# Instalación del certificado SSL --- - [Introducción](#introducción) - [Pasos para instalar SSL en ServiceDesk Plus](#pasos-para-instalar-ssl-en-servicedesk-plus) - [Instalar un certificado .P7b](#instalar-un-certificado-p7b) - [Comandos para instalar certificados de algunos proveedores comunes](#comandos-para-instalar-certificados-de-algunos-proveedores-comunes) - [Errores comunes/Consejos de solución de problemas](#errores-comunesconsejos-de-solución-de-problemas) --- ## Introducción ServiceDesk Plus puede ejecutarse como un servicio HTTPS. Pero requiere un certificado SSL (Secure Socket Layer) firmado por una Autoridad de Certificación (CA) válida. De forma predeterminada, en el primer inicio, crea un certificado autofirmado. Este certificado autofirmado no será confiable para los navegadores de los usuarios. Por lo tanto, al conectarse a ServiceDesk Plus, debe verificar manualmente la información del certificado y el nombre de host del servidor de ServiceDesk Plus cuidadosamente, y debe forzar al navegador a aceptar el certificado. Para que el servidor de ServiceDesk Plus se identifique correctamente ante el navegador web y el usuario, debe obtener un nuevo certificado firmado por una CA para el host de ServiceDesk Plus. Puede usar keytool (incluido con Java) para crear sus certificados, hacer que una CA los firme y utilizarlos con ServiceDesk Plus. ## Pasos para instalar SSL en ServiceDesk Plus Los pasos necesarios para configurar ServiceDesk Plus para usar SSL se muestran a continuación. **Paso 1:** [Crear un archivo Keystore](#paso-1-crear-un-archivo-keystore) **Paso 2:** [Crear el archivo .CSR (Certificate Signing Request)](#paso-2-crear-el-archivo-csr-certificate-signing-request) **Paso 3a:** [Instalar el certificado SSL desde la interfaz de ServiceDesk Plus](#paso-3a-instalar-el-certificado-ssl-desde-la-interfaz-de-servicedesk-plus) **Paso 3b:** [Instalar su certificado SSL](#paso-3b-instalar-su-certificado-ssl) **Nota:** En todas las imágenes, reemplace el texto resaltado con el nombre de alias que desea usar para ServiceDesk Plus. Antes de solicitar un certificado a una CA, debe crear el archivo ".keystore" específico de Tomcat y el archivo ".csr". El archivo .keystore y el archivo .csr incluirán la información proporcionada por la persona que crea dichos archivos. ## Paso 1: Crear un archivo Keystore 1. Vaya a la carpeta `/jre/bin`. 2. Abra el Símbolo del sistema y ejecute el siguiente comando: ```bash keytool -genkey -alias -keyalg RSA -ext san=dns:,dns: -keysize 2048 -keystore sdp.keystore ``` **Nombre del servidor:** Indica el nombre de la máquina en la que está alojado ServiceDesk Plus. **URL:** URL desde la cual se accede a ServiceDesk Plus. **SAN (Subject Alternative Name):** Permite a los usuarios proporcionar nombres de host adicionales para un solo certificado SSL. Esta es una extensión de la especificación X.509. Ignore el mensaje de advertencia como se muestra en la imagen a continuación y continúe con el siguiente paso. ![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/ssl(2).png) Para las compilaciones **11138** y anteriores, la contraseña no debe contener el símbolo **$**. Para las compilaciones **11139** y posteriores, la contraseña no debe contener los símbolos **"** ni **\\**. - Ingrese la contraseña cuando se le solicite. La contraseña no debe contener ninguno de los siguientes caracteres especiales: $, ", y \\. - A continuación se muestran los datos solicitados durante la creación del keystore: - **Nombre y apellido:** Ingrese la URL desde la cual se accede a ServiceDesk Plus. Ej.: helpdesk.domain.com Nota: Si está solicitando un certificado Wildcard, la URL debe comenzar con el carácter *. El nombre y apellido deben proporcionarse como *.domain.com - Nombre de su unidad organizativa - Nombre de su organización - Ciudad/Ubicación - Estado/Provincia - Código de país de dos letras - Cuando se le vuelva a solicitar la contraseña de la clave, presione **Enter/Return**. No ingrese la contraseña. - Se generará el keystore. Guarde el archivo keystore, ya que será necesario al importar el certificado. ![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/9088/2024_01_18_06_26_111.png) ## Paso 2: Crear el archivo .CSR (Certificate Signing Request) 1. Vaya a la carpeta `/jre/bin`. 