Administrar claves y certificados

El cifrado de Qlik NPrinting requiere un archivo de certificado X.509 en formato PEM. Puede generar un certificado autofirmado u obtener uno firmado por una autoridad de certificación (CA). Un único certificado cubre tanto NewsStand como Qlik NPrinting web console, puesto que tienen el mismo nombre de dominio.

Generar un certificado autofirmado

Un certificado autofirmado es un certificado de identidad que va firmado por la entidad propietaria del certificado. Dicha entidad utiliza su propia clave privada para certificar su identidad. El uso de un certificado autofirmado le permite firmar su certificado usted mismo.

Puede utilizar un certificado autofirmado si:

  • Tiene intención de usar HTTPS (HTTP sobre TLS) para asegurar sus servidores web.
  • No requiere que sus certificados estén firmados por una autoridad de certificación (CA).

Por ejemplo, puede utilizar un certificado autofirmado si sus servidores web se utilizan solo dentro de su red local.

Haga lo siguiente:

  1. Abra un indicador de línea de comandos en Windows.
  2. Vaya a la carpeta binaria OpenSSL. La instrucción predeterminada es cd C:\OpenSSL-Win64\bin. Los archivos se crearán en esta carpeta y después ya los moverá a la carpeta final.
  3. Para crear el certificado autofirmado, ejecute la siguiente instrucción:
    openssl req -newkey rsa:4096 -nodes -keyout NPrinting.key -x509 -days 365 -out NPrinting.crt

    Donde:

    • req es la solicitud de certificado PKCS#10 y la utilidad de generación.
    • La opción -x509 le dice a req que cree un certificado autofirmado.
    • La opción -days 365 especifica que el certificado será válido durante 365 días.

    Para omitir las preguntas interactivas, use -subj seguido de la información de su dominio entre comillas.

    Por ejemplo:

    -subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".

Advertencia: La clave privada no debe ser revelada a nadie, ni enviada a la autoridad de certificación. Haga una copia de seguridad y guárdela en un lugar seguro.

Solo puede distribuir el archivo de clave pública.

Adquirir un certificado de una autoridad de certificación

Sus certificados deben ir firmados por una autoridad de certificación (CA) para evitar las advertencias de seguridad en caso de que su servidor web esté accesible públicamente desde navegadores web. Hay numerosas autoridades de certificación. La CA que elija tendrá sus propias instrucciones específicas que deberá seguir. Algunos pasos para generar e implementar certificados firmados por CA son comunes a todas las autoridades de certificación. Las secciones a continuación describen estos pasos comunes.

Generar una solicitud de firma de un certificado

Para obtener un certificado firmado por una autoridad de certificación (CA), debe generar una solicitud de firma del certificado (CSR). Un CSR contiene su clave pública y otra información adicional. Esta información se incluirá en el certificado firmado. Un CSR nunca contiene la clave privada.

Haga lo siguiente:

  1. Para generar el CSR y la clave privada ejecute la siguiente instrucción:

    openssl req -new -newkey rsa:4096 -nodes -keyout NPrinting.key -out NPrinting.csr

  2. Se le pedirá que responda a las preguntas interactivas.
    Para omitir las preguntas interactivas, use -subj, seguido de la información de su dominio entre comillas.

    Por ejemplo:

    -subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".

Para cualquier procedimiento personalizado necesario para crear la CSR, consulte las instrucciones de la autoridad de certificación.

Campo de nombre común

El nombre en el campo de nombre común Common Name (CN) debe ser el Nombre de dominio completo (FQDN) del host que usará el certificado.

Por ejemplo:

  • Si la URL de su NewsStand es https://yourcompany.com:4994 el FQND es yourcompany.com (el puerto no forma parte del FQDN).
  • La URL https://www.yourcompany.com:4994 se considera diferente desde https://yourcompany.com:4994. Si desea que ambas direcciones URL sean nombres de host válidos, debe generar dos certificados, uno de los cuales contiene el FQDN www.yourcompany.com, and one containing the FQDN yourcompany.com.

Fusionar certificados firmados con certificados de servidor

Al utilizar un certificado firmado por una autoridad de certificación (CA), debe crear un paquete de certificados de archivos PEM que contenga el certificado del servidor, cualquier intermediario y el certificado firmado por la CA. Una vez que haya creado el paquete de certificados, utilícelo junto con su clave privada para configurar el proxy. Se deben proporcionar los archivos que contengan un certificado y su correspondiente clave privada para el servidor.

Haga lo siguiente:

  1. Puede crear un archivo de paquete de certificados concatenando el certificado firmado por la autoridad CA para su dominio, el certificado del servidor y cualquier intermediario. Todos los certificados, incluido el certificado raíz, deben estar concatenados.
  2. Asegúrese de aplicar el siguiente orden para la concatenación:

    • Certificado de dominio
    • Certificados intermedios (uno o varios)
    • Certificado raíz

    Por ejemplo:

    more < NPrinting.crt >> NPrinting.public.crt
    more < RSADomainValidationSecureServerCA.crt >> NPrinting.public.crt
    more < RSAAddTrustCA.crt >> NPrinting.public.crt
    more < AddTrustExternalCARoot.crt >> NPrinting.public.crt

    Donde:

    • NPrinting.crt es el certificado de dominio.
    • NPrinting.public.crt es el paquete de certificados que se utilizará para la configuración del proxy.
    • RSADomainValidationSecureServerCA.crt y RSAAddTrustCA.crt son certificados intermedios.
    • AddTrustExternalCARoot.crt es el certificado raíz.
  3. Use NPrinting.public.crt as como un archivo de certificado y la clave privada para configurar el proxy.