Administrar certificados SSL

Cree, descubra y almacene certificados SSL en el repositorio centralizado de Password Manager Pro (PMP). Realice solicitudes de nuevos certificados y adiciones de dominio a los certificados existentes. Recibe notificaciones cuando los certificados están a punto de caducar, para ayudarle con su renovación oportuna. 

Utilice Password Manager Pro para:

  1. Cree, descubra o importe certificados autofirmados o emitidos por CA en la red.
  2. Generar solicitud de firma de certificado (CSR).
  3. Agregue solicitudes de nuevos certificados o agregue un subdominio a un certificado existente.
  4. Reciba notificaciones cuando los certificados estén a punto de caducar.

(Aplicable desde PMP compilación 10404 a 11000)
Requisito previo:

PMP realiza el descubrimiento de certificados SSL y la implementación de certificados SSL iniciando una conexión remota a las máquinas de destino. Para permitir que PMP haga eso, complete los pasos a continuación:

1. Descargue la carpeta .zip desde este enlace y extraiga el archivo remcom.exe de la carpeta .zip.
2. Copie y pegue el archivo remcom.exe en el directorio /bin .

Desde PMP build 11000 en adelante, las funciones mencionadas anteriormente funcionarán sin el archivo remcom.exe .

Pasos para administrar certificados SSL

  1. Descubrimiento de certificados en su red
    1.1 Descubrimiento de certificados SSL a pedido
    1.2 Descubrimiento de certificados SSL de servidores SMTP
    1.3 Descubrimiento de certificados SSL implementados en balanceadores de carga
    1.4  Descubrimiento de certificados SSL desde una ruta de directorio compartida
    1.5 Descubrimiento de certificados SSL usando el agente KMP
    1.6 Descubrimiento automático de certificados SSL a través de programaciones
    1.7 Descubrimiento de certificados SSL alojados en AWS (ACM e IAM)
    1.8 Descubrimiento de certificados asignados a cuentas de usuario en Active Directory
  2. Creación de certificados autofirmados
  3. Generación
    de RSC 3.1 Gestión de la RSC
  4. Firma de certificados
    4.1 Autoridad de certificación de
    Microsoft 4.2 CA de Microsoft con agente
    4.3 Firmar con CA raíz
    4.4 Renovación automática
  5. Certificados de importación y exportación
  6. Renovación de certificado
  7. Edición y eliminación de certificados
  8. Solicitudes de certificado
    8.1 Agregar solicitud de certificado
    8.2 Estado de
    la solicitud de certificado 8.3 Terminar el ciclo de vida de la solicitud de certificado
  9. Personalización del programa de notificación de caducidad
  10. Seguimiento de la caducidad del dominio a través de la búsqueda de WHOIS
  11. Grupo de certificados SSL
    11.1 Creación de grupos de certificados
    11.2 Edición de grupos de certificados
    11.3 Eliminación de grupos de certificados

1. Descubrimiento de certificados en su red

Puede descubrir automáticamente todos los certificados disponibles en su red utilizando Password Manager Pro, independientemente de la CA. Puede descubrir los certificados en cualquier momento según sea necesario o periódicamente según las tareas programadas. Las opciones de descubrimiento son bastante flexibles: puede descubrir certificados de un solo servidor o de varios servidores, y de varios puertos, de una sola vez.

1.1 Descubrimiento de certificados SSL bajo demanda

Para descubrir los certificados manualmente:

  1. Vaya a  Certificados >> Descubrimiento >> Certificados .
  2. Seleccione una opción para el tipo de descubrimiento.
  3. Nombre de host/dirección IP : ingrese el nombre o la dirección IP del servidor desde el cual se descubrirán los certificados SSL.
  4. Rango de direcciones IP : especifique un rango de IP y descubra todos los certificados SSL disponibles en los servidores que se encuentran dentro del rango.
  5. Desde archivo : si tiene una lista de los servidores en los que los certificados están disponibles en su red guardados como un archivo de texto, se puede cargar directamente y se pueden descubrir todos estos certificados.
  6. Subred : use esta opción para descubrir recursos de subredes específicas dentro de un rango de IP.
  7. En el descubrimiento de nombre de host SSL, si desea que el nombre de host se resuelva en una dirección IP específica, proporcione la dirección IP después del nombre de host separada por dos puntos (:) como se muestra a continuación:
    ejemplo.com:172.168.203.56.
    También se puede proporcionar el mismo formato en Desde el descubrimiento de archivos .

Nota: El archivo que se importará debe ser un archivo de texto que contenga el nombre de host o las direcciones IP de los servidores individuales, ingresados ​​en líneas separadas. Ingrese los puertos para escanear en cada servidor, separados por un espacio, ingresados ​​en líneas separadas como se ilustra en la siguiente tabla. Si no especifica ningún puerto, se descubrirán los certificados SSL que utilicen el puerto predeterminado 443.


0.0.0.0

6565

prueba-nombre de usuario-10

443

192.168.20.20 7272

  1. Para el descubrimiento masivo utilizando el rango de direcciones IP y las opciones de subred, hay un  campo Excluir dirección IP  que le permite excluir recursos específicos para que no se descubran. Especifique las direcciones IP de los recursos que deben excluirse uno debajo del otro. 
  2. Especifique valores para las opciones Tiempo de espera y Puerto.
    1. Tiempo de espera: se refiere a la cantidad de segundos que la aplicación intenta descubrir los certificados (cada uno). El valor predeterminado es 5 segundos.
    2. Puerto: se refiere al puerto en el terminal final utilizado para la comunicación SSH. El puerto 443 se usa de forma predeterminada para los certificados SSL.
  3. Notas:

    1. Puede especificar varios puertos separados por comas para el descubrimiento de certificados SSL en una única instancia de descubrimiento.
    2. Durante el descubrimiento de SSL o al agregar certificados manualmente al repositorio de PMP, puede excluir certificados específicos proporcionando sus detalles (nombre común y número de serie) en  Admin >> Certificados SSL >> Certificados excluidos . El certificado especificado se excluirá de la importación al depósito de certificados PMP durante el descubrimiento o la adición manual.
  4. Seleccione la  casilla de verificación Omitir configuración de proxy  para omitir la configuración del servidor proxy si la ha habilitado en  Configuración de administrador . Si se selecciona esta opción, Password Manager Pro omitirá el servidor proxy y realizará directamente la detección de certificados en línea. La opción de omitir el servidor proxy está disponible para el descubrimiento de certificados SSL utilizando  los modos de nombre de host/dirección IP, rango de direcciones IP, desde archivo  y  subred  Además, también puede omitir el servidor proxy durante el descubrimiento de certificados programado.
  5. Haz clic en Descubrir . Se le redirigirá a la  página Estado de descubrimiento donde se actualiza el estado de la instancia de descubrimiento actual.

1.2 Descubrimiento de certificados SSL de servidores SMTP

Puede descubrir los certificados SSL utilizados por los servidores de correo presentes en su red y consolidarlos en el depósito de certificados centralizado de Password Manager Pro. Para realizar el descubrimiento de certificados del servidor de correo:

  1. Vaya a Certificados >> Detección >> Certificado de servidor de correo .
  2. Proporcione el nombre de host/dirección IP desde la que se descubrirá el certificado y especifique el número de puerto. Puede especificar varios valores de puerto separándolos con comas.
  3. Haz clic  en Descubrir . En el descubrimiento exitoso, los certificados se obtienen de los recursos especificados y se agregan al repositorio de Password Manager Pro.

