Cómo configurar la autenticación de SSL

Como administrador del sistema, se pueden configurar las solicitudes de inicio de sesión directo del director web para un motor web específico mediante el protocolo Secure Socket Layer (SSL). La configuración de la autenticación SSL proporciona una seguridad de inicio de sesión mejorada. Para obtener más información sobre cómo configurar SSL para xflow y para CA Search Server, consulte Activación de Secure Socket Layer (SSL)
casm173
Como administrador del sistema, se pueden configurar las solicitudes de inicio de sesión directo del director web para un motor web específico mediante el protocolo Secure Socket Layer (SSL). La configuración de la autenticación SSL proporciona una seguridad de inicio de sesión mejorada. Para obtener más información sobre cómo configurar SSL para la
Interfaz de xFlow
y para CA Search Server, consulte Activación de Secure Socket Layer (SSL).
Este artículo contiene los siguientes temas:
Verifique los requisitos previos (configuración de SSL).
Verifique los siguientes requisitos previos antes de iniciar la configuración de SSL:
  • CA SDM se ha instalado y configurado en el servidor en el que se desea implementar SSL.
  • Al menos, dos motores web configurados y asignados a un director web. Para obtener más información sobre cómo configurar motores web y directores web, consulte Cómo configurar los procesos para servidores de CA SDM.
Configuración de la capacidad de los motores web según los parámetros del director web
Una vez configurado el motor web para que utilice un director web, el motor web puede gestionar las solicitudes del cliente web. El motor web puede atender las solicitudes de inicio de sesión (redirigir las que no estén relacionadas con el inicio de sesión), las solicitudes que no estén relacionadas con el inicio de sesión (redirigir las de inicio de sesión) o ambas (motor web con fines generales). El parámetro WebDirector que se encuentra en el archivo <Host_Name>-web[#].cfg determina cómo puede revisar el motor web las solicitudes de inicio de sesión.
La siguiente tabla muestra la relación entre el rol del motor web y la configuración del parámetro del director web:
Capacidad del motor web
Valores de parámetros de ‘webdirector’ del archivo ‘<Host_Name>-web[#].cfg’
Atención de solicitudes de inicio de sesión
‘UseDirector AfterLogin’; ‘Willingness 0’
Atención de actividades no relacionadas con el inicio de sesión
‘UseDirector BeforeLogin’; ‘Willingness [1-10]’
Fines generales
‘UseDirector Yes’; Willingness [1-10]’
Selección del entorno de inicio de sesión SSL
Se puede utilizar el director web para un inicio de sesión SSL específico en un entorno web mixto SSL y no SSL con el fin de redirigir todas las solicitudes de inicio de sesión web a los motores web SSL concretos. Las demás solicitudes se pueden dirigir a motores web no SSL y estos pueden atenderlas.
Elija entre los siguientes entornos de inicio de sesión SSL:
Entorno no SSL con equilibrio de carga básico
Puede utilizar WebDirector en un entorno no SSL con equilibrio de carga básico. WebDirector equilibra la carga entre todos los motores web de acuerdo con el valor de disposición de cada motor. El motor web puede atender solicitudes de inicio de sesión y solicitudes que no estén relacionadas con el inicio de la sesión. Se emplea el protocolo HTTP para la comunicación entre los clientes Web y los servidores Web.
En el caso de motores web sometidos al control del director web, defina los parámetros del director web en el archivo
-web[#].cfg
del m
o
tor web, tal y como se muestra a continuación:
  • UseDirector: Yes
  • WebDirectorSlumpName: (no cambie este valor)
  • WillingnessValue: [de 1 a 10]
  • RedirectingURL: (el valor del protocolo colocado delante puede faltar o ser "http")
Entorno SSL global con equilibrio de carga básico
Puede utilizar el director web en un entorno SSL global con equilibrio de carga básico. WebDirector equilibra la carga entre todos los motores web de acuerdo con el valor de disposición de cada motor. Cada motor web puede atender solicitudes de inicio de sesión y solicitudes que no estén relacionadas con el inicio de la sesión. Se emplea el protocolo HTTPS para la comunicación entre los clientes web y los servidores web.
