Transmisión segura de certificados

Con nuevos problemas de seguridad que se aparecen diariamente, las organizaciones entienden la importancia de que los productos tengan un mecanismo de seguridad eficaz. UIM 20.3.3 ha mejorado aún más su seguridad al permitir la transferencia sin problemas de los certificados de un
concentrador a un robot
en un canal seguro.Ahora ya no es necesario arrastrar y soltar manualmente los certificados de un concentrador a un robot al utilizar el bus seguro. El proceso completo se realiza de forma automática sin ninguna intervención manual, lo que garantiza que la comunicación sea segura y que no se manipulen los datos.
Revise el artículo Robot y concentrador seguros que contiene el flujo completo de protección del entorno. La transmisión segura de los certificados es uno de los pasos implicados en el proceso general.
La siguiente ilustración describe el proceso de transferencia de certificados:
Los siguientes temas proporcionan la información detallada:
2
En un nivel alto, se crea un archivo de lista blanca que contiene los robots de destino que apuntan a un concentrador específico. A continuación, se configura el archivo hub.cfg. En función de la configuración del concentrador y del archivo de lista blanca, los certificados se transfieren a los robots de destino a través de un canal seguro.El concentrador lee el archivo de lista blanca cada minuto.
Consideraciones
Revise las siguientes consideraciones:
  • Los túneles deben estar configurados en el entorno.
  • Se deberá implementar la última versión de la sonda distsrv o ADE (disponibles con UIM 20.3.3).
  • Esta funcionalidad es aplicable a los paquetes del robot y del concentrador que se publican con UIM 20.3.3.
  • Si un robot específico no está en línea, la transferencia del certificado no se realiza en ese robot.
  • La transferencia del certificado no funciona en el caso de los robots pasivos.
  • El servidor de túnel actúa como una autoridad de certificación (CA).
  • Se puede crear un archivo de lista blanca manualmente o se puede utilizar una devolución de llamada.
Creación del archivo de configuración de la lista blanca
Cree el archivo de configuración de la lista blanca, robots_certs_details.cfg, en la ubicación ..\Nimsoft\hub\changes. En este archivo, agregue la lista de robots a los que desea transferir los certificados. Los robots deben señalar al concentrador desde el que se desea transferir los certificados.El concentrador correspondiente lee este archivo para determinar los robots a los que transferirá los certificados. Se debe agregar este archivo a todos los concentradores necesarios.El concentrador lee el archivo cada minuto.
También se puede utilizar una devolución de llamada para crear el archivo de lista blanca. La devolución de llamada crea el archivo, agrega la información del robot y lo coloca en la carpeta changes. La devolución de llamada realiza estas tareas automáticamente. Sin embargo, solo se puede agregar una entrada de robot al mismo tiempo si se está utilizando la devolución de llamada.Para obtener más información, consulte Uso de una devolución de llamada para crear un archivo de lista blanca.
Siga los pasos siguientes:
  1. Vaya a la ubicación ..\Nimsoft\hub\. Este es el concentrador desde el que desea transferir los certificados a los robots de destino que lo están señalando.
  2. Cree una nueva carpeta llamada "changes" en la carpeta ..\Nimsoft\hub\.
  3. Vaya a la carpeta changes.
  4. Cree el archivo robots_certs_details.cfg con la siguiente información en la carpeta changes:
    <certs> <robotname> name=robot_name_ABC commonName=10.xx.xxx.xx expiry_in_days=6 location=<keep_blank> deployed=no </robotname> </certs>
    Agregue la información para todos los robots de destino.
  5. Revise los parámetros:
    • name: Especifica el nombre del robot al que desea transferir los certificados.Este robot señala al mismo concentrador.
    • commonName: Especifica la dirección IP del robot de destino.
    • expiry_in_days: Especifica la caducidad del certificado.Si lo deja en blanco, se considera la caducidad predeterminada (un año).
    • location: Especifica la ubicación en la que se almacena el archivo de certificado generado (<nombre_robot>.pem).En esta etapa, este parámetro está vacío porque el proceso de transferencia del certificado todavía no se ha iniciado.
    • deployed: Especifica el estado de la implementación del certificado en el robot de destino. El valor predeterminado es
      no
      , lo que implica que no se ha realizado la implementación. Una vez que el certificado se implementa correctamente, el valor se cambia automáticamente a
      .
  6. Guarde los cambios realizados.
Se ha creado correctamente el archivo de lista blanca. Siga el mismo proceso para crear los archivos para otros concentradores.
