Configuración de HTTPS en la Consola de administración o la OC (certificado firmado por una autoridad)

uim203
Este artículo describe cómo configurar una conexión Secure Sockets Layer (SSL) para acceder a la Consola del operador o a la Consola de administración utilizando HTTPS. Proporciona instrucciones para configurar un certificado firmado por la autoridad.
Contenido
Se recomienda consultar con los ingenieros de seguridad de red y los especialistas de cumplimiento sobre los requisitos de seguridad específicos. En general, los requisitos de seguridad estándares de la industria exigen el uso del cifrado de SSL para las comunicaciones cliente/servidor en una red de no confianza. Esto incluye las situaciones siguientes:
  • Si los usuarios acceden a la Consola de administración o la Consola del operador mediante una red pública como, por ejemplo, Internet.
  • Si las sesiones se realizan en una parte no segura de la red como redes inalámbricas en salas de reuniones o en áreas de acceso público
  • Si las sesiones se realizan a través de redes móviles
Para los entornos de alta seguridad, se recomienda utilizar un cifrado de 2048 bits, como mínimo. Sin embargo, al utilizar claves de RSA más largas afectará significativamente a la velocidad de cifrado y descifrado.
Requisitos previos
Verifique los requisitos previos siguientes antes de continuar:
  • Es un usuario administrativo con acceso al Gestor de la infraestructura.
  • Su entorno está configurado para ejecutar comandos de keytool si se planea utilizar un certificado distinto de un certificado autofirmado de 1024 bits. Esto significa que la variable del sistema de $PATH incluye una ruta a java.exe y keytool.
  • Debido a las políticas de seguridad de algunos sistemas operativos, puede que deba ejecutar los comandos de keytool como administrador.
    Si la ejecución de los comandos de keytool proporciona resultados inesperados en los sistemas Windows, utilice la opción
    Ejecutar como administrador
    .
Redireccionamiento de HTTPS y consola de administración
La consola de administración no admite el uso de un redireccionamiento de HTTPS. Se debe acceder a la consola de administración directamente mediante la URL
HTTPS://
. También se puede desactivar el puerto HTTP para la consola de administración.
También se puede cambiar la configuración de wasp utilizando la Consola de administración. Sin embargo, se cerrará la sesión del usuario de la Consola de administración cuando se reinicie wasp.
Siga los pasos siguientes:
  1. Utilice Remote Desktop para conectarse al servidor de UIM o la Consola del operador.
  2. Abra Gestor de la infraestructura.
  3. Vaya al robot que ejecuta la sonda wasp.
  4. Pulse la tecla Ctrl mientras se hace clic con el botón secundario del ratón en la sonda wasp y, a continuación, seleccione
    Configuración sin formato
    .
  5. Seleccione la clave
    http_port
    con la sección de
    configuración
    resaltada y haga clic en
    Suprimir clave
    .
Implementación de un certificado de SSL firmado por la autoridad
Esta sección incluye información sobre cómo implementar un certificado SSL firmado por una autoridad:
Entidad, intermediario y certificados raíz
Un número de autoridades de certificación emiten certificados intermedios o
encadenados
. Si su autoridad de certificación emite certificados encadenados, normalmente recibirá los archivos de certificado siguientes:
  • Un certificado de la
    entidad
  • Uno o más certificados
    intermedios
  • Se puede incluir un certificado raíz
Se debe cargar el certificado de la entidad y cualquier certificado intermedio que proporcione su autoridad de certificación. Es posible que no sea necesario cargar un certificado raíz. Esto es debido a que la instalación de UIM instala automáticamente Java Runtime Environment (JRE) que incluye los certificados raíz de muchas autoridades de certificación. Sin embargo, su autoridad de certificación puede proporcionar un certificado raíz nuevo y recomendar que lo cargue.
Se pueden consultar los certificados raíz instalados automáticamente con JRE durante la instalación de UIM.
