Saltar al contenido principal

Administrar claves y certificados

El cifrado de Qlik NPrinting requiere un archivo de certificado X.509 en formato PEM. Puede generar un certificado autofirmado u obtener uno firmado por una autoridad de certificación (CA). Un único certificado cubre tanto NewsStand como Consola web de Qlik NPrinting, puesto que tienen el mismo nombre de dominio.

Limitaciones

  • Los certificados generados mediante algoritmos compatibles con CNG no son compatibles con el complemento On-Demand.

Generar un par de claves públicas y privadas RSA en formato PEM

Haga lo siguiente:

  1. Abra un indicador de línea de comandos de Windows.

  2. Vaya a la carpeta binaria OpenSSL. El comando predeterminado es: cd C:\OpenSSL-Win64\bin

    Puede personalizar la carpeta si lo necesita. Los archivos se crearán en esta carpeta y después ya los moverá a la carpeta final.

  3. Ejecute el comando: openssl genrsa -out NPrinting.key 4096.

    genrsa es la opción para generar una clave privada RSA. 4096 es el tamaño de la clave privada generada en bits.

  4. Si solo desea exportar el certificado público en formato PEM, ejecute el comando: openssl rsa -in NPrinting.key -outform PEM -pubout -out NPrintingPublic.pem.

    pubout es la opción OpenSSL para extraer la clave pública y la clave privada RSA.

    Advertencia: La clave del certificado no debe ir protegida mediante contraseña.
    Advertencia: La clave privada no debe ser revelada a nadie, ni enviada a la autoridad de certificación. Haga una copia de seguridad y guárdela en un lugar seguro. Puede distribuir el archivo de clave pública si lo necesita.
  5. Antes de compartir su archivo de clave pública, le sugerimos que lo inspeccione visualmente para asegurarse de que está enviando el archivo correcto:

    1. Abra el archivo NPrinting.key en un editor de texto. NPrinting.key es su clave privada y comienza por: -----BEGIN RSA PRIVATE KEY-----. Manténgalo en secreto.

    2. Abra el archivo NPrintingPublic.pem en un editor de texto. NPrintingPublic.pem es su clave pública y comienza por: -----BEGIN PUBLIC KEY-----. Puede compartir este archivo.

Seguridad de clave privada

Qlik NPrinting funciona 24 horas al día los 7 días de la semana. Esto significa que la clave privada debe almacenarse en el sistema de archivos sin cifrar. Proteger la clave privada mediante una contraseña no es factible, porque un administrador deberá introducir la contraseña cada vez que se reinicie el servicio. Puede proteger el archivo de clave privada otorgando derechos de acceso solo a los administradores. El archivo de clave privada se usa solo para el intercambio TLS y nunca abandona el servidor.

Generar un certificado autofirmado

Un certificado autofirmado es un certificado de identidad que va firmado por la entidad propietaria del certificado. Dicha entidad utiliza su propia clave privada para certificar su identidad. El uso de un certificado autofirmado le permite firmar su certificado usted mismo.

Puede utilizar un certificado autofirmado si:

  • Tiene intención de usar HTTPS (HTTP sobre TLS) para asegurar sus servidores web.
  • No requiere que sus certificados estén firmados por una autoridad de certificación (CA).

Por ejemplo, puede utilizar un certificado autofirmado si sus servidores web se utilizan solo dentro de su red local.

Haga lo siguiente:

  1. Abra un indicador de línea de comandos en Windows.
  2. Vaya a la carpeta binaria OpenSSL. El comando predeterminado es cd C:\OpenSSL-Win64\bin. Los archivos se crearán en esta carpeta y después ya los moverá a la carpeta final.
  3. Para crear el certificado autofirmado, ejecute la siguiente instrucción:
    openssl req -newkey rsa:4096 -nodes -keyout NPrinting.key -x509 -days 365 -out NPrinting.crt

    Donde:

    • req es la solicitud de certificado PKCS#10 y la utilidad de generación.
    • La opción -x509 le dice a req que cree un certificado autofirmado.
    • La opción -days 365 especifica que el certificado será válido durante 365 días.

