Saltar a contenido

Utilice su propio certificado de seguridad

Info

Este procedimiento, combinado con una Autoridad de Certificación adecuada (interna o externa), resolverá los errores de NET::ERR_CERT_AUTHORITY_INVALID.

Por defecto, octoplant creará automáticamente un certificado autofirmado y una Clave privada en runtime.

Si desea utilizar su propio certificado (por ejemplo, para OIDC o para el WebClient) en lugar del creado por octoplant, siga este procedimiento opcional. Esta guía está dirigida a departamentos de informática o administradores de dominio.

Pasos básicos

  1. Cree una Clave privada de CA raíz y un certificado público. Importe el certificado como certificado raíz de confianza en el servidor y en todos los clientes que utilicen este servidor. Esta CA raíz puede utilizarse para varios servidores.
  2. Para cada servidor, cree una Clave privada y una solicitud de firma de certificado (CSR).
  3. Utilice la Clave privada de la CA raíz para firmar el certificado público del servidor.
  4. Guarda la Clave privada del servidor y el certificado firmado en el archivo del servidor.

Requisitos

  • Necesita un entorno con OpenSSL instalado (recomendado: OpenSSL 3.2.1 o posterior). Para comprobar su versión, abra un intérprete de comandos y ejecute:

    openssl -v

    Deberías ver una salida similar a:

    OpenSSL 3.5.2 5 Aug 2025 (Library: OpenSSL 3.5.2 5 Aug 2025)

  • Cree una carpeta local para sus certificados, por ejemplo, D:\certs.

Cree su propia CA raíz

Este proceso consta de tres pasos:

  • Crear una Clave Raíz
  • Crear y autofirmar el certificado raíz
  • Distribuir el certificado

Warning

La Clave CA raíz puede firmar cualquier certificado de servidor. Cualquiera con acceso a esta Clave puede crear certificados de confianza. Manténgala segura y privada.

  1. Cree una Clave CA raíz (rootCA.key):

    openssl genrsa -aes128 -out D:\certs\rootCA.key 4096

    Se le pedirá una frase de contraseña, que necesitará cada vez que firme un certificado. Para crear una Clave sin frase de contraseña, elimine la opción -aes128.

  2. Cree el certificado raíz (rootCA.crt):

    openssl req -x509 -new -nodes -key D:\certs\rootCA.key -sha256 -days 1024 -out D:\certs\rootCA.crt

  3. Distribuya rootCA.crt a todos los clientes que vayan a conectarse al servidor.

Crear una solicitud de firma de certificado de servidor

  1. Cree la Clave del certificado del servidor (hostname.key):

    openssl genrsa -out D:\certs\hostname.key 2048

    Este archivo es el secreto del servidor. No comparta ni distribuya este archivo, sólo el servidor debe tener acceso a él.

  2. Cree una solicitud de firma (hostname.csr):

    openssl req -new -key D:\certs\hostname.key -out D:\certs\hostname.csr

    Siga las instrucciones interactivas. El nombre común **** debe coincidir exactamente con el nombre de host que utilizan los clientes para conectarse. No establezca una contraseña.

  3. (Opcional) Verifique la CSR:

    openssl req -in D:\certs\hostname.csr -noout -text

Firmar el certificado del servidor

Utilice la CSR, la Clave CA raíz y el certificado raíz para crear el certificado firmado del servidor (hostname.crt):

openssl x509 -req -in D:\certs\hostname.csr -CA D:\certs\rootCA.crt -CAkey D:\certs\rootCA.key -CAcreateserial -out D:\certs\hostname.crt -days 3650 -sha256

Se le pedirá la frase de contraseña de la Clave CA raíz. El servidor de octoplant necesita los archivos resultantes hostname.crt y hostname.key.

Verifique el certificado

  1. En Certificados, haga clic con el botón derecho del ratón en {nombre_del_servidor}.

    Imagen: OIDC-Cert-Paso-11

  2. Seleccione Abrir.

  3. Revise la información del certificado.

    Imagen: OIDC-Cert-Paso-12

  4. En la pestaña Details, seleccione Subject Alternative Name para verificar las entradas DNS e IP.

    Imagen: OIDC-Cert-Paso-13

  5. Seleccione OK y salga de la consola.

Almacenar el certificado firmado del servidor

Reemplace los siguientes archivos en VD$A\Configuration\Local, ubicado en el archivo del servidor:

  • ApiCertificate y CSCCertificate: con una copia de D:\certs\rootCA.crt
  • ApiPrivateKey y CSCPrivateKey: con copia de D:\certs\hostname.key

No utilice extensiones de archivo.

Warning

Tras sustituir estos archivos, deberá actualizar TODOS los ordenadores cliente de octoplant. De lo contrario, los clientes no podrán conectarse.

Si D:\certs\rootCA.crt se instala como autoridad raíz de confianza en todos los clientes, y el nombre del servidor utilizado por el cliente coincide con el nombre común **** , no es necesario realizar más pasos.

Si no es así, elimine el archivo knownhosts.txt:

  • En el archivo cliente de cada cliente: \vdClientArchive\VD$A\Configuration\Local
  • En el archivo de servidor del servidor: \vdServerArchive\VD$A\Configuration\Local

El proceso de creación del certificado ha finalizado. Ahora puede:

Contenido relacionado