Siga los pasos siguientes:
  1. Abra una línea de comandos del administrador en el servidor que ejecuta la OC.
  2. Cambie los directorios tal y como se muestra a continuación:
    cd <
    instalación_servidor_OC o UIM Server
    >/jre/<
    versión_jre
    >/lib/security
  3. Introduzca el siguiente comando:
    <
    instalación_servidor_OC o UIM Server
    >/jre/<
    versión_jre
    >/bin/keytool keytool -list -keystore cacerts
    El sistema solicita que introduzca la contraseña del almacén de claves. Después de introducir una contraseña válida, el sistema muestra los certificados raíz predeterminados en el archivo cacerts.
Modificación de la sonda wasp para utilizar HTTPS
Si va a configurar HTTPS para la Consola del operador, modifique la sonda wasp en el servidor de la OC. Si va a configurar HTTPS para la Consola de administración, modifique la sonda wasp en UIM Server.
Sin tener en cuenta el certificado que se desea implementar, el primer paso obligatorio es modificar el archivo wasp.cfg para permitir HTTPS. Cuando se aplica este cambio, ocurre lo siguiente:
  • El archivo wasp.keystore, un archivo cifrado que almacena certificados, se genera en el directorio
    <instalación_servidor_OC o UIM Server>/UIM/probes/service/wasp/conf
  • En wasp.keystore, se genera automáticamente un certificado autofirmado de 1024 bits.
Se debe reemplazar el certificado autofirmado de 1024 bits generado automáticamente con el certificado que se desea utilizar.
Siga los pasos siguientes:
  1. Utilice Remote Desktop para conectarse al servidor de UIM.
  2. Abra Gestor de la infraestructura.
  3. Vaya al servidor que ejecuta la sonda wasp.
  4. Pulse la tecla Ctrl mientras se hace clic con el botón secundario del ratón en la sonda wasp y, a continuación, seleccione
    Configuración sin formato
    .
  5. Después de resaltar la sección
    configuración
    , busque la clave
    https_port
    y haga clic en
    Editar clave
    para especificar un puerto. En caso necesario, haga clic en
    Nueva clave
    e introduzca
    https_port
    .
    El valor máximo del puerto que se puede establecer es 65535.
  6. Edite la clave
    https_max_threads
    para configurar el número de solicitudes de https simultáneas. El valor predeterminado es 500.
    Después de reiniciar la sonda wasp, wasp estará configurada para utilizar una conexión HTTPS, y se generará el archivo wasp.keystore. Este archivo se encuentra en <directorio_instalación_nimsoft>\probes\service\wasp\conf\wasp.keystore.
(Opcional) Cambio de los codificadores HTTPS
Si es necesario, se puede personalizar la lista de codificadores utilizados por la sonda wasp.
Siga los pasos siguientes:
  1. Desplácese hasta el sistema donde está instalada la sonda wasp.
  2. Vaya al archivo
    wasp.cfg
    ubicado en la siguiente ubicación:
    <instalación_servidor_OC o UIM Server>\Nimsoft\probes\service\wasp\wasp.cfg
  3. Abra el archivo
    wasp.cfg
    en un editor de texto.
  4. Localice la clave
    https_ciphers
    . De forma predeterminada, la clave https_ciphers muestra varios valores.
  5. Cambie la clave https_ciphers para utilizar los codificadores deseados. Consulte la documentación de SSL para obtener una lista de los conjuntos de programas de cifrado disponibles.
  6. Reinicie la sonda WASP.
Reinicialización de wasp.keystore
Realice solamente los siguientes pasos
si no se está utilizando un certificado autofirmado de 1024 bits y
si al menos una de las declaraciones siguientes es verdadera
:
  • Se desconoce la contraseña de wasp.keystore.
  • Esta es la
    primera vez que configura la
    Consola del operador para utilizar HTTPS.
Si ninguna de las dos declaraciones anteriores es verdadera, revise la sección Sonda wasp y devolución de llamada ssl_reintialize_keystore antes de continuar.
