Características Password Manager » Características

  • General

  • Interfaz web y autenticación

  • Seguridad

  • Sincronización de contraseñas

  • Respaldo y recuperación ante desastres

  • Licenciamiento

  • Gestión de claves SSH

  • Gestión de certificados SSL

General

01. ¿Necesito instalar algún software antes de utilizar Password Manager Pro?
 

Aunque no se requieren softwares como prerrequisito para instalar e iniciar Password Manager Pro, necesitará los siguientes componentes para utilizar las funciones de detección de cuentas privilegiadas y restablecimiento de contraseñas:

  • Microsoft .NET framework 4.5.2 o superior debe estar instalado en el servidor donde está instalado Password Manager Pro.
  • Microsoft Visual C++ 2015 Redistributable debe estar instalado.

Para comprobar si estos requisitos de software están configurados:

  • Vaya a Soporte >> Requisitos de software y haga clic en Comprobar configuración.

En la ventana emergente se mostrará el estado de la configuración.

02. ¿Las otras personas pueden ver los recursos que agrego?
 

Excepto los superadministradores (si están configurados en Password Manager Pro), nadie, incluyendo los usuarios administradores, podrá ver los recursos que usted añade. Sin embargo, si comparte sus recursos con otros administradores, ellos podrán verlos.

03. ¿Puedo añadir mis propios atributos a los recursos de Password Manager Pro?
 

Sí, puede ampliar los atributos del recurso de Password Manager Pro y la cuenta de usuario para incluir detalles que son específicos para sus necesidades. Consulte este documento para obtener más detalles.

04. ¿Qué ocurre si un usuario abandona la organización sin compartir sus contraseñas confidenciales con nadie?
 

Si un usuario administrativo abandona la organización, puede transferir los recursos que posee a otros administradores. Al hacerlo, ya no tendrán acceso a esos recursos, a menos que se los transfieran a sí mismos. Consulte este documento para obtener más detalles.

05. ¿Cómo puedo solucionar el problema si falla la importación de usuarios/recursos desde AD?
 

Compruebe lo siguiente:

  • Compruebe si las credenciales de usuario son correctas.
  • Si lo está intentando con un usuario administrador y falla, intente introducir las credenciales de un usuario no administrador. Esto es sólo para verificar si la conexión se puede establecer correctamente.

Si fallan las verificaciones, contacte a passwordmanagerpro-support@manageengine.com.

06. ¿Cómo hacer que la aplicación PMP funcione con un servidor de base de datos MySQL instalado en un equipo separado (que no sea en el que se ejecuta el servidor PMP)?
 

Siempre se recomienda ejecutar la aplicación PMP (integrada con el servidor web Tomcat) y la base de datos MySQL en el mismo equipo para una mejor seguridad. Hemos configurado la base de datos MySQL integrada para que no sea visible fuera del equipo en el que está instalada (aceptará conexiones solicitadas solo desde el host local) y perderá este atributo si los separa. Si es urgente ejecutar MySQL en otro lugar, siga el procedimiento que se detalla a continuación:

  • Cierre el servidor PMP si ya se está ejecutando.
  • Instale el servidor MySQL en un equipo diferente y cree una base de datos llamada 'PassTrix' (es importante distinguir entre mayúsculas y minúsculas, particularmente en Linux).
  • Inicie el servidor MySQL y asegúrese de que puede conectarse a la base de datos de forma remota (utilizando el cliente de línea de comandos de MySQL).
  • Realice los siguientes cambios de configuración en PMP:
    • Vaya a la carpeta <PMP_Install_Dir>\conf\Persistence.
    • Abra el archivo persistence-configurations.xml y busque la entrada 'StartDBServer' y establezca su valor en 'false' (el valor predeterminado será "true"). Guarde el archivo.
    • Vaya a la carpeta <PMP_Install_Dir>\conf.
    • Abra el archivo database_params.txt y realice los siguientes cambios:
      • En la propiedad "URL", cambie las entradas 'localhost' y '5768' por el nombre de host y el número de puerto correspondiente al servidor MySQL remoto.
      • Si desea conectarse como root, deje la propiedad "username" tal como está. De lo contrario, realice los cambios adecuados en esa propiedad. Tenga en cuenta que PMP requiere privilegios de root en MySQL.
      • Si ha establecido una contraseña en el servidor MySQL remoto, especifíquela en la propiedad "password". De lo contrario, elimine o comente esa línea.
    • Guarde el archivo.
  • Ahora inicie el servidor PMP de nuevo y debería funcionar con la base de datos remota (que ya debería estar en ejecución).
07. ¿Puedo realizar consultas personalizadas para generar resultados para la integración con otros sistemas de informes?
 

Sí puede. Contáctenos con su solicitud específica y le ayudaremos con la consulta SQL pertinente para generar la salida XML

08. ¿El SSO de dominio funciona a través de firewalls/ VPN?
 

El inicio de sesión único de dominio (autenticación integrada en Windows) se habilita en el entorno Windows estableciendo parámetros no estándar en la cabecera HTTP, que suelen ser eliminados por dispositivos como firewalls/ VPN. Password Manager Pro está diseñado para usarse dentro de la red. Por lo tanto, si tiene usuarios que se conectan desde fuera de la red, no puede tener el SSO habilitado.

09. ¿Puedo personalizar Password Manager Pro con mi propio logo e información organizacional?
 

Sí. Password Manager Pro le ofrece las siguientes opciones de personalización y cambio de marca:

  • Usar su propio logo para la interfaz web de la aplicación móvil. (El tamaño de imagen recomendado es de 210*50 píxeles)
  • Establecer una descripción para la página de inicio de sesión para el producto.
  • Cambiar el color predeterminado de la interfaz de usuario.
  • Mostrar un banner con contenido legal personalizado.
  • Personalizar el contenido de la política de privacidad y mostrar un botón de aceptación.

Para usar las funcionalidades anteriores:

  • Vaya a Admin >> Personalización >> Cambio de marca.
  • En la sección Logo y tema establezca un logo personalizado y una descripción para la página de inicio de sesión, y cambie el tono de fondo predeterminado.
  • En Texto de la página de inicio de sesión, añada las políticas y/o condiciones legales que se mostrarán en la página de inicio de sesión.

Tenga en cuenta que en cualquier momento puede desactivar esta configuración. Instrucciones.

10. ¿Password Manager Pro registra los intentos de visualización y recuperación de contraseñas por parte de los usuarios?
 

Sí, Password Manager Pro registra todas las operaciones que puede realizar el usuario, incluyendo las operaciones para copiar y visualizar contraseñas. En las pistas de auditoría, puede obtener una lista completa de todas las acciones y los intentos de los usuarios respecto a la recuperación de contraseñas. Más información

11. ¿Por qué aumenta rápidamente el tamaño del archivo wal_archive de PostgreSQL?
 

Este problema se produce cuando la ubicación de la copia de seguridad especificada en Password Manager Pro ya no es accesible para guardar el archivo de copia de seguridad. En términos simples, cada vez que la copia de seguridad de la base de datos PostgreSQL falla, el tamaño de la carpeta wal_archive comenzará a aumentar.

Solución:

  • Compruebe si hay suficiente espacio en disco disponible en la unidad de Password Manager Pro.
  • Si no es así, elimine el directorio de logs y algunos archivos dentro del directorio.
  • Usted necesita tener sólo una o dos copias de seguridad.
  • Inicie sesión en Password Manager Pro y vaya a Admin >> Configuración >> Copia de seguridad de la base de datos.
  • Haga clic en el botón "Hacer copia de seguridad ahora".

Esto iniciará una copia de seguridad al instante y depurará automáticamente el directorio wal_archive.

12. ¿Password Manager Pro admite la alta disponibilidad?
 

Sí, consulte el documento Alta disponibilidad para obtener más detalles.

Interfaz web y autenticación

01. ¿Puedo cambiar el puerto 7272 predeterminado donde escucha Password Manager Pro?
 

Sí, puede cambiar el puerto predeterminado como se explica a continuación:

  • Inicie sesión en Password Manager Pro como Administrator. Vaya a Admin >> Configuración >> Servidor de Password Manager Pro.
  • Ingrese el puerto requerido en el campo Puerto del servidor, y haga clic en Guardar.
  • Reinicie Password Manager Pro para que la configuración surta efecto.
02. ¿Puedo cambiar la dirección IP a la que la aplicación Password Manager Pro está vinculada si tengo múltiples tarjetas NIC e IP disponibles en el servidor?
 

Password Manager Pro viene con una versión adaptada del servidor web TomCat que permite a los usuarios acceder a la página web y también al JVM que realiza las operaciones del producto. Usted puede utilizar los siguientes pasos para configurar la dirección IP Bind para estos dos componentes.

