Utilizar un certificado de seguridad propio

Info

Este procedimiento, combinado con una autoridad de certificación adecuada (interna o externa), resolverá los errores de NET::ERR_CERT_AUTHORITY_INVALID.

De manera predeterminada, octoplant crea automáticamente un certificado autofirmado y una clave privada en tiempo de ejecución.

Para utilizar su propio certificado en lugar del creado por octoplant (recomendado, por ejemplo, para OIDC o para WebClient), siga este procedimiento opcional. Esta guía está destinada a los departamentos informáticos o administradores de dominio.

Warning

Tras sustituir estos archivos, deberá actualizar TODOS los equipos cliente de octoplant. De lo contrario, los clientes no podrán conectarse.

Si D:\certs\rootCA.crt se instala como autoridad raíz de confianza en todos los clientes, y el nombre del servidor utilizado por el cliente coincide con el nombre común, no es necesario realizar más pasos.

Si no es así, elimine el archivo knownhosts.txt:

En el archivo cliente de cada cliente: \vdClientArchive\VD$A\Configuration\Local
En el archivo de servidor del servidor: \vdServerArchive\VD$A\Configuration\Local

Pasos básicos

Cree una clave privada de CA raíz y un certificado público. Importe el certificado como certificado raíz de confianza en el servidor y en todos los clientes que utilicen este servidor. Esta CA raíz puede utilizarse para varios servidores.
Para cada servidor, cree una clave privada y una solicitud de firma de certificado (CSR).
Utilice la clave privada de CA raíz para firmar el certificado público del servidor.
Guarde la clave privada del servidor y el certificado firmado en el archivo del servidor.

Requisitos

Necesita un entorno con OpenSSL instalado (recomendado: OpenSSL 3.2.1 o posterior). Para comprobar su versión, abra un intérprete de comandos y ejecute:
```
openssl -v
```
Debería ver una salida similar a:
```
OpenSSL 3.5.2 5 Aug 2025 (Library: OpenSSL 3.5.2 5 Aug 2025)
```
Cree una carpeta local para sus certificados, por ejemplo, D:\certs.

Cree su propia CA raíz

Este proceso consta de tres pasos:

Crear una clave raíz
Crear y autofirmar el certificado raíz
Distribuir el certificado

Warning

La clave CA raíz puede firmar cualquier certificado de servidor. Cualquiera con acceso a esta clave puede crear certificados de confianza. Manténgala segura y privada.

Cree una clave CA raíz (rootCA.key):
```
openssl genrsa -aes128 -out D:\certs\rootCA.key 4096
```
Se le pedirá una frase de contraseña, que necesitará cada vez que firme un certificado. Para crear una clave sin frase de contraseña, elimine la opción -aes128.

Cree el certificado raíz (rootCA.crt):

openssl req -x509 -new -nodes -key D:\certs\rootCA.key -sha256 -days 1024 -out D:\certs\rootCA.crt

Distribuya rootCA.crt a todos los clientes que vayan a conectarse al servidor.

Cree una solicitud de firma de certificado de servidor

Cree la clave del certificado del servidor (hostname.key):
```
openssl genrsa -out D:\certs\hostname.key 2048
```
Este archivo es el secreto del servidor. No comparta ni distribuya este archivo, sólo el servidor debe tener acceso a él.
Cree una solicitud de firma (hostname.csr):
```
openssl req -new -key D:\certs\hostname.key -out D:\certs\hostname.csr
```
Siga las instrucciones interactivas. El nombre común debe coincidir exactamente con el nombre de host que utilizan los clientes para conectarse. No establezca una contraseña.

(Opcional) Verifique la CSR:

openssl req -in D:\certs\hostname.csr -noout -text

Firmar el certificado del servidor

Utilice la CSR, la clave CA raíz y el certificado raíz para crear el certificado firmado del servidor (hostname.crt):

openssl x509 -req -in D:\certs\hostname.csr -CA D:\certs\rootCA.crt -CAkey D:\certs\rootCA.key -CAcreateserial -out D:\certs\hostname.crt -days 3650 -sha256

Se le pedirá la frase de contraseña de la clave CA raíz. El servidor de octoplant necesita los archivos resultantes hostname.crt y hostname.key.

Verifique el certificado

En Certificados, haga clic con el botón derecho del ratón en {nombre_del_servidor}.
Seleccione Abrir.
Revise la información del certificado.
En la pestaña Details, seleccione Subject Alternative Name para verificar las entradas DNS e IP.
Seleccione OK y salga de la consola.

Almacenar el certificado firmado del servidor

Reemplace los siguientes archivos en VD$A\Configuration\Local, ubicado en el archivo del servidor:

ApiCertificate y CSCCertificate: con una copia de D:\certs\rootCA.crt
ApiPrivateKey y CSCPrivateKey: con copia de D:\certs\hostname.key

No utilice extensiones de archivo.

El proceso de creación del certificado finalizó. Ahora puede:

Contenido relacionado