En el caso de motores web sometidos al control del director web, defina los parámetros del director web en el archivo
-web[#].cfg
del m
o
tor web, tal y como se muestra a continuación:
  • UseDirector: Yes
  • WebDirectorSlumpName: (no cambie este valor)
  • WillingnessValue: [de 1 a 10]
  • RedirectingURL: (el valor del protocolo colocado delante debe ser "https")
Inicio de sesión en entorno no SSL con equilibrio de carga opcional
Puede utilizar el director web para un inicio de sesión de destino en un entorno no SSL con equilibrio de carga opcional. El motor Web solo de inicio de sesión atiende únicamente las solicitudes de inicio de sesión. Los restantes motores Web sometidos al control de del director web atienden las demás solicitudes. Esta configuración hace recaer toda la carga de la atención de las solicitudes de inicio de sesión en los motores Web especificados para el inicio de sesión exclusivamente. Se emplea el protocolo HTTP para la comunicación entre los clientes Web y los servidores Web.
En el caso de los motores web exclusivos para el inicio de sesión, defina los parámetros del director web en el archivo
-web[#].cfg
del m
o
tor web, tal y como se muestra a continuación:
  • UseDirector: AfterLogin
  • WebDirectorSlumpName: (no cambie este valor)
  • WillingnessValue: 0
  • RedirectingURL: (el valor del protocolo colocado delante puede faltar o ser "http")
En el caso de los motores web ajenos al inicio de sesión, defina los parámetros del director web en el archivo
-web[#].cfg
del m
o
tor web, tal y como se muestra a continuación:
  • UseDirector: Before Login
  • WebDirectorSlumpName: (no cambie este valor)
  • WillingnessValue: [de 1 a 10]
  • RedirectingURL: (el valor del protocolo colocado delante puede faltar o ser "http")
Inicio de sesión SSL en entorno mixto con equilibrio de carga opcional
Puede utilizar el director web para un inicio de sesión SSL en un entorno SSL mixto o en un entorno no SSL con equilibrio de carga opcional. Todas las solicitudes de inicio de sesión web se dirigen a motores web SSL, que se ocupan de atenderlas, mientras que las demás solicitudes se redirigen a motores web no SSL, que son los que las atienden. Se emplea el protocolo HTTPS para la comunicación entre los clientes Web y los motores Web SSL.
Configuración del entorno de inicio de sesión SSL
El protocolo SSL permite encriptar transacciones web; de esta manera, ofrece la máxima seguridad para datos confidenciales, especialmente, contraseñas. En función del tipo de configuración, se puede implementar un entorno de inicio de sesión SSL en los servidores de CA SDM configurados.
Siga los pasos siguientes:
  1. Inicie sesión en el siguiente servidor, en función de la configuración de CA SDM:
    • Disponibilidad avanzada: servidor de aplicaciones
    • Convencional: Servidor principal o servidor secundario
  2. Compruebe que el servidor ha importado correctamente un certificado SSL.
  3. Cree una copia del directorio ‘$NX_ROOT/bopcfg/www/wwwroot’ (incluidos los subdirectorios) y asígnele el nombre siguiente:
    ‘$NX_ROOT/bopcfg/www/wwwrootsec’
  4. Agregue un nuevo directorio virtual para el servidor web llamado CAisdsec.
  5. Este directorio virtual señala al directorio físico siguiente:
    ‘$NX_ROOT/bopcfg/www/wwwrootsec’
  6. Verifique que los permisos del directorio virtual CAisdsec coinciden con los del directorio virtual CAisd para la ejecución de scripts. Imponga SSL en el directorio virtual CAisdsec.
    En este ejemplo, CAisdsec está definido por el usuario y es posible cambiar su nombre.
