# Asegurar la comunicación usando certificados de terceros

Toda empresa necesita cifrar los datos que atraviesan internet. Las empresas han ido un paso más allá de simplemente usar métodos de comunicación seguros para transmitir datos corporativos, al adquirir certificados específicos de terceros como SSL. Estos certificados de terceros garantizan que los datos corporativos se cifren de tal manera que solo el destinatario que posee el certificado pueda descifrarlos. Central Server admite el uso de certificados SSL que vienen en diferentes tipos de archivo, como PFX, CER, CRT. Agregar estos certificados asegurará la comunicación entre el Central Server, las computadoras administradas y los dispositivos móviles.

> Este certificado es válido por un período específico. Si el certificado expira, la comunicación entre el agente y el Server dejará de ser segura. **No podrá administrar ningún dispositivo móvil hasta que renueve los certificados y los cargue en el Central Server.**

**Nota**: La comunicación en curso entre los agentes y el Server no se verá interrumpida cuando cargue un certificado SSL de terceros. Los proveedores de certificados confiables de terceros tienen certificados raíz preinstalados en los sistemas operativos. Estos certificados raíz serán utilizados por la máquina del agente para establecer una conexión segura con el Server una vez que importe el certificado de terceros. Como resultado, la comunicación existente continuará sin interrupciones y estará aún más protegida mediante el certificado de terceros.

Siga los pasos que se mencionan a continuación para crear/renovar y cargar certificados de terceros:

1. [Crear archivos CSR y Key](#1-crear-archivos-csr-y-key)
2. [Enviar el CSR a una Autoridad de Certificación (CA) para obtener un certificado firmado por la CA](#2-enviar-el-csr-a-una-autoridad-de-certificación-ca-para-obtener-un-certificado-firmado-por-la-ca)
3. [Cargar los certificados de terceros en Central Server](#3-cargar-los-certificados-de-terceros-en-central-server)

## 1. Crear archivos CSR y Key

Para la versión Central Server **11.1.2242.01** y superiores,

1. Se recomienda realizar una copia de seguridad de sus archivos existentes Server.key y Server.csr antes de iniciar este proceso. Estos archivos se sobrescribirán durante este proceso.
   - Navegue a `<Server_Installed_Directory>/nginx/conf` para el archivo Server.key.
   - Navegue a `<Server_Installed_Directory>/bin` para el archivo Server.csr (si se generó anteriormente).
2. Navegue a `<Server_Installed_Directory>/bin` en el símbolo del sistema con privilegios de administrador y ejecute el archivo generateCSR.bat.
3. generateCSR.bat ejecuta dos operaciones:
   - Crear los archivos .csr y .key
   - Descifrar los archivos .key
4. Ingrese 1 para continuar con la generación de los archivos .csr y .key.
5. Ingrese el código de país consultando este [documento](https://www.digicert.com/kb/ssl-certificate-country-codes.htm). [Nota: vuelva a ejecutar el archivo por lotes si ingresó un código de país incorrecto]
6. Ingrese los detalles necesarios para generar el archivo .csr. [Estado, localidad, organización, unidad organizativa, nombre común, nombres alternativos del sujeto (separados por comas)]
7. Ha generado correctamente los archivos Server.csr y Server.key en `<Server_Installed_Directory>/bin`.

Para la versión Central Server **inferior a 11.1.2242.01**,

1. Navegue al directorio de instalación del Server y acceda a `\bin`.
2. Ejecute el comando **generateCSR.bat** usando el símbolo del sistema como administrador.
3. Ahora, en las indicaciones que se muestran, ingrese el código de país de dos letras junto a **countryName**. Consulte el código de país de dos letras de su país [aquí](https://www.digicert.com/kb/ssl-certificate-country-codes.htm).
4. Junto a **localityName**, ingrese el nombre de su localidad. Especifique el nombre de su organización junto a **organizationName**.
5. Ingrese el nombre de su sitio web o dominio junto a **commonName**. El FQDN del Server web (el nombre del host) que va a recibir el certificado es el **Nombre común**. No incluya los siguientes detalles al ingresar el Nombre común:  
   - protocolo (http:// o https://)  
   - números de puerto o nombres de ruta
6. Ingrese el Nombre alternativo del sujeto (SAN) de su sitio web. Debe presionar Enter dejando un espacio para finalizar la ejecución del comando.  

