Citrix Virtual Apps and Desktops

Administrar certificados

May 12, 2025

Contribución de:

TLS usa certificados para establecer la confianza entre dos partes. Debe instalar un certificado adecuado en cada servidor que proporcione un servicio y asegurarse de que las máquinas que se conecten a ese servidor confíen en ese certificado. Existen las siguientes opciones para firmar certificados:

Certificados autofirmados. Estos no se recomiendan. Son difíciles de administrar, ya que debe copiar manualmente el certificado en cualquier otra máquina que deba confiar en ese certificado.
Entidad de certificación empresarial. Si tiene una PKI, esta suele ser la opción más sencilla para firmar un certificado de uso entre dispositivos internos.
Entidad de certificación pública. Esta requiere que demuestre la propiedad del dominio a la entidad de certificación. Tiene la ventaja de que los dispositivos cliente no administrados normalmente están preconfigurados para confiar en los certificados de las principales entidades de certificación públicas.

Crear un certificado

Siga las directivas y procedimientos de su organización para crear certificados.

Crear un certificado usando la entidad de certificación de Microsoft

Si la entidad de certificación de Microsoft está integrada en un dominio de Active Directory o en el bosque de confianza al que están unidos los Delivery Controllers, se puede adquirir un certificado desde el asistente para inscripción de certificados del complemento MMC Certificados. La entidad de certificación de Microsoft debe tener publicada una plantilla de certificado adecuada para el uso de servidores web.

El certificado raíz se implementa automáticamente en otras máquinas del dominio mediante la directiva de grupo. Por lo tanto, todos los demás equipos del dominio confían en los certificados creados con la entidad de certificación de Microsoft. Si tiene máquinas que no están en el dominio, deberá exportar el certificado de la entidad de certificación raíz e importarlo en esas máquinas.

En el servidor, abra la consola de MMC y agregue el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.
Expanda Personal > Certificados y, a continuación, utilice la opción de menú contextual Todas las tareas > Solicitar un nuevo certificado.
Haga clic en Siguiente para comenzar y en Siguiente para confirmar que va a adquirir el certificado de inscripción en Active Directory.
Seleccione una plantilla adecuada, como el servidor web exportable. Si la plantilla se ha configurado para proporcionar automáticamente los valores para Asunto, puede hacer clic en Inscribir sin proporcionar más datos. De lo contrario, haga clic en More information is required to enroll for this certificate. Click here to configure settings.
Para proporcionar más detalles para la plantilla de certificado, haga clic en el botón de flecha Detalles y configure lo siguiente:

Nombre del sujeto: Seleccione Nombre común y agregue el FQDN del servidor.

Nombre alternativo: Seleccione DNS y agregue el FQDN del servidor.
Presione Aceptar.
Presione Inscribir para crear el certificado. Se muestra en la lista de certificados.

Crear una solicitud de certificado mediante IIS

Si IIS está instalado en el servidor, complete estos pasos:

Abra Administrador de Internet Information Services (IIS)
Seleccione el nodo del servidor en la lista Conexiones.
Abra Certificados de servidor.
En el panel Acciones, seleccione Crear solicitud de certificado….
Introduzca las propiedades de nombre distintivo.
En la pantalla Propiedades del proveedor de servicios criptográficos, deje el Proveedor de servicios criptográficos predeterminado. Seleccione un tamaño de clave de 2048 o mayor.
Elija un nombre de archivo y presione Finalizar.
Cargue la solicitud de firma de certificado en su entidad de certificación.
Una vez que haya recibido el certificado, en el panel Acciones, seleccione Completar solicitud de certificado….
Seleccione el certificado, proporcione un nombre descriptivo y presione Aceptar.

No hay forma de establecer el nombre alternativo del sujeto. Por lo tanto, el certificado está limitado al servidor especificado mediante el nombre común.

Crear una solicitud de firma de certificado desde el complemento de certificados

Desde el complemento MMC Certificados puede crear una solicitud de firma de certificado. Se genera un archivo que puede enviar a una entidad de certificación que proporcionará el certificado. A continuación, debe importar el certificado para combinarlo con la clave privada local.

En el servidor, abra la consola de MMC y agregue el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.
Expanda Personal > Certificados
Seleccione Todas las tareas > Operaciones avanzadas > Crear solicitud personalizada.
En Antes de empezar, seleccione Siguiente.
En la pantalla Seleccionar directiva de inscripción de certificados, seleccione una directiva adecuada o elija Continuar sin directiva de inscripción.
En la pantalla Solicitud personalizada, si usa una directiva de inscripción, elija una plantilla adecuada, si está disponible, como el servidor web exportable.
En la pantalla Información del certificado, expanda Detalles y seleccione Propiedades.
En la ventana Propiedades del certificado, en la ficha General, introduzca un nombre descriptivo adecuado.
En la ficha Asunto:
1. En Nombre del sujeto, seleccione Nombre común e introduzca el FQDN del servidor. Puede introducir un comodín. Seleccione Agregar.
2. En Nombre del sujeto, agregue los valores pertinentes para Organización, Unidad organizativa, Localidad, Estado, País.
3. En Nombre alternativo, seleccione DNS. Agregue el FQDN del servidor. Puede agregar varios FQDN de servidor o un FQDN comodín.
En la ficha Extensiones:
- En Uso de clave, agregue Firma digital y Cifrado de clave.
- En Uso de clave extendida (directivas de aplicación), agregue Autenticación de servidor y Autenticación de cliente.
En la ficha Clave privada:
- En Seleccionar proveedor de servicios criptográficos (CSP) elija un proveedor adecuado.
- En las Opciones de clave, seleccione un tamaño de clave adecuado. Para los proveedores de RSA, use un tamaño de clave de 2048 como mínimo. Para mayor seguridad, puede elegir 4096, pero esto tendrá un ligero impacto en el rendimiento.
- En Opciones de clave, seleccione Hacer que la clave privada sea exportable.
Seleccione Aceptar.
Seleccione Siguiente.
Seleccione Examinar y guarde la solicitud.
Seleccione Finalizar.
Cargue la solicitud de firma de certificado en su entidad de certificación.
Una vez que haya recibido el certificado, impórtelo en el mismo servidor para que esté vinculado a la clave privada.