2. Abra el Símbolo del sistema y ejecute el siguiente comando: ```bash keytool -certreq -alias -ext san=dns:,dns: -file key.csr -keystore sdp.keystore ``` **URL:** La misma URL proporcionada al crear el archivo keystore. Se generará el CSR. El archivo CSR es temporal y debe enviarse a una CA para recibir los archivos de certificado firmados por la CA. ![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/8089/2024_01_18_06_37_004.png) Los archivos sdp.keystore y key.csr se crearán en la carpeta `/jre/bin`. ![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/3012/2024_01_18_06_37_325.png) Puede instalar el certificado SSL [ya sea desde la interfaz](#paso-3a-instalar-el-certificado-ssl-desde-la-interfaz-de-servicedesk-plus) o [manualmente](#paso-3b-instalar-su-certificado-ssl). ## Paso 3a: Instalar el certificado SSL desde la interfaz de ServiceDesk Plus - Descargue los archivos del certificado desde la CA en la ubicación de su keystore (sdp.keystore). - Vaya a **Admin > Configuración general > Importar configuración SSL**. - Busque los archivos del certificado y seleccione el archivo del certificado principal o de dominio. Solo puede seleccionar archivos con extensión .cer, .crt, .p7b, .pfx, .keystore o .jks. - Para archivos **.pfx, .keystore o .jks**, proporcione la contraseña del keystore y haga clic en **Importar**. - Para archivos **.cer o .crt**, proporcione el archivo keystore y la contraseña y seleccione el método de carga para el certificado intermedio/raíz. Luego haga clic en **Importar**. - Para archivos **.p7b**, proporcione el archivo keystore y la contraseña y haga clic en **Importar**. - Reinicie la aplicación para que los cambios surtan efecto. **Nota:** Si tiene la clave privada como un archivo **.key**, no tiene que ingresar ninguna contraseña. La siguiente captura de pantalla describe el proceso para un archivo .cer/.crt con carga manual de certificados intermedios/raíz: ![](http://mecms.manageengine.com/manageengine/latam/service-desk/help/adminguide/introduction/images/Install_SSL.png) **Nota:** Puede cargar un máximo de cuatro certificados intermedios/raíz. ## Paso 3b: Instalar su certificado SSL Descargue los archivos del certificado recibidos de la CA al directorio donde se guardó su keystore (sdp.keystore). Los certificados deben instalarse en este keystore exacto. Los certificados deben instalarse en el orden correcto: **Raíz → Intermedio → Certificado de dominio**. Algunas CA pueden usar también un certificado **Cross Intermediate**. Si su certificado tiene extensión **.p7b**, siga las instrucciones en [Instalar un certificado .P7b](#instalar-un-certificado-p7b). ### Cosas a tener en cuenta 1. Si el tipo de certificado es .cer o .crt, puede elegir el método de carga como "Automatic" o "Manual". 2. Si la importación falla durante "Building certificate chain", extraiga manualmente los certificados raíz e intermedio y seleccione "Manual". 