Guía para la configuración de SSL para DataSecurity Plus
Aplicar certificados de Capas de sockets seguros (SSL) a DataSecurity Plus garantiza que todas las transferencias de datos entre los navegadores web de los usuarios y el servidor de DataSecurity Plus sigan estando protegidas. Esta guía explica los pasos para habilitar SSL para DataSecurity Plus.
Pasos para habilitar SSL:
- Cree un archivo de keystore
- Cree y presente una solicitud de firma de certificado
- Solicite un certificado firmado de una autoridad certificadora
- Vincular el certificado de SSL a DataSecurity Plus
- Instrucciones para los tipos de certificados comunes
1. Cree un archivo keystore
Un keystore es un repositorio que contiene las claves públicas y privadas requeridas para la codificación y decodificación de datos una vez se establece la conexión entre el cliente y el servidor.
Los siguientes pasos detallan el proceso para crear un keystore:
- Abra el símbolo del sistema en <installation_directory>\ManageEngine\ DataSecurity Plus\jre\bin.
- Luego, ejecute alguno de los siguientes comandos en el Símbolo del sistema para crear un archivo keystore específico de Tomcat, que se denominará <domainName>.keystore en el resto de este documento.
- Comando 1: Para crear un keystore sin un Nombre alternativo de sujeto (SAN):
- Comando 2: Algunos navegadores, como Google Chrome y Microsoft Edge, requieren un SAN. Para crear un keystore con SAN, ejecute el siguiente comando:
keytool -genkey -alias tomcat -keypass <your key password> -keyalg RSA -validity 1000 -keystore <domainName>.keystore
keytool -genkey -alias tomcat -keypass <your key password> -keyalg RSA -validity 1000 -keystore <domainName>.keystore -ext SAN=dns:servername.domainName
- Reemplace <your key password> con una contraseña de su elección y <domainName> con el nombre de su dominio.
- Cuando se realice, ingrese la contraseña para el keystore.
- Suministre información con base en las siguientes directrices:
SNo | Pregunta | Respuesta |
1 | ¿Cuál es el nombre y apellido? | Suministre la NetBIOS (si el nombre del dominio DNS es test.example.com, el nombre del dominio NetBIOS es test) o Nombre FQDN (un FQDN para un servidor hipotético de correo podría ser mymail.example.com. El nombre del host es mymail y el host está ubicado dentro del dominio example.com) del servidor en el que se ejecuta DataSecurity Plus. |
2 | ¿Cuál es el nombre de la unidad organizacional? | Ingrese el nombre del departamento el cual quiere que aparezca en el certificado. |
3 | ¿Cuál es el nombre de su organización? | Proporcione el nombre legal de su organización. |
4 | ¿Cuál es el nombre de su ciudad? | Ingrese el nombre de la ciudad en la dirección registrada de la organización. |
5 | ¿Cuál es el nombre de su estado/provincia? | Ingrese el nombre del estado/provincia en la dirección registrada de la organización. |
6 | ¿Cuál es el código de su país? | Suministre el código de dos letras del país donde su organización está ubicada. |
2. Cree y presente una solicitud de firma de certificado
El archivo .csr es temporal y debe presentarse a una autoridad certificadora (CA) para recibir archivos de certificado firmados por la CA. Los siguientes pasos detallan el procedimiento para crear un archivo .csr.
2.1 Generar una solicitud de firma de certificado (CSR)Hay dos métodos para generar una CSR.
Método 1: Crear un archivo .csr desde la ubicación de instalación:
- Abra el Símbolo de sistema.
- Desde la ubicación <installation directory>\ManageEngine\DataSecurity Plus\jre\bin, ejecute el siguiente comando:
keytool -certreq -alias tomcat -keyalg RSA -keystore <domainName>.keystore -file <domainName>.csr
Método 2: Si usa Google Chrome, Microsoft Edge u otros navegadores que requieran una CSR con un SAN, siga los pasos dados a continuación:
- Abra el Símbolo de sistema.
- Ejecute el siguiente comando:
keytool -certreq -alias tomcat -keyalg RSA -ext SAN=dns:server_name,dns:server_name.domain.com,dns:server_name.domain1.com -keystore <domainName>.keystore -file <domainName>.csr
En los comandos anteriores, reemplace <domainName> con el nombre de su dominio y suministre los Nombres alternativos de sujeto adecuados.