   Aquí tiene un ejemplo:  
   *.domain.com  
   manageengine.com  
   ems.com  
   desktopcentral.com  

7. Se crean archivos llamados **Server.csr** y **private.key** y se colocan en el directorio `\bin` del directorio de instalación del Server.
8. Navegue al directorio de instalación del Server y acceda a `\apache\bin`, cree un archivo llamado **opensslsan.conf** y copie el siguiente código en el archivo:

```
[ req ]
prompt=no
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
countryName =
stateOrProvinceName =
localityName =
organizationName =
commonName =
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 =
DNS.2 =
DNS.3 =
```

9. Ahora, en el código, ingrese el código de país de dos letras junto a **countryName**. Consulte el código de país de dos letras de su país [aquí](https://www.digicert.com/kb/ssl-certificate-country-codes.htm).
10. A continuación, ingrese el nombre completo de su estado o provincia junto a **stateOrProvinceName**.
11. Junto a **localityName**, ingrese el nombre de su localidad. Especifique el nombre de su organización junto a **organizationName**.
12. Ingrese el nombre de su sitio web o dominio junto a **commonName**. El FQDN del Server web (el nombre del host) que va a recibir el certificado es el **Nombre común**. No incluya:
    - protocolo (http:// o https://)  
    - números de puerto o nombres de ruta
13. Ingrese el **Nombre alternativo del sujeto (SAN)** junto a **DNS.1**, **DNS.2**, etc. Puede agregar más SAN añadiendo **DNS.4**, **DNS.5**, y así sucesivamente.

   **Ejemplo:**

```
[ req ]
prompt=no
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
countryName = IN
stateOrProvinceName = TN
localityName = Chennai
organizationName = Zylker
commonName = www.zylker.com
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.zylker-tech.com
DNS.2 = zylker-it.com
DNS.3 = zylkerteam.com
```

14. Guarde el archivo y navegue al directorio `\apache\bin` desde el símbolo del sistema.
15. Ejecute el comando:

```
openssl.exe req -out Server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf
```

16. Se crean archivos llamados **Server.csr** y **private.key** en `<Server_Installed_Directory>/bin` y en el directorio `\apache\bin`.
17. Para verificar los detalles, use el comando:

```
openssl.exe req -in Server.csr -noout -text -config ..\conf\openssl.cnf
```

**Nota:** No elimine el archivo private.key bajo ninguna circunstancia.

## 2. Enviar el CSR a una Autoridad de Certificación (CA) para obtener un certificado firmado por la CA

1. Envíe el archivo **Server.csr** creado a las CA. Revise su documentación o sitio web para obtener detalles sobre cómo enviar el CSR; esto implicará un costo que deberá pagarse a la CA.
2. Este proceso normalmente toma algunos días y se le devolverá su certificado SSL firmado y el certificado de cadena/intermedio de la CA como archivos .cer.
3. Guarde estos archivos y cambie el nombre de su archivo de certificado SSL firmado a **Server.crt**.

**Nota:**

- La validez del certificado debe ser inferior a 397 días.
- Solo se admiten claves RSA en Central Server.

## 3. Cargar los certificados de terceros en Central Server

1. Haga clic en la pestaña **Admin** en la consola del producto.
2. En **Security Settings**, haga clic en **Manage SSL Certificates**.
3. Busque para cargar el certificado que recibió del proveedor (CA). El certificado estará en formato **.crt** para SSL y en formato **.pfx** para certificados PFX.
   1. Si carga un archivo .crt, se le pedirá que cargue el archivo Server.key. Después de cargar el **private.key**, se le pedirá que cargue el certificado intermedio.  
      - Si elige **Automatic**, el certificado intermedio será detectado automáticamente.  
      - Cuando el certificado intermedio se detecta automáticamente, solo se detectará un certificado.  
      - Si desea usar su propio certificado intermedio o cargar más de uno, debe elegir **Manual** y cargarlos manualmente.
   2. Si elige cargar un archivo .pfx, se le pedirá que ingrese la contraseña proporcionada por el proveedor.
4. Haga clic en **Save** para importar el certificado.

**Nota:** Debe reiniciar el servicio de Central Server después de importar el certificado para que el Server web cargue el certificado recién importado.

Ha importado correctamente los certificados de terceros al Central Server. Estos certificados se utilizarán solo cuando el modo "HTTPS" esté habilitado para la comunicación. Haga clic en la pestaña **Admin** y elija **Server Settings** para habilitar el modo **https** en **General Settings**. Ahora puede ver que la comunicación entre el Server y los agentes es segura.

> Asegúrese de que el archivo pfx o el archivo .cert coincida con la dirección NAT especificada en el Central Server. Si Central Server y ServiceDesk Plus Server están instalados en la misma computadora, entonces funcionará el mismo archivo pfx. En el caso mencionado anteriormente, si ServiceDesk Plus Server se mueve a una computadora diferente, entonces el pfx debe modificarse para especificar el nombre de host apropiado.