Se deben configurar las sondas wasp asociadas para la Consola de administración y la Consola del operador para configurar completamente HTTPS. La sonda wasp es un servidor web incrustado que se ejecuta como una sonda.
Si se están ejecutando el servidor de la OC y UIM Server en el mismo sistema, solo hay la sonda wasp que debe estar configurada para activar HTTPS en la Consola de administración y la Consola del operador.
Además, se debe introducir una contraseña válida para el archivo wasp.keystore.
Sin embargo, el archivo wasp.keystore tiene una contraseña
codificada
desconocida
.
Por lo tanto, la primera vez que se configura wasp para que utilice HTTPS se recomienda ejecutar la devolución de llamada
ssl_reinitialize_keystore
y establecer una nueva contraseña.
La devolución de llamada
ssl_reinitialize_keystore vuelve a crear wasp.keystore y su hash de contraseña. Cuando se ejecuta esta devolución de llamada se debe introducir una nueva contraseña como argumento y después
almacenar de forma segura la nueva contraseña para su uso futuro
. Si se pierde o se olvida esta contraseña, la única forma de restablecerla es inicializando wasp.keystore de nuevo.
Utilice con
cuidado la devolución de llamada de ssl_reinitialize_keystore. Esta devolución de llamada cambia el hash de cifrado de wasp.keystore e
invalida los certificados que estén en uso actualmente
. Por ello se recomienda realizar una copia de seguridad de la clave individual y de los archivos de certificado porque en caso de tener que reinicializar el almacén de claves, se puedan volver a cargar las claves y los certificados en el nuevo almacén de claves.
Además, no se debe utilizar la utilidad keytool para cambiar la contraseña de wasp.keystore, ya que wasp no reconocerá la nueva contraseña.
Actualmente, la única forma de cambiar la contraseña de wasp.keystore es utilizar la devolución de llamada ssl_reinitialize_keystore.
Siga los pasos siguientes:
  1. Abra Gestor de la infraestructura.
  2. Vaya al servidor que ejecuta la sonda wasp.
  3. Haga clic en la sonda WASP para resaltarla.
  4. Pulse Ctrl+<P> para abrir la utilidad de sonda.
  5. En la lista desplegable que se encuentra bajo el
    conjunto de comandos de la sonda
    , seleccione
    ssl_reinitialize_keystore
    .
  6. Introduzca una nueva contraseña como argumento.
    Utilice una contraseña que tenga como mínimo seis caracteres. La utilidad de la sonda wasp no impide la utilización de una contraseña más corta, pero no permite realizar cambios en wasp.keystore, tal y como se describe más adelante.
  7. Haga clic en el botón de reproducción verde para ejecutar la devolución de llamada.
    La barra de estado
    Comando
    muestra el texto
    Aceptar
    .
  8. La contraseña establecida se registra de forma segura para utilizarla en el futuro.
Generación de un par de claves pública y privada
Siga los pasos siguientes:
  1. Abra un símbolo del sistema del administrador en el servidor que ejecuta la sonda wasp.
    Ejecute los siguientes comandos de keytool en un símbolo del sistema en el mismo directorio que el archivo wasp.keystore, que normalmente es <
    directorio_instalación_servidor_OC o UIM Server
    >/probes/service/wasp/conf. La utilidad keytool se encuentra en el directorio donde reside JRE, normalmente <
    instalación_servidor_OC o UIM Server
    >/jre/<
    versión_jre
    >/bin/keytool.
  2. Establezca las variables de entorno JAVA_HOME tal y como se muestra a continuación:
    <
    instalación_servidor_OC o UIM_Server
    >/jre/<
    versión_jre
    >/bin/
  3. Verifique que tiene una contraseña válida para el archivo wasp.keystore:
    <
    instalación_servidor_OC o UIM Server
    >Nimsoft/probes/service/wasp/conf> keytool -list -keystore wasp.keystore
    Recibirá un mensaje de confirmación: Your keystore contains 1 entry.
