Administrar certificados

TLS utiliza certificados para establecer confianza entre dos partes. Debe instalar un certificado adecuado en cada servidor que proporcione un servicio y asegurarse de que las máquinas que se conectan a ese servidor confían en ese certificado. Hay las siguientes opciones para firmar certificados:

• Certificados autofirmados. No se recomiendan. Son difíciles de gestionar, ya que debe copiar manualmente este certificado en cualquier otra máquina que deba confiar en él.
• Autoridad de certificación empresarial. Si ya tiene una infraestructura de clave pública (PKI) implementada, esta suele ser la opción más sencilla para firmar certificados para su uso entre dispositivos internos.
• Autoridad de certificación pública. Esto requiere que demuestre la propiedad del dominio a la autoridad de certificación. Tiene la ventaja de que los dispositivos cliente no administrados suelen estar preconfigurados para confiar en los certificados de las principales autoridades de certificación públicas.

Crear un nuevo certificado

Siga las políticas y los procedimientos de su organización para crear certificados.

Crear un certificado mediante la Autoridad de certificación de Microsoft

Si la Autoridad de certificación de Microsoft está integrada en un dominio de Active Directory o en el bosque de confianza al que están unidos los Delivery Controllers, puede adquirir un certificado desde el asistente de inscripción de certificados del complemento MMC de certificados. La Autoridad de certificación de Microsoft debe tener una plantilla de certificado publicada adecuada para su uso por servidores web.

El certificado raíz se implementa automáticamente en otras máquinas del dominio mediante la directiva de grupo. Por lo tanto, todas las demás máquinas del dominio confían en los certificados creados con la Autoridad de certificación de Microsoft. Si tiene máquinas que no están en el dominio, debe exportar el certificado de la autoridad de certificación raíz e importarlo en esas máquinas.

1. En el servidor, abra la consola MMC y añada el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.

2. Expanda Personal > Certificados y, a continuación, utilice el comando del menú contextual Todas las tareas > Solicitar nuevo certificado.

   

3. Haga clic en Siguiente para empezar y en Siguiente para confirmar que está adquiriendo el certificado de la inscripción de Active Directory.

4. Seleccione una plantilla adecuada, como Servidor web exportable. Si la plantilla se ha configurado para proporcionar automáticamente los valores para Asunto, puede hacer clic en Inscribir sin proporcionar más detalles. De lo contrario, haga clic en Se requiere más información para inscribirse en este certificado. Haga clic aquí para configurar los ajustes.

   

5. Para proporcionar más detalles para la plantilla de certificado, haga clic en el botón de flecha Detalles y configure lo siguiente:

   Nombre del sujeto: seleccione Nombre común y añada el FQDN del servidor.

   Nombre alternativo: seleccione DNS y añada el FQDN del servidor.

   

6. Pulse Aceptar.

7. Pulse Inscribir para crear el certificado. Se muestra en la lista de certificados.

   

Crear una solicitud de certificado mediante IIS

Si IIS está instalado en el servidor, complete los siguientes pasos:

1. Abra el Administrador de Internet Information Services (IIS)
2. Seleccione el nodo del servidor en la lista Conexiones.
3. Abra Certificados de servidor.
4. En el panel Acciones, seleccione Crear solicitud de certificado….
5. Introduzca las Propiedades del nombre distintivo.
6. En la pantalla Propiedades del proveedor de servicios criptográficos, deje el proveedor de servicios criptográficos como predeterminado. Seleccione un tamaño de clave de 2048 o superior. (/es-es/citrix-virtual-apps-desktops/2507-ltsr/media/iis-request-certificate-crypto.png)
7. Elija un nombre de archivo y pulse Finalizar. (/es-es/citrix-virtual-apps-desktops/2507-ltsr/media/iis-request-certificate-file-name.png)
8. Cargue su CSR en su autoridad de certificación.
9. Una vez que haya recibido el certificado, en el panel Acciones, seleccione Completar solicitud de certificado…. (/es-es/citrix-virtual-apps-desktops/2507-ltsr/media/iis-complete-certificate-request.png)
10. Seleccione el certificado, proporcione un Nombre descriptivo y pulse Aceptar. (/es-es/citrix-virtual-apps-desktops/2507-ltsr/media/iis-certificate-authority-response.png)

No hay forma de establecer el nombre alternativo del sujeto. Por lo tanto, el certificado se limita al servidor especificado mediante el nombre común.