2.2 Presentar la CSR a su CAEl archivo CSR creado se puede encontrar en <installation directory>\ManageEngine\DataSecurity Plus\jre\bin. Presente este archivo a su CA.
3. Solicite un certificado firmado de una autoridad certificadora
Los siguientes paso suministran instrucciones sobre cómo conectar a un CA, presentar la CSR, procurar el certificado SSL e importarlo.
3.1 De Microsoft Certificate Services (CA interna)Para una CA interna:
- Conéctese a Microsoft Certificate Services y haga clic en Solicitar un certificado.
- Haga clic en Solicitud avanzada de certificado y luego seleccione Presentar una solicitud de certificado con base en un CMC codificado en 64 o un archivo PKCS #10, o presente una solicitud de renovación usando un archivo con base en PKCS codificado en 64 #7.
- Abra el archivo .csr con un editor de texto, copie el contenido y péguelo en Solicitud guardada. Luego, seleccione Web Server como la Plantilla de certificado y haga clic en Presentar.
- Haga clic el enlace Descargar la cadena del certificado para descargar la carpeta \ManageEngine \DataSecurity Plus\jre\bin de los tipos de Certificado PKCS #7. El certificado descargado tendrá formato .p7b.
- Haga clic en Inicio en la esquina superior derecha y haga clic en Descargar un certificado de CA, certificado de cadena o CRL.
- Haga clic en Descargar un certificado de CA para descargar y guardar el certificado raíz en formato .cer.
- Copie el archivo .cer a la ubicación <installation directory>\ManageEngine \DataSecurity Plus\jre\bin location.
- Vaya a <installation directory>\ManageEngine\DataSecurity Plus\jre\bin con el Símbolo del sistema y ejecute la siguiente consulta para importar el certificado en su archivo .keystore file:
Keytool –import –trustcacerts –alias tomcat –file certnew.p7b –keystore <keystore_name> .keystore
- Reemplace <keystore_name> con el nombre de su keystore.
- En la misma ubicación, ejecute la siguiente consulta para añadir el certificado raíz de la CA interna a la lista de CA de confianza en el archivo cacerts de Java.
keytool -import -alias <internal CA_name> -keystore ..\lib\security\cacerts -file certnew.cer
Nota: Abra certnew.cer para obtener el nombre interno de la CA y suministre changeit como la contraseña de keystore cuando se ejecute.
3.2 De una CA externaLos siguientes pasos describen cómo solicitar e importar certificados firmados por algunos proveedores comunes.
- Para solicitar un certificado de un CA externo, presente la CSR a esa CA.
- Descomprima los certificados devueltos por su CA y guárdelos en la carpeta <installation directory> \ManageEngine\DataSecurity Plus\jre\bin.
- Abra el Símbolo de sistema y vaya a la carpeta <installation directory> \ManageEngine\DataSecurity Plus\jre\bin.
- Ejecute los comandos enumerados bajo su CA:
- Para certificados de GoDaddy
- keytool -import -alias root -keystore <domainName>.keystore -trustcacerts -file gd_bundle.crt
- keytool -import -alias cross -keystore <domainName>.keystore -trustcacerts -file gd_cross.crt
- keytool -import -alias intermed -keystore <domainName>.keystore trustcacerts -file gd_intermed.crt
- keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file<domainName>.crt
- Para certificados de Verisign
- keytool -import -alias intermediateCA -keystore <domainName>.keystore -trustcacerts -file <your intermediate certificate.cer>
- keytool -import -alias tomcat -keystore <domainName>.keystore trustcacerts -file <domainName> .cer
- Para certificados de Comodo
- keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <domainName>.keystore
- keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <domainName>.keystore
- keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt - keystore <domainName>.keystore
- keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <domainName>.keystore
- Para certificados de Entrust
- keytool -import -alias Entrust_L1C -keystore <keystore-name.keystore > -trustcacerts -file entrust_root.cer
- keytool -import -alias Entrust_2048_chain -keystore <keystore-name.keystore > trustcacerts -file entrust_2048_ssl.cer
- keytool -import -alias -keystore <keystore-name.keystore > -trustcacerts -file <domain-name.cer>
- Para certificados de Thawte
Comprados directamente de Thawte
- keytool -import -trustcacerts -alias tomcat -file<certificate-name.p7b>-keystore<keystore-name.keystore>
Comprados mediante el canal de distribuidores de Thawte
- keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer > -keystore<keystore-name.keystore>
- keytool -import -trustcacerts -alias tomcat -file <SSL_SecondaryCA.cer > trustcacerts -file entrust_2048_ssl.cer
- keytool -import -trustcacerts -alias tomcat -file <certificate-name.cer> -keystore <keystore-name.keystore>
- Para certificados de GoDaddy
Nota: Estas instrucciones podrían cambiar según los certificados emitidos por la CA. Si recibe certificados de una CA no enumerada arriba, contacte a su CA para obtener los comandos requeridos para añadir sus certificados al keystore.