Crear un certificado autofirmado

Se crea un certificado autofirmado durante la instalación del Delivery Controller y Web Studio. Puede generar un nuevo certificado autofirmado y usarlo para reemplazar el existente.

Uso del Administrador de IIS

Si IIS está instalado en el servidor, puede seguir estos pasos:

Inicie sesión en el servidor como administrador.
Abra Administrador de IIS
Abra Certificados de servidor
En el panel Acciones, seleccione Crear certificado autofirmado.
En Crear certificado autofirmado, introduzca el nombre del certificado y haga clic en Aceptar. A continuación, se crea el certificado autofirmado.

Uso de PowerShell

Puede usar PowerShell para crear un certificado autofirmado:

  $certSubject = "CN=myddc.example.com" # The FQDN of the server.
  $friendlyName = "Self-Signed-3"
$expireYears = 5

## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

Importar un certificado

Puede importar un certificado en el servidor usando cualquiera de estos métodos.

Asistente de importación de certificados

Haga doble clic en el archivo PFX o haga clic con el botón secundario en el archivo y seleccione Instalar PFX. Se abrirá el Asistente para importación de certificados.
En Ubicación del almacén, seleccione Máquina local.
Introduzca la contraseña si es necesario.
Seleccione el almacén de certificados. Para los certificados de servidor, elija Personal. Si se trata de un certificado raíz o un certificado autofirmado en el que quiere confiar desde esta máquina, elija Autoridades de certificación raíz de confianza.

Usar la consola Administrar certificados de equipo

Abra la consola Administrar certificados de equipo y vaya al almacén de certificados pertinente. Para los certificados de servidor este es normalmente Personal > Certificados. Para confiar en un certificado raíz o autofirmado, elija Autoridades de certificación raíz de confianza > Certificados.
Haga clic con el botón secundario en el certificado y seleccione > Todas las tareas > Importar….
Seleccione Examinar… y seleccione el archivo.
Introduzca la contraseña si es necesario.

Usar PowerShell

Para importar un certificado, use el cmdlet de PowerShell Import-PfxCertificate. Por ejemplo, para importar el certificado certificate.pfx con la contraseña 123456 en el almacén de certificados personales, ejecute el siguiente comando:

  Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Para importar un certificado raíz de confianza, configure CertStoreLocation en Cert:\LocalMachine\Root\.

Exportar certificado sin clave privada

Para exportar un certificado de modo que pueda importarlo en otros dispositivos para que confíen en él, debe excluir la clave privada.

Abra Administrar certificados de equipo. Vaya a Personal > Certificados y seleccione el certificado que quiere exportar.
En el menú Acción, seleccione Todas las tareas y, a continuación, Exportar.
Elija No exportar la clave privada y, a continuación, presione Siguiente.
Seleccione el formato X.509 codificado binario (.CER) (predeterminado) y presione Siguiente.
Introduzca un nombre de archivo y presione Siguiente.
Seleccione Finalizar.

Exportar certificado con clave privada

Para exportar un certificado de modo que se pueda usar en otros servidores, debe incluir la clave privada.

Abra Administrar certificados de equipo. Vaya a Personal > Certificados y seleccione el certificado que quiere exportar.
En el menú Acción, seleccione Todas las tareas y, a continuación, Exportar.
Elija Sí, exporte la clave privada y, a continuación, seleccione Siguiente.
En la ficha Seguridad, introduzca una contraseña y, a continuación, seleccione Siguiente.
Introduzca un nombre de archivo y seleccione Siguiente.
Seleccione Finalizar.

Convertir certificado al formato PEM

De forma predeterminada, Windows exporta los certificados en formato PKCS#12 como un archivo .pfx que incluye la clave privada. Para usar el certificado en un NetScaler Gateway o un servidor de licencias, debe extraer el certificado y las claves privadas en archivos separados en formato PEM. Puede hacer esto usando openssl.

Para exportar el certificado en formato PEM ejecute:

  openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Le pedirá la contraseña y una nueva frase secreta

Para exportar la clave en formato PEM ejecute:

  openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Certificados de confianza

Si usa un certificado de una entidad de certificación pública, los dispositivos normalmente estarán preconfigurados con los certificados raíz.
Si usa una entidad de certificación empresarial, deberá implementar el certificado raíz en todos los dispositivos que deban confiar en ese certificado. Si se usan los servicios de certificación de Active Directory, los certificados raíz también se implementan en todas las máquinas del dominio mediante la Directiva de grupo. Debe importar manualmente el certificado raíz en máquinas que no estén unidas a un dominio, como los NetScaler Gateways o máquinas de otros dominios.
Si usa un certificado autofirmado, este debe instalarse manualmente en cualquier máquina que necesite confiar en el mismo.

Para exportar un certificado raíz autofirmado o de confianza desde Windows, consulte Exportar certificado sin clave privada.

Para que Windows confíe en el certificado, debe importar el certificado en el almacén de Entidades de certificación raíz de confianza. Si usa PowerShell, introduzca el almacén Cert:\LocalMachine\Root\.

Para que NetScaler confíe en el certificado, primero convierta el certificado al formato PEM y, a continuación, instale el certificado raíz.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Administrar certificados

May 12, 2025

Contribución de:

May 12, 2025

Contribución de:

¿Le ha resultado útil?