Home » Documentación de ayuda » Usar certificados de terceros

Proteger la comunicación con certificados de terceros

Toda empresa debe cifrar los datos que circulan Internet. Las empresas han ido un paso más allá de simplemente utilizar métodos seguros de comunicación para transmitir datos corporativos, mediante la adquisición de certificados específicos de terceros como SSL. Estos certificados de terceros garantizan que los datos corporativos están cifrados de tal forma que solo el destinatario propietario del certificado pueda descifrarlos. Device Control Plus admite el uso de certificados SSL que viene en diferentes tipos de archivos como PFX, CER, CRT. Añadir estos certificados a Device Control Plus protegerá la comunicación entre el servidor de Device Control Plus y los equipos gestionados.

Este certificado es válido durante un plazo determinado. Si el certificado caduca, la comunicación entre el agente de Device Control Plus y el servidor dejará de ser segura. No podrá administrar ningún dispositivo móvil hasta que renueve los certificados y los cargue en el servidor Device Control Plus.

Nota: la comunicación continua entre los agentes y el servidor no se verá afectada al cargar un certificado SSL de terceros. Los proveedores de certificados de confianza de terceros tienen certificados raíz preinstalados en los sistemas operativos. El equipo del agente utilizará estos certificados raíz para establecer una conexión segura con el servidor una vez que importe el certificado de terceros. Como resultado, la comunicación existente continuará sin interrupciones y estará aún más protegida mediante el certificado de terceros.

Siga los pasos que se indican a continuación para crear/renovar y cargar certificados de terceros:

  1. Crear CSR y archivos de claves
  2. Enviar la CSR a una autoridad de certificación (CA) para obtener un certificado CA firmado
  3. Cargar los certificados de terceros en Device Control Plus

Crear CSR y archivos de claves

Para Device Control Plus versión 11.1.2242.01 y superiores:

  1. Se recomienda realizar una copia de seguridad de los archivos server.key y server.csr existentes antes de iniciar este proceso. Estos archivos se sobrescribirán durante el proceso.
    • Vaya a <Server_Installed_Directory&rt;/nginx/conf for server.key file.
    • Vaya a <Server_Installed_Directory&rt;/bin for server.csr file.(if any generated before)
  2. Vaya a <Server_Installed_Directory&rt;/bin in command prompt with admin privileges and execute generateCSR.bat file.
  3. generateCSR.bat executes two operations:
    • Creación de los archivos .csr y .key
    • Descifrado de los archivos .key
  4. Ingrese 1 para continuar con la generación de los archivos .csr y .key.
  5. Ingrese el código de país consultando este documento. [Nota: Si ingresó el código de país incorrecto, vuelva a ejecutar el archivo por tandas].
  6. Ingrese los datos necesarios para generar el archivo .csr. [Estado, localidad, organización, unidad organizativa, nombre común, nombres alternativos del sujeto (separados por comas)]
  7. Ha generado correctamente los archivos server.csr y server.key en <Server_Installed_Directory&rt;/bin

Para versiones de Device Control Plus anteriores a la 11.1.2242.01:

  1. Navegue al directorio de instalación del servidor y acceda a \bin.
  2. Ejecute el comando generateCSR.bat desde el símbolo del sistema del administrador.
  3. Ahora, en las indicaciones que aparecen, ingrese el código de país de dos letras junto a countryName. Consulte el código de país de dos letras de su país aquí.

Junto a NombreDeLaLocalidad, introduzca el nombre de su localidad. Especifique el nombre de su organización junto a organizationName.

  1. Ingrese el nombre de su sitio web o dominio junto a commonName. El FQDN del servidor web (el nombre de host) que recibirá el certificado es el Nombre común. No incluya los siguientes datos al ingresar el nombre común:
    -> protocol (http:// or https://)
    -> port numbers or pathnames
  2. Enter the Subject Alternative Name (SAN) of your website. You must press enter by leaving a space to end the command execution.
    Here is an example :-
    *.domain.com
    manageengine.com
    ems.com
    desktopcentral.com
  3. Los archivos llamados server.csr y private.key se crean y se colocan en el directorio de instalación del servidor\bin directory.

