-
-
Grupos de identidad de diferentes tipos de unión de identidad de máquinas
-
Servicio independiente Citrix Secure Ticketing Authority (STA) (Technical Preview)
-
-
Compatibilidad de proxy con el agente de actualización de VDA
-
Hacer copia de seguridad o migrar la configuración
-
Copia de seguridad y restauración mediante la herramienta de configuración automatizada
-
Mejores prácticas para realizar copias de seguridad y restaurar
-
Cmdlets de herramientas de configuración automatizada para la migración
-
Cmdlets de herramientas de configuración automatizada para realizar copias de seguridad y restaurar
-
Solucionar problemas con Configuración automatizada e información adicional
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Administrar certificados
TLS usa certificados para establecer la confianza entre dos partes. Debe instalar un certificado adecuado en cada servidor que proporcione un servicio y asegurarse de que las máquinas que se conecten a ese servidor confíen en ese certificado. Existen las siguientes opciones para firmar certificados:
- Certificados autofirmados. Estos no se recomiendan. Son difíciles de administrar, ya que debe copiar manualmente el certificado en cualquier otra máquina que deba confiar en ese certificado.
- Entidad de certificación empresarial. Si tiene una PKI, esta suele ser la opción más sencilla para firmar un certificado de uso entre dispositivos internos.
- Entidad de certificación pública. Esta requiere que demuestre la propiedad del dominio a la entidad de certificación. Tiene la ventaja de que los dispositivos cliente no administrados normalmente están preconfigurados para confiar en los certificados de las principales entidades de certificación públicas.
Crear un certificado
Siga las directivas y procedimientos de su organización para crear certificados.
Crear un certificado usando la entidad de certificación de Microsoft
Si la entidad de certificación de Microsoft está integrada en un dominio de Active Directory o en el bosque de confianza al que están unidos los Delivery Controllers, se puede adquirir un certificado desde el asistente para inscripción de certificados del complemento MMC Certificados. La entidad de certificación de Microsoft debe tener publicada una plantilla de certificado adecuada para el uso de servidores web.
El certificado raíz se implementa automáticamente en otras máquinas del dominio mediante la directiva de grupo. Por lo tanto, todos los demás equipos del dominio confían en los certificados creados con la entidad de certificación de Microsoft. Si tiene máquinas que no están en el dominio, deberá exportar el certificado de la entidad de certificación raíz e importarlo en esas máquinas.
-
En el servidor, abra la consola de MMC y agregue el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.
-
Expanda Personal > Certificados y, a continuación, utilice la opción de menú contextual Todas las tareas > Solicitar un nuevo certificado.
-
Haga clic en Siguiente para comenzar y en Siguiente para confirmar que va a adquirir el certificado de inscripción en Active Directory.
-
Seleccione una plantilla adecuada, como el servidor web exportable. Si la plantilla se ha configurado para proporcionar automáticamente los valores para Asunto, puede hacer clic en Inscribir sin proporcionar más datos. De lo contrario, haga clic en More information is required to enroll for this certificate. Click here to configure settings.
-
Para proporcionar más detalles para la plantilla de certificado, haga clic en el botón de flecha Detalles y configure lo siguiente:
Nombre del sujeto: Seleccione Nombre común y agregue el FQDN del servidor.
Nombre alternativo: Seleccione DNS y agregue el FQDN del servidor.
-
Presione Aceptar.
-
Presione Inscribir para crear el certificado. Se muestra en la lista de certificados.
Crear una solicitud de certificado mediante IIS
Si IIS está instalado en el servidor, complete estos pasos:
- Abra Administrador de Internet Information Services (IIS)
- Seleccione el nodo del servidor en la lista Conexiones.
- Abra Certificados de servidor.
- En el panel Acciones, seleccione Crear solicitud de certificado….
- Introduzca las propiedades de nombre distintivo.
- En la pantalla Propiedades del proveedor de servicios criptográficos, deje el Proveedor de servicios criptográficos predeterminado. Seleccione un tamaño de clave de 2048 o mayor.
- Elija un nombre de archivo y presione Finalizar.
