Deberá obtener un certificado SSL en estas situaciones:
•Si tiene dispositivos Android o iOS que desee conectar con Avalanche, debe tener un certificado SSL. La conexión de dispositivos iOS también requiere un certificado APNS para dispositivos iOS.
•Si desea asegurar la conexión entre la consola de Avalanche (un navegador web) y el servidor web de Avalanche. Este paso es opcional. Si no utiliza un certificado SSL con el servidor web, se conectará al navegador y a los dispositivos mediante Hypertext Transfer Protocol (HTTP), que no está cifrado.
•Si desea asegurar la conexión entre el servidor de control remoto de Avalanche y el Visor de control remoto. Este paso es opcional. La conexión entre el servidor y los dispositivos se asegura automáticamente mediante PSK y no es necesario un certificado SSL.
Cuando utiliza Avalanche con un certificado SSL para una conexión segura, es recomendable que compre un certificado a través de una autoridad de certificación independiente (como Verisign). Si instala el servidor web de Avalanche, el servidor de dispositivos inteligentes o el de control remoto en sistemas diferentes, necesitará un certificado comodín o un certificado para cada sistema en el que instale dichos componentes de Avalanche.
Estas instrucciones explican cómo manipular certificados mediante OpenSSL. Ivanti no incluye OpenSSL con Avalanche. Los archivos de instalación se pueden encontrar en la página web de OpenSSL. Si desea utilizar una herramienta diferente, consulte la guía del usuario de dicha herramienta para conocer el proceso de creación de una solicitud de certificado o de un certificado autofirmado.
Consulte las secciones siguientes para obtener información sobre cómo configurar los certificados SSL para Avalanche:
Estas instrucciones explican cómo generar una solicitud de firma del certificado mediante OpenSSL. Ivanti no incluye OpenSSL con Avalanche ni lo instala por usted.Puede encontrar una versión de OpenSSL que funciona con Windows a través de la página web de OpenSSL.
Ivanti recomienda utilizar un certificado firmado por una autoridad de certificación. Utilizar una autoridad de certificación como Verising informa a los clientes de que la información de su servidor ha sido verificada por una fuente de confianza y que es auténtica.
Ivanti recomienda que haga copias de seguridad de todos los archivos de certificados después de implementar su certificado.
Para generar una clave privada para el certificado:
1.Desde una línea de comandos, busque:
[Directorio de instalación de OpenSSL ]bin
2.Utilice el comando:
openssl genrsa -des3 -out privateKey.key 2048
3.Cuando aparezca la indicación Introducir contraseña para privateKey.key, escriba la contraseña. Cuando se solicite, introduzca de nuevo la contraseña. La contraseña es arbitraria y se debe anotar para usarla en referencias futuras.
Si aparece el mensaje "AVISO: no se puede abrir el archivo config: /usr/local/ssl/openssl.cfg", deberá ajustar la ubicación del archivo de configuración. Desde la línea de comandos, utilice el comando siguiente: set OPENSSL_CONF=[Directorio de instalación de OpenSSL]\bin\openssl.cfg
Si aún así OpenSSL creó el archivo privateKey.key, elimínelo. A continuación, repita los pasos 2 y 3.
5.En las peticiones, introduzca toda la información necesaria. Para el nombre común, introduzca el nombre de dominio completo del equipo en el que desee instalar el certificado. El nombre de dominio que utilice debe ser el que tenga su empresa. Agregue una entrada DNS si es necesario para resolver este equipo.
El siguiente es un ejemplo para generar un CSR:
País (código de 2 letras) [GB]:Estado de EE. UU. o Provincia (nombre completo) [Some-State]:Utah Ciudad (ej., ciudad) [Newbury]:Midvale Nombre de la empresa (ej., empresa) [Mi Empresa SA]:Wavelink Corporation Unidad organizativa (p- ej.: sección) []:Ingeniería Nombre común (p. ej.: su nombre o el nombre de host del servidor) []:avaself.wavelink.com Dirección de correo electrónico []:[email protected] Introduzca los siguientes atributos adicionales para enviarlos con la solicitud de certificado Contraseña de comprobación []: avalanche Nombre de empresa opcional []: Wavelink Corporation
Pasos Siguientes
Para solicitar un certificado de servidor web SSL a una autoridad de certificación, envíe el archivo CACert.csr que se genera durante el proceso.