1.3 Descubrimiento de certificados SSL implementados en balanceadores de carga

Password Manager Pro le permite descubrir certificados SSL implementados en balanceadores de carga, dentro de su red, y consolidarlos en su repositorio seguro y centralizado. A partir de ahora, Password Manager Pro solo admite el descubrimiento de certificados de balanceadores de carga basados ​​en Linux (es decir, Nginx, F5, etc.) y el proceso se canaliza a través de SSH. Para realizar el descubrimiento de certificados del equilibrador de carga:

  1. Vaya a  Certificados >> Detección >> Equilibrador de carga .
  2. Especifique el  nombre del servidor, el puerto, el nombre de usuario, el tipo de credencial, la contraseña  y la ruta .
  3. Puede optar por una autenticación basada en clave para recursos sin contraseña eligiendo la  opción Seleccionar clave . Cargue la clave privada asociada con la cuenta de usuario requerida y especifique la frase de contraseña de la clave.
  4. Seleccione un tipo de equilibrador de carga en el menú desplegable. Password Manager Pro admite tres tipos de detección de Load Balancer:  General, BIG-IP F5   y  Citrix . Puede realizar el descubrimiento de tipos de Citrix de dos maneras: usando los comandos CLI y usando la API REST. 
  5. Una vez que haya proporcionado las credenciales de usuario, especifique la ruta a la carpeta en el servidor desde donde se deben descubrir los certificados.
  6. La  opción de la lista de certificados Descubrir  obtiene todos los certificados disponibles en la ruta especificada y lo ayuda a elegir los certificados que desea descubrir e importar.
  7. Para descubrir los balanceadores de carga de Citrix, haga lo siguiente:
    1. Elija el tipo como  General , ingrese la ruta del balanceador de carga de Citrix y haga clic en  Descubrir .
    2. En caso de que eso no funcione, elija el tipo como  Citrix,  ingrese la ruta e intente nuevamente.  
    3. Si los dos métodos anteriores fallan, elija el tipo como  Citrix , seleccione la casilla de verificación  Usar API REST (de manera predeterminada, PMP usa comandos CLI para descubrir y obtener certificados),  ingrese la ruta y haga clic en  Descubrir.
  8. Los certificados se descubren e importan con éxito en el repositorio de certificados centralizado de Password Manager Pro. Puede verlos desde la  pestaña Certificados . La opción de la lista de certificados Descubrir obtiene todos los certificados disponibles en la ruta especificada y lo ayuda a elegir los certificados que desea descubrir e importar.
  9. Los archivos de certificado con las extensiones .keystore y .pfx no se importan automáticamente al repositorio de certificados; requieren que se proporcionen sus frases de contraseña para poder importarlas a Password Manager Pro. Para importar estos archivos, haga clic en  JKS/PKCS en la esquina superior derecha de la ventana. En la ventana que aparece, elija los archivos de certificado que desea importar y haga clic en  Importar en el menú superior. En la ventana emergente que se abre, proporcione la(s) frase(s) de contraseña del archivo y vuelva a hacer clic en  Importar .
  10. Los archivos de certificado elegidos se importan correctamente y se agregan al repositorio de certificados de Password Manager Pro.
  11. Nota:  Durante el descubrimiento del equilibrador de carga basado en la API REST de Citrix, las credenciales de usuario que proporcione deben tener suficientes permisos para leer archivos y para acceder a la API REST. Por lo tanto, para garantizar el éxito del descubrimiento, se recomienda que proporcione las credenciales de una cuenta que tenga la función de superadministrador.

1.4 Descubrir certificados SSL desde una ruta de directorio compartida

Password Manager Pro le permite descubrir certificados SSL que se guardan en una ruta de directorio compartida dentro de su red y consolidarlos en su repositorio seguro y centralizado. Con esta opción, puede descubrir todos los archivos de certificados guardados en una carpeta en particular y luego agregar todos los certificados al repositorio o elegir los que desea importar. Durante el proceso de descubrimiento, Password Manager Pro escaneará solo la carpeta especificada en la ruta y ningún otro lugar en la máquina de destino.

Siga los pasos a continuación para descubrir e importar certificados SSL desde una ruta de directorio compartida:

  1. Navegue a Certificados >> Descubrimiento >> Ruta compartida. Elija  Windows  o  Linux/Mac OS  en el   menú desplegable Tipo .
  2. Para  ventanas :
    1. Ingrese el  nombre del servidor  de la máquina de destino donde reside la ruta compartida; deje este campo vacío si está ingresando una ruta de directorio desde su máquina local. 
    2. Seleccione la casilla de verificación para  usar las credenciales de la cuenta de servicio de Password Manager Pro para la autenticación  o proporcione un nombre de usuario y una contraseña.
    3. Especifique la ruta del directorio de la máquina de destino. Ejemplo: D:\rutacompartida\rutasubcompartida.
  3. Para  SO Linux/Mac :
    1. Ingrese el  nombre del servidor  de la máquina de destino donde reside la ruta compartida, el puerto y el nombre de usuario. 
    2. Para la autenticación, elija la   opción Contraseña e ingrese la contraseña directamente o elija la   opción Seleccionar clave y cargue una clave privada con su frase de contraseña para la autenticación basada en clave SSH.
    3. Especifique la ruta del directorio de la máquina de destino. Ejemplo: \home\test\shared.
  4. Haga clic en la   opción Descubrir lista de certificados para obtener todos los certificados disponibles en la ruta especificada. De esta lista, elija los certificados que necesita y haga clic en  Descubrir . Si no elige ningún archivo específico, se importarán todos los archivos de certificado que se encuentren en la ruta compartida.
  5. Los archivos de certificado con extensiones .keystore y .pfx se agrupan por separado en la  opción JKS/PKCS  en la esquina superior derecha. Para importar estos certificados, haga clic en  JKS/PKCS , elija los archivos de certificado que desea importar, proporcione la frase de contraseña del archivo y haga clic en  Importar .

Para comprobar el estado del descubrimiento, haga clic en la   pestaña Auditoría de descubrimiento .

Nota:  Los archivos de certificado que superen los 30 KB de tamaño no se importarán durante esta operación de descubrimiento.


1.5 Descubrimiento de certificados SSL utilizando el agente KMP

Puede descubrir los certificados SSL implementados en su red utilizando el agente KMP directamente desde la interfaz web de Password Manager Pro. Esta funcionalidad le permite descargar e implementar el agente de Windows de KMP en los sistemas de destino. También le permite descubrir e importar los certificados de esos sistemas a un repositorio de certificados centralizado directamente desde la interfaz web de Password Manager Pro. Los servidores en los que se implementa el agente están conectados al servidor de Password Manager Pro a través de una conexión HTTPS segura.

Descubrir certificados a través del agente KMP es útil en los siguientes escenarios:

  1. Cuando las credenciales administrativas de los servidores de destino necesarios para realizar la operación de descubrimiento no están disponibles en el servidor de Password Manager Pro.
  2. Cuando tenga que descubrir los certificados de servidores a los que Password Manager Pro no tiene acceso directo, por ejemplo, los servidores en zonas desmilitarizadas (DMZ). En tales casos, el agente generalmente se instala en un servidor de salto intermedio que tiene permiso para acceder a los servidores remotos y pasar la información requerida al servidor de Password Manager Pro.

Para descubrir los certificados SSL mediante el agente KMP, primero debe descargar e instalar el agente. Siga los pasos a continuación:

Pasos para realizar el descubrimiento de certificados SSL a través del agente KMP:

  1. Vaya a Certificados >> Detección >> Agente .
  2. Elija el tipo de descubrimiento que desea realizar : basado en dominio, almacén de certificados o certificados emitidos por la autoridad de certificación de Microsoft.
  3. Seleccione el agente requerido del menú desplegable para realizar la operación.
  4. Si el agente está ocupado, espere y vuelva a intentarlo después de un tiempo.
  5. Para el descubrimiento de CA de Microsoft , puede optar por excluir los certificados caducados/revocados o realizar un descubrimiento en función de la fecha de emisión o la plantilla del certificado utilizando los filtros proporcionados.
  6. Haz clic en Descubrir .

Los certificados se descubren desde los servidores en los que está instalado el agente y se importan al repositorio de certificados de Password Manager Pro.

