Saltar al contenido principal

Instalación de un certificado de servidor de confianza firmado externamente del XClarity Orchestrator

Puede optar por utilizar un certificado de servidor de confianza firmado por una entidad de certificación (CA) privada o comercial. Para utilizar el certificado de servidor firmado externamente, debe generar una solicitud de firma de certificado (CSR) e importar el certificado de servidor resultante para sustituir el certificado de servidor existente.

Acerca de esta tarea

Como práctica recomendada, utilice siempre los certificados firmados v3.

El certificado de servidor firmado externamente se debe haber creado a partir de la solicitud de firma de certificado generada más recientemente con el botón Generar archivo CSR.

El contenido del certificado de servidor firmado externamente debe ser un conjunto de certificados que contiene toda la cadena de firma de la CA, incluido el certificado raíz de la CA, todos los certificados intermedios y el certificado de servidor.

Si el nuevo certificado de servidor no fue firmado por un tercero de confianza, la próxima vez que conecte a XClarity Orchestrator, el navegador web mostrará un mensaje de seguridad y un cuadro de diálogo que le pide que acepte el nuevo certificado en el navegador. Para evitar los mensajes de seguridad, puede importar el certificado de servidor en la lista de certificados de confianza del navegador web (consulte Importación del certificado de servidor en un navegador web).

XClarity Orchestrator comienza a utilizar el nuevo certificado de servidor sin finalizar la sesión actual. Las nuevas sesiones se establecen utilizando el nuevo certificado. Para usar el nuevo certificado en uso, reinicie el navegador web.

Importante
Cuando se modifica el certificado de servidor, todas las sesiones de usuario establecidas deben aceptar el nuevo certificado pulsando Ctrl + F5 para actualizar el navegador web y volver a establecer su conexión con XClarity Orchestrator.

Procedimiento

Para generar e instalar un certificado de servidor firmado externamente, complete los pasos siguientes.

  1. Cree una solicitud de firma de certificado y guarde el archivo en el sistema local.
    1. En la barra de menús de XClarity Orchestrator, haga clic en Administración (Icono de Administración) > Seguridad y, a continuación, haga clic en Certificado de servidor en el panel de navegación izquierdo para mostrar la tarjeta de Generar solicitud de firma de certificado.
      Tarjeta Generar solicitud de firma de certificado (CSR)
    2. Desde la tarjeta Generar solicitud de firma de certificado (CSR), complete los campos para la solicitud.
      • Código ISO 3166 de dos letras del país o región de origen asociado a la organización de certificados (por ejemplo, US para Estados Unidos).
      • Nombre completo del estado o provincia que se va a asociar con el certificado (por ejemplo, California o New Brunswick).
      • Nombre completo de la ciudad que se va a asociar con el certificado (por ejemplo, San Jose). La longitud del valor no puede sobrepasar de 50 caracteres.
      • Organización (compañía) que es propietaria del certificado. Normalmente, este es el nombre de incorporación legal de una compañía. Debe incluir cualquier sufijo, como Ltd., Inc. o Corp (por ejemplo, ACME International Ltd.). La longitud de este valor no puede sobrepasar de 60 caracteres.
      • (Opcional) Unidad organizativa que es propietaria del certificado (por ejemplo, división ABC). La longitud de este valor no puede sobrepasar de 60 caracteres.
      • Nombre común del propietario del certificado. Este debe ser el nombre de host del servidor que está utilizando el certificado. La longitud de este valor no puede sobrepasar de 63 caracteres.
      • (Opcional) Nombres alternativos de asunto que se añaden a la extensión X.509 “subjectAltName” cuando se genera el CSR.

        De forma predeterminada, XClarity Orchestrator define automáticamente los nombres alternativos de asunto para CSR según la dirección IP y el nombre de host que se detectó mediante las interfaces de red del sistema operativo invitado de XClarity Orchestrator. Puede personalizar, eliminar o agregar a estos valores de nombre alternativos de asunto. Sin embargo, los nombres alternativos del asunto deben tener el nombre de dominio totalmente cualificado (FQDN) o la dirección IP del servidor, así como el nombre del asunto debe configurarse en el FQDN.

        El nombre que especifique debe ser válido para el tipo seleccionado.
        • DNS (utilice el FQDN, por ejemplo, hostname.labs.company.com)
        • Dirección IP (por ejemplo, 192.0.2.0)
        • Correo electrónico (por ejemplo, example@company.com)
        Nota
        Todos los nombres alternativos de asunto que se enumeran en la tabla se validan, guardan y añaden a CSR solo después de que genere CSR en el paso siguiente.
  2. Proporcione una entidad emisora de certificación de confianza (CA) para CSR. La CA firma el CSR y arroja un certificado de servidor.
  3. Importe el certificado de servidor firmado externamente y el certificado de la CA a XClarity Orchestrator y sustituya el certificado de servidor actual.
    1. En la tarjeta generar solicitud de firma de certificado (CSR) , haga clic en Importar certificado para mostrar el cuadro de diálogo Importar certificado.
    2. Copie y pegue el certificado de servidor y el certificado de la CA en formato PEM. Debe proporcionar toda la cadena de certificados, comenzando con el certificado de servidor y terminando en el certificado de CA raíz.
    3. Haga clic en Importar para almacenar el certificado de servidor en el almacén de confianza de XClarity Orchestrator.
  4. Acepte el nuevo certificado pulsando Ctrl+F5 para actualizar el navegador y luego vuelva a establecer la conexión con la interfaz web. Esto debe ser realizado por todas las sesiones de usuario establecidas.