3. Si no hay un keystore pero hay un archivo .key, puede utilizarse en su lugar. Para saber cómo extraer certificados raíz e intermedios, consulte el artículo disponible [aquí](https://pitstop.manageengine.com/portal/en/kb/articles/certificate-ex). ### Instalación del certificado raíz ```bash keytool -import -trustcacerts -alias root -file .crt -keystore sdp.keystore ``` Si se le solicita, elija **Yes**. ![](https://www.manageengine.com/images/img8.jpg) ### Instalar certificados intermedios ```bash keytool -import -trustcacerts -alias intermediate -file .crt -keystore sdp.keystore ``` ```bash keytool -import -trustcacerts -alias cross -file .crt -keystore sdp.keystore ``` ![](https://www.manageengine.com/images/img9.jpg) ### Instalar el certificado de dominio ```bash keytool -import -trustcacerts -alias -file your_domain_name.crt -keystore sdp.keystore ``` Esta vez obtendrá el mensaje **"Certificate reply was installed in keystore"**. --- ## ¿Cómo cifrar su contraseña en ServiceDesk Plus? En el símbolo del sistema, cambie a `\bin`. Para versiones anteriores a 10.5: ```bash encrypt.bat "" ``` Para versiones 10.5 y posteriores: ```bash encrypt.bat -a aes256 -v "" ``` La contraseña cifrada se mostrará en la siguiente línea. ## Instalar un certificado .P7b Algunas CA proporcionan certificados con extensión .p7b. Puede exportarlos como archivos Base-64 encoded X.509 (.cer) y luego instalarlos siguiendo el Paso 3. ![](https://www.manageengine.com/images/img13.jpg) ![](https://www.manageengine.com/images/img19.jpg) ## Comandos para instalar certificados de algunos proveedores comunes **Nota:** Estas instrucciones pueden variar según la CA. ### GoDaddy ```bash keytool -import -alias root -keystore .keystore -trustcacerts -file gd_bundle.crt keytool -import -alias cross -keystore .keystore -trustcacerts -file gd_cross_intermediate.crt keytool -import -alias intermediate -keystore .keystore -trustcacerts -file gd_intermediate.crt keytool -import -alias -keystore .keystore -trustcacerts -file .crt ``` ### Verisign ```bash keytool -import -alias intermediateCA -keystore .keystore -trustcacerts -file .cer keytool -import -alias -keystore .keystore -trustcacerts -file .cer ``` ### Comodo ```bash keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore .keystore keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore .keystore keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt -keystore .keystore keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore .keystore keytool -import -trustcacerts -alias -file .crt -keystore .keystore ``` ## Errores comunes/Consejos de solución de problemas ### Error de clave privada no válida (versiones anteriores a 14300) ```text Caused by: java.io.IOException: exception unwrapping private key - java.security.spec.InvalidKeySpecException: Invalid KeySpec: unknown PRF algorithm 1.2.x.x.x ``` **Respuesta:** Puede deberse a que la versión de Java no admite el algoritmo utilizado. - Importe el certificado SSL como se indica [aquí](https://pitstop.manageengine.com/portal/en/kb/articles/importing-ssl-certificate). - Exporte como .pfx usando TripleDES-SHA1 (no AES256-SHA256). Más información [aquí](https://pitstop.manageengine.com/portal/en/kb/articles/how-to-export-ssl-certificate-using-mmc). - Importe el nuevo archivo .pfx. ### Error "Failed to establish chain from reply" ![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/2020_08_11_15_27_261.png) **Respuesta:** Verifique que la versión de Java admita el algoritmo de firma utilizado. Java 8 no admite RSASSA-PSS. Si no puede obtener nuevos certificados, importe usando un keytool compatible y configure el servidor como se indica [aquí](https://www.manageengine.com/latam/service-desk/help/adminguide#config%20server). Haga clic [aquí](https://www.manageengine.com/latam/service-desk/help/adminguide#steps) para ver los pasos para crear e importar el certificado SSL. ### Error "Illegal Key Size" ```text Caused by: java.io.IOException: exception unwrapping private key - java.security.InvalidKeyException: Illegal key size ``` **Respuesta:** Puede deberse a incompatibilidad de tamaño de clave. Descargue los archivos de política: - [Para compilaciones inferiores a la versión 11100](https://www.oracle.com/java/technologies/javase-jce-all-downloads.html) - [Para compilaciones superiores a la versión 11100](https://www.azul.com/products/zulu-and-zulu-enterprise/zulu-cryptography-extension-kit/)