Uso de una devolución de llamada para crear el archivo de lista blanca
Si no desea crear manualmente el archivo de lista blanca, puede utilizar una devolución de llamada para crearlo. Sin embargo, solo se puede agregar un robot al mismo tiempo si se está utilizando la devolución de llamada.
Siga los pasos siguientes:
  1. Abra la utilidad de sonda (pu) para el concentrador (cliente de túnel o servidor de túnel). Asegúrese de que los robots a los que desea transferir los certificados apuntan a este concentrador.
  2. Seleccione la devolución de llamada secure_transmission_add_robot_to_certs_whitelist de la lista desplegable.
  3. Introduzca la siguiente información:
    1. robotName: Especifique el nombre del robot de destino al que desea transferir el certificado. Este robot debe señalar al concentrador donde se está ejecutando esta devolución de llamada.
    2. commonName: Especifique la dirección IP del robot de destino.
    3. expiry_in_days: Especifique el número de días después del cual es posible que el certificado caduque.Si no proporciona ningún valor, se usa la caducidad predeterminada (1 año).
  4. Ejecute la solicitud de comando.
El archivo de lista blanca robots_certs_details.cfg se crea en la carpeta ..\Nimsoft\hub\changes. El siguiente fragmento de código muestra un ejemplo del archivo generado:
<certs> <robotname> name=robotname_ANC commonName=10.xx.xxx.xx expiry_in_days=10 location= deployed=no </robotname> </certs>
Se ha creado correctamente el archivo de lista blanca. Siga el mismo proceso utilizado para crear los archivos de lista blanca para otros concentradores.Tenga en cuenta que el valor implementado sigue siendo no porque no se ha completado la transferencia. Del mismo modo, tenga en cuenta que el campo de ubicación está en blanco porque el certificado todavía no se ha transferido.
Configuración del archivo hub.cfg
Después de crear el archivo de lista blanca, configure el archivo hub.cfg para activar la transmisión segura de los certificados.Debe realizar esta configuración para todos los concentradores del dominio que desee utilizar para transferir los certificados.El proceso para transferir los certificados de forma segura se iniciará solo después de completar esta configuración.
Siga los pasos siguientes:
  1. Vaya al archivo ..\Nimsoft\hub\hub.cfg.
  2. Abra el archivo y agregue los siguientes parámetros:
    • enable_secure_cert_transmission: Especifica si se desea activar el proceso de transferencia de los certificados de un concentrador al robot a través de un canal seguro. Para hacerlo, agregue el valor
      yes
      .
    • get_all_robots_certs: Especifica si se desea transferir los certificados a todos los robots que están apuntando al concentrador o solamente a los que ya aparecen en el archivo de lista blanca. El valor predeterminado es
      no
      , lo que implica que el archivo de lista blanca se utiliza para identificar los robots de destino. Si se cambia el valor a
      yes
      , el certificado se transfiere a todos los robots que apuntan a ese concentrador, anulando el archivo de lista blanca.
  3. Guarde los cambios.
Se ha configurado correctamente el archivo hub.cfg.
Una vez configurado el archivo hub.cfg, el proceso de transferencia se inicia y realiza las siguientes tareas:
  • Los siguientes archivos se agregan a la carpeta ..\Nimsoft\hub\robots_certs del concentrador:
    • <nombre_robot>.pem
    • robots_certs_details.cfg
      Este archivo se crea en función del archivo de lista blanca que se coloca en la carpeta ..\Nimsoft\hub\changes\.Después de la creación de este archivo, el archivo de lista blanca se elimina de la carpeta ..\Nimsoft\hub\changes\.Cualquier modificación que se hace en el archivo ..\Nimsoft\hub\changes\robots_certs_details.cfg se añade al archivo ya creado ..\Nimsoft\hub\robots_certs\robots_certs_details.cfg.
    • robots_certs_details.cfx
  • Los parámetros siguientes se agregan o actualizan en el archivo ..\Nimsoft\hub\robots_certs\robots_certs_details.cfg:
    • password: Especifica una contraseña cifrada y generada aleatoriamente.
    • location: Especifica la ubicación en la que se almacena el archivo de certificado generado (<nombre_robot>.pem). Por ejemplo,
      location = robots_certs/<nombre_robot>.pem
      .
    • deployed: Actualiza el valor a yes.