1.5.1 Descubrir certificados SSL desde una ruta de directorio en una máquina remota

Password Manager Pro le permite descubrir certificados SSL que se guardan en una ruta de directorio en una máquina remota a la que no puede acceder directamente el servidor de Password Manager Pro; esto se logra a través del agente KMP. Una vez que se descubren los certificados, puede consolidarlos en el repositorio centralizado de PMP. Con esta opción, puede descubrir todos los archivos de certificados guardados en una carpeta en particular y agregar todos los certificados al repositorio o seleccionar solo los que necesita. Durante el proceso de descubrimiento, el agente de KMP escaneará solo la carpeta especificada en la ruta y ningún otro lugar en la máquina de destino.

Siga los pasos a continuación para descubrir e importar certificados SSL desde una ruta de directorio en una máquina remota:

  1. Vaya a Certificados >> Descubrimiento >> Agente  y elija  Directorio  como tipo de descubrimiento.
  2. Seleccione un agente del menú desplegable.
  3. Especifique la ruta del directorio de la máquina de destino, por ejemplo: D:\rutacompartida\rutasubcompartida.
  4. Haga clic en la  opción Descubrir lista de certificados  para obtener todos los certificados disponibles en la ruta especificada.
  5. De esta lista, elija los certificados que necesita y haga clic en  Descubrir .
  6. Introduzca un intervalo de tiempo de espera en segundos.
  7. Los archivos de certificado con extensiones .keystore y .pfx se agrupan por separado en la  opción JKS/PKCS  en la esquina superior derecha. Para importar estos certificados, haga clic en  JKS/PKCS , elija los archivos de certificado que desea importar, proporcione la frase de contraseña del archivo y haga clic en  Importar .

Para comprobar el estado del descubrimiento, haga clic en la   pestaña Auditoría de descubrimiento .

Notas:

  • Esta característica funcionará solo con el agente KMP más reciente.
  • Los archivos de certificado que superen los 30 KB de tamaño no se importarán durante esta operación de descubrimiento.

1.6 Descubrimiento automático de certificados SSL a través de programaciones

El descubrimiento de certificados SSL también se puede programar para que se produzca a intervalos periódicos.

  1. Vaya a Administrador >> Configuración de SSH/SSL >> Programación.
  2. Haga clic en el botón Agregar horario .
  3. En la ventana Agregar programa , ingrese un nombre para el programa y seleccione el tipo de programa como Detección de SSL.
  4. Especifique las direcciones IP inicial y final y el puerto en el terminal final para comprobar los certificados SSL .
  5. Seleccione el tipo de recurrencia: por hora, diario, semanal, mensual o solo una vez. Establezca la hora de inicio, la fecha o el día correspondiente a la opción elegida.
  6. Introduzca las direcciones de correo electrónico de los usuarios a los que se notificará. La configuración del correo electrónico se puede configurar desde la pestaña Configuración >> Configuración del servidor de correo .
  7. Haga clic en el botón Guardar .

Recibirá un mensaje confirmando la adición de un nuevo horario.

1.7 Descubrimiento de certificados SSL alojados en AWS (ACM e IAM)

Password Manager Pro le permite descubrir, importar y configurar notificaciones de caducidad para certificados SSL alojados en los siguientes servicios web de Amazon: AWS Certificate Manager (ACM) y AWS Identity and Access Management (IAM).

Siga los pasos a continuación para descubrir e importar certificados SSL de ACM/IAM a Password Manager Pro.

Paso 1:  Configure las credenciales de AWS en Password Manager Pro

Para agregar sus credenciales de AWS en Password Manager Pro,

  1. Vaya a  Certificados >> Detección >> AWS >> Administrar credenciales de AWS  y haga clic en  Agregar.
  2. En la ventana Create AWS Credentials que se abre, proporcione el  nombre de la credencial, la descripción, la clave de acceso  y  la clave secreta.
  3. Utilice la   opción Iniciar sesión de prueba y verifique si el inicio de sesión es exitoso. Se le notificará si el inicio de sesión es exitoso
  4. Luego haga clic en  Guardar.  Las credenciales se guardaron correctamente en Password Manager Pro.

Paso 2:  descubrimiento e importación

  1. Cambie a  Certificados >> Descubrimiento >>  pestaña AWS.
  2. Elija las  credenciales de AWS adecuadas  entre las configuradas en Password Manager Pro o proporcione su  clave de acceso  y  su clave secreta.
  3. Elija el  servicio de AWS requerido  desde el cual se deben importar los certificados:  ACM o IAM.
  4. Para importar certificados de ACM, seleccione ACM en el servicio de AWS y elija la  región del servicio.
  5. Haz clic  en Descubrir.
  6. Los certificados se descubren a partir de recursos en la región seleccionada y se importan a Password Manager Pro.
  7. Para importar certificados de IAM, especifique los  nombres de usuario de AWS necesarios  o utilice la  opción Enumerar nombres de usuario de AWS  para recuperar los nombres de usuario. Elija los nombres de usuario requeridos y haga clic en  Descubrir.
  8. También puede optar por importar certificados de servidor para los usuarios de AWS correspondientes marcando la   opción Incluir certificado de servidor .

Los certificados de usuario se importan a Password Manager Pro.

1.8 Descubrimiento de certificados asignados a cuentas de usuario en Active Directory

Password Manager Pro lo ayuda a descubrir y administrar los certificados asignados a cuentas de usuario en Active Directory.

Para realizar el descubrimiento de certificados de usuario de AD,

  1. Vaya a  Certificados >> Detección >> Certificado de usuario de AD .
  2. Seleccione el Nombre de Dominio requerido , que forma parte del AD del menú desplegable.
  3. Especifique el nombre DNS del controlador de dominio. Este controlador de dominio será el controlador de dominio principal.
  4. En caso de que el controlador de dominio principal esté inactivo, se pueden usar controladores de dominio secundarios. Si tiene controladores de dominio secundarios, especifique sus nombres DNS separados por comas. Se utilizará uno de los controladores de dominio secundarios disponibles. Cuando utilice el modo SSL, asegúrese de que el nombre DNS especificado aquí coincida con el CN ​​(nombre común) especificado en el certificado SSL para el controlador de dominio.
  5. Ingrese una credencial de usuario válida (nombre de usuario y contraseña) de una cuenta de usuario dentro del dominio particular. A continuación, introduzca los usuarios/grupos de usuarios/OU en los que desea realizar la detección de certificados y haga clic en  Importar . Para realizar el descubrimiento de certificados para grupos/OU como un todo, elija el tipo de importación de grupos/árbol de OU y seleccione los grupos requeridos de la lista desplegable.
  6. Password Manager Pro también ofrece una opción para importar usuarios de AD mientras se realiza el descubrimiento de certificados. Active la casilla de verificación Importar usuarios de AD para importar esas cuentas de usuario de AD en Password Manager Pro para las que se realiza el descubrimiento de certificados.
  7. Los certificados descubiertos se agregan automáticamente al depósito de certificados de Password Manager Pro.

1.8.1 Gestión de certificados desde el almacén de certificados de MS y la CA local

Password Manager Pro lo ayuda a solicitar, adquirir, descubrir, consolidar, rastrear y administrar certificados de MS Certificate Store y aquellos emitidos por la autoridad de certificación local. Antes de importar/adquirir certificados de MS Certificate Store y CA local, asegúrese de utilizar su cuenta de administrador de dominio como cuenta de inicio de sesión del servicio Password Manager Pro.