  7. Guarde los cambios realizados.
    Los directores web no utilizan ningún archivo ‘<Host_Name>-web[#].cfg’. Sin embargo los motores web precisan un archivo <Host_Name>-web[#].cfg único. Se generan archivos web.cfg de muestra automáticamente mientras se ejecuta la configuración. Se pueden importar las modificaciones del archivo web.cfg original a los archivos de configuración web nuevos especificando el archivo web.cfg original como el archivo de plantilla que se desea utilizar.
  8. Copie y guarde los archivos siguientes. Se recomienda disponer de una copia de seguridad de estos archivos por si se decide restaurar el entorno original:
    • $NX_ROOT/pdmconf/pdm_startup.tpl
    • $NX_ROOT/pdmconf/pdm_startup
    • $NX_ROOT/bopcfg/www/web.cfg
    • Cualquier archivo principal-web[nº].cfg existente
    • $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml y web.xml.tpl
    • Para la configuración de un servidor secundario, guarde una copia de seguridad de todos los archivos $NX_ROOT/bopcfg/www/web.cfg o <Secondary_Server_Host_Name>-web[#].cfg existentes y del archivo $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml*.
  9. Para cada motor web asignado a un director web, compruebe que se han definido correctamente los parámetros (<Host_Name>-web[#].cfg 'webdirector') del motor web; para ello, examine el archivo en un editor de texto. Si es necesario, modifique los valores del parámetro webdirector para que reflejen el rol del motor web que desea. A continuación, cópielos en el directorio: $NX_ROOT/bopcfg/www.
  10. Mueva todos los archivos $NX_ROOT/samples/pdmconf/servidorprincipal-web[nº].cfg al directorio $NX_ROOT/bopcfg/www.
    Para la configuración del servidor secundario, traslade todos los archivos $NX_ROOT/samples/pdmconf/’nombre_servidor_secundario-web[n.º].cfg del servidor principal al directorio $NX_ROOT/bopcfg/www del servidor secundario.
  11. Para el servidor del servlet, como Tomcat, CA SDM crea archivos web.xml que pueden reemplazar el archivo web.xml en cada servidor que hospeda un motor web. Estos archivos se denominan servidorprincipal-web.xml.xml. Renombre los archivos y cópielos en el directorio: $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF.
    Para un servidor HTTP como IIS o Apache, pueden crearse copias de "pdmweb.exe" en el directorio $NX_ROOT/bopcfg/www/wwwroot, un archivo "pdmweb[n.º].exe" para cada motor web y uno "pdmweb_d[n.º].exe" para cada director web que se haya configurado. Asegúrese de que "pdmweb[n.º].exe" y "pdmweb_d[n.º].exe" se denominan según los valores correctos de la interfaz CGI (por ejemplo: pdmweb1.exe, pdmweb2.exe, pdmweb_d1.exe, etc.).
  12. Si emplea IIS y necesita agregar extensiones de servidor para las interfaces CGI, copie el archivo primary-site.dat en el directorio $NX_ROOT/bopcfg/www con el nombre site.dat. Cuando se vuelve a configurar el sistema, estos sitios se agregarán a IIS.
  13. Vuelva a configurar el servidor principal sin reiniciar la base de datos e inicie los servicios.
  14. Al finalizar la reconfiguración, compruebe si la configuración actual es válida. Inicie los daemons de CA SDM. Compruebe que no haya ningún error en los archivos stdlog. Utilice pdm_status para consultar los demonios y su estado. Utilice http://localhost:8080/CAisd/pdmweb.exe para acceder al sistema.
  15. En el caso de la integración CA SDM con la Gestión del conocimiento, si se ha impuesto SSL para CA SDM, se debe modificar el valor del protocolo URL de CA SDM.
    1. En Settings Manager (Gestor de configuración) de la Herramienta de gestión del conocimiento, acceda a General, Integration (Integración) y cambie el valor del protocolo URL de CA SDM de http a https.