  4. Suprima la clave privada generada automáticamente:
    <
    instalación_servidor_OC o UIM Server
    >Nimsoft/probes/service/wasp/conf> keytool -delete -alias wasp -keystore wasp.keystore
  5. Verifique que la clave se ha suprimido:
    <
    instalación_servidor_OC o UIM Server
    >Nimsoft/probes/service/wasp/conf> keytool -list -keystore wasp.keystore
    Recibirá un mensaje de confirmación: Your keystore contains 0 entries.
  6. Genere un par de claves pública y privada con el tamaño clave requerido:
    <
    instalación_servidor_UMP_OC o UIM Server
    >Nimsoft/probes/service/wasp/conf> keytool -genkeypair -alias wasp -keyalg RSA -keysize <
    tamaño_clave
    > -keystore wasp.keystore -validity <
    días_validez_cert
    >
  7. Cuando se solicita el nombre y apellido, introduzca FQDN.
  8. Cuando se le solicite, introduzca las entradas para los siguientes campos:
    • Unidad organizativa
    • Organización
    • Ciudad o localidad
    • Estado o provincia
    • Código de país de dos letras
    Se le solicitará que confirme que la información introducida es correcta.
Registro de la información del certificado
Siga los pasos siguientes:
  1. Registre de forma segura la contraseña nueva establecida para el archivo wasp.keystore.
  2. Asegúrese de registrar el periodo de validez que se ha establecido para el certificado.
  3. Realice la copia de seguridad de los archivos de certificado en una ubicación segura.
Generación y envío de un CSR
Para un certificado de carácter comodín, se debe introducir
<su_dominio>.csr
como el último argumento de este comando.
Siga los pasos siguientes:
  1. Genere una solicitud de firma de certificado (CSR):
    <instalación_servidor_OC o UIM Server>/jre/<versión_jre>/bin/keytool -certreq -alias wasp -validity <días_validez_cert> -keystore <instalación_servidor_OC o UIM Server>Nimsoft/probes/service/wasp/conf/wasp.keystore -file <su_dominio>.csr
    Se ha creado una CSR con las claves públicas que se generan mediante el algoritmo de la clave de RSA. Por lo tanto, los certificados de la autoridad de certificación deben crearse con la opción de cifrado de clave ["Allows key exchange only with key encryption" (Permite el intercambio de claves solo con el cifrado de clave)].
  2. (Opcional)
    Cree una copia de la copia de seguridad de wasp.keystore. Este paso no es obligatorio pero sí muy recomendable. En el caso de que se encontrara un problema más adelante durante la ejecución de este procedimiento, una copia de la copia de seguridad de wasp.keystore evitaría tener que repetir los pasos anteriores.
  3. Envíe la CSR a la autoridad de certificación:
    1. Pegue la CSR en el formulario web de la autoridad de certificación.
    2. Elimine cualquier carácter que se encuentre antes de
      ----BEGIN CERTIFICATE REQUEST
      y después de
      END CERTIFICATE REQUEST----
      .
Importación de los certificados
Todas las entradas del almacén de claves deben utilizar un único alias. Se debe utilizar el alias wasp para el certificado firmado o de la entidad. Si la autoridad de certificación proporciona varios certificados intermedios, cada certificado intermedio debe utilizar también un único alias.
Siga los pasos siguientes:
  1. Abra una línea de comandos del administrador en el servidor que ejecuta la OC.
    Ejecute los siguientes comandos de keytool en un símbolo del sistema en el mismo directorio que el archivo wasp.keystore, que normalmente es <
    directorio_instalación_servidor_OC o UIM Server
    >/probes/service/wasp/conf. La utilidad keytool se encuentra en el directorio donde reside JRE, normalmente <
    instalación_servidor_OC o UIM Server
    >/jre/<
    versión_jre
    >/bin/keytool.