  1. Vaya a  Certificados >> Descubrimiento >> Almacén de certificados de MS .
  2. Para descubrir e importar certificados emitidos solo por Microsoft CA, seleccione  la opción Microsoft Certificate Authority en el menú desplegable. En el proceso, puede optar por excluir los certificados vencidos/revocados al anular la selección de las casillas de verificación a continuación.
  3. Para descubrir todos los certificados del almacén de certificados de MS, elija  el tipo de almacén de certificados en el menú desplegable.
  4. Seleccione la casilla de verificación para  usar las credenciales de la cuenta de servicio de Password Manager Pro para la autenticación  o puede especificar otros detalles, como el  nombre  de la máquina del controlador de dominio de Windows y las credenciales de administrador del dominio.
  5. Si elige  Usar las credenciales de la cuenta de servicio de Password Manager Pro para la autenticación, puede seleccionar  Rango de direcciones IP  para mencionar la  IP inicial  y  la IP final  para descubrir los certificados.
  6. Especifique el nombre del almacén del certificado desde el que se descubrirán e importarán los certificados.
    es decir, el siguiente formato que se utilizará al especificar el nombre del almacén de certificados:\\nombre_servidor\nombre_almacén
    , por ejemplo, nombre_servidor\Raíz (para descubrir certificados de autoridades de certificación raíz de confianza)
    ii. por ejemplo, nombre_servidor\Mi (Para descubrir certificados personales)
  7. O también puede hacer clic en  Obtener almacenes para obtener la lista de almacenes disponibles en el Controlador de dominio de Windows y elegir el almacén de certificados requerido que desea descubrir.
  8. Haz clic  en Descubrir . Puede ver los certificados descubiertos en la  pestaña Certificados .
  9. Para descubrir certificados emitidos por una MSCA en particular, seleccione Tipo como  Autoridad  de certificación de Microsoft en el menú desplegable, ingrese el  Nombre del servidor , las credenciales requeridas e ingrese un nombre de MSCA en el   cuadro de texto Autoridad de certificación de Microsoft . Tenga en cuenta que este cuadro de texto solo estará visible si su servidor Password Manager Pro está instalado en una máquina con Windows Server.
  10. Durante el descubrimiento, puede optar por incluir certificados vencidos y revocados seleccionando las casillas de verificación respectivas. Seleccione  Filtro de fecha  e ingrese un rango de fechas para filtrar los certificados descubiertos según el rango dado. Seleccione la  opción Nombre de plantilla/OID  para elegir las plantillas de certificado. Puede agregar hasta cinco plantillas de certificado para cada operación de descubrimiento. Esta opción también está disponible durante el descubrimiento programado de certificados emitidos por una MSCA en particular.

Nota: Durante el descubrimiento del Almacén de certificados de Windows, si no se especifica el nombre del servidor de destino, al elegir la opción Obtener almacenes se enumerarán todos los almacenes de certificados disponibles en el host local.


Para solicitar y adquirir certificados almacenados en CA local desde Password Manager Pro, primero debe generar una solicitud de firma de certificado y luego obtener la firma de la autoridad de certificación local siguiendo los pasos que se mencionan a continuación:

  1. Vaya a  Certificados >> CSR y haga clic en  Crear .
  2. En la  ventana Crear CSR que se abre, complete los detalles del dominio, los detalles de la organización, elija el algoritmo clave, el tamaño de la clave, el algoritmo de firma, el tipo de almacén de claves y especifique la validez (días) y la contraseña del almacén de claves y haga clic en  Crear .

  3. Si desea generar una CSR a partir de una clave ya existente, elija la opción  Crear CSR a partir de clave privada y especifique la ubicación de la clave, la contraseña y haga clic en  Crear. 
  4. Se generará el CSR y podrá verlo en la  pestaña Certificados >> CSR .

También puede obtener la CSR firmada por la autoridad de certificación de Microsoft directamente desde Password Manager Pro.

  1. Vaya a  la pestaña  Certificados >> CSR , seleccione el CSR requerido y haga clic en Firmar de las opciones disponibles arriba de la vista de tabla de CSR.  
  2. En el cuadro de diálogo que se abre, proporcione el nombre del servidor que ejecuta la autoridad de certificación interna, el nombre de CA y elija la plantilla de certificado según sus requisitos. Haga clic  en Firmar .
  3. El CSR está firmado y el certificado emitido se puede ver en la  pestaña Certificados .

1.8.2 Redescubrir certificados SSL

A partir de la compilación 11300 de PMP, Password Manager Pro le permite redescubrir certificados SSL de la misma fuente utilizando los detalles del servidor ingresados ​​durante la operación de descubrimiento anterior. Siga los pasos a continuación para realizar el redescubrimiento de certificados:

  1. Vaya a la   pestaña Certificados .
  2. Seleccione los certificados necesarios y haga clic en  Más >> Volver a descubrir .

La operación de redescubrimiento comienza inmediatamente. Puede realizar un seguimiento del estado de detección en la  página Auditoría de detección  . Tenga en cuenta que para que la detección basada en agentes funcione correctamente, actualice KMP Agent para compilar 11300 antes de comenzar la operación de detección.

1.8.3 El Repositorio de Certificados Centralizado

Todos los certificados SSL descubiertos, tanto los que se descubren manualmente como los que se descubren a través de operaciones de descubrimiento programadas, se agregan automáticamente al depósito centralizado de Password Manager Pro. Puede ver estos certificados en la opción Certificados >> Certificados en la interfaz de usuario.

I. Buscar certificados SSL

Password Manager Pro le permite buscar certificados utilizando  Nombre común, Nombre DNS, Emisor, Tamaño de clave, Algoritmo de firma, Descripción,  campos adicionales, etc.

  1. Vaya a  Certificados >> Certificados.
  2. Haga clic en el  icono de búsqueda  presente en la esquina derecha del encabezado de la tabla y mencione la(s) frase(s) de búsqueda en los cuadros de texto que aparecen.

1.8.4 Exportación de archivo de clave privada/almacén de claves

Password Manager Pro le permite identificar y exportar las claves privadas/los archivos de almacenamiento de claves de los certificados SSL almacenados en el repositorio de certificados. También puede exportar certificados en otros formatos como PKCS12/PFX o formato PEM. Haga clic en el icono del almacén de claves ( ) habilitado junto a los certificados para los que se administran las claves privadas mediante Password Manager Pro.

Para exportar la clave privada o el archivo de certificado:

  1. Vaya a  Certificados >> Certificados .
  2. Haga clic en el  icono del almacén de claves ( ) junto al certificado para el que necesita exportar la clave privada.
  3. En el menú desplegable, elija entre las siguientes opciones según sus requisitos:
    1. Exportar almacén de claves/JKS : se descargará el archivo de almacén de claves del certificado seleccionado.
    2. Exportar PKCS12/PFX : el certificado seleccionado se descargará en formato PFX.
    3. Exportar PEM : El certificado seleccionado se descargará en formato PEM (Privacy Enhanced Mail).
    4. Exportar clave privada : se descargará la clave privada del certificado seleccionado.
  4. Se descarga el certificado correspondiente en el formato seleccionado.

1.8.5 Seguimiento y gestión de varias versiones de certificados

A veces, ocurre una situación en la que debe usar diferentes certificados en diferentes servidores finales para el mismo dominio. En tales circunstancias, es necesario que realice un seguimiento del uso y la caducidad de todos estos certificados de forma individual, aunque representen un dominio común. Supervisar manualmente varias versiones de certificados de este tipo es desalentador y propenso a errores. Password Manager Pro lo ayuda a rastrear y administrar simultáneamente el uso y el vencimiento de varias versiones de certificados desde una sola ventana.

Para realizar un seguimiento de las versiones de certificados:

  1. Vaya a la  pestaña Certificados .
  2. Haga clic en el ícono Historial de certificados ( ) presente en la esquina derecha de la vista de tabla, correspondiente al certificado requerido.
  3. En la ventana del historial de certificados que se abre, elija la versión del certificado que desea administrar y haga clic en el icono de configuración del certificado. Haga clic  en Administrar certificado.
  4. La versión particular del certificado está configurada para administrar y Password Manager Pro comienza a rastrear el uso y la caducidad individualmente para esa versión. 
  5. Repita el mismo procedimiento para todas las versiones de certificados que desee gestionar.

1.8.6 Actualización de servidores con las últimas versiones de certificados

En el caso de certificados comodín o certificado SSL único implementado en varios servidores, es necesario realizar un seguimiento de los servidores en los que se implementa el certificado y también verificar si se está utilizando la última versión del certificado. Password Manager Pro lo ayuda a garantizar esto.