    2. Guarde los cambios y salga.
  16. Abra un explorador web con la página de inicio de sesión de CA SDM y compruebe si un usuario puede iniciar sesión y si se produce el comportamiento de redireccionamiento o de inicio de sesión esperado.
Implementación del entorno de inicio de sesión SSL
Para implementar el inicio de sesión SSL que se ha configurado, deben modificarse los valores del parámetro del director web.
Siga los pasos siguientes:
  1. En el caso de los motores Web de inicio de sesión seguro, edite el archivo <Host_Name>-web[#].cfg del modo siguiente:
    1. Cambie el valor de parámetro de CAisd de /CAisd a /CAisdsec.
    2. Cambie el valor del parámetro UseDirector de Yes a AfterLogin si el director web utiliza la autenticación de transferencia.
    3. Cambie el valor del parámetro Willingness de 5 a 0.
    4. Compruebe que el valor RedirectingURL del protocolo consta como https.
    5. Cambie el valor <cgi directory> de la dirección URL de redirecionamiento de CAisd a CAisdsec.
    6. Guarde los cambios realizados.
  2. En el caso de motores web que no sean seguros y que gestionen el resto de actividades, deben editarse los archivos <Host_Name>-web[#].cfg como se muestra a continuación:
    1. Compruebe que el valor de parámetro CAisd es /CAisd.
    2. Cambie el valor del parámetro UseDirector de Yes a BeforeLogin.
    3. Mantenga el valor del parámetro Willingness en 5 o defínalo en cualquier otro valor entero del 1 al 10, según la carga en cuestión.
    4. Compruebe que el valor RedirectingURL del protocolo consta como http.
    5. Confirme que el valor RedirectingURL <cgi directory> es CAisd.
    6. Guarde los cambios realizados.
      Tras realizar la configuración, reinicie Service Desk. Después de que el servicio se reinicie, pruebe el inicio de sesión; para ello, acceda al motor web no SSL mediante HTTP. Verifique si dirige automáticamente al motor web seguro HTTPS para el inicio de sesión. Tras realizar el registro, dirige automáticamente al motor web HTTP no SSL para la actividad normal de Service Desk normal.
Comprobación del entorno de inicio de sesión SSL
Puede comprobar el entorno del inicio de sesión SSL para motores web.
Siga los pasos siguientes:
  • Los motores web de inicio de sesión seguro deben ubicarse en el directorio físico asignado al directorio virtual con SSL impuesto (CAisdsec en este ejemplo).
    En el caso de los motores Web de inicio de sesión seguro, cree instancias de pdmweb.exe en el directorio $NX_ROOT/bopcfg/www/wwwrootsec con el nombre pdmweb[nº].exe. El nombre ejecutable debe coincidir con el valor de la interfaz CGI que se corresponda con cada uno de los motores web de inicio de sesión seguro.
    Por ejemplo, si ha asignado el valor de la interfaz CGI del motor web de inicio de sesión seguro a pdmweb2, cree una copia física de pdmweb.exe y cámbiele el nombre a pdmweb2.exe.
  • Los directores y motores web no seguros deben residir en el directorio físico asignado al directorio virtual no SSL CAisd.
    En el caso de los WebDirector y motores Web no seguros cree nuevas instancias de pdmweb.exe en el directorio $NX_ROOT/bopcfg/www/wwwroot. Debe existir una copia de pdmweb.exe para cada motor web no seguro y director web configurado. Cambie el nombre de las copias para que los nombres nuevos de los archivos ejecutables coincidan con los valores de la interfaz CGI definidos para los directores y los motores web.
    Por ejemplo, si ha asignado el valor de la interfaz CGI de pdmweb3 al motor web no seguro y el valor pdmweb_d1 al director web, cree dos copias de pdmweb.exe. Cambie el nombre de la primera copia a pdmweb3.exe y luego cambie el nombre de la segunda copia a pdmweb_d1.exe.