Después de volver a recibir el certificado de la autoridad de certificación, importe la clave privada al Archivo de certificado y expórtelo como archivo PKCS #12.
Para utilizar un certificado SSL con la consola de Avalanche, control remoto o el servidor de dispositivos inteligentes, éste debe estar en formato PKCS #12 e incluir la clave privada. Aunque la autoridad de certificación le haya dado un archivo .p12, deberá importar la clave privada al archivo .p12 antes de poder utilizarla con Avalanche.
En que privateKey.key es el nombre de la clave que usted creó (antes de crear el CSR o cuando generó un certificado autofirmado), y ca.pem es el nombre del certificado que va a convertir.
Si envió una solicitud de firma de certificado a una autoridad de certificación y le enviaron la cadena de certificados por separado del certificado, agregue -certfile intcert.crt al final del comando, donde intcert.crt es el nombre del certificado intermedio.
3.Introduzca la contraseña asociada a la clave privada. Los certificados autofirmados creados mediante el comando que se da en Crear un certificado autofirmado no solicitarán una contraseña.
4.Introduzca una contraseña de exportación. Verifique otra vez la contraseña de exportación.
El archivo PKCS #12 se crea en el directorio de instalación de OpenSSL.
Después de obtener un certificado SSL, impórtelo a Avalanche mediante la Consola, de manera que el servidor de dispositivos inteligentes lo pueda utilizar.
El certificado tiene que tener el formato PKCS #12. Si el certificado tiene un formato diferente, conviértalo antes a PKCS #12.
Para completar la instalación:
1.En la consola de Avalanche, busque Herramientas > Configuración del sistema.
2.En la sección de Configuración HTTPS, haga clic en Añadir.
3.Localice el archivo certificate.p12 y haga clic en Abrir.
4.Introduzca la frase de contraseña asociada al certificado. Cuando introduzca la frase de contraseña correcta, se visualizará el nombre común en el cuadro de texto Dirección pública SDS.
5.Si el certificado es un certificado comodín (utiliza un * en el nombre común), escriba la dirección del servidor en el cuadro de texto Dirección pública SDS.
6.Haga clic en Guardar, en la parte superior derecha de la página.
7.Lleve a cabo una implementación desde Mi empresa.
Una vez configurado el certificado APNS, la clave GCM y el certificado SSL, se activará la comunicación entre los dispositivos inteligentes y el servidor de dispositivos inteligentes y podrá inscribir dispositivos. Deberá importar las licencias antes de intentar conectar los dispositivos. Para obtener información sobre cómo obtener licencias, consulte Licencias. Para obtener información sobre la conexión de dispositivos, consulte Conectar dispositivos al servidor Avalanche.
Cuando ya dispone de un certificado PKCS #12, puede configurar el servidor web de Avalanche, Tomcat, para utilizar el tráfico cifrado entre la consola y el servidor. Esto requiere que modifique el archivo server.xml y reinicie el servidor Tomcat.
Para activar SSL para Tomcat:
1.Busque
[Directorio de instalación de Avalanche]\Wavelink\Avalanche\apache-tomcat-7.0.35\conf
y abra el archivo server.xml con un editor de texto como Notepad.
Donde el valor keystoreFile es la ruta hasta el certificado, y el valor keystorePass es la contraseña que introdujo cuando creó el certificado. En la ruta que va al certificado, utilice barras diagonales.
5.Guarde los cambios realizados en el archivo.
6.Reinicie el servicio Tomcat.
Cuando se ha generado un certificado, activado SSL para Tomcat y reiniciado el servidor Tomcat, se puede acceder a la consola Web mediante una conexión HTTPS.
Para acceder a la consola web a través de una conexión segura:
•En el campo de la dirección del navegador, escriba:
https://[Nombre DNS o dirección IP de Avalanche]:8443/AvalancheWeb
Si elige utilizar certificados autofirmados para ajustar un entorno de demostración, consulte Crear un certificado autofirmado para obtener más información sobre los certificados autofirmados. Ivanti recomienda utilizar un certificado de una autoridad de certificación para un entorno de producción.
Crear una solicitud de certificado para una autoridad de certificación