Configurar certificado de descifrado en dispositivo web seguro
Contenido
Introducción
Este documento describe los pasos para configurar certificados de cifrado HTTPS en dispositivos web seguros (SWA) y clientes proxy.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Acceso a la interfaz gráfica de usuario (GUI) de SWA
- Acceso administrativo al SWA
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Descifrado HTTPS
El descifrado del protocolo de transferencia de hipertexto seguro (HTTPS) de SWA utiliza los certificados raíz y los archivos de clave privada que se cargan en el dispositivo para cifrar el tráfico. El certificado raíz y los archivos de clave privada que cargue en el dispositivo deben estar en formato PEM.
Nota: el formato DER no es compatible.
También puede cargar un certificado intermedio firmado por una autoridad de certificación raíz. Cuando el SWA imita el certificado del servidor, envía el certificado cargado junto con el certificado imitado a la aplicación cliente. De ese modo, mientras el certificado intermedio esté firmado por una entidad emisora de certificados (CA) raíz en la que confía la aplicación cliente, la aplicación también confía en el certificado de servidor imitado.
Configurar certificado de descifrado en SWA
El SWA tiene la capacidad de utilizar un certificado actual y una clave privada para su uso con descifrado HTTPS. Sin embargo, puede haber confusión sobre el tipo de certificado que debe utilizarse, ya que no todos los certificados x.509 funcionan.
Hay dos tipos principales de certificados: 'Certificados de servidor'y 'Certificados raíz'. Todos los certificados x.509 contienen un campo Restricciones básicas, que identifica el tipo de certificado:
- Subject Type=Finalizar entidad- Certificado de servidor
- Subject Type=CA- Certificado raíz
Cargar un certificado raíz y una clave
Paso 1. Desde la GUI, vaya a Security Services y elija HTTPS Proxy.
Paso 2. Haga clic en Edit Settings
Paso 3. Haga clic en Usar certificado y clave cargados.
Paso 4. Haga clic en Examinar para buscar el campo Certificado para desplazarse al archivo de certificado almacenado en el equipo local.
Nota: Si el archivo que carga contiene varios certificados o claves, el proxy web utiliza el primer certificado o clave del archivo.
Paso 5. Haga clic en Buscar el campo Clave para navegar al archivo de clave privada.
Nota: La clave debe tener una longitud de 512, 1024 o 2048 bits.
Paso 6. Seleccione La clave está cifrada si la clave está cifrada.
Paso 7. Haga clic en Cargar Archivos para transferir el certificado y los archivos de clave al Dispositivo Web Seguro.
La información del certificado cargado se muestra en la página Editar configuración de proxy HTTPS.
Paso 8. (Opcional) Haga clic en Descargar certificado para transferirlo a las aplicaciones cliente de la red.
Paso 9. Submit y Commit cambios.
Generar un certificado y una clave para el proxy HTTPS
Paso 1. Desde la GUI, vaya a Security Services y elija HTTPS Proxy.
Paso 2. Haga clic en Edit Settings.
Paso 3. Elegir Use Generated Certificate and Key.
Paso 4. Haga clic en Generate New Certificate and Key.
Paso 5. En el Generate Certificate and Key , ingrese la información para mostrarla en el certificado raíz.
Puede introducir cualquier carácter ASCII excepto la barra diagonal (/) en el campo Nombre común.
Paso 6. Haga clic en Generate.
Paso 7. La información del certificado generado se muestra en la página Editar configuración de proxy HTTPS.
Paso 8. (Opcional) Haga clic en Download Certificate para poder transferirlo a las aplicaciones cliente de la red.
Paso 9. (Opcional) Haga clic en el botón Download Certificate Signing Request para que pueda enviar la solicitud de firma de certificado (CSR) a una CA.
Paso 10. (Opcional) Cargue el certificado firmado en el dispositivo web seguro después de recibirlo de vuelta de la CA. Puede hacerlo en cualquier momento después de generar el certificado en el dispositivo.
Paso 11. Submit y Commit cambios.
Importar certificado
Importar certificado de proxy upstream a SWA
Si SWA está configurado para utilizar un proxy upstream y el proxy upstream está configurado para el descifrado HTTPS, debe importar el certificado de cifrado del proxy upstream a SWA.
Puede administrar la lista de certificados de confianza, agregarle certificados y quitarle certificados funcionalmente.
Paso 1. En GUI, seleccione Network y elija Certificate Management.
Paso 2. Haga clic en Manage Trusted Root Certificates en la página Administración de certificados.
Paso 3. Para agregar un certificado raíz de confianza personalizado con autoridad de firma, no en la lista reconocida por Cisco, haga clic en Import y, a continuación, envíe el archivo de certificado.
Paso 4. Submit y Commit cambios.