  • Los certificados se transfieren a los robots enumerados. El archivo .pem de los certificados se copia en la carpeta de destino ..\Nimsoft\robot\certs:
    • <nombre_robot>.pem
  • El archivo robot.cfg se actualiza con la ubicación de los certificados:
    • proxy_private_key=robot/certs/<nombre_robot>.pem
    • proxy_ca_location= robot/certs/<nombre_robot>.pem
    • proxy_cert=robot/certs/<nombre_robot>.pem
    • proxy_private_key_password=/123456ZO7/0134QVSRf4
  • El archivo hub.cfg agrega el parámetro robot_certs_issuing_hub. Este parámetro muestra el concentrador que está emitiendo los certificados para los robots de destino. Por ejemplo,
    robot_certs_issuing_hub=/<nombre_dominio>/<nombre_concentrador>/<nombre_robot>
Verificación de la transmisión segura de certificados
Cuando el archivo hub.cfg se configura adecuadamente, se inicia el proceso de transferencia y se colocan los certificados en las ubicaciones necesarias. Se puede verificar si la transferencia se ha producido correctamente.
Siga los pasos siguientes:
  1. Abra el archivo ..\Nimsoft\hub\robots_certs_details.cfg.
  2. Localice el valor del parámetro
    deployed
    .
    • Si el valor es
      yes
      , significa que los certificados se han transferido correctamente a los robots de destino.
    • Si el valor es
      no
      , significa que los certificados no se han implementado correctamente.
Se ha verificado correctamente el estado.
Recuperación de la información del archivo de lista blanca
Se puede recuperar la información del archivo de lista blanca. Por ejemplo, se pueden obtener todos los robots que forman parte del archivo de lista blanca.
Siga los pasos siguientes:
  1. Abra la utilidad de sonda (pu) para el concentrador (cliente de túnel o servidor de túnel).
  2. Seleccione la devolución de llamada secure_transmission_get_robot_certs_whitelist de la lista desplegable.
  3. Ejecute el comando.
    Si desea obtener la información de un robot específico, se puede introducir el nombre del robot en el campo.
    Se recupera toda la información que se incluye en el archivo de lista blanca.
  4. Revise la información.
Uso de las API de uimapi
También se puede utilizar el último paquete de uimapi que se ha publicado con UIM 20.3.3 para realizar estas tareas:
  • Recuperación de la información del certificado del robot del archivo de lista blanca.
  • Adición de la información del certificado del robot al archivo de lista blanca.
Recuperación de la información del certificado del robot del archivo de lista blanca
Se puede utilizar este procedimiento para obtener la información del certificado del robot desde el archivo de lista blanca de un concentrador específico.
Siga los pasos siguientes:
  1. Acceda a uimapi.
  2. Expanda la sección hubs (concentradores).
  3. Localice y expanda el siguiente punto final:
    GET /hubs/{domain}/{hub}/{robot}/robotcertswhitelist
  4. Introduzca la siguiente información:
    1. domain: Especifica el nombre del dominio.
    2. hub: Especifica el concentrador que está relacionado con el archivo de lista blanca.
    3. robot: Especifica el nombre del robot del concentrador.
    4. (Opcional) robotname: Especifica el nombre del robot específico para el que se desea obtener la información del certificado del archivo de lista blanca.
  5. Ejecute la API.
    La respuesta se genera e incluye la información sobre los certificados del robot.
Adición de la información del certificado del robot al archivo de lista blanca
Se puede utilizar este procedimiento para agregar la información del certificado del robot al archivo de lista blanca de un concentrador específico.
Siga los pasos siguientes:
  1. Acceda a uimapi.
  2. Expanda la sección hubs (concentradores).
  3. Localice y expanda el siguiente punto final:
    POST /hubs/{domain}/{hub}/{robot}/robotcertswhitelist
  4. Introduzca la siguiente información:
    1. domain: Especifica el nombre del dominio.
    2. hub: Especifica el concentrador que está relacionado con el archivo de lista blanca.
    3. robot: Especifica el nombre del robot del concentrador.
    4. robotCert: Especifica la carga que contiene el nombre del robot, el nombre común y la caducidad del certificado en días.
      <RobotCert> <commonName>10.xx.xxx.xxx</commonName> <expiry_in_days>3</expiry_in_days> <robotName>ANC</robotName> </RobotCert>
  5. Ejecute la API.
    Se genera la respuesta y el certificado del robot se agrega al archivo de lista blanca. El resto de los pasos restantes del proceso se siguen de la misma manera.