Pasos para cambiar la IP Bind del servidor web

  • Detenga el servicio Password Manager Pro.
  • Vaya al directorio <PMP installation folder>/conf y haga una copia de seguridad del archivo server.xml.
  • Abra Wordpad como administrador y abra server.xml en el directorio <PMP installation folder>/conf.
    • Busque port="7272" y añada la entrada address="<IP addresses of the application server>" al lado.
    • Guarde el archivo.
  • Inicie el servicio Password Manager Pro. Esta vez el servidor web Tomcat se iniciará utilizando la IP bind que haya especificado.

Pasos para cambiar la IP bind del JVM

  • Detenga el servicio Password Manager Pro.
  • Vaya al directorio <PMP installation folder>/conf y haga una copia de seguridad del archivo wrapper.conf.
  • Abra Wordpad como administrador y abra wrapper.conf en el directorio <PMP installation folder>/conf.
    • Busque la palabra wrapper.app.parameter.1 y añada la siguiente línea debajo de wrapper.app.parameter.1.
      • wrapper.app.parameter.2=-Dspecific.bind.address=<IP addresses of the application server>
    • Guarde el archivo.
  • Ahora, cambie el nombre de la carpeta <PMP installation folder>/logs a logs_older e inicie el servicio Password Manager Pro.
  • Conéctese a la página de inicio de sesión e intente utilizar las funciones del producto, como Restablecer contraseña. La IP de origen para estas operaciones será la Dirección IP que haya configurado.
03. ¿Qué pasa si mis usuarios no son notificados sobre sus cuentas de Password Manager Pro?
 

En general, los usuarios son notificados sobre sus cuentas de Password Manager Pro sólo a través de correos electrónicos. Si un usuario no recibe los correos electrónicos de notificación, verifique:

  • si ha configurado los ajustes del servidor de correo correctamente, con los detalles del servidor SMTP en su entorno.
  • si ha proporcionado credenciales válidas como parte de la configuración del servidor de correo, ya que algunos servidores de correo las requieren para recibir correos.
  • si el 'ID de correo del remitente' está correctamente configurado, ya que algunos servidores de correo rechazan los correos enviados sin la dirección "De" o correos originados en dominios desconocidos.
04. ¿Cuáles son los esquemas de autenticación disponibles en Password Manager Pro?
 

Usted puede utilizar uno de los siguientes tres mecanismos de autenticación fuera de Password Manager Pro:

  • Active Directory: Cuando está activada, la solicitud de autenticación se reenvía al controlador de dominio configurado y, en función del resultado, se permite o deniega al usuario el acceso a Password Manager Pro. El nombre de usuario, la contraseña y el dominio se proporcionan en la pantalla de inicio de sesión de Password Manager Pro. Este esquema funciona sólo para los usuarios cuyos detalles han sido importados previamente desde AD, y está disponible sólo cuando el servidor de Password Manager Pro está instalado en un sistema Windows.
  • Directorio LDAP: Cuando está activada, la solicitud de autenticación se reenvía al servidor de directorio LDAP configurado y, en función del resultado, se permite o deniega al usuario el acceso a Password Manager Pro. El nombre de usuario, la contraseña y la opción de utilizar la autenticación LDAP se proporcionan en la pantalla de inicio de sesión de Password Manager Pro. Este esquema funciona sólo para los usuarios cuyos datos han sido importados previamente desde el directorio LDAP.
  • Autenticación local de Password Manager Pro: La autenticación se realiza localmente por el servidor de Password Manager Pro. Independientemente de que la autenticación AD o LDAP esté habilitada, este esquema siempre está disponible para que los usuarios lo elijan en la página de inicio de sesión. Este esquema tiene una contraseña separada para los usuarios y las contraseñas de AD o LDAP nunca se almacenan en la base de datos de Password Manager Pro. Sin embargo, por razones de seguridad, le recomendamos que desactive la autenticación local para los usuarios después de habilitar la autenticación AD/LDAP. Para obtener más información al respecto, consulte la sección "Incorporación y gestión de usuarios" en nuestra Guía de mejores prácticas.
  • Azure AD: Una vez que integre Password Manager Pro con Azure Active Directory (Azure AD) en su entorno, puede permitir que los usuarios utilicen sus credenciales de Azure AD para iniciar sesión en Password Manager Pro tanto en plataformas Windows como Linux. Para utilizar esta autenticación, primero debe añadir a Password Manager Pro como una aplicación cliente nativa en su portal de Azure AD.
  • Autenticación Smartcard: Al activar esta función, los usuarios deberán poseer una tarjeta inteligente y conocer su número de identificación personal (PIN). Tenga en cuenta que la autenticación con smartcard omitirá otros métodos de autenticación de primer factor como AD, LDAP o autenticación local.
  • Autenticación RADIUS: Puede integrar Password Manager Pro con el servidor RADIUS en su entorno y utilizar la autenticación RADIUS para reemplazar la autenticación local proporcionada por Password Manager Pro. Los usuarios que accederán a Password Manager Pro utilizando sus credenciales del servidor RADIUS primero tendrán que añadirse como usuarios en Password Manager Pro. Al hacerlo, es necesario asegurarse de que el "nombre de usuario" en Password Manager Pro es el mismo que el nombre de usuario utilizado para acceder al servidor RADIUS.
  • SSO SAML: Password Manager Pro actúa como un proveedor de servicios (SP) y se integra con los proveedores de identidad (IdP) utilizando SAML 2.0. La integración consiste básicamente en proporcionar detalles sobre el SP al IdP y viceversa. Una vez que Password Manager Pro se integra con un IdP, los usuarios sólo tienen que iniciar sesión en el IdP y, a continuación, pueden iniciar sesión automáticamente en Password Manager Pro desde la GUI del IdP respectivo sin tener que proporcionar las credenciales de nuevo. Password Manager Pro admite la integración con Okta, AD FS, OneLogin y Azure AD SSO.
05. Cuáles son los roles de usuario disponibles en Password Manager Pro? ¿Cuáles son sus niveles de acceso?
 

Password Manager Pro tiene cinco roles predefinidos:

  • Administrador privilegiado
  • Administradores
  • Administrador de contraseña
  • Auditor de contraseña
  • Usuario de contraseña

Además de estos roles predeterminados, cualquier administrador puede ser promocionado como "Superadministrador" con el privilegio de ver y gestionar todos los recursos. Haga clic aquí para obtener detalles sobre los niveles de acceso de los roles predeterminados.

06. Qué pasa si olvido mi contraseña de acceso a Password Manager Pro?
 

Si usted ya tiene una cuenta de Password Manager Pro válida, puede utilizar el enlace "¿Olvidó su contraseña?" disponible en la página de inicio de sesión para restablecer su contraseña. El nombre de usuario/ID de correo suministrado debe coincidir con los datos ya configurados para el usuario. La contraseña se restablecerá para ese usuario y la nueva contraseña se enviará a la dirección de correo electrónico correspondiente. Sin embargo, no necesitará esta opción si la autenticación AD/LDAP está activada.

07. ¿Por qué a veces veo una advertencia de seguridad al acceder a la consola de Password Manager Pro a través del navegador?
 

La consola web de Password Manager Pro siempre utiliza el protocolo HTTPS ara comunicarse con el servidor de Password Manager Pro. El servidor de Password Manager Pro viene con un certificado SSL autofirmado, por defecto, que los navegadores web estándar no reconocerán, emitiendo así una advertencia. Puede ignorar esta advertencia mientras prueba o evalúa el producto. Sin embargo, si va a ponerlo en producción, le recomendamos instalar un certificado SSL comprado a una autoridad de certificación autorizada (CA) que sea reconocido por todos los navegadores web estándar. Más información

Seguridad

01. ¿Qué tan protegidas están mis credenciales en Password Manager Pro?
 

Garantizar un almacenamiento seguro de las contraseñas y ofrecer una sólida defensa contra intrusiones son las principales prioridades de Password Manager Pro. Las siguientes medidas garantizan un alto nivel de seguridad para sus contraseñas:

  • Las contraseñas se encriptan utilizando el estándar de cifrado avanzado (AES), y se almacenan en la base de datos. AES es actualmente el algoritmo de encriptación más potente que se conoce, y ha sido adoptado como el estándar de cifrado del Gobierno de Estados Unidos.
  • La base de datos que almacena todas las contraseñas sólo acepta conexiones desde el host en el que se está ejecutando, y no es visible externamente.
  • El mecanismo de control de acceso de usuarios basado en roles y granular garantiza que los usuarios sólo puedan ver y acceder a las contraseñas en función de los permisos que se les hayan concedido.
  • Todas las transacciones entre la consola de Password Manager Pro y el servidor se realizan a través de HTTPS.
  • El generador de contraseñas incorporado de Password Manager Pro le ayuda a generar contraseñas seguras

Para obtener información detallada, consulte nuestro documento de Especificaciones de seguridad.