Crear una solicitud de firma de certificado desde el complemento de certificados

Desde el complemento MMC de Certificados, puede crear una solicitud de firma de certificado. Esto genera un archivo que puede enviar a una autoridad de certificación que le proporcionará el certificado. A continuación, debe importar el certificado para combinarlo con la clave privada local.

1. En el servidor, abra la consola MMC y agregue el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.

2. Expanda Personal > Certificados
3. Seleccione Todas las tareas > Operaciones avanzadas > Crear solicitud personalizada.
4. En Antes de empezar, seleccione Siguiente.
5. En la pantalla Seleccionar directiva de inscripción de certificados, seleccione una directiva existente adecuada o Continuar sin directiva de inscripción.
6. En la pantalla Solicitud personalizada, si utiliza una directiva de inscripción, elija una plantilla adecuada, si está disponible, como Servidor web exportable.
7. En la pantalla Información del certificado, expanda Detalles y seleccione Propiedades.
8. En la ventana Propiedades del certificado, en la pestaña General, introduzca un nombre descriptivo adecuado.

9. En la pestaña Asunto:

   1. En Nombre del asunto, seleccione Nombre común e introduzca el FQDN del servidor. Puede introducir un comodín. Seleccione Agregar.
   2. En Nombre del asunto, agregue los valores adecuados para Organización, Unidad organizativa, Localidad, Estado, País.
   3. En Nombre alternativo, seleccione DNS. Agregue el FQDN del servidor. Puede agregar varios FQDN de servidor o un FQDN comodín.

10. En la pestaña Extensiones:

    • En Uso de clave, agregue Firma digital y Cifrado de clave.
    • En Uso de clave extendido (directivas de aplicación), agregue Autenticación de servidor y Autenticación de cliente.

11. En la pestaña Clave privada.

    • En Seleccionar proveedor de servicios criptográficos (CSP), elija un proveedor adecuado.
    • En Opciones de clave, seleccione un tamaño de clave adecuado. Para los proveedores RSA, utilice como mínimo un tamaño de clave de 2048. Para mayor seguridad, puede que desee elegir 4096, pero esto tendrá un ligero impacto en el rendimiento.
    • En Opciones de clave, seleccione Hacer la clave privada exportable.
12. Seleccione Aceptar.
13. Seleccione Siguiente.
14. Seleccione Examinar y guarde su solicitud.
15. Seleccione Finalizar.
16. Cargue su CSR a su autoridad de certificación.
17. Una vez que haya recibido el certificado, impórtelo en el mismo servidor para que esté vinculado a la clave privada.

Crear un nuevo certificado autofirmado

Se crea un certificado autofirmado durante la instalación de un delivery controller™ y Web Studio. Puede generar un nuevo certificado autofirmado y usarlo para reemplazar el existente.

Uso del Administrador de IIS

Si IIS está instalado en el servidor, puede realizar los siguientes pasos:

1. Inicie sesión en el servidor como administrador.

2. Abra el Administrador de IIS
3. Abra Certificados de servidor

4. En el panel Acciones, seleccione Crear certificado autofirmado.

   

5. En Crear certificado autofirmado, introduzca un nombre para el certificado y haga clic en Aceptar. A continuación, se crea el certificado autofirmado.

   

Uso de PowerShell

Puede usar PowerShell para crear un certificado autofirmado:

$certSubject = "CN=myddc.example.com" # The FQDN of the server.
$friendlyName = "Self-Signed-3"
$expireYears = 5

## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

Importar certificado existente

Puede importar un certificado existente al servidor mediante cualquiera de los siguientes métodos.

Asistente para importar certificados

1. Haga doble clic en el archivo PFX, o haga clic con el botón derecho en el archivo y seleccione Instalar PFX. Esto abre el Asistente para importar certificados.