  2. Si su autoridad de certificación proporcionaba un certificado raíz, importe el certificado raíz:
    <
    instalación_servidor_OC o UIM Server
    >/jre/<
    versión_jre
    >/bin/keytool -import -trustcacerts -alias <
    certificado_raíz
    > -file  <
    certificado_raíz
    >.cer -keystore <
    instalación_servidor_OC o UIM Server
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  3. Importe el certificado intermedio:
    <
    instalación_servidor_OC o UIM Server
    >/jre/<
    versión_jre
    >/bin/keytool -import -trustcacerts -alias <
    primer_certificado_intermedio
    > -file <
    primer_certificado_intermedio
    >.cer -keystore <
    instalación_servidor_OC o UIM Server
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  4. Repita el paso anterior según sea necesario para los certificados intermedios adicionales.
  5. Importe el certificado firmado. Este es el certificado de la entidad si se ha recibido un certificado encadenado:
    <
    instalación_servidor_OC o UIM Server
    >/jre/<
    versión_jre
    >/bin/keytool  -import  -trustcacerts  -alias wasp  -file <
    su_dominio
    >.crt  -keystore <
    instalación_servidor_OC o UIM Server
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  6. Haga clic en
    para la pregunta
    ¿Desea sobrescribir la entrada del alias wasp existente?
  7. Ejecute el comando siguiente para verificar que el archivo wasp.keystore se ha actualizado:
    <
    instalación_servidor_OC o UIM Server
    >/jre/<versión_jre>/bin/keytool -list -keystore <
    instalación_servidor_OC o UIM Server
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  8. Reinicie la sonda WASP.
Prueba de la conexión HTTPS
Los certificados autofirmados pueden provocar errores o notificaciones en algunos exploradores, como "la conexión no es privada" o "no se ha verificado la identidad de este sitio web". Se trata de mensajes normales y se pueden evitar importando el certificado en el explorador (aunque no todos los exploradores lo permiten). Para evitar estos mensajes, se debe utilizar un certificado de una autoridad certificadora.
Siga los pasos siguientes:
  1. Abra un explorador web compatible.
  2. Introduzca https:// seguido por la dirección URL de la Consola del operador o de la Consola de administración.
Si la configuración de la sonda wasp se ha modificado correctamente para que utilice HTTPS, se muestra la página de inicio de sesión.
Nota
: Haga clic en el icono de bloqueo situado a la izquierda de la dirección URL en el explorador para ver información sobre la conexión.
(Solo Consola del operador) Configuración del redireccionamiento automático de HTTP a HTTPS
Es posible configurar el redireccionamiento automático de HTTP a HTTPS siguiendo este procedimiento.
Siga los pasos siguientes:
  1. Busque los archivos
    WEB-INF/web.xml
    en la carpeta
    <instalación_servidor_OC o UIM Server>/Nimsoft/probes/service/wasp/webapps/
    y abra los archivos que se editarán.
  2. Localice el contenido siguiente:
    <security-constraint> <web-resource-collection> <web-resource-name>un restricted methods</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>NONE</transport-guarantee> </user-data-constraint> </security-constraint>
  3. Reemplace
    <transport-guarantee>NONE</transport-guarantee>
    por
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    .
  4. Guarde los archivos web.xml.
  5. Abra el siguiente archivo para editarlo:
    <OC or UIM server_Installation>\Nimsoft\probes\service\wasp\wasp.cfg
  6. Agregue las siguientes líneas antes de
    </setup>
    :
    <http_connector> redirectPort=<desired port></http_connector>
    donde
    <desired port>
    coincide con la clave https_port definida en la subsección Modificación de wasp para la utilización de HTTPS.
    Asegúrese de incluir el código de redirección en la sección
    <setup>
    .
  7. Guarde el archivo wasp.cfg.
  8. Reinicie la sonda WASP.
El modo dual (es decir, HTTP y HTTPS) no está permitido. Los administradores pueden configurar el redireccionamiento solo a HTTPS, solo a HTTP o de HTTP a HTTPS.