  1. Vaya a la  pestaña Certificados >> Certificados .
  2. Haga clic en el ícono  Historial de certificados ( ) correspondiente al certificado requerido.
  3. Se abre una ventana que enumera las distintas versiones del certificado. Asegúrese de que la última versión del certificado esté configurada como certificado principal. De lo contrario, haga clic en el ícono ( ) junto a la versión requerida para configurar esa versión del certificado como certificado principal en el repositorio de Password Manager Pro.
  4. Luego, nuevamente, navegue a la  pestaña  Certificados >> Certificados y haga clic en el ícono de Servidores múltiples ( ) correspondiente al certificado requerido.
  5. Se abre una ventana que enumera los servidores en los que se implementa el certificado junto con otra información, como la dirección IP, el puerto y la validez del certificado.
  6. Si alguno de los servidores enumerados tiene una versión anterior o vencida del certificado, actualícelo con la última versión de inmediato. Seleccione el servidor y luego haga clic en  Implementar . Consulte el procedimiento de implementación detallado  aquí.
  7. Haga clic  en Agregar  para agregar un nuevo servidor. 
  8. En la ventana emergente que aparece, menciona el  nombre DNS, la dirección IP  y  el puerto. 
  9. Haga clic en  Guardar.
  10. Haga clic en el icono de edición correspondiente al servidor requerido para modificar los detalles del servidor y haga clic en  Guardar.

Además, puede editar los detalles relacionados con un certificado en particular o eliminar certificados irrelevantes seleccionando el certificado y haciendo clic en el menú desplegable Más.

2. Creación de certificados autofirmados

Password Manager Pro permite a los administradores crear sus propios certificados autofirmados utilizando la herramienta de claves de Java. Estos certificados se importan automáticamente al repositorio de Password Manager Pro cuando se crean correctamente.

Para crear un certificado autofirmado con Password Manager Pro:

  1. Vaya a  Certificados >> Certificados >> Crear .
  2. Ingrese los detalles de la organización y la validez del certificado, y seleccione el  Algoritmo  y  la longitud de la clave ,  el Algoritmo de firma , e ingrese una  Contraseña de almacenamiento clave  en la pestaña Crear certificado. Haga clic en el icono Generar contraseña para generar una contraseña de almacén de claves.
  3. Elija el  Tipo de validez  como  Días  y especifique la cantidad de días durante los cuales el certificado será válido.
  4. Para crear un certificado efímero con un período de validez limitado, elija el  Tipo de validez  como  Horas  o  Minutos  y proporcione el período de validez. El certificado expirará después del tiempo especificado.
  5. Mencione la dirección de correo electrónico a la que se debe enviar el correo electrónico de notificación de caducidad .
  6. Puede denominar el certificado que se va a generar como un certificado raíz activando la   casilla de verificación  Generar certificado raíz .
  7. Para agregar propiedades opcionales al nuevo certificado, haga clic  en Opciones avanzadas  para expandir el menú. Aquí, hay dos categorías de opciones,  Uso de clave  y  Uso extendido de clave . Seleccione las opciones requeridas para establecer las banderas preferidas para el certificado para indicar el propósito para el cual se puede usar el nuevo certificado. Las  opciones de Uso de claves  incluyen No repudio, Firma digital, Cifrado de datos o claves, Autenticación de servidor/cliente, etc. Puede elegir las propiedades y marcarlas como críticas seleccionando la  casilla de verificación Críticas  .
  8. Haga clic en el  botón Crear  . Será redirigido a la ventana del certificado donde se muestra el contenido del certificado.
  9. Puede copiar el contenido del certificado o exportar el certificado al correo electrónico o sistema requerido.
    1. Correo electrónico:  seleccione esta casilla de verificación para enviar el archivo del certificado por correo electrónico a la identificación de correo especificada.
    2. Exportar:  seleccione esta casilla de verificación para exportar el archivo a su sistema.
  10. Ambas opciones surten efecto una vez que hace clic en el  botón Guardar  .
  11. Haga clic en el  botón Guardar  para guardar el certificado en el depósito de certificados y exportar el archivo del certificado, si así lo ha optado en el paso anterior.

    (Aplicable desde la compilación 11000 en adelante)

    Nota:

    Además de tener un nombre de certificado comodín en el campo Nombre común, puede agregar el nombre comodín en el campo SAN mientras crea un certificado autofirmado. Con los certificados comodín, se puede asegurar una cantidad ilimitada de subdominios para un dominio base registrado.

    Por ejemplo, considere el dominio base zoho.com, un certificado comodín para *.zoho.com puede proteger cualquier subdominio.zoho.com. El asterisco (*) es el comodín que corresponde a cualquier subdominio válido.

3. Generación de CSR

Para generar una CSR utilizando la herramienta de claves Java de Password Manager Pro:

  1. Vaya a  Certificados >> CSR. Verá todos los CSR disponibles en una vista de lista junto con sus detalles, como Nombre de dominio, Creado por, Hora de creación, Tamaño de clave, Algoritmo de clave, etc.
  2. Haga clic  en Crear para generar una nueva CSR. En el formulario que se muestra, haga lo siguiente:
    1. Elija entre  Crear CSR  manualmente o  Crear CSR desde Keystore. También puede elegir entre una  plantilla de CSR . Haga clic en el  enlace Administrar plantillas de CSR  y elija una. 
    2. Si elige  Crear CSR desde Keystore:
      1. Seleccione el archivo Keystore haciendo clic en  Examinar .
      2. Ingrese la  contraseña de la clave privada  y haga clic en  Crear.
    3. Si elige  Crear CSR  manualmente:
      1. Especifique los detalles necesarios, como  nombre común, SAN, unidad organizativa, organización, ubicación y estado.
      2. Seleccione el  Algoritmo de clave, Tamaño de clave, Algoritmo de firma y Tipo de almacén de claves.
      3. Elija un  Tipo de validez (Días, Horas o Minutos)  y mencione la  Validez .
      4. Introduzca la contraseña de la tienda y la dirección de correo electrónico de notificación de caducidad . Haga clic en el icono Generar contraseña para generar una contraseña de almacén de claves.
      5. Seleccione el tipo de señal  e ingrese los detalles requeridos.
      6. También puede firmar su CSR más tarde si no elige el  tipo de firma  ahora. Para saber más sobre cómo firmar el CSR más adelante,  haga clic aquí.
      7. Haz clic  en Crear . Será redirigido a una ventana de CSR donde se muestra el contenido de CSR.

Ha creado correctamente una CSR y se ha agregado a la vista de lista. 

      (Aplicable desde la compilación 11000 en adelante)

      Nota:

      Además de tener un nombre de certificado comodín en el campo Nombre común, puede agregar el nombre comodín en el campo SAN mientras crea un certificado autofirmado. Con los certificados comodín, se puede asegurar una cantidad ilimitada de subdominios para un dominio base registrado.

      Por ejemplo, considere el dominio base zoho.com, un certificado comodín para *.zoho.com puede proteger cualquier subdominio.zoho.com. El asterisco (*) es el comodín que corresponde a cualquier subdominio válido.

Nota:  Los certificados y CSR autofirmados se pueden generar utilizando algoritmos de clave RSA/DSA/EC y algoritmo de firma SHA según los detalles a continuación:

  • RSA : claves de 1024, 2048 o 4096 bits; y firma SHA-2 (256, 384 o 512 bits).
  • DSA : claves de 512 o 1024 bits; & Firma SHA-1 (160 bits).
  • EC -128, o claves de 256 bits; y firma SHA-2 (256, 384 o 512 bits).