02. Qué tan segura es la gestión de contraseñas de aplicación a aplicación y de aplicación a base de datos a través de las API de gestión de contraseñas?
 

Password Manager Pro ofrece API RESTful y API CLI basadas en SSH que se pueden utilizar para gestionar contraseñas de aplicación a aplicación/base de datos. Las aplicaciones se conectan e interactúan con Password Manager Pro a través de HTTPS.

La identidad de una aplicación se verifica en primer lugar comprobando la validez de su certificado SSL y, a continuación, verificando la IP/nombre de host de origen en la que reside. Cada aplicación/base de datos se debe registrar como un usuario API en Password Manager Pro.

Durante este registro, se debe proporcionar el nombre de host/IP del servidor de la aplicación y se generará un token de autenticación único que utiliza la API REST. Este token se debe enviar junto con las solicitudes de la API para la autenticación. Además de estas comprobaciones de seguridad, cada aplicación/base de datos sólo puede acceder a la información que le haya delegado explícitamente un usuario administrativo. Consulte este documento para obtener más información sobre cómo compartir/delegar contraseñas.

03. Podemos instalar nuestros propios certificados SSL?
 

Sí, puede instalar sus propios certificados SSL. Siga los pasos que se indican a continuación:

Nota: Los siguientes pasos solo aplican para las compilaciones 9700 y superior.

  • Vaya a "Admin >> Configuración >> Servidor de Password Manager Pro".
  • Elija el tipo de almacén de claves como "JKS" o "PKCS12", el que haya elegido al generar la CSR.
  • Examine y cargue el Archivo del almacén de claves.
  • Ingrese la misma Contraseña del almacén de claves, que ingresó al generar la CSR.
  • Modifique el Puerto del servidor, si es necesario.
  • Haga clic en Guardar. Reinicie el servidor de Password Manager Pro una vez, para que el cambio de certificado surta efecto.
04. Cómo generar certificados SSL firmados? [O] ¿Cómo hacer que los navegadores web y los usuarios confíen en el servidor de Password Manager Pro?
 

Password Manager Pro se ejecuta como un servicio HTTPS. Requiere un certificado SSL válido firmado por una CA con el nombre principal como el nombre del host en el que se ejecuta. Por defecto, la primera vez que se inicia crea un certificado autofirmado, en el que no confiarán los navegadores de los usuarios. Por lo tanto, al conectarse a Password Manager Pro, es necesario verificar manualmente la información del certificado y el nombre del host del servidor Password Manager Pro cuidadosamente y debe forzar al navegador a aceptar el certificado.

Para que los navegadores web y los usuarios confíen en el servidor de Password Manager Pro:

  • Obtenga un nuevo certificado firmado de una CA para el host de Password Manager Pro. [O]
  • Configure un certificado existente obtenido de una CA compatible con wildcard principal para el host de Password Manager Pro.

Hay diferentes maneras de generar los certificados SSL firmados:

  • Utilizando el módulo "Gestión de certificados" de Password Manager Pro.
  • Utilizando OpenSSL o Keytool (incluido con Java) para crear sus certificados, solicitar que sean firmados por una CA y utilizarlos con Password Manager Pro.
  • Instalando un certificado wild card.

Puede decidir el modo en que se van a generar los certificados SSL firmados según las recomendaciones de sus administradores de seguridad. Los pasos detallados para utilizar cada uno de los métodos anteriores se proporcionan en los siguientes enlaces.

Nota: Si ya dispone de un certificado firmado por una CA, le recomendamos que utilice OpenSSL para crear el almacén de claves y configurarlo en Password Manager Pro (pasos 4 y 5 de las siguientes instrucciones).

1. Generar certificados SSL firmados utilizando el módulo de gestión de certificados de Password Manager Pro

Puede generar certificados SSL firmados a través del módulo de gestión de certificados de Password Manager Pro y también aplicar los cambios del certificado (almacén de claves y certificados) directamente desde la consola de Password Manager Pro. Esto implica tres procesos:

1.1 Generar una solicitud de firma de certificado (CSR):

Para solicitar y adquirir certificados de una CA local a través de Password Manager Pro, es necesario generar primero una solicitud de firma de certificado (CSR). Aquí están los pasos para hacerlo:

  • Vaya a "Certificados→ Crear CSR".
  • Haga clic en el botón Create button. The Create CSR page is displayed.
  • Seleccione una de las opciones Crear CSR o Crear CSR a partir del almacén de claves,dependiendo de si desea crear una nueva CSR o crear una CSR a partir de una clave privada ya existente, respectivamente.

    • Si selecciona Crear CSR, ingrese los detalles, tales como nombre común, SAN, unidad organizativa, ubicación de la organización, estado, país, algoritmo de la clave y tamaño de la clave Seleccione el Algoritmo de la clave. y el Tipo de almacén de datos.Ingrese la Validez y la Contraseña del almacén

    • Si ha seleccionado Crear CSR a partir del almacén de claves, busque y adjunte el archivo de clave privada necesario junto con la Contraseña de clave privada.
    • Haga clic en el botón Crear. Se le redirigirá a una ventana en la que se mostrará el contenido de la CSR. Puede copiar el contenido de la CSR o exportarla a un buzón de correo.
      • Correo electrónico – Seleccione esta opción para enviar el archivo de certificado por correo electrónico a la dirección especificada.
      • Exportar CSR / clave privada - Seleccione esta opción para exportar la CSR o la clave privada correspondiente según sus necesidades.
    • Vea la CSR guardada en "Certificados >> Crear CSR".

 

Nota: El icono de un ojo con el mensaje "mostrar frase de contraseña" correspondiente a cada CSR permite a los administradores ver las contraseñas del almacén de claves de los archivos CSR.

1.2 Firmar el certificado:

Password Manager Pro proporciona la opción de firmar y emitir certificados a todos los clientes de su red, ya sea desde su autoridad de certificación de Microsoft o utilizando un certificado CA raíz personalizado que sea de confianza dentro de su entorno.

Nota: Recuerde que debe haber generado una solicitud de firma de certificado (CSR) válida antes de solicitar que su certificado sea firmado desde la CA local.

Siga estos pasos para firmar el certificado:

  • Vaya a "Certificados → Crear CSR".
  • Seleccione la CSR requerida en la tabla y haga clic en Firmar en el menú superior.
  • En la ventana emergente, indique el nombre del servidor que ejecuta la autoridad de certificación interna, el nombre de CA y elija la plantilla de certificado de acuerdo a sus necesidades. Haga clic en Firmar certificado. La CSR ahora está firmada y el certificado emitido se puede ver en "Certificados >> Certificados".

 

1.3 Aplicar el almacén de claves y certificados para el servidor web de Password Manager Pro:

Para aplicar el almacén de claves y certificados, primero necesita crearlo.

  • Vaya a "Certificados >> Certificados". Haga clic en el enlace del certificado firmado bajo el título Nombre común. En la página de detalles del certificado que se muestra, haga clic en el icono "Exportar" en la esquina superior derecha de la pantalla. El archivo del certificado se descargará en su equipo local.
  • Ahora, vaya a "Certificados → Crear CSR".
  • Haga clic en el icono "Importar certificado" correspondiente a la CSR del certificado firmado. Busque y seleccione el archivo de certificado descargado en su equipo local y haga clic en "Importar". Ahora, el certificado se vinculará con la clave privada para formar un almacén de claves.
  • Ahora vuelva a "Certificados >> Certificados" y haga clic en el enlace del certificado bajo el título "Nombre común". En la página de detalles del certificado que aparece, desplácese hacia abajo y haga clic en el enlace "Exportar". Esto descargará el almacén de claves y certificados en su equipo local.
  • El paso final es ir a "Admin >> Configuración >> Servidor de Password Manager Pro" y hacer lo siguiente:
    • Elija el tipo de almacén de claves como "JKS" o "PKCS12", el que haya elegido al generar la CSR.
    • Examine y cargue el archivo del almacén de claves.
    • Ingrese la misma contraseña del almacén de claves que ingresó al generar la CSR.
    • Modifique el puerto del servidor, si es necesario.
    • Haga clic en "Guardar". Reinicie el servidor de Password Manager Pro una vez, para que el cambio de certificado surta efecto.
2. Generar certificados SSL firmados utilizando OpenSSL

OpenSSL suele venir incluido con las distribuciones de Linux. Si utiliza un servidor Windows y no tiene OpenSSL instalado, descárguelo de http://www.slproweb.com/products/Win32OpenSSL.html. Asegúrese de que la carpeta "bin" de la instalación de OpenSSL está incluida en la variable de entorno "PATH".