- Cargue la solicitud de firma de certificado en su entidad de certificación.
- Una vez que haya recibido el certificado, en el panel Acciones, seleccione Completar solicitud de certificado….
- Seleccione el certificado, proporcione un nombre descriptivo y presione Aceptar.
No hay forma de establecer el nombre alternativo del sujeto. Por lo tanto, el certificado está limitado al servidor especificado mediante el nombre común.
Crear una solicitud de firma de certificado desde el complemento de certificados
Desde el complemento MMC Certificados puede crear una solicitud de firma de certificado. Se genera un archivo que puede enviar a una entidad de certificación que proporcionará el certificado. A continuación, debe importar el certificado para combinarlo con la clave privada local.
-
En el servidor, abra la consola de MMC y agregue el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.
- Expanda Personal > Certificados
- Seleccione Todas las tareas > Operaciones avanzadas > Crear solicitud personalizada.
- En Antes de empezar, seleccione Siguiente.
- En la pantalla Seleccionar directiva de inscripción de certificados, seleccione una directiva adecuada o elija Continuar sin directiva de inscripción.
- En la pantalla Solicitud personalizada, si usa una directiva de inscripción, elija una plantilla adecuada, si está disponible, como el servidor web exportable.
- En la pantalla Información del certificado, expanda Detalles y seleccione Propiedades.
- En la ventana Propiedades del certificado, en la ficha General, introduzca un nombre descriptivo adecuado.
-
En la ficha Asunto:
- En Nombre del sujeto, seleccione Nombre común e introduzca el FQDN del servidor. Puede introducir un comodín. Seleccione Agregar.
- En Nombre del sujeto, agregue los valores pertinentes para Organización, Unidad organizativa, Localidad, Estado, País.
- En Nombre alternativo, seleccione DNS. Agregue el FQDN del servidor. Puede agregar varios FQDN de servidor o un FQDN comodín.
-
En la ficha Extensiones:
- En Uso de clave, agregue Firma digital y Cifrado de clave.
- En Uso de clave extendida (directivas de aplicación), agregue Autenticación de servidor y Autenticación de cliente.
-
En la ficha Clave privada:
- En Seleccionar proveedor de servicios criptográficos (CSP) elija un proveedor adecuado.
- En las Opciones de clave, seleccione un tamaño de clave adecuado. Para los proveedores de RSA, use un tamaño de clave de 2048 como mínimo. Para mayor seguridad, puede elegir 4096, pero esto tendrá un ligero impacto en el rendimiento.
- En Opciones de clave, seleccione Hacer que la clave privada sea exportable.
- Seleccione Aceptar.
- Seleccione Siguiente.
- Seleccione Examinar y guarde la solicitud.
- Seleccione Finalizar.
- Cargue la solicitud de firma de certificado en su entidad de certificación.
- Una vez que haya recibido el certificado, impórtelo en el mismo servidor para que esté vinculado a la clave privada.
Crear un certificado autofirmado
Se crea un certificado autofirmado durante la instalación del Delivery Controller y Web Studio. Puede generar un nuevo certificado autofirmado y usarlo para reemplazar el existente.
Uso del Administrador de IIS
Si IIS está instalado en el servidor, puede seguir estos pasos:
-
Inicie sesión en el servidor como administrador.
- Abra Administrador de IIS
- Abra Certificados de servidor
-
En el panel Acciones, seleccione Crear certificado autofirmado.
-
En Crear certificado autofirmado, introduzca el nombre del certificado y haga clic en Aceptar. A continuación, se crea el certificado autofirmado.
Uso de PowerShell
Puede usar PowerShell para crear un certificado autofirmado:
$certSubject = "CN=myddc.example.com" # The FQDN of the server.
$friendlyName = "Self-Signed-3"
$expireYears = 5
## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->
Importar un certificado
Puede importar un certificado en el servidor usando cualquiera de estos métodos.
Asistente de importación de certificados
-
Haga doble clic en el archivo PFX o haga clic con el botón secundario en el archivo y seleccione Instalar PFX. Se abrirá el Asistente para importación de certificados.
-
En Ubicación del almacén, seleccione Máquina local.