Configuración de SSL para servidores Tomcat
Se debe configure SSL en los servidores Tomcat del entorno de CA SDM.
Siga estos pasos:
  1. Realice los pasos siguientes para crear un almacén de claves en cada servidor de CA SDM que requiera un certificado SSL:
    Un almacén de claves es un almacén o una unidad de almacenamiento para certificados, donde estos se importan y, a continuación, Tomcat indica que se usen el almacén de claves y certificados para SSL.
    1. Cree un directorio en la unidad C: (o la unidad local que desee) con el nombre "certificates".
    2. Mediante la línea de comandos, diríjase al directorio de la papelera de reciclaje de JRE (para JRE que se instaló con Service Desk, normalmente, /SC/JRE).
    3. Ejecute el comando "keytool -genkey -alias tomcat -keyalg RSA -keystore c:/certificates/.keystore".
    4. Rellene los campos como resulte adecuado (preste atención a lo que introduce en cada campo, ya que puede que necesite esta información posteriormente).
      Se crea un archivo .keystore en el directorio C:\certificates\.
  2. Genere la solicitud de certificado para cada servidor. Realice los siguientes pasos para generar la solicitud del certificado:
    1. Mediante la línea de comandos, diríjase al directorio de la papelera de reciclaje de JRE (para JRE que se instaló con Service Desk, normalmente, /SC/JRE).
    2. Ejecute el comando "keytool -certreq -alias tomcat -keystore c:/certificates/keystore.jks -file servername-certreq.csr"
      Se crea un archivo .csr en el directorio C:/certificates en cada servidor donde se generó la solicitud de certificado.
    3. Envíe los archivos .csr al distribuidor de su elección que generará a continuación los certificados adecuados que necesita según la solicitud del certificado para cada servidor.
      Recibe un certificado diferente de cada uno. Algunos suministradores enviarán varios certificados entre los que se incluirán posiblemente un certificado raíz, un certificado intermedio y un certificado de autoridad. Cada distribuidor tiene instrucciones distintas acerca de qué certificados de los que proporcionan deben importarse en el almacén de claves. La clave es pedir al distribuidor específico que se utilizó para generar los certificados instrucciones concretas acerca de cómo importar los certificados en un almacén de claves de Tomcat.
      Cuando se hayan recibido las instrucciones específicas del suministrador, se pueden seguir para importar los certificados adecuados en el almacén de claves en cada servidor. Una vez que se haya completado, se puede configurar Tomcat con Service Desk con cosas que indicar al almacén de claves en el que se han importado los certificados.
  3. Abra el archivo \bopcfg\www\CATALINA_BASE\conf\server.xml con un editor de texto y busque lo siguiente:
    <!--<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>
    </Connector>-->
  4. Cambie el código del siguiente modo:
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true"
    keystoreFile="C:\certs\keystore.jks" keystorePass="password">
    <!--<SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>-->
    </Connector>
    Asegúrese de eliminar las etiquetas "<--" y "-->" que actualmente comentan el conector HTTPS/SSL para Tomcat, y establezca la ruta y la contraseña adecuadas para el almacén de claves generado al inicio.
  5. Guarde el archivo server.xml.
  6. Reinicie Tomcat mediante los comandos siguientes:
    pdm_tomcat_nxd - c stop pdm_tomcat_nxd - c start
    Se recomienda reiniciar todos los servidores de CA SDM con el fin de garantizar el reinicio del servidor Tomcat.
  7. Pruebe su conexión SSL de Tomcat; para ello, abra un explorador y diríjase a la dirección URL de Service Desk mediante el protocolo HTTPS y el puerto de Tomcat. Por ejemplo, utilice la siguiente dirección URL:
    https://servername:8443/CAisd/pdmweb.exe
    Debe abrirse la pantalla de inicio de sesión de Service Desk. Ha configurado SSL correctamente en Tomcat.
Configuración de SSL en IIS
Para obtener más información sobre cómo configurar la autenticación en IIS, consulte la documentación de Microsoft.