2.1 Crear el par de claves pública-privada que se utilizará para la negociación de SSL
  • Abra el símbolo del sistema.
  • Ejecute 'openssl genrsa -des3 -out <privatekey_filename>.key 1024'
    <privatekey_filename> es el nombre de archivo que especifica para almacenar la clave privada
  • Se le pedirá ingresar una contraseña para la clave privada. Ingrese 'passtrix' o una frase de contraseña de su elección. (Aunque no está documentado, Tomcat tiene problemas con las contraseñas que contienen caracteres especiales, así que utilice una contraseña que sólo tenga caracteres alfabéticos)
  • Se creará un archivo con el nombre <privatekey_filename>.key en la misma carpeta.

 

2.2 Crear una solicitud de firma de certificado (CSR) para presentarla a una autoridad de certificación para crear un certificado firmado con la clave pública generada en el paso anterior
  • Ejecute 'openssl req -new -key <privatekey_filename>.key -out <certreq_filename>.csr'
    • <privatekey_filename>.key es el archivo utilizado en el paso anterior.
    • <certreq_filename>.csr es el nombre de archivo que se especifica para llevar la solicitud de creación del certificado a la CA (autoridad de certificación).
  • Se le pedirá ingresar una serie de valores que forman parte del nombre distinguido (DN) del servidor que aloja Password Manager Pro.
  • Ingrese los valores necesarios. Es importante que para el 'Common Name' proporcione el nombre completo del servidor que aloja Password Manager Pro (con el que se accederá a través de los navegadores).
  • Se creará un archivo con el nombre <certreq_filename>.csr` en la misma carpeta.

 

2.3 Enviar la CSR a una autoridad de certificación (CA) para obtener un certificado CA firmado

Algunas de las CA más importantes son Verisign (http://verisign.com), Thawte (http://www.thawte.com), RapidSSL (http://www.rapidssl.com). Consulte su documentación / sitio web para obtener más información sobre el envío de CSR y esto implicará un coste que se pagará a la CA. Este proceso suele tardar unos días y le devolverán su certificado SSL firmado y el certificado raíz de la CA como archivos .cer. Guarde ambos archivos en la misma carpeta de trabajo en la que están almacenados los archivos de los pasos 1 y 2

2.4 Importar el certificado firmado por la CA a un almacén de claves
  • Abra el símbolo del sistema y vaya a la misma carpeta de trabajo.
  • Ejecute 'openssl pkcs12 -export -in <cert_file>.cer -inkey <privatekey_filename>.key -out <keystore_filename>.p12 -name Password Manager Pro -CAfile <root_cert_file>.cer -caname Password Manager Pro -chain'
  • Dónde,

    • cert_file.cer es el certificado SSL firmado con extensión .cer.
    • privatekey_filename.key es el archivo de clave privada con extensión .key.
    • keystore_filename.p12 es el almacén de claves que se generará con extensión .p12.
    • root_cert_file.cer es el certificado raíz de la CA con extensión .cer.
  • Cuando se le pida una contraseña, ingrese la misma contraseña que utilizó en el paso 1 para la clave privada. Este requisito se debe a una limitación inherente a tomcat, que requiere que las dos contraseñas coincidan.
  • Ahora, se generará un archivo de almacén de claves con el nombre <keystore_filename>.p12 en la misma carpeta.

 

2.5 Configurar el servidor de Password Manager Pro para que utilice el almacén de claves con su certificado SSL

Este es el paso final para generar certificados SSL firmados utilizando OpenSSL.

  • Copie el archivo <keystore_filename>.p12 generado en el paso 4 a la carpeta <Password Manager Pro_Install_Folder>\conf folder.
  • Abra el símbolo del sistema y vaya a la carpeta <Password Manager Pro_Install_Folder>\conf.
  • Abra el archivo server.xml realice los siguientes cambios:
    • Busque la entrada 'keystoreFile', cuyo valor predeterminado será 'conf/server.keystore'. Cambie el valor a 'conf/<keystore_filename>.p12'.
    • A partir de la versión 9700, la contraseña del almacén de claves está cifrada y no se puede actualizar directamente en el archivo server.xml. Para actualizar manualmente la contraseña del almacén de claves en el archivo .xml, desactive primero el cifrado cambiando el valor 'keystorePassEncrypted=true' a 'keystorePassEncrypted=false'.

    Nota: este paso solo aplica para las compilaciones 9700 y superior.

  • Ahora, establezca el valor de 'keystorePass' a "passtrix" o la contraseña que ingresó en el paso anterior al crear el almacén de claves.
  • Añada una nueva entrada keystoreType="PKCS12" junto a la entrada keystorePass.
  • Guarde el archivo server.xml.
  • Reinicie el servidor de Password Manager Pro y conéctese a través del navegador web. Si puede ver la consola de inicio de sesión de Password Manager Pro sin que aparezca una advertencia desde el navegador, usted ha instalado correctamente su certificado SSL en Password Manager Pro.
3. Generar certificados SSL firmados utilizando Keytool
3.1 Crear el par de claves pública-privada que se utilizará para la negociación de SSL
  • Vaya a la carpeta <Password Manager Pro_Home>/jre/bin folder.
  • Ejecute el comando:
    "./keytool -genkey -alias Password Manager Pro -keyalg RSA -sigalg SHA256withRSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -keystore <keystore_filename></keystore_filename>
    <keystore_password> es la contraseña para acceder al almacén de claves <privatekey_password> es la contraseña para proteger su clave privada. Tenga en cuenta que debido a una limitación inherente en tomcat, estas dos contraseñas tienen que ser las mismas. (Aunque no está documentado, Tomcat tiene problemas con las contraseñas que contienen caracteres especiales, así que utilice una contraseña que sólo tenga caracteres alfabéticos)
    <no_of_days> es la validez del par de claves en número de días, desde el día en que se creó
  • El comando anterior le pedirá que ingrese detalles sobre usted y su organización.
    • Para el campo 'nombre y apellidos', ingrese el FQDN del servidor donde se ejecuta Password Manager Pro.
    • Para los demás campos, ingrese los detalles pertinentes.
  • Se creará un archivo de almacén de claves con el nombre <keystore_filename> en la misma carpeta, con el par de claves generado.

 

3.2 Crear una solicitud de firma de certificado (CSR) para presentarla a una autoridad de certificación para crear un certificado firmado con la clave pública generada en el paso anterior
  • Vaya a la carpeta <Password Manager Pro_Home>/jre/bin folder.
  • Ejecute el comando: "keytool -certreq -keyalg RSA -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore <keystore_filename>".
    Nota: El archivo <csr_filename> que elija debe tener la extensión .csr.
  • Se creará un archivo CSR con el nombre <csr_filename> en la misma carpeta.

 

3.3 Enviar la CSR a una autoridad de certificación (CA) para obtener un certificado firmado

Algunas de las CA más importantes son Verisign (http://verisign.com), Thawte (http://www.thawte.com), RapidSSL (http://www.rapidssl.com). Check their documentation / website for details on submitting the CSRs. Please note that Consulte su documentación / sitio web para obtener más información sobre el envío de CSR. Tenga en cuenta que se trata de un servicio de pago. Este proceso suele tardar unos días. Recibirá su certificado SSL firmado y el certificado de la CA como archivos .cer. Guarde ambos archivos en la carpeta <Password Manager Pro_Home>/jre/bin folder.

3.4 Importar el certificado firmado por la CA al servidor de Password Manager Pro
  • Vaya a la carpeta <Password Manager Pro_Home>/jre/bin folder utilizando el símbolo del sistema.
  • Si tiene un único archivo como paquete de certificados (p7b), ejecute el siguiente comando:

"keytool -import -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_bundle.p7b>"

Dónde,

  • <boundlessness> es el paquete de certificados obtenido de la CA, un archivo .p7b guardado en el paso anterior. Los archivos <privatekey_password>,<keystore_password> y <keystore_filename> son los utilizados en los pasos anteriores.
  • Si tiene 3 archivos, el raíz, el intermedio y los certificados reales en formato .cer entonces debe importar cada uno de ellos usando los siguientes comandos
    • "keytool -import -alias root -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <rooter>"
    • "keytool -import -alias inter -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <inter.cer>"
    • "keytool -import -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_cert.cer>"
  • Ahora, copie el archivo <keystore_filename> a la carpeta <Password Manager Pro_Home>/conf.

 

3.5 Configurar el servidor Password Manager Pro para que utilice el almacén de claves con su certificado SSL

Este es el paso final para generar certificados SSL firmados utilizando Keytool.

