Saltar a contenido

Usar su propio certificado de seguridad

Info

Este procedimiento, combinado con una autoridad de certificación adecuada (interna o externa) solucionará los errores de NET::ERR_CERT_AUTHORITY_INVALID.

octoplant creará automáticamente un certificado con firma propia y una clave privada en tiempo de ejecución.

Si quiere utilizar su propio certificado para OIDC en lugar del creado por octoplant, este es un procedimiento opcional. La descripción es más útil para el departamento de informática o un administrador de dominio.

Configuración en octoplant

Para utilizar su propio certificado, cree una entrada 41388 en el archivo server.ini en la sección [Common] como se muestra a continuación:

[Common]
41388=https://{server name}

Utilice el nombre de su servidor en lugar de {nombre de servidor} aquí y en las instrucciones siguientes.

Ejemplos de entradas 41388 válidas:

Otros URI base válidos para la entrada 41388=https://{nombre de servidor} podrían ser similares a uno de los siguientes:

  • https://localhost:64021/octoplant/
  • https://octo.plant.localhost:123
  • https://octoplant.landau.auvesy-mdt.com:64023
  • https://192.168.178.12:5555
  • https://[\:\:abcd\:1234\:dcba]\:9999
  • http://octo.ld.auvesy.de

Info

El nombre de host o dominio debe contener sólo caracteres ASCII. Si tiene caracteres unicode, debe sustituirlos por su representación punycode.

Crear el certificado SSL

  1. Instale OpenSSL.

  2. Cree un archivo de texto vacío llamado sssan.conf en la carpeta ejecutable OpenSSL.

    La carpeta ejecutable será la que contenga openssl.exe. Puede variar en función de la distribución de OpenSSL.

  3. Edite el nuevo archivo sssan.conf con el bloc de notas o un editor de texto similar. Introduzca el siguiente texto en ese archivo y guárdelo.

    [req]
default_bits = 4096
prompt = no
default_md = sha256
x509_extensions = v3_req
distinguished_name = dn

[dn]
C = {insert country code}
O = {insert company name}
CN = {insert_server_name}

[v3_req]
subjectAltName = @alt_names

[alt_names]
DNS.1 = {insert_server_name}

  4. Abra un intérprete de comandos CMD con derechos de administrador.

  5. Cambie el interprete de comandos a la carpeta ejecutable de OpenSSL.

  6. Establezca la propiedad de entorno OPENSSL_CONF. Introduzca lo siguiente en el intérprete de comandos:

    SET OPENSSL_CONF={ruta completa a la carpeta ejecutable de OpenSSL}\openssl.cfg

  7. Para generar un certificado SSL con SAN, introduzca lo siguiente en el intérprete de comandos:

    openssl.exe req -new -x509 -newkey rsa:4096 -sha256 -nodes -keyout "{insert cert location}\server.key" -days 3560 -out "{insert cert location}\cert.crt" -config "sssan.conf"

    Esto creará dos archivos en el directorio de certificados elegido:

    • server.key: Un archivo de clave privada
    • cert.crt: El certificado

  8. Deje abierto el intérprete de comandos del administrador si va a instalar el certificado en el servidor.

  9. Diríjase al directorio local de configuración

  10. Cambie el nombre de los siguientes archivos:

    • cert.crt a ApiCertificate (sin extensión)
    • server.key a ApiPrivateKey (sin extensión)

El proceso de creación del certificado ha finalizado. Ahora puede:

Instalar el certificado en el servidor

  1. Abra Microsoft Management Console con derechos de administrador escribiendo mmc<Enter> en el intérprete de comandos shell.

  2. Aparecerá la Microsoft Management Console.

    Imagen: MMC

  3. Cree un nuevo complemento de consola:

    1. Seleccione File -> Add/Remove Snap-in….

      Aparecerá el cuadro de diálogo Add or Remove Snap-ins:

      Imagen: OIDC-Cert-Paso-1

    2. Seleccione Certificates y, a continuación, el botón Add.

      Aparecerá el asistente de Certificates snap-in:

      Imagen: OIDC-Cert-Paso-2

    3. Seleccione el botón de opción Computer account y, a continuación, el botón Next>.

      Aparecerá el cuadro de diálogo Select Computer:

      Imagen: OIDC-Cert-Paso-3

    4. Seleccione el botón de opción Local computer y, a continuación, el botón Finish.

    5. Seleccione el botón OK en el cuadro de diálogo Add or Remove Snap-ins.

  4. Expanda Certificates bajo la raíz de consola.

    1. Haga clic con el botón derecho del ratón en Trusted Root Certification Authorities.
    2. Seleccione All Tasks.

    3. A continuación, seleccione Import, como en la siguiente imagen:

      Imagen: OIDC-Cert-Paso-4

      Aparecerá el Certificate Import Wizard :

      Imagen: OIDC-Cert-Paso-5

  5. Seleccione el botón Next.

  6. Seleccione el botón Browse.

    Se abrirá un cuadro de diálogo del explorador de Windows:

    Imagen: OIDC-Cert-Paso-6

    1. Vaya a la ubicación donde guardó el ApiCertificate más arriba y selecciónelo.

    2. Seleccione el botón Abrir.

      El Certificate Import Wizard mostrará el archivo:

      Imagen: OIDC-Cert-Paso-7

  7. Seleccione el botón Next.

    El siguiente paso es verificar la ubicación de almacenamiento de los certificados:

    Imagen: OIDC-Cert-Paso-8

    Compruebe que el almacenamiento de certificados es el Trusted Root Certification Authorities.

  8. Seleccione el botón Next.

    El asistente mostrará los resultados:

    Imagen: OIDC-Cert-Paso-9

  9. Verifique la configuración de este certificado.

  10. Seleccione el botón Finalizar para completar el asistente.

    El asistente completará la importación y mostrará un cuadro de diálogo:

    Imagen: OIDC-Cert-Step-10

  11. Seleccione el botón OK.

Verifique el certificado

  1. En Certificados, busque {nombre_servidor} y haga clic con el botón derecho:

    Imagen: OIDC-Cert-Step-11

  2. Seleccione la opción de menú Open.

  3. Aparecerá la información del certificado:

    Imagen: OIDC-Cert-Step-12

  4. Seleccione la pestaña Details y, a continuación, Subject Alternative Name para ver la información DNS e IP que ha introducido para este certificado:

    Imagen: OIDC-Cert-Step-13

  5. Seleccione el botón OK, y salga de la consola.