Importar certificado SWA a otro SWA
En caso de que haya cargado el certificado y la clave HTTPS en un SWA para el proxy HTTPS y los archivos originales estén accesibles en este momento, puede importarlos a otro SWA desde el archivo de configuración.
Paso 1. En la GUI de ambos SWA, seleccione System Administration y haga clic en Configuration File.
Paso 2. Haga clic en Download en el equipo local para ver o guardar.
Paso 3. Elegir Encrypt passwords en los archivos de configuración.
Paso 4. (Opcional) Seleccione Usar un nombre de archivo definido por el usuario y asigne el nombre deseado al archivo de configuración.
Paso 5. Haga clic en Enviar en Configuración actual para descargar la configuración .xml archivo.
Paso 6. Abra los archivos descargados con editores de texto o editores XML.
Paso 7. Copie estas etiquetas de SWA con el certificado, copie todos los datos dentro de las etiquetas y reemplácelas en el archivo de configuración de otro SWA:
....
....
....
....
Paso 8. Guarde los cambios en .xml del SWA de destino.
Paso 9. Para importar el archivo editado .xml archivo de configuración de nuevo al SWA de destino, en GUI, seleccione System Administration y haga clic en Configuration File.
Paso 10. En el Load Configuration clic de sección Load a configuration file from local computer.
Paso 11. Haga clic en Elegir archivo y elija el archivo editado .xml Archivo de configuración.
Paso 12. Haga clic en Load para importar el nuevo archivo de configuración con el certificado y la clave.
Paso 13. Commit cambia si se solicita al sistema.
Importar certificado SWA en cliente de Windows
Para importar el certificado de proxy HTTPS SWA como confiable en equipos cliente con el sistema operativo Microsoft Windows, estos son los pasos:
Paso 1. Haga clic en Inicio en la barra de tareas y escriba Manage computer certificates.
Paso 2. En la página Certificados: Equipo local, expanda Trusted Root Certification y haga clic con el botón derecho del ratón en la carpeta Certificados.
Paso 3. Haga clic en All Tasks y elija Import.
Paso 4. En la página Asistente para importación de certificados, haga clic en Next.
Paso 5. Para importar el archivo de certificado SWA, haga clic en Browse y seleccione el certificado que ha descargado de SWA.
Sugerencia: Para descargar el certificado SWA, consulte el Paso 8 de la sección "Cargar un certificado y clave raíz" o "Generación de un certificado y una clave para el proxy HTTPS" de este documento.
Paso 6. Haga clic en Place all certificates in the following casilla de verificación.
Paso 7. Elegir Trusted Root Certification Authorities y haga clic en Next.
Paso 8. Haga clic en Finish.
Alternativamente, puede utilizar este comando para importar el certificado a Trusted Root Certification Authorities.
certutil -addstore -f "ROOT"
Nota: Debe sustituir
con la ruta de acceso y el nombre de archivo del certificado descargado actualmente.
Importar certificado SWA en cliente Mac
Paso 1. Descargue el certificado de proxy HTTPS de SWA al cliente Mac OS.
Paso 2. Cambie el nombre de la extensión de archivo a .crt.
Paso 3. Ejecute este comando para importar el certificado como certificado de confianza:
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain
Nota: Debe reemplazarlo por la ruta de acceso y el nombre de archivo del certificado descargado actualmente.
Importar certificado SWA en Ubuntu/Debian
Paso 1. Descargue el certificado de proxy HTTPS de SWA.
Paso 2. Abra el archivo de certificado en el editor de texto y copie todo el contenido.
Paso 3. Cree un nuevo archivo en /usr/local/share/ca-certificates/ con .crt una extensión.
Paso 4. Edite el archivo con el editor de texto que desee y copie texto en el nuevo archivo, y guárdelo.
Paso 5. Ejecute este comando para actualizar los certificados en el sistema operativo.
sudo update-ca-certificates
Sugerencia: si tiene el certificado almacenado localmente en el cliente, puede copiar el certificado en /usr/local/share/ca-certificates/ y ejecutar sudo update-ca-certificates.
Nota: En algunas versiones, debe instalar el paquete ca-certificates con este comando: sudo apt-get install -y ca-certificates.
Importar certificado SWA en CentOS 6
Paso 1. Descargue el certificado de proxy HTTPS de SWA.
Paso 2. Abra el archivo de certificado en el editor de texto y copie todo el contenido del archivo.
Paso 3. Cree un nuevo archivo en /etc/pki/ca-trust/source/anchors/ con .crt extensión.
Paso 4. Edite el archivo con el editor de texto que desee y copie texto en el nuevo archivo, y guárdelo.
Paso 5. Instale el paquete ca-certificates:
yum install ca-certificates
Paso 6. Ejecute este comando para actualizar certificados en el sistema operativo:
update-ca-trust extract
Sugerencia: si tiene el certificado almacenado localmente en el cliente, puede copiar el certificado en /etc/pki/ca-trust/source/anchors/ y ejecutar update-ca-trust extract después de instalar el ca-certificates.