  • Vaya a la carpeta <Password Manager Pro_Home>/conf.
  • Abra el archivo server.xml.
  • Busque la entrada 'keystoreFile', cuyo valor por defecto será "conf/server.keystore". Cambie el valor a "conf/<keystore_filename>", donde <keystore_filename> es el archivo utilizado en los pasos anteriores.
  • A partir de la version 9700, la contraseña del almacén de claves está cifrada y no se puede actualizar directamente en el archivo server.xml. Para actualizar manualmente la contraseña del almacén de claves en el archivo .xml, desactive primero el cifrado cambiando el valor 'keystorePassEncrypted=true' a 'keystorePassEncrypted=false'.

 

Nota: Este paso sólo es aplicable si utiliza la versión 9700 o superior.

  • Establezca el valor de 'keystorePass' a "passtrix" o la contraseña que ingresó en el paso anterior al crear el almacén de claves.
  • Reinicie el servidor de Password Manager Pro y conéctese a través del navegador web. Si puede ver la consola de inicio de sesión de Password Manager Pro sin que aparezca una advertencia desde el navegador, usted ha instalado correctamente su certificado SSL en Password Manager Pro.

 

Nota: Tomcat, por defecto, sólo acepta el formato JKS (Java Key Store) y PKCS #12 keystores. En caso de que el almacén de claves tenga el formato PKCS #12, incluya la siguiente opción en el archivo server.xml junto con el nombre del almacén de claves, keystoreType="PKCS12? Esto indica a tomcat que el formato es PKCS12. Reinicie el servidor después de realizar este cambio.

4. Generar certificados SSL firmados instalando un certificado SSL existente compatible con wild card:
  • Vaya a la carpeta <Password Manager Pro_Home>/conf.
  • Abra el archivo server.xml.
  • Busque la entrada 'keystoreFile', cuyo valor por defecto será "conf/server.keystore". Cambie el valor a "conf/<keystore_filename>" donde <keystore_filename> pertenece al certificado wild card existente.
  • Busque también la entrada 'keystorePass' (que se encuentra junto a keystoreFile), cuyo valor por defecto será "passtrix". Cambie el valor a "<keystore_password>", donde <keystore_password> protege el almacén de claves del certificado wild card existente.
  • Reinicie el servidor de Password Manager Pro y conéctese a través de la consola del navegador web. Si puede ver la consola de inicio de sesión de Password Manager Pro sin que aparezca una advertencia desde el navegador, usted ha instalado correctamente su certificado SSL en Password Manager Pro.

 

Nota: Por favor, consulte la documentación de su CA para obtener más detalles e información para la resolución de problemas.

05. Cómo puedo generar un certificado SSL único para el servidor MySQL? (Pasos aplicables a partir de la compilación 6500)
 

Siga los pasos que se indican a continuación para generar un certificado SSL para MySQL Server. (Si desea tener una clave autofirmada, siga todos los pasos. Si está utilizando un certificado firmado por CA, omita los pasos 1, 2 y 5)

Paso 1 Crear la clave de autoridad de certificación

  • Abra el símbolo del sistema
  • Ejecute el comando openssl genrsa -out ca.key 1024
  • Esto creará una clave llamada ca.key

 

Paso 2 Crear el certificado de autoridad de certificación autofirmado Ejecute el comando openssl req -new -x509 -days 365 -key ca.key -out CAcert.pem

  • Ejecute el comando openssl req -new -x509 -days 365 -key ca.key -out CAcert.pem
  • Aquí ca.key es el archivo que creó en el paso 1
  • Esto creará un archivo llamado CAcert.pem

 

Paso 3 Generar la clave privada

  • Abra el símbolo del sistema
  • Ejecute el comando openssl genrsa -out ServerKey.key 1024
  • Esto creará un archivo llamado ServerKey.key

 

Paso 4 Generar la solicitud de certificado

  • Ejecute el comando openssl req -new -key ServerKey.key -out server.csr
  • Aquí, ServerKey.key es el archivo que creó en el paso 3
  • Esto creará un archivo llamado server.csr

 

Paso 5 Crear una solicitud de firma de certificado (CSR) para enviarla a una autoridad de certificación (realice este paso solo si está utilizando un certificado autofirmado. De lo contrario, continúe con el paso 6)

  • Ejecute el comando openssl x509 -req -days 365 -in server.csr -CA CAcert.pem -CAkey ca.key -set_serial 01 -out ServerCer.cer
  • Aquí, server.csr es el archivo que creó en el paso 4; CAcert.pem es el archivo que creó en el paso 2; CAcert.pem is the file created in Step 2; ca.key es el archivo que creó en el paso 1
  • Esto creará un archivo llamado ServerCer.cer

 

Paso 6 Generar el archivo .p12

  • Ejecute el comando openssl pkcs12 -export -in ServerCer.cer -inkey ServerKey.key -out PMPKeyStore.p12 -name pmp -CAfile CAcert.pem -caname pmp -chain
  • Aquí, ServerCer.cer es el archivo que creó en el paso 5. Si utiliza un certificado firmado por CA, ingrese el certificado SSL firmado con la extensión .cer aquí, ServerKey.key es el archivo que creó en el paso 3; CAcert.pem es el archivo que creó en el paso 2
  • Esto creará un archivo llamado PMPKeyStore.p12
  • Aquí, se le pedirá que ingrese la opción "Exportar contraseña". La contraseña que se especifica aquí se debe ingresar en el archivo de configuración de PMP en wrapper (en la instalación de Windows) y wrapper_lin.conf (en la instalación de Linux) como se explica a continuación.

  • Abra wrapper (en la instalación de Windows) y wrapper_lin.conf (en la instalación de Linux) y busque la siguiente línea:

    wrapper.java.additional.22=-Djavax.net.ssl.keyStorePassword=passtrix

    En la línea anterior, reemplace passtrix con la contraseña que ingresada.

 

Paso 7 Configurar el servidor de PMP para que utilice el almacén de claves con su certificado SSL

  • Al realizar los pasos anteriores, tendrá cuatro archivos: CAcert.pem, ServerKey.key, ServerCer.cer y PMPKeyStore.p12. Debe copiar y pegar estos archivos en el directorio <PMP-Installation-Folder>/conf

 

Paso 8 Importar el archivo CAcert.pem en PMP

  • Vaya al directorio <PMP-Installation-Folder>/bin y ejecute el siguiente comando:

En Windows: importcert.bat <ruta absoluta del archivo CAcert.pem creado en el paso 2>
En Linux: sh importcert.sh\bat <ruta absoluta del archivo CAcert.pem creado en el paso 2>

 

Paso 9 Poner estos archivos en MySQL

  • Debe copiar los siguientes tres archivos creados después del paso 6 y cambiarles el nombre como se indica a continuación:

CAcert.pem debe ser renombrado como ca-cert.pem
ServerKey.key debe ser renombrado como server-key.pem
ServerCer.cer debe ser renombrado como server-cert.pem

  • Luego, coloque los archivos renombrados en el directorio <PMP-Installation-Folder>/mysql/data.

Nota importante: Si tiene una configuración de alta disponibilidad, realice también los pasos 7, 8 y 9 en la instalación secundaria de PMP.

06. ¿Podemos crear certificados de servidor con nombre alternativo del sujeto (SAN)?
 

Sí, puede crear un certificado utilizando SAN con un nombre de alias y aplicarlo en Password Manager Pro. Siga estos pasos:

1. Crear una CSR utilizando el módulo de gestión de certificados SSL de Password Manager Pro, y enviarla a cualquier CA para su firma
1.1 Crear una solicitud de firma de certificado (CSR)
  • Inicie sesión en Password Manager Pro como administrador.
  • Vaya a Certificados >> Crear CSR.
  • Haga clic en el botón "Crear".
  • Ingrese aquí un nombre para su certificado.
  • El nombre alternativo del sujeto (SAN) se completará automáticamente cuando haga clic en él después de proporcionar el nombre común. Puede incluir SAN adicionales en el campo de texto.
  • Proporcione el resto de detalles, incluidos los datos de su organización, ubicación, validez y una contraseña.
  • Haga clic en "Crear".
  • Una vez hecho esto, encontrará la opción de exportar el certificado y la clave privada, o enviar la CSR a una dirección de correo electrónico que especifique.

 

1.2 Enviar la CSR a una autoridad de certificación (CA) para obtener un certificado CA firmado

Después de crear la CSR, el siguiente paso es hacer que la CSR sea verificada y firmada por una CA. Hay dos opciones para hacerlo:

  • Puede exportar el archivo CSR y enviarlo manualmente a una CA externa para que lo firme.
  • Firmar y emitir certificados a todos los clientes de su red, ya sea desde su autoridad de certificación de Microsoft o utilizando un certificado CA raíz personalizado que sea de confianza dentro de su entorno. Para ello, vaya a Certificados >> Crear CSR, seleccione un certificado y haga clic en "Firmar". Consulte este documento para obtener más detalles sobre la firma de certificados.

Una vez firmado, puede ver el certificado en "Certificados".