Establecer/activar indicador seguro para la cookie
Puede establecer/activar un indicador seguro para las cookies en la Consola de administración y en la OC:
Establecer/activar indicador seguro para la cookie en la Consola de administración
Para establecer/activar el indicador seguro para la cookie en la Consola de administración.
Siga los pasos siguientes:
  1. Abra el siguiente archivo para editarlo:
    <instalación_UIM Server>/Nimsoft/probes/service/wasp/webapps/adminconsoleapp/WEB-INF/web.xml.
  2. Quite la marca de comentario de la etiqueta < secure>
    <session-config> <session-timeout>1</session-timeout> <cookie-config> <http-only>true</http-only> <!--<secure>true</secure>--> </cookie-config> </session-config>
Establecer/activar indicador seguro para la cookie en la Consola del operador
Para establecer/activar el indicador seguro para la cookie en la Consola del operador.
Siga los pasos siguientes:
  1. Abra el siguiente archivo para editarlo:
    <OC>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-INF/web.xml.
  2. Quite la marca de comentario de la etiqueta < secure>
    <session-config> <session-timeout>1</session-timeout> <cookie-config> <http-only>true</http-only> <!--<secure>true</secure>--> </cookie-config> </session-config>
Actualizar valores de encabezado de Expect-CT
Se pueden actualizar los valores de encabezado de Expect-CT en la Consola de administración y la OC:
Actualizar valores de encabezado de Expect-CT en la Consola de administración
De forma predeterminada, Expect-CT se establece en "enforce, max-age=300" para cambiar los valores o agregar report-uri.
Siga los pasos siguientes:
  1. Vaya al archivo
    wasp.cfg
    ubicado en la siguiente ubicación:
    <instalación_UIM Server>\Nimsoft\probes\service\wasp\wasp.cfg
  2. Abra el archivo
    wasp.cfg
    en un editor de texto.
  3. En la sección webapps\adminconsole, agregue o edite los atributos de configuración en la propiedad Expect-CT-Header como se muestra a continuación
    Expect-CT-Header = enforce, max-age=300
  4. Reinicie wasp.
Actualizar valores de encabezado de Expect-CT en la Consola del operador
De forma predeterminada, Expect-CT se establece en "enforce, max-age=300" para cambiar los valores o agregar report-uri en la Consola del operador.
Siga los pasos siguientes:
  1. Vaya al archivo
    wasp.cfg
    ubicado en la siguiente ubicación:
    <instalación_servidor OC>\Nimsoft\probes\service\wasp\wasp.cfg
  2. Abra el archivo
    wasp.cfg
    en un editor de texto.
  3. En la sección webapps\operatorconsole_portlet\custom\uncrypted, agregue o edite los atributos de configuración en la propiedad Expect-CT-Header como se muestra a continuación
    Expect-CT-Header = enforce, max-age=300
  4. Reinicie wasp.
(Opcional) Acceso a CA Business Intelligence Server
Si se está utilizando CA Business Intelligence para los cuadros de mandos de UIM, se requiere configuración adicional. Para obtener más información, consulte la sección (Optional) Access CABI Server with HTTPS ((Opcional) Acceso a CA Business Intelligence Server a través de HTTPS) en CA Business Intelligence con CA UIM.
UIM 20.3.3 ha eliminado la dependencia de CA Business Intelligence (CABI) para procesar las pantallas nativas de la Consola del operador: página principal, página de vista de grupos, página de vista de dispositivos y página de vista Tecnologías de monitorización (sondas). Los cuadros de mandos y los informes personalizados y listos para usar todavía se representan mediante CABI. Es decir, tienen una dependencia de CABI. Sin embargo, las pantallas nativas de la Consola del operador ya no dependen de CABI (Jaspersoft) y se representan mediante HTML5.Para obtener más información sobre las pantallas nativas de la Consola del operador utilizando HTML5, consulte el artículo Configuración y visualización de datos de monitorización o la sección Eliminación de dependencias de CABI (Consola nativa del operador) en el artículo de UIM 20.3.3.