Cómo generar un certificado SSL personalizado para su uso con ePO mediante OpenSSL Toolkit
Artículos técnicos ID:
KB72477
Última modificación: 02/02/2023
Entorno
ePolicy Orchestrator (ePO) 5.x
Resumen
Puede utilizar un certificado SSL personalizado en lugar del certificado autofirmado predeterminado cuando los navegadores se autentiquen a través del servidor de ePO. En este artículo se describe una forma de crear un certificado SSL personalizado firmado por una tercera parte Certification Authority (CA), como Verisign.
IMPORTANTE:
- La plataforma ePO proporciona el mecanismo técnico para admitir la integración de certificados de terceros.
- No se admite la generación, validación o solución de problemas de certificados de terceros.
Solución
1
Importante: Antes de comenzar este proceso, debe instalar y configurar el OpenSSL Kit de herramientas. La instalación y la configuración del kit de herramientas garantizan que todas las bibliotecas y archivos de configuración necesarios para OpenSSL están en vigor:
- Descargue e instale el OpenSSL Kit de herramientas.
NOTAS:
- Debe descargar y utilizar la versión completa de OpenSSL. No utilice la versión Light.
- La versión actual es el MSI de Win64 OpenSSL v 3.0.2 140-MB Installer exe.
- Extraiga e instale la versión que descargó en función de su plataforma (32 bits o 64 bits).
Nota: Para obtener más información sobre cómo obtener el kit de herramientas de OpenSSL, consulte el sitio de OpenSSL.
- Cree la siguiente carpeta: c:\ssl\keys
- Abra un símbolo del sistema como administrador. Cambie el directorio a la carpeta OpenSSL bin donde está instalado OpenSSL. Ejemplo: cd C:\OpenSSL-Win64\bin
Obtenga un certificado SSL personalizado para su uso con ePO:
- Cree una nueva clave privada mediante OpenSSL con una solidez de 2048 bits y Cifre mediante des3 :
openssl genpkey -out c:\ssl\keys\mcafee.key -algorithm RSA -pkeyopt rsa_keygen_bits:2048
- Guarde una copia del archivo cifrado .key . Necesita la clave para crear una versión no cifrada en el paso 7 para la importación a ePO.
- Las versiones posteriores de Chrome y Edge requieren un certificado con el campo Nombre alternativo de asunto rellenado. Para crear una solicitud de firma de certificado (CSR) para su uso con Chrome o Edge, primero debe crear un archivo de configuración realizando los pasos siguientes:
- Cree un archivo con el nombre sancert.cnf de la información proporcionada a continuación.
- Guárdelo en la C:\OpenSSL-Win64\bin carpeta o dónde OpenSSL esté instalado, siempre que se encuentre en la carpeta bin.
- No cambie nada en la [req] sección o [ req_ext ] a continuación.
- Sustituya la información cuando sea necesario en para los [dn] secciones y [alt_names] . Si no utiliza el DNS. 1-3 parámetros, elimine todos los parámetros no utilizados para que solo se muestren los nombres DNS válidos.
Ejemplo:
[ req ]
default_bits = 2048
distinguished_name = dn
req_extensions = req_ext
[ dn ]
C=US
ST=State name (note: use full state name instead of abbreviation)
L=City
O=Organization name
OU=Domain name
CN=fqdn of server name
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = dns1
DNS.2 = dns2.com (optional)
DNS.3 = dns3.com (optional)
- Cree la CSR con el nombre de la Ajustes generales (CN), que verá sancert.cnf a continuación para agregar el nombre alternativo del firmante.
Ejecute el siguiente comando y sustituya los valores correctos entre comillas.
openssl req -key c:\ssl\keys\mcafee.key -config sancert.cnf -new -subj "/C=US/ST=state/L=city/O=OrgName/OU=domain.com/CN=servername.domain.com" -out c:\ssl\keys\mcafee.csr
Nota: El CN= valor es el que se emite para el certificado, ya sea el nombre de dominio completo o NetBIOS del servidor. Si ePO está en clúster, utilice el nombre del clúster virtual. Estos valores se introducen en el campo de asunto del certificado.
- Para obtener el certificado de servidor, envíe el CSR a la CA de terceros o a la CA de la empresa.
Un certificado SSL personalizado se puede certificar mediante uno de los siguientes:
- Una ECA (una CA de dominio en Windows):
- En el servidor de CA del controlador de dominio, abra un símbolo del sistema como administrador.
- Ejecute el siguiente comando. Este comando fuerza el uso de la plantilla del servidor Web que genera el certificado del servidor.
certreq -submit -attrib "CertificateTemplate: WebServer" c:\ssl\keys\mcafee.csr
Nota: El nombre de la plantilla puede ser distinto para la CA, siempre que se trata de una plantilla de tipo webserver.
- Haga clic en Aceptar cuando aparezca la ventana de cuadro de diálogo para el servidor LDAP.
- Guarde el en la .cer ubicación que desee. Se crea un .cer archivo que contiene el certificado de CA raíz y el certificado de ePO.