1.3 Importar el certificado firmado por la CA al servidor de Password Manager Pro

Para importar los certificados en su red:

  • Vaya a la sección "Certificados".
  • Haga clic en "Agregar".
  • Seleccione la opción necesaria:
    • Certificado basado en archivo – Busque e importe el archivo de certificado necesario directamente desde su sistema.
    • Certificado basado en contenido – Copie el contenido del archivo de certificado necesario y péguelo en el cuadro de texto.
    • Basado en almacén de claves – Importe simultáneamente todos los certificados individuales disponibles en el almacén de claves. Cargue el archivo de almacén de claves necesario e ingrese su contraseña correspondiente (si la hubiera).
  • Haga clic en el botón "Agregar".
2. Crear un certificado con SAN utilizando la CA interna de Microsoft

Asegúrese de seguir los pasos mencionados a continuación para crear un certificado de servidor con nombre alternativo del sujeto utilizando la CA interna de Microsoft. Además, en Atributos adicionales, especifique 'san:dns=<The URL which you use to access Password Manager Pro>', y luego intente crear el certificado.

  • Conéctese al servidor donde se ejecuta el servicio de certificación de Microsoft.
  • Abra un símbolo del sistema y ejecute certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
  • A continuación, reinicie el servicio de certificación de Microsoft (certsvc).
    Cree la clave privada mediante el siguiente comando,"./keytool -genkey -alias Password Manager Pro -keyalg RSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -sigalg SHA256withRSA -keysize 2048 -keystore <keystore_filename>"
  • Aquí, cuando se le pida el nombre y apellido, especifique el nombre que utiliza para acceder a Password Manager Pro.
  • Cree la solicitud de firma de certificado (CSR) utilizando el siguiente comando: 'keytool -certreq -keyalg RSA -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore Password Manager Pro.keystore'
    • Envíe la solicitud de CSR a la CA interna de Microsoft
    • Abra IE y vaya a la página de solicitud de certificados de su CA.
    • Solicite un certificado avanzado.
    • Envíe una solicitud de certificado.
    • Copie y pegue el contenido del archivo <csr_filename>.cer file.
    • La plantilla del certificado debe ser Servidor web.
    • En "Additional Attributes", enter 'san:dns=passwordmanager&dns=passwordmanager.tcu.ad.local' y haga clic en "Enviar".
    • Descargue la cadena de certificados en formato base64 como Password Manager Procert.p7b.
  • Importe el archivo "Password Manager Procert.p7b" descargado en Password Manager Pro.keystore "keytool -import -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -keystore Password Manager Pro.keystore -trustcacerts -file Password Manager Procert.p7b"

  • Nota : Si recibe el mensaje de error "No se ha podido establecer la cadena a partir de la respuesta" con el comando anterior, significa que los certificados raíz e intermedio de su CA no están disponibles en el almacén de confianza de Password Manager Pro. Por lo tanto, antes de importar el certificado real, tiene que importar el certificado raíz con un alias diferente y luego importar el certificado real. Además, si usted tiene múltiples certificados raíz, entonces tiene que importarlos uno por uno con los diferentes nombres de alias. Por ejemplo,

    ./keytool -import -alias root1 -keypass Password123 -storepass Password123 -keystore Password Manager Pro.keystore -trustcacerts -file root1.cer

    ./keytool -import -alias root2 -keypass Password123 -storepass Password123 -keystore Password Manager Pro.keystore -trustcacerts -file root2.cer

    Dependiendo del número de certificados raíz o raíz intermedio, deberá ejecutar el comando anterior con diferentes nombres de alias y, a continuación, proceder con el certificado real.

    Nota : El certificado real debe estar en formato .cer o .crt.

  • Aplicar el almacén de claves y certificados en Password Manager Pro.
    • Inicie sesión en Password Manager Pro como administrador.
    • Vaya a Admin >> Configuración >> Servidor de Password Manager Pro.
    • Seleccione PKCS12 como el tipo de almacén de claves.
    • Haga clic en "Examinar" y busque su archivo PFX/P12.
    • Ingrese la contraseña correcta del almacén de claves y guarde la configuración.
    • Reinicie el servicio Password Manager Pro para que el cambio de certificado surta efecto.
3. Crear un certificado SAN firmado por terceras partes como GoDaddy, Verisign, Commodo, etc.

Asegúrese de seguir los pasos que se indican a continuación para obtener el certificado SAN firmado por terceros.

  • Cree la clave privada mediante el siguiente comando, './keytool -genkey -alias Password Manager Pro -keyalg RSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -sigalg SHA256withRSA -keysize 2048 -keystore <keystore_filename>"'

  • Aquí, cuando se le pida el nombre y apellido, especifique el nombre que utiliza para acceder a Password Manager Pro.

  • Cree la solicitud de firma de certificado (CSR) utilizando el siguiente comando: 'keytool -certreq -keyalg RSA -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore Password Manager Pro.keystore'
  • Envíe la solicitud de CSR a la herramienta de firma de terceros y asegúrese de obtener el certificado firmado utilizando el nombre SAN. Descargue la cadena de certificados en formato base64 como Password Manager Procert.p7b
  • Importe el archivo "Password Manager Procert.p7b" en Password Manager Pro.keystore keytool -import -alias Password Manager Pro -keypass <privatekey_password> -storepass <keystore_password> -keystore Password Manager Pro.keystore -trustcacerts -file Password Manager Procert.p7b

  • Nota: Si recibe el mensaje de error "No se ha podido establecer la cadena a partir de la respuesta" con el comando anterior. Entonces, los certificados raíz e intermedio de su CA no están disponibles en el almacén de confianza de Password Manager Pro. Por lo tanto, antes de importar el certificado real, tiene que importar el certificado raíz con un alias diferente y luego importar el certificado real. Además, si usted tiene múltiples certificados raíz, entonces tiene que importarlos uno por uno con los diferentes nombres de alias. Por ejemplo,

    ./keytool -import -alias root1 -keypass Password123 -storepass Password123 -keystore Password Manager Pro.keystore -trustcacerts -file root1.cer

    ./keytool -import -alias root2 -keypass Password123 -storepass Password123 -keystore Password Manager Pro.keystore -trustcacerts -file root2.cer

    Dependiendo del número de certificados raíz o raíz intermedio, deberá ejecutar el comando anterior con diferentes nombres de alias y, a continuación, proceder con el certificado real.

  • Aplicar el almacén de claves y certificados en Password Manager Pro.
    • Inicie sesión en Password Manager Pro como administrador.
    • Vaya a Admin >> Configuración >> Servidor de Password Manager Pro.
    • Seleccione PKCS12 como el tipo de almacén de claves.
    • Haga clic en "Examinar" y busque su archivo PFX/P12.
    • Ingrese la contraseña correcta del almacén de claves y guarde la configuración.
    • Reinicie el servicio Password Manager Pro para que el cambio de certificado surta efecto.

Sincronización de contraseñas

01. ¿Puedo cambiar las contraseñas de los recursos desde la consola de Password Manager Pro?
 

Sí. Password Manager Pro puede restablecer las contraseñas de varios endpoints de forma remota. Password Manager Pro admite los cambios de contraseñas con y sin agente. Consulte este documento para obtener más información.

02. ¿Cuándo utilizar los modos con agente y sin agente para la sincronización de contraseñas?
 

Veamos primero los requisitos para ambos modos:

  • El modo con agente requiere que el agente se instale como un servicio en cada endpoint y se ejecute con privilegios administrativos para realizar las operaciones de restablecimiento de contraseña. El agente utiliza la comunicación unidireccional mediante tráfico saliente para llegar al servidor de Password Manager Pro.
  • Para el modo sin agente, debe proporcionar credenciales administrativas para realizar los cambios de contraseña. Para Linux, debe especificar dos cuentas, una con privilegios de root y la otra con privilegios de usuario normal, que se pueden utilizar para iniciar sesión de forma remota. El servicio Telnet o SSH debe estar ejecutándose en los recursos. Para el dominio Windows, debe proporcionar las credenciales del administrador de dominio. Para Windows y el dominio Windows, Password Manager Pro utiliza llamadas remotas, por lo que los puertos relevantes deben estar abiertos en el recurso.

En base a esto, puede elegir qué modo desea para su entorno, teniendo en cuenta estos consejos:

Elija el modo con agente cuando:

  • No tiene credenciales administrativas almacenadas para un recurso en particular en Password Manager Pro,
  • No tiene los servicios requeridos ejecutándose en el recurso (Telnet / SSH para Linux, RPC para Windows),
  • Usted ejecuta Password Manager Pro en Linux y desea realizar cambios de contraseña en un recurso de Windows.

Elija el modo sin agente en todos los demás casos, ya que es una forma más cómoda y fiable de realizar cambios de contraseña.

