Configurar la función del Unit Assistant para la administración de certificados - Security Center 5.11

Guía del Administrador de Security Center 5.11
Applies to
Security Center 5.11
Last updated
2024-02-14
Content type
Guías > Guías del administrador
Language
Español
Product
Security Center
Version
5.11

Antes de que la función del Unit Assistant pueda administrar de forma eficaz los certificados de unidad, debe configurar los ajustes de administración de certificados y el perfil del certificado.

Antes de comenzar

Cree la función de Certificate Signing

Procedimiento

  1. Ingrese a Security Center con el Config Tool instalado en el servidor que alberga la función de asistente de unidad.
  2. Desde la página de inicio de la herramienta de configuración, abra el Sistema tarea y haga clic en el roles vista.
  3. Seleccione la función de Unit Assistant y haga clic en la pestaña de Propiedades.
  4. En la acción de Seguridad, configure los ajustes de Administración de certificados.
    Políticas de seguridad
    Permitir la renovación de certificados vencidos
    Active este parámetro (activado de forma predeterminada) para permitir que el sistema renueve los certificados de unidad de manera automática, incluso después de que caduquen. Si no desea que los certificados caducados se renueven de manera automática, desactive este parámetro. Siempre puede renovar de forma manual los certificados que han caducado desde la tarea de Inventario de hardware.
    Habilitar HTTPS en unidades después de instalar con éxito los certificados
    Active este parámetro (activado de forma predeterminada) para forzar a la unidad a cambiar a HTTPS después de que el certificado se haya instalado con éxito. Los puertos HTTPS configurados en Security Center para las unidades pueden cambiar durante el proceso si Unit Assistant puede detectar el puerto correcto.
    Notificaciones
    Especifique, en días, cuándo desea que el sistema active una advertencia antes de que caduque un certificado (predeterminado = 7 días).

    Si configuró su sistema para renovar de manera automática los certificados X días antes de que caduquen, establezca este valor en X menos N, donde N es la cantidad de días que le da al sistema para intentar renovar de manera automática un certificado antes de emitir una advertencia. También asegúrese de darse suficiente tiempo para investigar por qué no se renovó un certificado después de recibir la advertencia.

    Información de certificado
    Período de validez
    Este es el período de validez de un certificado después de una renovación. Este valor se hereda de la CA. Sólo se puede modificar desde la página Perfil de certificado.
    Mostrar parámetros avanzados
    Haga clic en este botón para mostrar las propiedades opcionales que puede asignar a los certificados creados por su sistema. País, Estado, Localidad, Organización y Unidad organizativa le ayudan a identificar un certificado emitido para su organización. Estos valores se pueden sobrescribir en renovaciones de certificados específicos.
  5. En la sección de Infraestructura de la clave pública, haga clic en Establecer punto final personalizado e introduzca en el campo de Punto de conexión la URL de su autoridad de certificación (CA).
    NOTA: Para Security Center 5.11, la autoridad certificada (CA, por sus siglas en inglés) es la función de Certificate Signing.
    La sintaxis de la URL es la siguiente:
    Code 
    https://hostname:port/management
    donde hostname es el nombre de host o la dirección IP del servidor que aloja la función de Certificate Signing, y Puerto es el número de puerto configurado en la página Propiedades de la función de Certificate Signing. Asegúrese de que el servidor que aloja la función del Unit Assistant pueda acceder a esta URL.
    IMPORTANTE: Para simplificar la configuración de conmutación por error, la URL se establece de forma predeterminada en https://localhost:port/management. Esto supone que tanto la función del Unit Assistant como la función de Certificate Signing siempre están alojadas en el mismo servidor. Si elige alojar las dos funciones en servidores separados, cuando ocurra una conmutación por error, debe cambiar de manera manual el valor de la URL aquí y reiniciar la función del Unit Assistant.
  6. Haga clic en Aplicar.
  7. Reinicie la función del Unit Assistant.
    1. En el panel izquierdo, haga clic derecho en Unit Assistant y luego haga clic en Mantenimiento > Desactivar función.
    2. Después de que la función se haya puesto de color rojo, haga clic con el botón derecho en Unit Assistant y luego en Mantenimiento > Activar función.
  8. Haga clic en Perfil de certificado para configurar las políticas y los límites impuestos a las solicitudes de certificado aplicadas por la autoridad certificada (CA, por sus siglas en inglés).
    Nombre de dominio permitido
    Debe coincidir con el nombre de dominio de su red. Déjelo en blanco si no desea incluir el nombre de dominio en los certificados.
    Rango de IPv4 permitido
    Introduzca el rango de IPv4 de las unidades a las que espera conectarse en su red. Déjelo en blanco si no desea que las unidades utilicen IPv4.

    El rango de IP debe seguir la convención CIDR. Todas las unidades deben encontrarse dentro de este rango de direcciones IP. No admitimos rangos discretos de direcciones IP.

    Rango de IPv6 permitido
    Introduzca el rango de IPv6 de las unidades a las que espera conectarse en su red. Déjelo en blanco si no desea que las unidades utilicen IPv6.

    El rango de IP debe seguir la convención CIDR. Todas las unidades deben encontrarse dentro de este rango de direcciones IP. No admitimos rangos discretos de direcciones IP.

    Período de validez
    Especifique, en días o meses, el período de validez de los certificados renovados de acuerdo con sus políticas de seguridad. Recomendamos un período entre seis meses y un año.
  9. Haga clic en Aplicar.
  10. Seleccione los eventos de salud relacionados con el certificado que desea monitorear..
    Los eventos de salud relacionados con el certificado que puede monitorear son:
    Advertencia de certificado
    El certificado está próximo a caducar.
    Error de certificado
    Hay un error que hace que las comunicaciones con la unidad sean inseguras.
    Certificado valido
    El estado del certificado volvió a ser válido después de estar en error o advertencia.
    Estos eventos se encuentran bajo el grupo de la Unidad del control de acceso y el grupo de Unidad de video.
    MEJOR PRÁCTICA: Es muy recomendable que cree eventos a toma de acción para informar al administrador del sistema cuando se produzcan problemas relacionados con el certificado.

Después de que concluya

Si más tarde necesita cambiar alguna de estas configuraciones, debe hacerlo en un momento en que la función de Unit Assistant no esté actualizando ningún certificado.
IMPORTANTE: Si cambia el puerto de comunicación de la autoridad certificada (CA, por sus siglas en inglés) (función de Certificate Signing) o cualquier configuración en la página de Perfil de certificado, debe reiniciar la función de Unit Assistant para que el cambio surta efecto. Si cambia a una nueva CA, todas las unidades cuyos certificados hayan sido firmados por la antigua CA deberán renovarse lo antes posible. De lo contrario, cuando mueva su unidad a una nueva función, la unidad podría dejar de funcionar porque el certificado raíz de la CA anterior no se implementaría en el servidor que aloje la nueva función.

Tenga en cuenta también que el certificado raíz de la antigua CA no se elimina de manera automática cuando ya no está en uso. Si es necesario, después de que se hayan renovado todos los certificados de la unidad, puede eliminarlo de manera manual del Almacén de Certificados de Windows.

Tema principal: Administración de certificados de unidad