Importar certificado SWA en CentOS 5
Paso 1. Descargue el certificado de proxy HTTPS de SWA.
Paso 2. Abra el archivo de certificado en el editor de texto y copie todo el contenido del archivo.
Paso 3. Crear un nuevo archivo en la carpeta actual con .crt extensión (por ejemplo, SWA.crt).
Paso 4. Edite el /etc/pki/tls/certs/ca-bundle.crt con el editor de texto que desee, pegue el texto copiado al final del archivo y guárdelo.
Sugerencia: si tiene el certificado almacenado localmente en el cliente (en este ejemplo, el nombre de archivo es SWA.crt), puede anexar el certificado con este comando: cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crt.
Importar certificado SWA en Mozilla Firefox
Paso 1. Descargue el certificado de proxy HTTPS de SWA.
Paso 2. Cambie el nombre del archivo a .crt.
Paso 3. Abra Firefox y haga clic en el menú (tres barras en la esquina superior derecha).
Paso 4. Seleccione Configuración (en algunas versiones es Opciones).
Paso 5. Haga clic en Privacy & Security en el menú del lado izquierdo y desplácese hasta Certificates.
Paso 6. Haga clic en View Certificates.
Paso 7. Haga clic en el Authorities y, a continuación Import.
Paso 8. Elija el archivo de certificado y haga clic en Open.
Paso 9. Haga clic en OK.
Importar certificado SWA en Google Chrome
Paso 1. Descargue el certificado de proxy HTTPS de SWA.
Paso 2. Cambie el nombre del archivo a .crt.
Paso 3. Abra Google Chrome y haga clic en Customize and control Google Chrome(tres puntos en la esquina superior derecha).
Paso 4. Elegir Settings.
Paso 5. Haga clic en Privacy and Security en el menú del lado izquierdo.
Paso 6. Elegir Security.
Paso 7. Desplácese hasta Manage certificates y haga clic en el botón de la derecha.
Paso 8. Elija el Trusted Root Certification Authorities y haga clic en Import.
Paso 9. Elija el archivo de certificado y haga clic en Open.
Paso 10. Haga clic en OK.
Nota: Si instala el certificado SWA en el sistema operativo, Google Chrome confía en ese certificado y no hay necesidad de importar el certificado por separado a su navegador.
Importar certificado SWA en Microsoft Edge/Internet Explorer
Microsoft Edge e Internet Explorer (IE) utilizan certificados de sistema operativo. Si instala el certificado SWA en el sistema operativo, no es necesario importar el certificado por separado en el explorador.
Importar certificado SWA en Safari
Paso 1. Descargue el certificado de proxy HTTPS de SWA.
Paso 2. Cambie el nombre del archivo a .crt.
Paso 3. En Launchpad, busque por Keychain Access y haga clic en él.
Paso 4. Desde File clic del menú Add Keychain.
Paso 5. Elija el archivo de certificado SWA y haga clic en Add.
Paso 6. Elegir Security.
Paso 7. Desplácese hasta Manage certificates y haga clic en el botón de la derecha.
Paso 8. Elija elTrusted Root Certification Authorities y haga clic en Import.
Paso 9. Elija el archivo de certificado y haga clic en Open.
Paso 10. Haga clic en OK.
Importar certificado SWA de directiva de grupo a clientes
Para distribuir certificados a los equipos cliente mediante Directiva de grupo desde Active Directory, siga estos pasos:
Paso 1. Descargue el certificado de proxy HTTPS de SWA.
Paso 2. Cambie el nombre del archivo a .crt.
Paso 3. Copie el archivo de certificado en el controlador de dominio.
Paso 4. En el controlador de dominio, haga clic en start y abra el Group Policy Management complemento.
Paso 5. Busque el objeto de directiva de grupo (GPO) deseado o cree un nuevo GPO que contenga el certificado SWA para importarlo al cliente.
Paso 6. Haga clic con el botón secundario en el GPO y, a continuación, haga clic en Edit.
Paso 7. En el menú de la izquierda, vaya a Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.
Paso 8. Haga clic con el botón derecho en el Trusted Root Certification Authoritiesy haga clic en Import.
Paso 9. Haga clic en Next en el Welcome to the Certificate Import Wizard página.
Paso 10. Elija el archivo de certificado SWA para importar y haga clic en Next.
Paso 11. Haga clic en Place all certificates in the following storey, a continuación, en Next.
Paso 12. Compruebe que la información proporcionada es precisa y haga clic en Finish.
Nota: En algunas condiciones, debe reiniciar el cliente o ejecutar gpupdate /force para aplicar los cambios en el equipo cliente de Active Directory.
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
23-May-2023 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)