3.1 Gestión de CSR

  1. Mostrar frase de contraseña:  el icono de mostrar frase de contraseña ( ) correspondiente a cada CSR permite a los administradores ver las contraseñas del almacén de claves de los archivos CSR respectivos.
  2. Exportar:  puede exportar y enviar por correo el CSR a una identificación de correo específica usando los íconos en el CSR que se muestran en la vista de lista.
  3. Importar:  si elige importar una CSR, haga clic en  Importar . Aparece una ventana emergente.
    1. Busque seleccione un archivo CSR  y  seleccione un archivo clave.
    2. Ingrese la  contraseña de la clave privada  y haga clic en  Importar .
    3. Su CSR se ha importado con éxito y se puede ver en la vista de lista.
    4. Password Manager Pro fija automáticamente el archivo del certificado con su clave privada correspondiente y lo agrega a su repositorio centralizado.
  4. Eliminar:  para eliminar una CSR, seleccione la CSR que desea eliminar y haga clic en  Eliminar .
    1. En la ventana emergente que aparece, haga clic en  Aceptar .
    2. Ha eliminado correctamente la CSR seleccionada.
  5. Plantilla de CSR:  haga clic  en Plantilla de CSR  para agregar, eliminar o administrar las plantillas. Estas plantillas, una vez generadas, se pueden usar al generar CSR.

Además de generar CSR desde Password Manager Pro, también puede cargar CSR generados desde fuera de la aplicación y realizar un seguimiento de sus estados desde Password Manager Pro utilizando la opción Importar en el menú superior.

4. Firma de certificados

Password Manager Pro ofrece la opción de firmar y emitir certificados para todos los clientes de su red, ya sea desde su autoridad de certificación de Microsoft o mediante un certificado de CA raíz personalizado que sea de confianza en su entorno.

Para solicitar y adquirir certificados de CA local de Password Manager Pro, primero debe generar una solicitud de firma de certificado y luego obtener la firma de la autoridad de certificación local siguiendo los pasos que se mencionan a continuación.

Hay tres formas de firmar sus certificados:

  1. Autoridad de certificación de MS
  2. MS CA con agente
  3. Firmar con raíz

Vaya a  Certificados >> CSR.

4.1 Autoridad de certificación de Microsoft

Puede obtener la CSR firmada por la autoridad de certificación de Microsoft desde Password Manager Pro.

  1. Seleccione el CSR requerido y haga clic en Firmar en el menú superior. 
  2. Seleccione el  Tipo de firma  como  Autoridad de certificación de Microsoft.
  3. Mencione el  Nombre del servidor  que ejecuta la CA interna y también el  nombre de la Autoridad de certificación  .
  4. Seleccione la  plantilla de certificado  según sus requisitos o seleccione cualquiera de las plantillas predefinidas haciendo clic en el   enlace  Obtener plantilla y haga clic en Firmar.

El CSR está firmado y el certificado emitido se puede ver en  Certificados >> Certificados.

Notas: 

  1. Inicie Password Manager Pro con su cuenta de administrador de dominio para comenzar a administrar los certificados de Microsoft Certificate Store y los emitidos por su CA local. Si usa una cuenta de servicio de dominio para ejecutar Password Manager Pro, asegúrese de haberlo configurado en su grupo de administración local de antemano.
  2. Durante el descubrimiento del Almacén de certificados de MS,  la opción  Obtener almacenes enumerará todos los almacenes disponibles en el host local si el campo Nombre del servidor se deja vacío.
  3. Para que la renovación automática de MS CA surta efecto, los certificados deben ser del tipo  Microsoft CA. Para los certificados agregados manualmente, el tipo de certificado debe cambiarse a  Microsoft CA mediante  la opción  Editar del menú superior Más .

4.2 Microsoft CA con Agente

  1. Seleccione el CSR requerido de la vista de lista y haga clic en  Firmar  en el menú superior.
  2. En la ventana emergente que aparece,
    1. Seleccione el  tipo de firma  como  Microsoft CA con agente.
    2. Seleccione el Agente  de la lista disponible en el menú desplegable. También puede  administrar  el agente haciendo clic en el enlace. Para saber más sobre la gestión del agente, haga clic aquí.
    3. Especifique la  Plantilla de certificado  o haga clic en Obtener plantilla para obtener nuevas plantillas. 
    4. Mencione el tiempo de espera del agente en segundos dentro de los cuales el agente debe responder. Si el agente no responde dentro del período de tiempo de espera, la operación se auditará como fallida.
    5. Haga clic  en Firmar.

El CSR está firmado y el certificado emitido se puede ver en  Certificados >> Certificados.

4.3 Firmar con raíz

Password Manager Pro ofrece la opción de firmar y emitir certificados para todos los clientes de su red, ya sea desde su autoridad de certificación de Microsoft o mediante un certificado de CA raíz personalizado que sea de confianza en su entorno.

  1. Crear una CA raíz personalizada
  2. Firmar certificados con la CA raíz personalizada
  3. Implementar los certificados firmados en los sistemas de destino

4.3.1 Crear una CA raíz personalizada

Para firmar solicitudes de certificado generadas localmente con el certificado de CA raíz, primero debe crear una CA raíz personalizada.

  1. Vaya a la  pestaña Certificados >> Certificados .
  2. Seleccione un certificado de la vista de lista y haga clic en Más >> Marcar como raíz.

El certificado elegido se denomina correctamente como certificado de CA raíz y se incluye en la  pestaña Certificado raíz . A continuación, puede utilizar este certificado para firmar solicitudes de certificado generadas localmente.

Nota:  También puede generar nuevos certificados de CA raíz desde Password Manager Pro activando  la casilla de verificación Generar certificado raíz  al crear un certificado desde la opción Certificados >> Certificados >> Crear.

4.3.2 Firma de certificados con la CA raíz personalizada

Para firmar certificados con la CA raíz personalizada, genere una solicitud de firma de certificado (CSR) y luego fírmela con el certificado raíz.

  1. Seleccione el CSR requerido y haga clic en  Firmar en el menú superior.
  2. Seleccione el  Tipo de señal  como  Firma con raíz.
  3. Seleccione el  Certificado Raíz   y mencione la  Validez  en días y haga clic en  Firmar .

El certificado se firma en función del certificado raíz seleccionado y aparece en la  pestaña Certificados >> Certificados .

Además, puede usar el certificado de CA raíz para generar y firmar simultáneamente certificados para grupos de usuarios de forma masiva directamente desde Password Manager Pro.

  1. Vaya a  Certificado y haga clic  en Certificado raíz en la esquina superior derecha de la ventana.
  2. Seleccione el certificado de CA raíz requerido y haga clic en  Firmar. En la ventana emergente que se abre, elija el Tipo de firma, Usuario/Grupos de usuarios para los cuales se deben crear e implementar los certificados, mencionar el SAN y la Validez (en días).
  3. El tipo de firma  Gestión de usuarios le permite generar y firmar certificados para cuentas de usuario en Password Manager Pro.
    1. Seleccione la cuenta de usuario para la que necesita generar un certificado.
    2. De forma predeterminada, los certificados de usuario heredan los mismos parámetros que el certificado raíz. Puede cambiarlo deseleccionando la  opción Usar detalles del certificado raíz .
    3. Después de completar los detalles, haga clic en  Firmar.

El certificado está firmado y puede encontrarlo en el repositorio de certificados de Password Manager Pro.

El tipo de firma  Usuarios de Active Directory le permite generar y firmar certificados para cuentas de usuario asignadas a Active Directory dentro de su entorno de red.

  1. Seleccione el  nombre de dominio y proporcione la dirección del controlador de dominio principal, el nombre de usuario y la contraseña.
  2. Elija el tipo de importación  Único y especifique los grupos de usuarios o utilice  el tipo de importación de árbol Grupos/OU para elegir los usuarios o grupos de usuarios para los que se deben crear certificados.
  3. Después de seleccionar los usuarios, ingrese la validez del certificado en días. De forma predeterminada, los certificados de usuario heredan los mismos parámetros que el certificado raíz. Puede cambiarlo deseleccionando la  opción Usar detalles del certificado raíz.
  4. Después de completar los detalles, haga clic en  Firmar.

Esto generará certificados para los usuarios seleccionados que se enumerarán en el repositorio de certificados de Password Manager Pro.

