Cómo cifrar la comunicación con los DSA

Para cifrar la comunicación con los agentes de sistema de directorio, es necesario un certificado raíz, un certificado del agente de sistema de directorio.
cad140es
Para cifrar la comunicación con los agentes de sistema de directorio, es necesario un certificado raíz, un certificado del agente de sistema de directorio.
  1. Configure los certificados.
  2. Asegúrese de que cada DXserver conoce lo siguiente:
    • El puerto en el que escucha las solicitudes
    • La ubicación del agente de sistema de directorio y de los certificados de usuario, así como de las claves públicas y privadas
    • La ubicación del certificado raíz
    Nota
    Si está utilizando un módulo de seguridad de hardware, también se debe proporcionar la información específica del módulo de seguridad de hardware.
Cifrado de los enlaces LDAP
Se puede forzar el cifrado SSL sobre vínculos LDAP tanto para los enlaces anónimos como autenticados.
Para forzar el cifrado SSL en enlaces anónimos, incluya el siguiente comando en el archivo de configuración de los valores de configuración del agente de sistema de directorio:
set force-encrypt-anon = true | false
Cuando esta opción está activada, si un usuario intenta crear un enlace anónimo sin SSL, el agente de sistema de directorio no lo permitirá y devolverá un error de "autenticación inadecuada".
Para forzar el cifrado SSL en enlaces autenticados, incluya el siguiente comando en el archivo de configuración de los valores de configuración del agente de sistema de directorio:
set force-encrypt-auth = true | false
Cuando esta opción está activada, si un usuario intenta crear un enlace autenticado sin SSL, el agente de sistema de directorio no lo permitirá y devolverá un error de "autenticación inadecuada".
La configuración
set force-encrypt-auth
no impide que las credenciales se envíen sin cifrar por la red. Sin embargo, rechaza cualquier solicitud de enlace sin cifrar.
Nota
: Cuando se utiliza el cifrado de vínculos entre los agentes de sistema de directorio que se encuentran en el mismo equipo, no se puede utilizar el valor de configuración
trust-flags = ssl-encryption-remote
con estos comandos. En su lugar, utilice 
trust-flags = ssl-encryption
. En caso contrario, se produce un error en los agentes de sistema de directorio que se conectan entre ellos de forma local en el nivel de autenticación de contraseña no cifrada porque el vínculo no está cifrado. De forma alternativa, se puede forzar el cifrado SSL en los agentes de sistema de directorio de enrutador y se puede evitar que los clientes se conecten directamente a los agentes de sistema de directorio de datos. Utilice el comando
set disable-client-binds = true
para evitar que los clientes se conecten directamente a los agentes de sistema de directorio de datos. Esta configuración permite la utilización del valor de configuración 
trust-flags = ssl-encryption-remote
.
Configuración del DSA para actuar como cliente LDAP con cifrado SSL
Se puede configurar el cifrado SSL entre los servidores LDAP de terceros y la red troncal de CA Directory.
Los agentes de sistema de directorio de CA Directory funcionan como clientes SSL cuando actúan como clientes LDAP para comunicarse con servidores LDAP. Esto significa que los servidores LDAP no necesitan copias de la raíz del agente de sistema de directorio ni de los certificados del agente de sistema de directorio de CA Directory.
Se puede proteger la conexión utilizando el cifrado SSL mediante el uso de los siguientes pasos:
  1. Asegúrese de que se tiene acceso a una autoridad de certificación.
  2. Con la autoridad de certificación, genere certificados del servidor tanto para el servidor LDAP como para el agente de sistema de directorio y fírmelos con el certificado raíz de la autoridad de certificación.
  3. Configure CA Directory y el servidor LDAP para que confíen en la autoridad de certificación importando el certificado de raíz.
  4. Configure CA Directory y el servidor LDAP para utilizar el certificado del servidor firmado por la autoridad de certificación para las operaciones SSL.
  5. Configure CA Directory para conectarse al servidor LDAP.
  6. Pruebe que todo está funcionando correctamente tal y como se muestra a continuación:
    1. Inicie el servidor LDAP.
    2. Inicie el agente de sistema de directorio.
    3. Verifique que se está utilizando SSL mediante el siguiente comando en una consola del agente de sistema de directorio:
    trace x500;
    Las operaciones SSL ahora tienen el prefijo 
    (SSL)
    .