Citrix Virtual Apps and Desktops

Administrar certificados

TLS usa certificados para establecer la confianza entre dos partes. Debe instalar un certificado adecuado en cada servidor que proporcione un servicio y asegurarse de que las máquinas que se conecten a ese servidor confíen en ese certificado. Existen las siguientes opciones para firmar certificados:

  • Certificados autofirmados. Estos no se recomiendan. Son difíciles de administrar, ya que debe copiar manualmente el certificado en cualquier otra máquina que deba confiar en ese certificado.
  • Entidad de certificación empresarial. Si tiene una PKI, esta suele ser la opción más sencilla para firmar un certificado de uso entre dispositivos internos.
  • Entidad de certificación pública. Esta requiere que demuestre la propiedad del dominio a la entidad de certificación. Tiene la ventaja de que los dispositivos cliente no administrados normalmente están preconfigurados para confiar en los certificados de las principales entidades de certificación públicas.

Crear un certificado

Siga las directivas y procedimientos de su organización para crear certificados.

Crear un certificado usando la entidad de certificación de Microsoft

Si la entidad de certificación de Microsoft está integrada en un dominio de Active Directory o en el bosque de confianza al que están unidos los Delivery Controllers, se puede adquirir un certificado desde el asistente para inscripción de certificados del complemento MMC Certificados. La entidad de certificación de Microsoft debe tener publicada una plantilla de certificado adecuada para el uso de servidores web.

El certificado raíz se implementa automáticamente en otras máquinas del dominio mediante la directiva de grupo. Por lo tanto, todos los demás equipos del dominio confían en los certificados creados con la entidad de certificación de Microsoft. Si tiene máquinas que no están en el dominio, deberá exportar el certificado de la entidad de certificación raíz e importarlo en esas máquinas.

  1. En el servidor, abra la consola de MMC y agregue el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.

  2. Expanda Personal > Certificados y, a continuación, utilice la opción de menú contextual Todas las tareas > Solicitar un nuevo certificado.

    Complemento MMC Certificados

  3. Haga clic en Siguiente para comenzar y en Siguiente para confirmar que va a adquirir el certificado de inscripción en Active Directory.

  4. Seleccione una plantilla adecuada, como el servidor web exportable. Si la plantilla se ha configurado para proporcionar automáticamente los valores para Asunto, puede hacer clic en Inscribir sin proporcionar más datos. De lo contrario, haga clic en More information is required to enroll for this certificate. Click here to configure settings.

    Cuadro de diálogo de solicitud de certificados

  5. Para proporcionar más detalles para la plantilla de certificado, haga clic en el botón de flecha Detalles y configure lo siguiente:

    Nombre del sujeto: Seleccione Nombre común y agregue el FQDN del servidor.

    Nombre alternativo: Seleccione DNS y agregue el FQDN del servidor.

    Propiedades del certificado

  6. Presione Aceptar.

  7. Presione Inscribir para crear el certificado. Se muestra en la lista de certificados.

    Captura de pantalla de certificados personales

Crear una solicitud de certificado mediante IIS

Si IIS está instalado en el servidor, complete estos pasos:

  1. Abra Administrador de Internet Information Services (IIS)
  2. Seleccione el nodo del servidor en la lista Conexiones.
  3. Abra Certificados de servidor. Captura de pantalla que indica dónde encontrar los "certificados de servidor"
  4. En el panel Acciones, seleccione Crear solicitud de certificado…. Captura de pantalla del menú de acciones con "creación de solicitud de certificado" resaltada
  5. Introduzca las propiedades de nombre distintivo. Captura de pantalla de la pantalla de propiedades del nombre distintivo
  6. En la pantalla Propiedades del proveedor de servicios criptográficos, deje el Proveedor de servicios criptográficos predeterminado. Seleccione un tamaño de clave de 2048 o mayor. Captura de pantalla de la pantalla Propiedades del proveedor de servicios criptográficos
  7. Elija un nombre de archivo y presione Finalizar. Captura de pantalla de la pantalla de nombre de archivo
  8. Cargue la solicitud de firma de certificado en su entidad de certificación.
  9. Una vez que haya recibido el certificado, en el panel Acciones, seleccione Completar solicitud de certificado…. Captura de pantalla del menú de acciones con la opción "Completar solicitud de certificado" resaltada
  10. Seleccione el certificado, proporcione un nombre descriptivo y presione Aceptar. Captura de pantalla de la ventana Completar respuesta del certificado

No hay forma de establecer el nombre alternativo del sujeto. Por lo tanto, el certificado está limitado al servidor especificado mediante el nombre común.