4.3.3 Implementación del certificado firmado en los sistemas de destino

Después de firmar las solicitudes de certificado y obtener el certificado, debe implementarlas en los servidores finales necesarios. Consulte  esta  sección de ayuda para obtener una explicación paso a paso sobre la implementación de certificados.

Nota:  Al firmar certificados con CA raíz personalizada para aplicaciones web, asegúrese de que todos los navegadores de su red estén configurados para confiar en el certificado de CA raíz para evitar mensajes de error de seguridad.

4.4 Renovación automática

Los certificados emitidos por CA Local pueden ser renovados automáticamente desde PMP. 

Para habilitar la renovación automática de certificados de CA locales,

  1. Vaya a  Administrador >> Certificados SSL >> Renovación de certificado.
  2. Habilite la Autoridad de certificación de Microsoft,  MSCA mediante Agente  o  Autofirmado  y especifique el  Tiempo de recurrencia .
  3. Los certificados que ya han caducado y los certificados que caducan en 10 días o menos se renuevan y actualizan automáticamente en el repositorio de certificados.
  4. Los certificados que estén por vencer en el número de días mencionado en el  campo Días por vencer  también se renovarán automáticamente.

5. Certificados de Importación y Exportación

5.1 Tipos de certificados permitidos

Password Manager Pro le permite importar y exportar los siguientes tipos de certificados:

  • .cer
  • .crt
  • .pem
  • .der
  • .p7b
  • .pfx
  • .p12
  • .pkcs12
  • .jks
  • .almacén de claves

5.2 Pasos para Importar los Certificados en su Red

  1. Vaya a la   pestaña  Certificados >> Certificados y haga clic en el botón Agregar  .
  2. Haga clic en el botón de radio apropiado en la ventana Agregar certificado.
    1. Basado en archivos:  busque e importe el archivo de certificado requerido directamente desde su sistema.
    2. Basado en el contenido del certificado:  copie el contenido del archivo de certificado requerido y péguelo en el cuadro de texto.
    3. Basado en KeyStore: importe  todos los certificados individuales disponibles en un almacén de claves simultáneamente. Cargue el archivo Keystore requerido e ingrese su contraseña correspondiente (si corresponde).
  3. Haga clic en  Agregar.
  4. Los certificados se importarán al repositorio de PMP.

5.3 Pasos para Exportar los Certificados en su Red

  1. Vaya a  Certificados >> Certificados.
  2. En la vista de lista, haga clic en el certificado que desea exportar.
  3. En la ventana de detalles del certificado, haga clic  en Exportar  en la esquina superior derecha y seleccione el formato requerido en el que desea exportar el certificado.
  4. El certificado se descargará en su máquina en el formato seleccionado.

6. Renovación del Certificado

La  pestaña Certificados  en Password Manager Pro es una consola centralizada donde se consolidan y muestran todos los tipos de certificados SSL, como autofirmados, firmados por raíz, firmados por Microsoft CA, certificados emitidos por CA de terceros, etc. A través de la  opción Renovar  , estos tipos de certificados se pueden renovar   directamente en la pestaña Certificados . Estos certificados renovados heredarán automáticamente los servidores implementados y sus credenciales. Para los certificados emitidos por CA de terceros, se iniciará la renovación y se redirigirá a la pestaña de CA correspondiente. Para continuar, siga los pasos a continuación:

  1. Vaya a  Certificados >> Certificados .
  2. Hay tres tipos de renovación de certificados:
    1. Renovación de certificado autofirmado
    2. Renovación del certificado raíz firmado
    3. Microsoft CA firmado/firmado con renovación de certificado de agente

6.1 Renovación de certificado autofirmado

Para renovar un certificado Self Signed, siga los pasos a continuación:

  1. Seleccione un certificado autofirmado y haga clic  en Renovar  en la parte superior.
  2. El tipo de renovación será  Autofirmado  de forma predeterminada.
  3. Especifique el número de días durante los cuales el certificado será válido en el  campo Validez  . Haga clic  en Renovar .

El certificado se renovará con éxito y la  fecha Válido hasta  cambiará de acuerdo con el nuevo período de validez especificado.

6.2 Renovación del certificado raíz firmado

Para renovar un certificado raíz firmado, siga los pasos a continuación:

  1. Seleccione un certificado raíz firmado y haga clic  en Renovar  en la parte superior.
  2. El tipo de renovación será  Renovar con raíz  de forma predeterminada y el  nombre del emisor  se completará automáticamente en el  campo Nombre raíz  .
  3. Especifique el número de días durante los cuales el certificado será válido en el  campo Validez  . Haga clic  en Renovar .

El certificado se renovará con éxito y la  fecha Válido hasta  cambiará de acuerdo con el nuevo período de validez especificado.

6.3 Microsoft CA firmado/firmado con renovación de certificado de agente

Para renovar un certificado firmado por Microsoft CA, siga los pasos a continuación:

  1. Seleccione un certificado firmado por CA de Microsoft y haga clic  en Renovar  en la parte superior.
  2. Si el certificado no tiene una clave privada, Password Manager Pro le permite crear una nueva clave privada. Haga clic  en Aceptar  en la ventana emergente que aparece.
  3. Atributos como  Tipo de renovaciónNombre del servidor, Nombre de  plantilla/OIDAutoridad de certificación  se completarán automáticamente a partir de los detalles del certificado. El  nombre del servidor  es el nombre del servidor de CA de Microsoft que firmó el certificado. La autoridad de certificación es el servicio de CA que se ejecuta en el servidor de CA de Microsoft especificado.
  4. Para los certificados firmados por Microsoft CA directamente o utilizando el agente KMP, los días de validez se tomarán del servidor de Microsoft CA y, por lo tanto, no se pueden ingresar manualmente durante la renovación. Este tipo de certificados se renovarán solo hasta la fecha especificada en el servidor de CA de Microsoft.

Además de los tipos anteriores, los certificados firmados por CA de terceros también se pueden renovar mediante esta opción de renovación. Siga el mismo procedimiento para iniciar la renovación y Password Manager Pro redirigirá la solicitud de renovación a la CA de terceros respectiva. Haga clic  aquí  para obtener información sobre cómo configurar la renovación automática de certificados en Password Manager Pro.

Notas:

  1. Durante el proceso de renovación, se generará un CSR a partir de los valores disponibles, junto con una nueva clave privada.
  2. Los certificados SHA1 se renovarán utilizando el algoritmo SHA256.

7. Edición y eliminación de certificados

7.1 Pasos para editar un certificado desde el repositorio de Password Manager Pro

Para editar un certificado del repositorio de Password Manager Pro:

  1. Vaya a  Certificados >> Certificados.
  2. Seleccione el certificado que desea editar, haga clic en  Más  y seleccione  Editar  en el menú desplegable.
  3. En la ventana emergente Editar certificado que aparece, edite el  nombre DNS, el puerto, la descripción, el correo electrónico de notificación de caducidad y el tipo.
  4. Puede elegir  implementar el certificado en la renovación automática. 
  5. Haga clic en  Guardar.

    Nota:  Podrá implementar el certificado en todos los servidores en la renovación automática solo si las credenciales de usuario están disponibles.

7.2 Pasos para eliminar un certificado del repositorio de Password Manager Pro

Puede eliminar los certificados que actualmente no están en uso. Para eliminar un certificado del repositorio de Password Manager Pro:

  1. Vaya a  Certificados >> Certificados.
  2. Seleccione los certificados que desea eliminar.
  3. Haz clic en Más y selecciona Eliminar en el menú desplegable.
  4. En la ventana emergente que aparece, seleccione la casilla de verificación Agregar certificados seleccionados a 'Certificados excluidos' y mencione el Motivo.
  5. Haga clic en Aceptar para eliminar el certificado seleccionado.