    Para omitir las preguntas interactivas, use -subj, seguido de la información de su dominio entre comillas.

    Por ejemplo:

    -subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".

Advertencia: La clave privada no debe ser revelada a nadie, ni enviada a la autoridad de certificación. Haga una copia de seguridad y guárdela en un lugar seguro.

Puede distribuir el archivo de clave pública.

Adquirir un certificado de una autoridad de certificación

Sus certificados deben ir firmados por una autoridad de certificación (CA) para evitar las advertencias de seguridad en caso de que su servidor web esté accesible públicamente desde navegadores web. Hay numerosas autoridades de certificación. La CA que elija tendrá sus propias instrucciones específicas que deberá seguir. Algunos pasos para generar e implementar certificados firmados por CA son comunes a todas las autoridades de certificación. Las secciones a continuación describen estos pasos comunes.

Generar una solicitud de firma de un certificado

Para obtener un certificado firmado por una autoridad de certificación (CA), debe generar una solicitud de firma del certificado (CSR). Un CSR contiene su clave pública y otra información adicional. Esta información se incluirá en el certificado firmado. Un CSR nunca contiene la clave privada.

Haga lo siguiente:

  1. Para generar el CSR y la clave privada ejecute la siguiente instrucción:

    openssl req -new -newkey rsa:4096 -nodes -keyout NPrinting.key -out NPrinting.csr

  2. Se le pedirá que responda a las preguntas interactivas.
    Para omitir las preguntas interactivas, use -subj, seguido de la información de su dominio entre comillas.

    Por ejemplo:

    -subj "/C=US/ST=New York/L=Brooklyn/O=Example Brooklyn Company/CN=mywebsitedomain.com".

Para cualquier procedimiento personalizado necesario para crear la CSR, consulte las instrucciones de la autoridad de certificación.

Campo de nombre común

El nombre en el campo de nombre común Common Name (CN) debe ser el Nombre de dominio completo (FQDN) del host que usará el certificado.

Por ejemplo:

  • Si la URL de su NewsStand es https://yourcompany.com:4994 el FQND es yourcompany.com (el puerto no forma parte del FQDN).
  • La URL https://www.yourcompany.com:4994 se considera diferente desde https://yourcompany.com:4994. Si desea que ambas direcciones URL sean nombres de host válidos, debe generar dos certificados, uno de los cuales contiene el FQDN www.yourcompany.com, and one containing the FQDN yourcompany.com.

Fusionar certificados firmados con certificados de servidor

Al utilizar un certificado firmado por una autoridad de certificación (CA), debe crear un paquete de certificados de archivos PEM que contenga:

  • el certificado del servidor

  • cualquier intermediario

  • el certificado firmado por la CA

Asegúrese de aplicar el siguiente orden para la concatenación:

  1. Certificado de dominio
  2. Certificados intermedios (uno o varios)
  3. Certificado raíz

Una vez que haya creado el paquete de certificados, utilícelo junto con su clave privada para configurar el proxy. Se deben proporcionar los archivos que contengan un certificado y su correspondiente clave privada para el servidor.

Haga lo siguiente:

En este ejemplo, el certificado de su dominio es NPrinting.crt.

  1. Abra una línea de comandos de Windows e introduzca lo siguiente:

  2. more NPrinting.crt >> NPrinting.public.pem
    more RSADomainValidationSecureServerCA.crt >> NPrinting.public.pem
    more RSAAddTrustCA.crt >> NPrinting.public.pem
    more AddTrustExternalCARoot.crt >> NPrinting.public.pem

    Donde:

    • NPrinting.crt es el certificado de dominio.
    • NPrinting.public.pem es el paquete de certificados que se utilizará para configurar el proxy.
    • RSADomainValidationSecureServerCA.crt y RSAAddTrustCA.crt son certificados intermedios.
    • AddTrustExternalCARoot.crt es el certificado raíz.
  3. Utilice NPrinting.public.pem como un archivo de certificado y la clave privada para configurar el proxy.