Crear una solicitud de firma de certificado desde el complemento de certificados

Desde el complemento MMC Certificados puede crear una solicitud de firma de certificado. Se genera un archivo que puede enviar a una entidad de certificación que proporcionará el certificado. A continuación, debe importar el certificado para combinarlo con la clave privada local.

  1. En el servidor, abra la consola de MMC y agregue el complemento Certificados. Cuando se le solicite, seleccione Cuenta de equipo.

  2. Expanda Personal > Certificados
  3. Seleccione Todas las tareas > Operaciones avanzadas > Crear solicitud personalizada.
  4. En Antes de empezar, seleccione Siguiente.
  5. En la pantalla Seleccionar directiva de inscripción de certificados, seleccione una directiva adecuada o elija Continuar sin directiva de inscripción.
  6. En la pantalla Solicitud personalizada, si usa una directiva de inscripción, elija una plantilla adecuada, si está disponible, como el servidor web exportable.
  7. En la pantalla Información del certificado, expanda Detalles y seleccione Propiedades.
  8. En la ventana Propiedades del certificado, en la ficha General, introduzca un nombre descriptivo adecuado.
  9. En la ficha Asunto:

    1. En Nombre del sujeto, seleccione Nombre común e introduzca el FQDN del servidor. Puede introducir un comodín. Seleccione Agregar.
    2. En Nombre del sujeto, agregue los valores pertinentes para Organización, Unidad organizativa, Localidad, Estado, País.
    3. En Nombre alternativo, seleccione DNS. Agregue el FQDN del servidor. Puede agregar varios FQDN de servidor o un FQDN comodín.
  10. En la ficha Extensiones:

    • En Uso de clave, agregue Firma digital y Cifrado de clave.
    • En Uso de clave extendida (directivas de aplicación), agregue Autenticación de servidor y Autenticación de cliente.
  11. En la ficha Clave privada:

    • En Seleccionar proveedor de servicios criptográficos (CSP) elija un proveedor adecuado.
    • En las Opciones de clave, seleccione un tamaño de clave adecuado. Para los proveedores de RSA, use un tamaño de clave de 2048 como mínimo. Para mayor seguridad, puede elegir 4096, pero esto tendrá un ligero impacto en el rendimiento.
    • En Opciones de clave, seleccione Hacer que la clave privada sea exportable.
  12. Seleccione Aceptar.
  13. Seleccione Siguiente.
  14. Seleccione Examinar y guarde la solicitud.
  15. Seleccione Finalizar.
  16. Cargue la solicitud de firma de certificado en su entidad de certificación.
  17. Una vez que haya recibido el certificado, impórtelo en el mismo servidor para que esté vinculado a la clave privada.

Crear un certificado autofirmado

Se crea un certificado autofirmado durante la instalación del Delivery Controller y Web Studio. Puede generar un nuevo certificado autofirmado y usarlo para reemplazar el existente.

Uso del Administrador de IIS

Si IIS está instalado en el servidor, puede seguir estos pasos:

  1. Inicie sesión en el servidor como administrador.

  2. Abra Administrador de IIS
  3. Abra Certificados de servidor
  4. En el panel Acciones, seleccione Crear certificado autofirmado.

    Certificados de servidor

  5. En Crear certificado autofirmado, introduzca el nombre del certificado y haga clic en Aceptar. A continuación, se crea el certificado autofirmado.

    Crear un certificado autofirmado

Uso de PowerShell

Puede usar PowerShell para crear un certificado autofirmado:

  $certSubject = "CN=myddc.example.com" # The FQDN of the server.
  $friendlyName = "Self-Signed-3"
$expireYears = 5

## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

Importar un certificado

Puede importar un certificado en el servidor usando cualquiera de estos métodos.

Asistente de importación de certificados

  1. Haga doble clic en el archivo PFX o haga clic con el botón secundario en el archivo y seleccione Instalar PFX. Se abrirá el Asistente para importación de certificados.

  2. En Ubicación del almacén, seleccione Máquina local.

    Captura de pantalla del Asistente para importación de certificados

  3. Introduzca la contraseña si es necesario.

    Captura de pantalla del asistente para importación de certificados, paso de protección de la clave privada

  4. Seleccione el almacén de certificados. Para los certificados de servidor, elija Personal. Si se trata de un certificado raíz o un certificado autofirmado en el que quiere confiar desde esta máquina, elija Autoridades de certificación raíz de confianza.