2. En Ubicación del almacén, seleccione Equipo local.

   

3. Introduzca la contraseña si es necesario.

   

4. Seleccione el Almacén de certificados. Para certificados de servidor, elija Personal. Si se trata de un certificado raíz o un certificado autofirmado en el que desea confiar desde esta máquina, elija Entidades de certificación raíz de confianza.

   

Usar la consola Administrar certificados de equipo

1. Abra la consola Administrar certificados de equipo y navegue hasta el almacén de certificados adecuado. Para los certificados de servidor, esto es normalmente Personal > Certificados. Para confiar en un certificado raíz o autofirmado, elija Entidades de certificación raíz de confianza > Certificados.

2. Haga clic con el botón derecho en el certificado y seleccione > Todas las tareas > Importar….

   

3. Seleccione Examinar… y elija el archivo.

4. Introduzca la contraseña si es necesario.

Usar PowerShell

Para importar un certificado, utilice el cmdlet de PowerShell Import-PfxCertificate. Por ejemplo, para importar el certificado certificate.pfx con la contraseña 123456 en el almacén de certificados personal, ejecute el siguiente comando:

Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Para importar un certificado raíz de confianza, establezca CertStoreLocation en Cert:\LocalMachine\Root\.

Exportar certificado sin clave privada

Para exportar un certificado de modo que pueda importarlo en otros dispositivos para confiar en él, debe excluir la clave privada.

1. Abra Administrar certificados de equipo. Vaya a Personal > Certificados y seleccione el certificado que desea exportar.

2. En el menú Acción, seleccione Todas las tareas y, a continuación, Exportar.

   

3. Elija No, no exportar la clave privada y, a continuación, pulse Siguiente.

   

4. Seleccione el formato X.509 binario codificado en DER (.CER) (el predeterminado) y pulse Siguiente.

5. Introduzca un nombre de archivo y pulse Siguiente.

   

6. Seleccione Finalizar.

   

Exportar certificado con clave privada

Para exportar un certificado para poder usarlo en otros servidores, debe incluir la clave privada.

1. Abra Administrar certificados de equipo. Vaya a Personal > Certificados y seleccione el certificado que desea exportar.

2. En el menú Acción, seleccione Todas las tareas y, a continuación, Exportar.

   

3. Elija Sí, exportar la clave privada y, a continuación, seleccione Siguiente.

   

4. En la ficha Seguridad, introduzca una contraseña y, a continuación, seleccione Siguiente.

   

5. Introduzca un nombre de archivo y seleccione Siguiente.

   

6. Seleccione Finalizar.

   

Convertir certificado a formato PEM

De forma predeterminada, Windows exporta los certificados en formato PKCS#12 como un archivo .pfx que incluye la clave privada. Para usar el certificado en un NetScaler® Gateway o un servidor de licencias, debe extraer el certificado y las claves privadas en archivos separados en formato PEM. Puede hacerlo con openssl.

Para exportar el certificado en formato PEM, ejecute:

openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Le pedirá la contraseña existente y una nueva frase de contraseña.

Para exportar la clave en formato PEM, ejecute:

openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Confiar en los certificados

• Si utiliza un certificado de una autoridad de certificación pública, los dispositivos suelen estar preconfigurados con los certificados raíz.
• Si utiliza una autoridad de certificación empresarial, debe implementar el certificado raíz en todos los dispositivos que deban confiar en ese certificado. Si utiliza Active Directory Certification Services, los certificados raíz también se implementan en todas las máquinas del dominio mediante la directiva de grupo. Debe importar manualmente el certificado raíz en máquinas que no estén unidas al dominio, como sus NetScaler Gateways, o máquinas en otros dominios.
• Si utiliza un certificado autofirmado, este debe instalarse manualmente en cualquier máquina que necesite confiar en el certificado.

Para exportar un certificado raíz autofirmado o de confianza desde Windows, consulte (#export-certificate-without-private-key).

Para que Windows confíe en el certificado, debe (#import-existing-certificate) en el almacén Trusted Root Certification Authorities. Si utiliza PowerShell, introduzca el almacén Cert:\LocalMachine\Root\.

Para que NetScaler confíe en el certificado, primero convierta el certificado a formato PEM, y luego instale el certificado raíz.