  4. Navegue al directorio de instalación del servidor y acceda a \apache\bin, cree un archivo llamado opensslsan.conf y copie el siguiente código en el archivo: 
     

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName = 
    stateOrProvinceName = 
    localityName = 
    organizationName = 
    commonName =
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 = 
    DNS.2 = 
    DNS.3 = 

  5. Ahora, en el código, ingrese el código de país de dos letras junto a countryName. Compruebe el código de dos letras de su país aquí.
  6. A continuación, ingrese el nombre completo de su estado o provincia junto a stateOrProvinceName.
  7. Junto a localityName, ingrese el nombre de su localidad. Especifique el nombre de su organización, junto a organizationName.
  8. Ingrese el nombre de su sitio web o dominio junto a commonName. El FQDN del servidor web (el nombre del host), que va a recibir el certificado, es el Nombre común. No incluya los siguientes datos al ingresar el nombre común: 
    -> protocol (http:// o https://)
    -> port numbers or pathnames

  9. Ingrese el Nombre alternativo del sujeto (SAN) de su sitio web junto a DNS.1, DNS.2, etc. en el código uno por uno. Puede tener muchos SAN para un solo certificado. Puede añadir más SAN añadiendo DNS.4, DNS.5, etc., al final del código. Aquí hay un ejemplo:

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName = IN
    stateOrProvinceName = TN
    localityName = Chennai
    organizationName = ZOHO
    commonName = www.zoho.com
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 = *.domain.com
    DNS.2 = manageengine.com
    DNS.3 = ems.com
    DNS.4 = desktopcentral.com

  10. Guarde el archivo, vaya al símbolo del sistema y navegue hasta el directorio de instalación del servidor y acceda al directorio \apache\bin.
  11. Ejecute el comando openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf.
  12. Los archivos denominados server.csr y private.key se crean en el directorio <Server_Installed_Directory&rt;/bin y \apache\bin.


 

  1. Para verificar los detalles, utilice el comando openssl.exe req -in server.csr -noout -text -config ..\conf\openssl.cnf.

Nota: No elimine el archivo private.key bajo ninguna circunstancia.

2. Enviar la CSR a una autoridad de certificación (CA) para obtener un certificado CA firmado

  1. Envíe el server.csr creado a las CA. Consulte su documentación / sitio web para obtener más información sobre el envío de CSR y esto implicará un coste que se pagará a la CA
  2. Este proceso suele tardar unos días y le devolverán su certificado SSL firmado y el certificado intermedio/ cadena de la CA como archivos .cer
  3. Guarde estos archivos y cambie el nombre de su archivo de certificado SSL firmado a server.crt

Nota: 

  • La validez del certificado debe ser inferior a 397 días.
  • CDevice Control Plus solo admite claves RSA.

3. Cargar los certificados de terceros en Device Control Plus

  1. Haga clic en la pestaña Administración en la consola de Device Control Plus.
  2. En Seguridad y privacidad, haga clic en Gestionar certificado SSL.
  3. Haga clic en la opción Cargar.
  4. Examine el equipo para cargar el certificado que ha recibido del proveedor (CA). El certificado estará en formato .crt para SSL y en formato .pfx para los certificados PFX
    1. Si carga un archivo .crt, se le pedirá que cargue el archivo server.key. Después de subir el private.key, se le pedirá que suba el certificado intermedio. Si selecciona la opción Automático, el certificado intermedio se detectará automáticamente. Sin embargo, cuando el certificado intermedio se detecta automáticamente, sólo se detectará un certificado. Si desea utilizar su propio certificado intermedio, o cargar más de un certificado intermedio, deberá elegir la opción Manual, y cargarlos manualmente.
    2. Si elige cargar un archivo .pfx, se le pedirá que ingrese la contraseña proporcionada por el proveedor.
  5. Haga clic en Guardar para importar el certificado.

Nota: Debe reiniciar el servicio del servidor Device Control Plus después de importar el certificado para que el servidor web cargue el certificado recién importado.

Ha importado correctamente los certificados de terceros al servidor de Device Control Plus. Estos certificados sólo se utilizarán cuando se habilite el modo "HTTPS" para la comunicación. Haga clic en la pestaña Administración y seleccione Ajustes del servidor para habilitar el modo https en Ajustes generales. Ahora puede ver que la comunicación entre el servidor de Device Control Plus y los agentes es segura.

Asegúrese de que el archivo pfx o el archivo .cert coincidan con la dirección NAT especificada en el servidor de Device Control Plus. Si el servidor de Device Control Plus y ServiceDesk Plus están instalados en el mismo equipo, entonces funcionará el mismo archivo pfx. En el caso mencionado anteriormente, si el servidor de ServiceDesk Plus se traslada a otro equipo, será necesario modificar el pfx para especificar el nombre de host adecuado.

 

Para una gestión de activos fácil y efectiva en la que confían las siguientes empresas