    Captura de pantalla del Asistente para importación de certificados, paso del almacén de certificados

Usar la consola Administrar certificados de equipo

  1. Abra la consola Administrar certificados de equipo y vaya al almacén de certificados pertinente. Para los certificados de servidor este es normalmente Personal > Certificados. Para confiar en un certificado raíz o autofirmado, elija Autoridades de certificación raíz de confianza > Certificados.

  2. Haga clic con el botón secundario en el certificado y seleccione > Todas las tareas > Importar….

    Consola Administrar certificados de equipo

  3. Seleccione Examinar… y seleccione el archivo.

  4. Introduzca la contraseña si es necesario.

Usar PowerShell

Para importar un certificado, use el cmdlet de PowerShell Import-PfxCertificate. Por ejemplo, para importar el certificado certificate.pfx con la contraseña 123456 en el almacén de certificados personales, ejecute el siguiente comando:

  Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Para importar un certificado raíz de confianza, configure CertStoreLocation en Cert:\LocalMachine\Root\.

Exportar certificado sin clave privada

Para exportar un certificado de modo que pueda importarlo en otros dispositivos para que confíen en él, debe excluir la clave privada.

  1. Abra Administrar certificados de equipo. Vaya a Personal > Certificados y seleccione el certificado que quiere exportar.

  2. En el menú Acción, seleccione Todas las tareas y, a continuación, Exportar.

    Captura de pantalla de la administración de certificados con el menú Exportar

  3. Elija No exportar la clave privada y, a continuación, presione Siguiente.

    Exportar certificado

  4. Seleccione el formato X.509 codificado binario (.CER) (predeterminado) y presione Siguiente.

  5. Introduzca un nombre de archivo y presione Siguiente.

    Captura de pantalla del Asistente para exportación de certificados, nombre de archivo

  6. Seleccione Finalizar.

    Captura de pantalla del Asistente para exportación de certificados, exportación correcta

Exportar certificado con clave privada

Para exportar un certificado de modo que se pueda usar en otros servidores, debe incluir la clave privada.

  1. Abra Administrar certificados de equipo. Vaya a Personal > Certificados y seleccione el certificado que quiere exportar.

  2. En el menú Acción, seleccione Todas las tareas y, a continuación, Exportar.

    Captura de pantalla de la administración de certificados con el menú Exportar

  3. Elija Sí, exporte la clave privada y, a continuación, seleccione Siguiente.

    Exportar certificado

  4. En la ficha Seguridad, introduzca una contraseña y, a continuación, seleccione Siguiente.

    Captura de pantalla del Asistente para exportación de certificados, paso de seguridad

  5. Introduzca un nombre de archivo y seleccione Siguiente.

    Captura de pantalla del Asistente para exportación de certificados, nombre de archivo

  6. Seleccione Finalizar.

    Captura de pantalla del Asistente para exportación de certificados, exportación correcta

Convertir certificado al formato PEM

De forma predeterminada, Windows exporta los certificados en formato PKCS#12 como un archivo .pfx que incluye la clave privada. Para usar el certificado en un NetScaler Gateway o un servidor de licencias, debe extraer el certificado y las claves privadas en archivos separados en formato PEM. Puede hacer esto usando openssl.

Para exportar el certificado en formato PEM ejecute:

  openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Le pedirá la contraseña y una nueva frase secreta

Para exportar la clave en formato PEM ejecute:

  openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Certificados de confianza

  • Si usa un certificado de una entidad de certificación pública, los dispositivos normalmente estarán preconfigurados con los certificados raíz.
  • Si usa una entidad de certificación empresarial, deberá implementar el certificado raíz en todos los dispositivos que deban confiar en ese certificado. Si se usan los servicios de certificación de Active Directory, los certificados raíz también se implementan en todas las máquinas del dominio mediante la Directiva de grupo. Debe importar manualmente el certificado raíz en máquinas que no estén unidas a un dominio, como los NetScaler Gateways o máquinas de otros dominios.
  • Si usa un certificado autofirmado, este debe instalarse manualmente en cualquier máquina que necesite confiar en el mismo.

Para exportar un certificado raíz autofirmado o de confianza desde Windows, consulte Exportar certificado sin clave privada.

Para que Windows confíe en el certificado, debe importar el certificado en el almacén de Entidades de certificación raíz de confianza. Si usa PowerShell, introduzca el almacén Cert:\LocalMachine\Root\.

Para que NetScaler confíe en el certificado, primero convierta el certificado al formato PEM y, a continuación, instale el certificado raíz.

Administrar certificados