03. ¿Puedo habilitar el restablecimiento de contraseña sin agente si añado mi propio tipo de recurso para otras distribuciones de Linux / otras versiones de Windows?
 

Sí puede. Siempre que la etiqueta de tipo de recurso contenga la cadena "Linux" o "Windows", podrá configurar el restablecimiento de contraseña sin agente para esos recursos.

Ejemplo de etiquetas de tipo de recurso válidas para habilitar el restablecimiento de contraseña:

Debian Linux, Linux - Cent OS, SuSE Linux, Windows XP Workstation, Windows 2003 Server

04. ¿Existe una manera de sincronizar las contraseñas de forma remota para los tipos de recursos personalizados que se incluyen out-of-the-box en Password Manager Pro?
 

Password Manager Pro admite el restablecimiento de contraseñas remoto para los recursos personalizados a través de conjuntos de comandos SSH, plugins de restablecimiento de contraseñas y oyentes de restablecimiento de contraseñas.

  • Conjuntos de comandos SSH: Para los dispositivos basados en SSH, puede crear ejecutables basados en comandos directamente desde Password Manager Pro utilizando un conjunto de comandos SSH predeterminados o personalizados. Estos conjuntos de comandos se pueden asociar con las respectivas cuentas de dispositivos SSH que no se incluyen out-of-the-box en Password Manager Pro para restablecer la contraseña sin necesidad de una CLI.
  • Plugin de restablecimiento de contraseña: Puede construir su propia clase de implementación y ejecutarla a través de Password Manager Pro para aplicar restablecimientos de contraseña automáticos para los recursos personalizados. Con el plugin, también puede aprovechar el control de acceso para cuentas heredadas y restablecer las contraseñas automáticamente una vez terminen de usarse. De esta forma, las contraseñas de estas cuentas servirán como contraseñas de un solo uso que se restablecen después de cada uso a través del plugin asociado.
  • Oyentes de restablecimiento de contraseñas: Los oyentes son scripts personalizados o ejecutables que se pueden invocar para cambios de contraseña locales, así como para restablecer las contraseñas de los recursos personalizados para los cuales el restablecimiento de contraseñas remoto no es compatible con Password Manager Pro. Puede configurar los scripts de escucha individualmente para cada tipo de recurso incluyendo los personalizados.
05. ¿Cómo puedo solucionar el problema de que no se restablece la contraseña?
 

En el modo con agente:

  • Compruebe si el agente se está ejecutando buscando entre la lista de procesos activos de Windows la entrada "Password Manager ProAgent.exe" o un proceso llamado "Password Manager ProAgent" en Linux.
  • Compruebe si la cuenta en la que está instalado el agente tiene privilegios suficientes para realizar cambios de contraseña.

En el modo sin agente:

  • Compruebe si se ha proporcionado el conjunto correcto de credenciales administrativas y la opción de sincronización remota está activada.
  • Compruebe si los servicios necesarios se están ejecutando en el recurso (Telnet / SSH para Linux, RPC para Windows).
  • Compruebe si se puede acceder al recurso desde el servidor de Password Manager Pro utilizando el nombre DNS proporcionado.
06. ¿Cómo puedo restablecer las contraseñas de dominio si el restablecimiento de contraseñas de dominio de Windows falla mostrando un mensaje de error: "El mecanismo de autenticación es desconocido"?
 

Esto ocurre cuando Password Manager Pro se ejecuta como un servicio de Windows y la propiedad "Iniciar sesión como" del servicio se configura como la cuenta local del sistema. Cámbiela por cualquier cuenta de usuario de dominio para poder restablecer las contraseñas de dominio. Siga estas instrucciones para realizar ese ajuste:

  • Vaya al applet Servicios de Windows (desde Panel de control --> Herramientas administrativas --> Servicios)
  • Seleccione el servicio "ManageEngine Password Manager Pro", haga clic derecho --> seleccione "Propiedades".
  • Haga clic en la pestaña "Iniciar sesión" y seleccione la opción "Esta cuenta" e ingrese el nombre de usuario y la contraseña de cualquier usuario del dominio, en el formato \.
  • Guarde la configuración y reinicie el servidor.
07. ¿Cuáles son los requisitos previos para habilitar el restablecimiento de cuentas de servicio de Windows?
 

Antes de habilitar el restablecimiento de cuentas de servicio de Windows, asegúrese de que los siguientes servicios están habilitados en los servidores donde se ejecutan los servicios dependientes:

  • El servicio RPC de Windows debe estar habilitado.
  • El servicio Windows Management Instrumentation (WMI) debe estar habilitado.
08. ¿El SSO de dominio funciona a través de firewalls/ VPN?
 

El inicio de sesión único en el dominio (autenticación integrada en Windows) se habilita en el entorno Windows estableciendo parámetros no estándar en la cabecera HTTP, que suelen ser eliminados por dispositivos como firewalls/ VPN. Password Manager Pro está diseñado para usarse dentro de la red. Por lo tanto, si tiene usuarios que se conectan desde fuera de la red, no puede tener el SSO habilitado.

Respaldo y recuperación ante desastres

01. ¿Puedo mover Password Manager Pro de un servidor a otro?
 

Sí. Puede migrar Password Manager Pro a otro servidor siguiendo estos pasos:

  • Detenga el servicio Password Manager Pro y salga del icono de la bandeja.
  • Asegúrese de que el proceso Postgres no se está ejecutando en el administrador de tareas.
  • Copie y mueva todo el directorio de Password Manager Pro al nuevo servidor.
  • Abra el símbolo del sistema con derechos de administrador y vaya al directorio <Password Manager Pro HOME>\bin directory. Ejecute el comando Password Manager Pro.bat install. (Esto instalará el servicio Password Manager Pro.)
  • Mueva la clave de cifrado (Password Manager Pro_key.key) al nuevo servidor y especifique la ubicación correcta de la misma en el archivo Haga clic aquí para obtener más información sobre la clave de cifrado.
  • Vaya a la consola de servicios, proporcione una cuenta de servicio e inicie el servicio Password Manager Pro.
  • Si desea el icono de la bandeja, vaya a <Password Manager Pro HOME>, haga clic derecho en Password Manager Pro.exe y seleccione "Ejecutar como administrador". Ahora debería poder acceder a la página web de Password Manager Pro utilizando el nuevo nombre del servidor en la URL.
02. ¿Puedo configurar la recuperación ante desastres para la base de datos de Password Manager Pro?
 

Sí puede. Password Manager Pro puede realizar copias de seguridad periódicas de todo el contenido de la base de datos, que se pueden configurar a través de la consola de Password Manager Pro. Consulte este documento para obtener más detalles.

03. ¿Dónde se almacenan los datos de la copia de seguridad? ¿Están cifrados?
 

Todos los datos confidenciales del archivo de copia de seguridad se almacenan de forma cifrada en un archivo .zip en el directorio <Password Manager Pro_Install_Directory/backUp>. Se recomienda realizar una copia de seguridad de este archivo en su almacenamiento secundario seguro para la recuperación ante desastres.

Gestión de certificados SSL

01. ¿Cuál es la política de licencia de Password Manager Pro?
 

Hay tres versiones de Password Manager Pro

Versión de evaluación - La versión de evaluación le permite tener dos administradores durante 30 días. Puede gestionar recursos ilimitados y evaluar todas las funciones de la versión Enterprise Edition. También puede obtener asistencia técnica gratuita durante este período.

Versión gratuita - La opción de descarga siempre es válida para esta versión. Sólo admite un administrador. Puede gestionar un máximo de 10 recursos y acceder a todas las funcionalidades de la versión Standard Edition.

Versión registrada - Usted necesita comprar una licencia basada en el número de administradores requeridos y el tipo de versión, es decir Standard/Premium/Enterprise:

  • Standard - Si necesita tener un repositorio de contraseñas seguro para almacenar sus contraseñas y compartirlas selectivamente entre los usuarios empresariales, la versión Standard Edition es ideal.
  • Premium - Además de almacenar y compartir sus contraseñas, si desea tener funciones de gestión de contraseñas de clase empresarial, como sincronización remota de contraseñas, alertas y notificaciones de contraseñas, gestión de contraseñas de aplicación a aplicación, informes, alta disponibilidad y otros, la versión Premium Edition sería la mejor opción.
  • Enterprise Edition - Si necesita más funciones de clase empresarial, tales como el descubrimiento automático de cuentas privilegiadas, la integración con los sistemas de tickets y soluciones SIEM, la configuración del servidor de salto, los informes de cumplimiento out-of-the-box, y el servidor SQL / clúster como base de datos backend, la versión Enterprise Edition es ideal para usted.