- Una autoridad de certificación de terceros, como Verisign o confiar:
Es posible que la CA de terceros proporcione un único archivo (.cer) de certificado o, en ocasiones, más de un archivo (.crt) de certificado. El certificado que se obtiene siempre contiene el certificado raíz de CA y el certificado de servidor al menos. Por ejemplo:
- Un archivo de certificado raíz que representa el certificado raíz
- Un archivo de certificado para un certificado intermedio
- Un certificado de servidor
Los tres archivos (.crt) de certificado se combinan en el formato correcto para que ePO los utilice con los pasos siguientes. Sin embargo, si la CA puede proporcionar el certificado en PKCS#7 formato, no necesita una conversión adicional. Puede proporcionar el archivo resultante (.cer) a ePO.
Si recibe archivos independientes .crt , siga los pasos que se indican a continuación para combinar los .crt archivos.
- Utilice el Asistente de exportación de certificados de Windows o OpenSSL para Windows o Linux mediante el siguiente comando:
openssl crl2pkcs7 -nocrl -certfile cert1.crt -certfile cert2.crt -certfile cert3.crt -out outfile.p7b
Nota: El comando crea un archivo de cadena de certificados a partir de los 'cert1.crt, cert2.crt, cert3.crt' archivos llamados outfile.p7b . El p7b archivo contiene toda la cadena de certificados, que se puede proporcionar a ePO. El orden de la cadena debe ser el siguiente: certificado raíz, certificado intermedio (si existe) y certificado de ePO.
- Mediante el OpenSSL Kit de herramientas y el archivo cifrado .key del paso 1, y cree una versión no cifrada de la clave privada para la entrada en ePO:
Para la versión 1.x de OpenSSL, utilice el siguiente comando:
openssl rsa -in c:\ssl\keys\mcafee.key -out c:\ssl\keys\unsecured.mcafee.pem
En el caso de la versión 3.x de OpenSSL, utilice los siguientes comandos:
Nota: Este paso es fundamental cuando se utiliza una versión superior de OpenSSL o cualquier método que genere la clave en pkcs8 formato. Actualmente, no se admite pkcs8 el certificado del navegador, por lo que es necesario convertir la pkcs8 clave en pkcs1 . Ambos comandos deben ejecutarse.
openssl pkcs8 -in c:\ssl\keys\mcafee.key -topk8 -nocrypt -out c:\ssl\keys\pkcs8mcafee.pem
openssl pkcs8 -in c:\ssl\keys\pkcs8mcafee.pem -traditional -nocrypt -out c:\ssl\keys\unsecured.mcafee.pem
- Utilice el nuevo certificado y el archivo de clave privada para actualizar el certificado de ePO:
IMPORTANTE: Antes de importar cualquier certificado a la consola de ePO, cree una copia de seguridad de la <ePO installation folder> \Server\keystore\ .
Nota: Además de esta lista, el certificado del navegador presentado debe reconocerse como de confianza. Este paso es importante para que se pueda confiar en la CA de empresa cuando se agrega a la lista de CA raíz de confianza. Para obtener más detalles, consulte la documentación del sistema operativo.
- Inicie sesión en la consola de ePO.
- Haga clic en menú, configuración, configuración del servidor.
- Haga clic en certificado de servidor en categorías de configuración y, después, en Editar.
- Seleccione usar el certificado y la clave privada proporcionados.
- Haga clic en examinar en el campo certificado ( P7B, PEM ) . Localice y seleccione el archivo de certificado ( .p7b o .cer ). A continuación, haga clic en abrir.
- Haga clic en examinar en el campo clave privada (PEM).
- Vaya a y seleccione el archivo de clave privada ( unsecured.mcafee.pem en este caso) y, a continuación, haga clic en abrir.
- Haga clic en Guardar.
- Reinicie los servicios de ePO:
- Pulse Windows + R, escriba services.msc y, a continuación, haga clic en Aceptar.
- Haga clic derecho en cada uno de los siguientes servicios de ePO y haga clic en reiniciar:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Event Parser
McAfee ePolicy Orchestrator x.x.x Server
- Cierre la ventana servicios.
Solución
2
Si se produce un error en la aplicación del certificado SSL personalizado o se debe revertir:
- Vaya a <ePO installation folder>\Server\keystore\
- Localice los siguientes archivos:
- server.keystore
- server.keystore.backup<date string>
- Cambiar nombre server.keystore a server.keystore.bad .
- Cambiar nombre server.keystore.backup<date string> a server.keystore .
- Reinicie los servicios de ePO:
- Pulse Windows+R , escriba services.msc y haga clic en Aceptar.
- Haga clic con el botón derecho en cada uno de los siguientes servicios de ePO y haga clic en Reiniciar:
McAfee ePolicy Orchestrator x.x.x Application Server
McAfee ePolicy Orchestrator x.x.x Event Parser
McAfee ePolicy Orchestrator x.x.x Server
- Cierre la ventana servicios.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|