual Equilibrio de carga de trabajo.

Directrices para especificar el nombre común

El nombre común (CN) que especifique al crear una CSR debe coincidir exactamente con el FQDN del dispositivo virtual Equilibrio de carga de trabajo y el FQDN o dirección IP especificados en el cuadro Dirección del cuadro de diálogo Conectar al servidor WLB.

Para asegurarse de que el nombre coincide, especifique el nombre común mediante una de estas directrices:

  • Especifique la misma información para el nombre común del certificado que especificó en el cuadro de diálogo Conectar al servidor WLB. Por ejemplo, si el dispositivo virtual Equilibrio de carga de trabajo se denominawlb-vpx.yourdomain, especifiquewlb-vpx.yourdomainen el servidor Conectar con WLB y proporcionewlb-vpx.yourdomaincomo nombre común al crear la CSR.

  • Si ha conectado el grupo a Equilibrio de carga de trabajo mediante una dirección IP, utilice el FQDN como nombre común y especifique la dirección IP como nombre alternativo de sujeto (SAN). Sin embargo, esto puede no funcionar en todas las situaciones.

Nota:

La verificación de certificados es una medida de seguridad diseñada para evitar conexiones no deseadas. Como resultado, los certificados de Equilibrio de carga de trabajo deben cumplir requisitos estrictos o la verificación del certificado no se realizará correctamente y HASH (0x2c1a078) no permitirá la conexión. Del mismo modo, para que la verificación del certificado se realice correctamente, debe almacenar los certificados en las ubicaciones específicas en las que HASH (0x2c1a078) espera encontrar los certificados.

Para crear un archivo de clave privada:

  1. Cree un archivo de clave privada:

    openssl genrsa -des3 -out privatekey.pem 2048
    
  2. Eliminar la contraseña:

    openssl rsa -in privatekey.pem -out privatekey.nop.pem
    

Nota:

Si introduce la contraseña de forma incorrecta o incoherente, puede recibir algunos mensajes que indican que hay un error de interfaz de usuario. Puede ignorar el mensaje y simplemente volver a ejecutar el comando para crear el archivo de clave privada.

Para generar la CSR:

  1. Generar la CSR:

    1. Cree la CSR usando la clave privada:

      openssl req -new -key privatekey.nop.pem -out csr
      
    2. Siga las instrucciones para proporcionar la información necesaria para generar la RSE:

      Nombre del país. Introduzca los códigos de país del certificado SSL para su país. Por ejemplo, CA para Canadá o JM para Jamaica. Puede encontrar una lista de códigos de país de certificado SSL en la web.

      Nombre deEstado o Provincia (nombre completo). Introduzca el estado o provincia en el que se encuentra el grupo. Por ejemplo, Massachusetts o Alberta.

      Nombre de la localidad. El nombre de la ciudad donde se encuentra la piscina.

      Nombre de la organización. El nombre de su empresa u organización.

      Nombre de unidad organizativa. Introduzca el nombre del departamento. Este campo es opcional.

      Nombre común. Introduzca el FQDN del servidor de Equilibrio de carga de trabajo. Debe coincidir con el nombre que utiliza el grupo para conectarse a Equilibrio de carga de trabajo.

      Dirección de correo electrónico. Esta dirección de correo electrónico se incluye en el certificado cuando se genera.

    3. Proporcione atributos opcionales o haga clic en Intro para omitir proporcionar esta información.

      La solicitud CSR se guarda en el directorio actual y se denominacsr.

  2. Muestre la CSR en la ventana de la consola ejecutando los siguientes comandos en la consola del dispositivo Workload Balancing:

    cat csr
    
  3. Copie toda la solicitud de certificado y utilice la CSR para solicitar el certificado a la entidad emisora de certificados.

Tarea 2: Especificar el nuevo certificado

Utilice este procedimiento para especificar que Equilibrio de carga de trabajo utilice un certificado de una entidad emisora de certificados. Este procedimiento instala los certificados raíz y (si están disponibles) intermedios.

Para especificar un nuevo certificado:

  1. Descargue el certificado firmado, el certificado raíz y, si la entidad emisora tiene uno, el certificado intermedio de la entidad emisora de certificados.

  2. Si no descargó los certificados en el dispositivo virtual Equilibrio de carga de trabajo. Realice una de las siguientes acciones:

    1. Si va a copiar los certificados desde un equipo con Windows al dispositivo de equilibrio de carga de trabajo, utilice WinSCP u otra utilidad de copia para copiar los archivos.

    Para el nombre de host, puede ingresar la dirección IP y dejar el puerto en el valor predeterminado. El nombre de usuario y la contraseña suelen ser root y cualquier contraseña que establezca durante la configuración.