Nota: Password Manager Pro viene con cinco roles de usuario - Administrador, Administrador de contraseñas, Administrador privilegiado, Auditor de contraseñas y Usuario de contraseñas. El término "administrador" denota Administradores, Administradores de contraseñas y Administradores privilegiados. Por lo tanto, la concesión de licencias restringe el número de administradores en su conjunto, que incluye a los Administradores, Administradores de contraseñas y Administradores privilegiados. No hay restricción en el número de Usuarios de contraseñas y Auditores de contraseñas. Para obtener más detalles sobre los cinco roles de usuario, consulte esta sección de nuestra documentación de ayuda.

Consulte la siguiente tabla de comparación de funciones para tener más claridad:

Standard Edition
Premium Edition
Enterprise Edition
02. ¿Puedo comprar una licencia permanente para Password Manager Pro? ¿Cuáles son las opciones disponibles?
 

Aunque Password Manager Pro sigue un modelo de suscripción anual para la fijación de precios, también ofrecemos la opción de licencia perpetua. La licencia perpetua costará tres veces el precio de suscripción anual, con un 20% de AMS a partir del segundo año. Póngase en contacto con sales@manageengine.com y support@passwordmanagerpro.com para obtener más información.

03. Quiero tener un entorno de alta disponibilidad con varios servidores. ¿Será suficiente una sola licencia?
 

Sí, si adquiere una única licencia Premium o Enterprise Edition, tendrá derecho a disponer de un entorno de alta disponibilidad. Puede aplicar la misma licencia tanto en el servidor primario como en el secundario. Siga estos pasos:

  • Detenga el servicio de PMP en el servidor primario.
  • Inicie sesión en PMP utilizando la URL del servidor secundario como Administrador.
  • Pulse Licencia en el menú Usuario en la esquina superior derecha de la consola.
  • Actualice el mismo archivo de licencia que aplicó para el servidor primario.
04. ¿Password Manager Pro puede admitir más de 1000 administradores?
 

Sí, por supuesto. Si desea una licencia con más de 1000 usuarios administradores, póngase en contacto con sales@manageengine.com and support@passwordmanagerpro.com para obtener más información.

05. ¿Puedo ampliar mi evaluación para incluir a más usuarios administradores o durante más días?
 

Sí. Llene los detalles requeridos en el sitio web y le enviaremos las claves de licencia.

06. ¿Tengo que volver a instalar Password Manager Pro al pasar a las versiones Premium o Enterprise?
 

No. Todas las funciones de la versión Enterprise/Premium Edition se activarán automáticamente cuando aplique la licencia correspondiente en su instalación actual de Password Manager Pro.

Gestión de claves SSH

01. ¿Hay alguna diferencia en la forma de gestionar las cuentas de usuario SSH y las cuentas de servicio SSH utilizando Password Manager Pro?
 

No. Password Manager Pro adopta el mismo enfoque para la gestión de cuentas de usuario SSH y cuentas de servicio SSH. La única diferencia es que durante el descubrimiento del recurso, si se proporcionan las credenciales de la cuenta de servicio / raíz para establecer la conexión con el recurso, se adquieren privilegios ampliados para importar y gestionar las claves de todas las cuentas de usuario del recurso.

Mientras que, si la conexión con el recurso se establece utilizando credenciales de cuenta de usuario, se obtienen privilegios de gestión de claves sólo para las claves SSH presentes en esa cuenta en particular.

02. ¿Hay alguna forma de ver las claves SSH que no se han rotado?
 

Sí. Disponemos de un dashboard que muestra el número de claves que no se han rotado durante el periodo de tiempo predefinido especificado en la política de notificación.

03. ¿Password Manager Pro permite gestionar claves digitales que no sean claves SSH y certificados SSL?
 

Password Manager Pro aloja una bóveda de claves llamada "almacén de claves" que facilita el almacenamiento y la gestión de cualquier tipo de clave digital. Sin embargo, la opción de descubrimiento e importación se limita sólo a las claves SSH y certificados SSL, y no está disponible para otros tipos de claves digitales.

Gestión de certificados SSL

01. ¿Hay algún tipo de certificado con el que Password Manager Pro sea incompatible?
 

No. Password Manager Pro admite todos los tipos de certificados X.509.

02. ¿Es posible identificar y actualizar automáticamente la última versión de los certificados en el repositorio de certificados de Password Manager Pro?
 

Sí. Puede crear tareas programadas para realizar el descubrimiento de certificados automáticamente a través del cual puede importar y reemplazar certificados antiguos de los sistemas de destino con sus versiones actualizadas en el repositorio de certificados de Password Manager Pro. Haga clic aquí para obtener una explicación detallada sobre cómo crear programaciones.

03. ¿La versión Linux de Password Manager Pro admite la detección de certificados de Active Directory y MS Certificate Store?
 

No, no lo hace. Las pestañas "Certificado de usuario de AD" y "MS Certificate Store" sólo aparecen en la versión Windows de Password Manager Pro.

04. ¿Es posible supervisar la caducidad de los certificados con el mismo nombre común en el repositorio de certificados de Password Manager Pro?
 

Password Manager Pro diferencia los certificados por sus nombres comunes y registra los certificados con los mismos nombres comunes como una única entrada en su repositorio de certificados. Lo hemos diseñado así porque las licencias de Password Manager Pro se basan en el número de certificados y no queremos que los clientes gasten muchas claves de licencia para el mismo certificado.

Sin embargo, si necesita gestionar ambos certificados por separado, puede hacerlo listándolos como entradas separadas en el repositorio de certificados de Password Manager Pro. Una vez en la lista, el certificado recién añadido se tendrá en cuenta para la concesión de licencias.

Para añadir un certificado con el mismo nombre común como una entrada separada en el repositorio de certificados,

  • Vaya a la pestaña Certificados y haga clic en Certificados, luego haga clic en el icono Historial de certificados junto al certificado.
  • Haga clic en el icono 'Ajustes de certificados' situado junto a la versión deseada del certificado y haga clic en 'Gestionar certificado'.
  • La versión seleccionada aparecerá como un certificado independiente en el repositorio de certificados.
  • Si sólo desea gestionar una versión del certificado, haga clic en el icono 'Ajustes de certificados' situado junto a la versión deseada y seleccione la opción 'Establecer como certificado actual'.
05. ¿Cómo puedo importar la clave privada de un certificado?
 

Siga estos pasos para importar la clave privada de un certificado a Password Manager Pro.

  • Vaya a la pestaña Certificados y haga clic en Certificados.
  • Seleccione el certificado para el que necesita importar la clave privada.
  • Haga clic en la opción Importar claves del menú desplegable Más en la parte superior.

Busque el archivo que contiene la clave privada, ingrese la contraseña del almacén de claves y haga clic en "Importar". La clave privada se importará y se adjuntará al certificado seleccionado.

06. ¿Cómo puedo implementar un certificado en el almacén de certificados y asignarlo a la aplicación que utiliza el certificado?
 

Password Manager Pro facilita la implementación de certificados a través de la cual puede implementar certificados desde su repositorio al almacén de certificados de Microsoft del servidor de destino.

Haga clic aquí para obtener una explicación paso a paso sobre la implementación de certificados.

Para asignar el certificado a su aplicación correspondiente, debe reiniciar manualmente el servidor en el que se ejecuta la aplicación para que el cambio surta efecto.

07. ¿Password Manager Pro admite el descubrimiento de certificados basado en subred?
 

No. Password Manager Pro actualmente no admite el descubrimiento de certificados SSL basado en subred.

08. ¿Password Manager Pro admite la programación automática para la detección de certificados de MS Certificate Store?
 

No. Actualmente, Password Manager Pro no admite la programación automática para la detección de certificados de MS Certificate Store.

09. ¿Los correos electrónicos de alerta relacionados con certificados se generan para todas las versiones de un certificado (las que se muestran también en el "Historial de certificados") o sólo para los certificados que aparecen en el repositorio de certrd Manager Pro?
 

Las notificaciones por correo electrónico se generan SÓLO para los certificados que figuran en el repositorio de certificados de Password Manager Pro y NO para las diferentes versiones de un certificado que se muestran en la sección "Historial de certificados".

10. ¿Los certificados emitidos por la autoridad de certificación (AC) interna de la empresa se tienen en cuenta para la concesión de licencias?
 

Sí. Todos los tipos de certificados SSL, claves SSH y cualquier otra clave digital gestionada con Password Manager Pro se tienen en cuenta para la concesión de licencias. Hay un widget del dashboard llamado "Detalles de licencia" que proporciona información sobre el tipo y el número de identidades digitales que se gestionan mediante Password Manager Pro que se tendrán en cuenta para la concesión de licencias.

Elimine los riesgos de seguridad que supone la codificación de las credenciales de aplicaciones.

¡DESCARGUE PASSWORD MANAGER PRO HOY MISMO!

Password Manager Pro - Un software de gestión de contraseñas empresariales utilizado por