Reemplazar el certificado SSL
Vínculos rápidos: Importar el certificado nuevo, Reemplazar el certificado ESA Reemplazar el certificado del conector de IdP de ESA
Authentication Server y la API usan un certificado SSL para asegurar las comunicaciones contra intercepciones. El instalador selecciona automáticamente un certificado adecuado instalado en el equipo, o genera un certificado de firma propia si no se puede encontrar otro.
En esta sección se explica cómo reemplazar el certificado por otro que elija. Le ayuda a importar el nuevo certificado a Windows y, a continuación, utilizarlo para ESA.
Requisito previo
Para seguir esta guía, necesitará:
•La instalación del componente ESA Authentication Server
•El acceso de administrador al equipo donde esté instalado ESET Secure Authentication On-Prem
•El certificado SSL que desea usar en formato PKCS12 (.pfx o .p12)
oEl archivo del certificado debe contener una copia de la clave privada como también de la clave pública
Importación del nuevo certificado
El certificado nuevo necesita ser colocado en el Equipo local\tienda personal antes de poder ser usado.
1.Inicie la Consola de administración de Microsoft (MMC):
a.Haga clic en Inicio > escriba “mmc.EXE” y presione Enter
2.Agregue la extensión de Certificados:
a.Haga clic en Archivo -> Agregar/Eliminar extensión
b.Seleccione Certificados de la columna izquierda
c.Haga clic en Agregar.
d.Seleccione Cuenta de equipo
e.Haga clic en Siguiente.
f.Seleccione Equipo local
g.Haga clic en Terminar.
h.Haga clic en Aceptar.
3.Para guardar la extensión para usos futuros, haga clic en Archivo > Guardar.
4.Seleccione los Certificados (Equipo local) -> nodo Personal del árbol.
5.Haga clic con el botón secundario y seleccione Todas las tareas > Importar.
6.Siga las instrucciones del asistente de importación y asegúrese de agregar el certificado en la ubicación del almacén de certificados Personal.
7.Haga doble clic en el certificado y asegúrese de que se muestre la oración Posee una clave privada que corresponde a este certificado.
Reemplazo del certificado ESA
Authentication Server no se inicia sin un certificado El servicio ESACore (Authentication Server) no iniciará sin un certificado configurado. Si elimina el certificado, debe agregar otro antes de que el servicio ESACore vuelva a ejecutarse correctamente. |
Determine el certificado que desea usar
1.Abra el Administrador de certificados MMC siguiendo los siguientes pasos.
2.En la carpeta Personal, haga doble clic en el certificado aplicable.
3.En la pestaña General, compruebe que se muestra el mensaje Posee una clave privada que corresponde a este certificado.
4.En la pestaña Detalles; seleccione el campo Huella dactilar.
5.La huella digital del certificado se muestra en el panel inferior (conjuntos de dos dígitos hexadecimales separados por espacios).
Windows Server 2008+
1.Haga clic en Inicio -> Escriba cmd.EXE.
2.En la lista de programas, haga clic derecho en el elemento cmd.EXE y seleccione Ejecutar como administrador.
3.Escriba “netsh http show sslcert ipport=0.0.0.0:8001” y presione Enter.
4.Copie y pegue el campo Certificate Hash en un lugar seguro si desea volver a agregar el certificado existente.
5.Escriba netsh http delete sslcert ipport=0.0.0.0:8001 y presione la tecla Enter.
6.Debería ver El certificado SSL se ha eliminado correctamente.
7.Escriba netsh http add sslcert ipport=0.0.0.0:8001 appid={BA5393F7-AEB1-4AC6-B759-1D824E61E442} certhash=<THUMBPRINT>, pero reemplace <THUMBPRINT> con los valores de la huella digital del certificado sin espacios y presione Intro.
8.Debería ver El certificado SSL se ha agregado correctamente.
9.Reinicie el servicio ESACore para que el nuevo certificado se aplique.
Reemplazar el certificado del conector de IdP de ESA
1.En su Windows Server, ejecute el Administrador de Internet Information Services (IIS).
2.Vaya a <your_domain> > Sitios.
3.Haga clic derecho y seleccione Conector de proveedor de identidad de ESA > Editar enlaces.
4.Haga doble clic en https.
5.Seleccione el nuevo certificado desde Certificado de SSL.
6.Haga clic en Aceptar > Cerrar.
Para cambiar el puerto del conector de IdP de ESA:
1.En su Windows Server, ejecute el Administrador de Internet Information Services (IIS).
2.Vaya a <your_domain> > Sitios.
3.Haga clic derecho y seleccione Conector de proveedor de identidad de ESA > Editar enlaces.
4.Haga doble clic en https.
5.Cambie el valor de Puerto.
6.Haga clic en Aceptar > Cerrar.
La clave privada del certificado del conector de IdP solo es legible para el usuario de Local System; por lo tanto, es posible que en algunos sistemas se produzca un problema al volver a configurar el enlace en el administrador de IIS. Si se encuentra con este problema, puede generar un certificado personalizado y reemplazar el predeterminado. |