    1. Si está copiando los certificados de un equipo Linux en el dispositivo de equilibrio de carga de trabajo, utilice SCP u otra utilidad de copia para copiar los archivos en el directorio de su elección en el dispositivo de equilibrio de carga de trabajo. Por ejemplo:

      scp root_ca.pem root@wlb-ip:/path_on_your_WLB
      
  3. En el dispositivo virtual Equilibrio de carga de trabajo, combine el contenido de todos los certificados (certificado raíz, certificado intermedio (si existe) y certificado firmado) en un archivo. Por ejemplo:

    cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
    
  4. Cambie el nombre del certificado y la clave existentes mediante el comando move:

    mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
    mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
    
  5. Copie el certificado combinado:

    mv server.pem /etc/ssl/certs/server.pem
    
  6. Copie la clave privada creada anteriormente:

    mv privatekey.nop.pem /etc/ssl/certs/server.key
    
  7. Haga que la clave privada sea legible solo por root. Utilicechmod el comando para corregir permisos.

    chmod 600 /etc/ssl/certs/server.key
    
  8. Reiniciarstunnel:

    killall stunnel
    stunnel
    

Tarea 3: Importar la cadena de certificados en el grupo

Después de obtener certificados, debe importar (instalar) los certificados en el maestro de grupo HASH (0x2c1a078) y sincronizar los hosts del grupo para utilizar esos certificados. A continuación, puede configurar HASH (0x2c1a078) para comprobar la identidad y validez del certificado cada vez que Equilibrio de carga de trabajo se conecta a un host.

  1. Copie el certificado firmado, el certificado raíz y, si la entidad emisora tiene uno, el certificado intermedio de la entidad emisora de certificados en el maestro de grupo HASH (0x2c1a078).

  2. Instale el certificado raíz en el maestro de grupo:

    xe pool-certificate-install filename=root_ca.pem
    
  3. Si procede, instale el certificado intermedio en el maestro del grupo:

    xe pool-certificate-install filename=intermediate_ca.pem
    
  4. Compruebe los dos certificados instalados correctamente ejecutando este comando en el maestro de grupo:

    xe pool-certificate-list
    

    Al ejecutar este comando se enumeran todos los certificados SSL instalados. Si los certificados se instalaron correctamente, aparecerán en esta lista.

  5. Sincronice el certificado en el maestro de grupo con todos los hosts del grupo:

    xe pool-certificate-sync
    

    Al ejecutar elpool-certificate-sync comando en el maestro, se sincronizan los certificados y las listas de revocación de certificados en todos los servidores del grupo con el maestro del grupo. Esto garantiza que todos los hosts del grupo utilicen los mismos certificados.

  6. Indique a HASH (0x2c1a078) que compruebe un certificado antes de conectarse al dispositivo virtual Equilibrio de carga de trabajo. Ejecute el siguiente comando en el maestro de grupo:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Consejo:

    Al presionar la tecla Tab se rellena automáticamente el UUID del grupo.

  7. Si, antes de habilitar la verificación de certificados, especificó una dirección IP en el cuadro de diálogo Conectar a WLB, es posible que se le pida que vuelva a conectar el grupo a Equilibrio de carga de trabajo.

    En este caso, especifique el FQDN para el dispositivo de equilibrio de carga de trabajo en el cuadro Dirección del cuadro de diálogo Conectar a WLB exactamente como aparece en el nombre común (CN) del certificado . (Debe introducir el FQDN ya que deben coincidir el nombre común y el nombre que HASH (0x2c1a078) utiliza para conectarse.)

Sugerencias para la solución de problemas

  • Si, después de configurar la verificación de certificados, el grupo no puede conectarse a Equilibrio de carga de trabajo, compruebe si el grupo puede conectarse si desactiva la verificación de certificados (ejecutandoxe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool). Si se puede conectar con la verificación desactivada, el problema está en la configuración del certificado. Si no puede conectarse, el problema se encuentra en las credenciales de Equilibrio de carga de trabajo o en la conexión de red.

  • Algunas autoridades de certificación comercial proporcionan herramientas para verificar el certificado instalado correctamente. Considere la posibilidad de ejecutar estas herramientas si estos procedimientos no ayudan a aislar el problema. Si estas herramientas requieren especificar un puerto SSL, especifique el puerto 8012 o el puerto que establezca durante la configuración de equilibrio de carga de trabajo.

  • Si, después de seguir estos procedimientos, aparece un mensaje de error en la pestaña WLB que indica: “Error al conectar con el servidor WLB”, puede haber un conflicto entre el nombre común del certificado y el nombre del dispositivo virtual Equilibrio de carga de trabajo. El nombre del dispositivo virtual Equilibrio de carga de trabajo y el nombre común del certificado deben coincidir exactamente.