8. Solicitudes de certificados

El flujo de trabajo de solicitud de certificado es el siguiente:

  1. Agregar solicitud de certificado
  2. Cerrar solicitud de certificado

8.1 Adición de solicitud de certificado

Para agregar solicitudes de nuevos certificados o agregar subdominios a los certificados existentes, en Password Manager Pro:

  1. Vaya a  Certificados >> Solicitud de certificado >> Agregar solicitud.
  2. Seleccione el tipo de solicitud: nuevo certificado o adición de dominio.
    1. Nuevo certificado : adjunte una CSR a su solicitud (opcional) y un nombre de dominio para el nuevo certificado.
    2. Adición de dominio : ingrese el nombre del nuevo dominio y seleccione un dominio principal de los certificados agregados al repositorio de Password Manager Pro.
  3. Ingrese el ID de correo al que desea enviar la solicitud y especifique el período de validez del certificado. Estas direcciones de correo pueden ser las de un administrador, un intermediario que maneja las solicitudes de certificados o incluso el software de su mesa de ayuda para generar la solicitud de certificado como un ticket.
  4. Haga clic en Campos adicionales para agregar información adicional, como el nombre del dispositivo y la dirección IP
  5. Haga clic  en Agregar solicitud para agregarla a la lista de solicitudes en la pestaña Solicitud de certificado y enviarla a las direcciones de correo electrónico especificadas.

8.2 Estado de solicitud de certificado

Una solicitud de certificado se encuentra en cualquiera de los siguientes estados.

  • Abierto
  • Cerrado

Cuando se genera una solicitud de certificado, se eleva automáticamente al estado Abierto. Los detalles de la solicitud se pueden ver desde Certificados >> Solicitud de certificado , al hacer clic en el nombre de dominio de la solicitud.

8.3 Finalización del ciclo de vida de la solicitud de certificado

  1. Vaya a  Certificados >> Solicitud de certificado .
  2. Haga clic en el enlace Estado abierto en la esquina derecha de la tabla contra el proceso de solicitud abierto requerido.
  3. En la ventana Cerrar solicitud, agregue una anotación opcional y adjunte el certificado emitido (opcional), especifique las identificaciones de correo electrónico de los usuarios a quienes se enviará el certificado y haga clic en el botón Guardar y cerrar. Una vez que haga clic en el botón, la solicitud se moverá automáticamente al estado Cerrado.
  4. Si se adjunta un certificado SSL al cerrar la solicitud, el certificado se importa automáticamente al repositorio de Password Manager Pro.
  5. Además, el certificado emitido se envía por correo electrónico al usuario que realiza la solicitud, al usuario que cierra la solicitud y también a los identificadores de correo electrónico especificados en el momento de cerrar la solicitud.

9. Personalización del calendario de notificaciones de caducidad

Puede personalizar la periodicidad de las notificaciones que recibe cuando un certificado está a punto de caducar. Para personalizar las notificaciones:

  1. Vaya a  Administrador >> Configuración de SSH/SSL >> Notificaciones.
  2. Seleccione la  casilla de verificación Notificar si los certificados SSL caducan dentro de y la cantidad de días antes de la caducidad del certificado dentro de los cuales debe comenzar a recibir notificaciones.
  3. Seleccione la casilla de verificación Correo electrónico o Syslog e ingrese los detalles apropiados.
  4. Haga clic en  Guardar .

Nota:  Recibirá notificaciones todos los días después de la fecha seleccionada antes del vencimiento de un certificado. Por ejemplo, si un certificado está a punto de caducar en la última semana de un mes y selecciona la opción Notificar si los certificados SSL caducan dentro de los 7 días, recibirá una notificación de que su certificado está a punto de caducar todos los días de la semana anterior a la expiración del certificado.


10. Seguimiento de la caducidad del dominio a través de la búsqueda de WHOIS

Además de realizar un seguimiento de la caducidad del certificado, Password Manager Pro también ayuda a los administradores a controlar los nombres de dominio que caducan a través de una búsqueda automatizada de WHOIS. Los detalles de vencimiento del dominio obtenidos a través de la búsqueda se muestran en la  pestaña Certificados >> Certificados contra su certificado SSL correspondiente. Además, los administradores pueden optar por recibir notificaciones por correo electrónico oportunas de sus dominios que caducan al configurarlo en  Admin >> Configuración de SSH/SSL >> Configuración de notificación .

¿Cómo funciona la búsqueda de WHOIS?

Obtener los detalles de caducidad del dominio requiere una búsqueda de dos etapas en los servidores de WHOIS desde Password Manager Pro. La primera búsqueda proporciona los detalles del servidor WHOIS con el que el registrador de dominios registró el dominio. La segunda búsqueda proporciona información sobre el dominio, como detalles del propietario, fecha de vencimiento, etc. Todas estas operaciones están automatizadas desde la interfaz de Password Manager Pro.

Nota:  la conexión a los servidores de WHOIS requiere el uso del  puerto 43. Asegúrese de que el puerto 43 esté abierto en su entorno; de lo contrario, la conexión fallará y  la caducidad del dominio  se marcará como no disponible (NA) en la  pestaña Certificados .

11. Grupo de certificados SSL

Password Manager Pro le permite organizar certificados SSL en varios grupos lógicos y ejecutar acciones de forma masiva en los grupos.

11.1 Creación de grupos de certificados

Para crear un grupo de certificados:

  1. Haga clic en el  icono del Grupo de certificados en la esquina superior derecha de la  pestaña Certificados .
  2. Haga clic en  Agregar grupo. Será dirigido a la  página Agregar grupo de certificados
  3. Proporcione un nombre para el grupo de certificados y una descripción opcional. Tenga cuidado al proporcionar el nombre, ya que no se puede cambiar más adelante.
  4. Puede elegir los certificados que se agregarán a un grupo de cualquiera de las siguientes maneras:
    1. Por certificado específico : seleccione los certificados que se agregarán al grupo individualmente y haga clic en Guardar .
    2. Por criterios : sirve como un método dinámico para agrupar certificados. Especificará varios criterios en función de los cuales se creará el grupo. Aquí, puede elegir certificados en función de varios criterios, como el emisor, el nombre común, el algoritmo clave, el tamaño de la clave, la longitud de la clave, etc. Los campos adicionales que se agreguen también se mostrarán en la lista. Puede filtrar la búsqueda de manera detallada en función de condiciones como "es igual a" o "no es igual", "contiene" o "no contiene", "comienza con" o "termina con". Haga clic en el  botón Certificados coincidentes en la esquina inferior derecha para ver los certificados correspondientes.
  5. Mencione la dirección de correo electrónico del grupo para enviar notificaciones de vencimiento y haga clic en  Guardar. 
  6. Se crea el grupo de certificados. Para saber más sobre campos adicionales, haga clic  aquí. 
  7. Nota:  Si elige agrupar los certificados según los criterios, las condiciones se aplicarán a los certificados descubiertos en el futuro y se agregarán automáticamente a los grupos que coincidan con los criterios.

11.2 Edición de grupos de certificados

Para realizar cambios en los grupos de certificados existentes:

  1. Haga clic en el  icono del grupo de certificados en la pestaña Certificados de la esquina superior derecha  .
  2. Haga clic en el icono de edición presente en la esquina derecha de la vista de tabla.
  3. Puede cambiar el tipo de selección de certificados, editar los certificados presentes en un grupo o agregar, modificar o eliminar los filtros aplicados a un grupo.
  4. Una vez que actualice los cambios y los guarde, aparecerá un mensaje emergente para confirmar las actualizaciones.

    Nota:  El nombre del grupo de certificados no se puede modificar. Sin embargo, puede agregar o modificar la lista de certificados en un grupo o la descripción.

11.3 Eliminación de grupos de certificados

Para eliminar un grupo de certificados:

  1. Haga clic en el  icono del Grupo de certificados en la esquina superior derecha de la  pestaña Certificados .
  2. Seleccione los grupos que desea eliminar y haga clic en  Eliminar. 
  3. Aparecerá una ventana emergente pidiéndole que confirme la acción. Haga clic en Aceptar y se eliminarán los grupos de certificados seleccionados.

©2014, ZOHO Corp. Todos los derechos reservados.

Cima