Saltar a contenido

Usar su propio certificado de seguridad

Info

Este procedimiento, combinado con una autoridad de certificación adecuada (interna o externa) solucionará los errores de NET::ERR_CERT_AUTHORITY_INVALID.

octoplant creará automáticamente un certificado con firma propia y una clave privada en tiempo de ejecución.

Si quiere utilizar su propio certificado para OIDC en lugar del creado por octoplant, este es un procedimiento opcional. La descripción es más útil para el departamento de informática o un administrador de dominio.

Configuración en octoplant

Para utilizar su propio certificado, cree una entrada 41388 en el archivo server.ini en la sección [Common] como se muestra a continuación:

[Common]
41388=https://{server name}

Utilice el nombre de su servidor en lugar de {nombre de servidor} aquí y en las instrucciones siguientes.

Ejemplos de entradas 41388 válidas:

Otros URI base válidos para la entrada 41388=https://{nombre de servidor} podrían ser similares a uno de los siguientes:

  • https://localhost:64021/octoplant/
  • https://octo.plant.localhost:123
  • https://octoplant.landau.amdt.com:64023
  • https://192.168.178.12:5555
  • https://[\:\:abcd\:1234\:dcba]\:9999
  • http://octo.ld.auvesy.de

Info

El nombre de host o dominio debe contener sólo caracteres ASCII. Si tiene caracteres unicode, debe sustituirlos por su representación punycode.

Crear el certificado SSL

  1. Instale OpenSSL.
  2. Cree un archivo de texto vacío llamado sssan.conf en la carpeta que contiene el archivo OpenSSL.exe.

    La carpeta puede variar dependiendo de su distribución de OpenSSL.

  3. Abra el archivo sssan.conf en el bloc de notas u otro editor de texto sin formato, y pegue el siguiente contenido:

    [req]
    default_bits = 4096
    prompt = no
    default_md = sha256
    x509_extensions = v3_req
    distinguished_name = dn
    
    [dn]
    C = {insert country code}   ; Typically 2 characters, such as US or DE
    O = {insert company name}   ; < 64 characters
    CN = {insert_server_name}   ; < 64 characters
    
    [v3_req]
    subjectAltName = @alt_names
    
    [alt_names]
    DNS.1 = {insert_server_name}
    
  4. Abra un intérprete de comandos CMD con derechos de administrador.

  5. Localice la carpeta ejecutable de OpenSSL.
  6. Establezca la propiedad de entorno OPENSSL_CONF. En el intérprete de comandos shell, introduzca el siguiente comando:

    SET OPENSSL_CONF={ruta completa a la carpeta ejecutable de OpenSSL}\openssl.cfg

  7. Genere el certificado SSL con SAN. Introduzca el siguiente comando:

    openssl.exe req -new -x509 -newkey rsa:4096 -sha256 -nodes -keyout "{insert cert location}\server.key" -days 3560 -out "{insert cert location}\cert.crt" -config "sssan.conf"
    

    Esto creará dos archivos en el directorio de certificados elegido:

    • server.key: Un archivo de clave privada
    • cert.crt: El certificado
  8. Deje abierto el intérprete de comandos del administrador si va a instalar el certificado en el servidor.

    - Advertencia

    La sustitución del archivo ApiCertificate por un nuevo certificado (ya sea autofirmado o creado externamente) requiere actualizaciones en cada equipo cliente de octoplant. De lo contrario, no podrá acceder a los clientes. Para evitar esto, elimine el archivo knownhosts.txt:

    • en CADA cliente instalado en su archivo del cliente: \vdClientArchive\VD$A\Configuration\Local
    • en el equipo servidor en su archivo de servidor: \vdServerArchive\VD$A\Configuration\Local y en su archivo del cliente.
  9. Para sustituir el archivo ApiCertificate por un nuevo certificado, cambie el nombre de los archivos de certificado en el directorio vdServerArchive\VD$A\configuration\Local:

    • cert.crt a ApiCertificate (sin extensión)
    • server.key a ApiPrivateKey (sin extensión)

El proceso de creación del certificado finalizó. Ahora puede:

Instalar el certificado en el servidor

  1. Abra Microsoft Management Console con derechos de administrador escribiendo mmc<Enter> en el intérprete de comandos shell.

  2. Se abre la Consola de administración de Microsoft.

    Imagen: MMC

  3. Cree un nuevo complemento de consola:

    1. Seleccione File -> Add/Remove Snap-in….

      Aparecerá el cuadro de diálogo Add or Remove Snap-ins:

      Imagen: OIDC-Cert-Paso-1

    2. Seleccione Certificates y, a continuación, el botón Add.

      Aparecerá el asistente de Certificates snap-in:

      Imagen: OIDC-Cert-Paso-2

    3. Seleccione el botón de opción Computer account y, a continuación, el botón Next>.

      Aparecerá el cuadro de diálogo Select Computer:

      Imagen: OIDC-Cert-Paso-3

    4. Seleccione el botón de opción Local computer y, a continuación, el botón Finish.

    5. Seleccione el botón OK en el cuadro de diálogo Add or Remove Snap-ins.
  4. Expanda Certificates bajo la raíz de consola.

    1. Haga clic con el botón derecho del ratón en Trusted Root Certification Authorities.
    2. Seleccione All Tasks.
    3. A continuación, seleccione Import, como en la siguiente imagen:

      Imagen: OIDC-Cert-Paso-4

      Aparecerá el Certificate Import Wizard :

      Imagen: OIDC-Cert-Paso-5

  5. Seleccione el botón Next.

  6. Seleccione el botón Browse.

    Se abrirá un cuadro de diálogo del explorador de Windows:

    Imagen: OIDC-Cert-Paso-6

    1. Vaya a la ubicación donde guardó el ApiCertificate más arriba y selecciónelo.

    2. Seleccione el botón Abrir.

      El Certificate Import Wizard mostrará el archivo:

      Imagen: OIDC-Cert-Paso-7

  7. Seleccione el botón Next.

    El siguiente paso es verificar la ubicación de almacenamiento de los certificados:

    Imagen: OIDC-Cert-Paso-8

    Compruebe que el almacenamiento de certificados es el Autoridades de certificación raíz de confianza.

  8. Seleccione el botón Next.

    El asistente mostrará los resultados:

    Imagen: OIDC-Cert-Paso-9

  9. Verifique la configuración de este certificado.

  10. Seleccione el botón Finalizar para completar el asistente.

    El asistente completará la importación y mostrará un cuadro de diálogo:

    Imagen: OIDC-Cert-Paso-10

  11. Seleccione el botón OK.

Verifique el certificado

  1. En Certificados, busque y haga clic con el botón derecho en {nombre del servidor}:

    Imagen: OIDC-Cert-Paso-11

  2. Seleccione la opción de menú Abrir.

  3. Aparecerá la información del certificado:

    Imagen: OIDC-Cert-Paso-12

  4. Seleccione la pestaña Detalles y, a continuación, Subject Alternative Name para ver la información DNS e IP que introdujo para este certificado:

    Imagen: OIDC-Cert-Paso-13

  5. Seleccione el botón OK, y salga de la consola.