-
Introduzca la contraseña si es necesario.
-
Seleccione el almacén de certificados. Para los certificados de servidor, elija Personal. Si se trata de un certificado raíz o un certificado autofirmado en el que quiere confiar desde esta máquina, elija Autoridades de certificación raíz de confianza.
Usar la consola Administrar certificados de equipo
-
Abra la consola Administrar certificados de equipo y vaya al almacén de certificados pertinente. Para los certificados de servidor este es normalmente Personal > Certificados. Para confiar en un certificado raíz o autofirmado, elija Autoridades de certificación raíz de confianza > Certificados.
-
Haga clic con el botón secundario en el certificado y seleccione > Todas las tareas > Importar….
-
Seleccione Examinar… y seleccione el archivo.
-
Introduzca la contraseña si es necesario.
Usar PowerShell
Para importar un certificado, use el cmdlet de PowerShell Import-PfxCertificate. Por ejemplo, para importar el certificado certificate.pfx
con la contraseña 123456
en el almacén de certificados personales, ejecute el siguiente comando:
Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->
Para importar un certificado raíz de confianza, configure CertStoreLocation
en Cert:\LocalMachine\Root\
.
Exportar certificado sin clave privada
Para exportar un certificado de modo que pueda importarlo en otros dispositivos para que confíen en él, debe excluir la clave privada.
-
Abra Administrar certificados de equipo. Vaya a Personal > Certificados y seleccione el certificado que quiere exportar.
-
En el menú Acción, seleccione Todas las tareas y, a continuación, Exportar.
-
Elija No exportar la clave privada y, a continuación, presione Siguiente.
-
Seleccione el formato X.509 codificado binario (.CER) (predeterminado) y presione Siguiente.
-
Introduzca un nombre de archivo y presione Siguiente.
-
Seleccione Finalizar.
Exportar certificado con clave privada
Para exportar un certificado de modo que se pueda usar en otros servidores, debe incluir la clave privada.
-
Abra Administrar certificados de equipo. Vaya a Personal > Certificados y seleccione el certificado que quiere exportar.
-
En el menú Acción, seleccione Todas las tareas y, a continuación, Exportar.
-
Elija Sí, exporte la clave privada y, a continuación, seleccione Siguiente.
-
En la ficha Seguridad, introduzca una contraseña y, a continuación, seleccione Siguiente.
-
Introduzca un nombre de archivo y seleccione Siguiente.
-
Seleccione Finalizar.
Convertir certificado al formato PEM
De forma predeterminada, Windows exporta los certificados en formato PKCS#12 como un archivo .pfx que incluye la clave privada. Para usar el certificado en un NetScaler Gateway o un servidor de licencias, debe extraer el certificado y las claves privadas en archivos separados en formato PEM. Puede hacer esto usando openssl.
Para exportar el certificado en formato PEM ejecute:
openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->
Le pedirá la contraseña y una nueva frase secreta
Para exportar la clave en formato PEM ejecute:
openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->
Certificados de confianza
- Si usa un certificado de una entidad de certificación pública, los dispositivos normalmente estarán preconfigurados con los certificados raíz.
- Si usa una entidad de certificación empresarial, deberá implementar el certificado raíz en todos los dispositivos que deban confiar en ese certificado. Si se usan los servicios de certificación de Active Directory, los certificados raíz también se implementan en todas las máquinas del dominio mediante la Directiva de grupo. Debe importar manualmente el certificado raíz en máquinas que no estén unidas a un dominio, como los NetScaler Gateways o máquinas de otros dominios.
- Si usa un certificado autofirmado, este debe instalarse manualmente en cualquier máquina que necesite confiar en el mismo.
Para exportar un certificado raíz autofirmado o de confianza desde Windows, consulte Exportar certificado sin clave privada.
Para que Windows confíe en el certificado, debe importar el certificado en el almacén de Entidades de certificación raíz de confianza. Si usa PowerShell, introduzca el almacén Cert:\LocalMachine\Root\.
Para que NetScaler confíe en el certificado, primero convierta el certificado al formato PEM y, a continuación, instale el certificado raíz.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.