4. Vincular el certificado de SSL a DataSecurity Plus
Los siguientes pasos describen como configurar el servidor de DataSecurity Plus para usar el keystore con su certificado de SSL.
4.1 Defina el puerto de SSL en la consola de DataSecurity PlusSiga los pasos dados a continuación para definir el puerto HTTPS que DataSecurity Plus usará:
- Inicie sesión en la consola de DataSecurity Plus con una cuenta que tenga privilegios administrativos.
- Desde el menú desplegable de la aplicación, seleccione Administrador y vaya a Ajustes Generales > Conexión..
- Seleccione Portal de DataSecurity Plus (HTTPS) como el Tipo de conexión. Luego, ingrese el número de puerto escogido que planea usar para DataSecurity Plus y guarde los cambios.
Nota:9163 es el puerto HTTPS por defecto usado por DataSecurity Plus.
- Reinicie DataSecurity Plus.
Siga los pasos dados a continuación para instalar el certificado de SSL:
- Copie el archivo <domainName>.keystore de la carpeta <installation directory> \ManageEngine\DataSecurity Plus\jre\bin y guárdelo en la carpeta <installation directory>\ManageEngine\DataSecurity Plus\conf.
- Abra el archivo server.xml ubicado en <installation directory>\ManageEngine \DataSecurity Plus\conf con un editor de texto y vaya a la última etiqueta de conector.
- Reemplace keystoreFile con ./conf/<domainName>.keystore and keystorePass con la contraseña dada durante la creación del keystore.
- Guarde el archivo server.xml ciérrelo.
- Reinicie DataSecurity Plus (Inicio > Todos los programas > DataSecurity Plus > Iniciar DataSecurity Plus) para que los cambios surtan efecto; luego, lance el cliente de DataSecurity Plus.
5. Instrucciones para los tipos de certificados comunes
Esta sección da los pasos para configurar SSL con tipos de archivo de certificados .p7b y .pfx.
5.1 Instalación de un certificado .p7bLa mayoría de los CA suministrarán certificados con la extensión .p7b. Para instalar este tipo de archivo, siga los pasos dados a continuación:
- Haga doble clic en este archivo para abrir una consola que enumerará todos los certificados requeridos.
- Haga clic derecho en los certificados y vaya aTodas las tareas > Exportar.
- Se mostrará el diálogo del Asistente para exportación de certificados. Haga clic en Siguiente.
- Seleccione el formato del archivo como Codificado con base en 64 X.509 (.cer). Haga clic en Siguiente.
- Especifique el nombre del archivo que desea exportar. Haga clic en Siguiente.
- Revise sus ajustes y haga clic en Finalizar. Luego, haga clic en OK.
- Añada este archivo de certificado al keystore con los pasos y comandos dados por su CA.
- Continúe a la Sección 4
Una vez haya ejecutado la sección 4.1, siga los pasos dados a continuación para instalar un certificado con la extensión .pfx:
- Detenga el servicio de DataSecurity Plus.
- Copie el archivo .pfx a la carpeta <installation directory>\ManageEngine\DataSecurity Plus\conf.
- Abra el archivo server.xml ubicado en <installation directory>\ManageEngine \DataSecurity Plus\confcon un editor de texto y vaya a la última etiqueta de conector.
- Reemplace keystoreFile con el nombre del archivo e .pfx e ingrese keystoreType="pkcs12" después del nombre del archivo. Reemplace keystorePass con la password para el archivo .pfx.
- Guarde el archivo server.xml y ciérrelo.
- Reinicie DataSecurity Plus (Inicio > Todos los programas > DataSecurity Plus > Iniciar DataSecurity Plus) para que los cambios surtan efecto; luego, lance el cliente de DataSecurity Plus.