Crear certificados

Crear certificados como parte de la instalación de PEG.

Antes de empezar

Puede crear certificados mediante una de dos opciones.
En ambos casos, necesitarás lo siguiente:
  • ID único (UID): Cada VM de PEG que ejecute debe tener un ID único. Puede definir que el UID sea lo que desee, siempre y cuando cumpla con los siguientes criterios:
    • Menor o igual a 18 caracteres de longitud
    • Contiene solo letras de la "a" a la "z", números del 0 al 9 o guiones
    • No debe comenzar ni terminar con un guión
    • No debe contener guiones consecutivos
    • Consejo: Para crear fácilmente un UID, tome los últimos 18 caracteres de un GUID generado desde un generador GUID en línea.
  • El dominio apex que se quiere utilizar para los nombres PEG DNS (por ejemplo, example.com)

Opción 2: cree sus propias claves y certificados

Aprenda a crear claves y certificados antes de implementar PEG.

Las claves y los certificados deben estar en formato PEM Base64 (llamado openssl o PKCS #8 para el formato de las claves en algunos sistemas). Cree los certificados según Tareas comunes: creación de los certificados. Las claves no deben estar protegidas por contraseña. Además, asegúrese de que sus claves coincidan con los nombres de archivo en la columna Nombre del archivo de clave de Tareas comunes: creación de los certificados.

Es importante verificar que el certificado pegado en el terminal coincida exactamente con el certificado de origen. Algunas aplicaciones pueden agregar el archivo con un carácter oculto al copiar y pegar. Para evitar cualquier problema, se ofrece ayuda a través de los siguientes pasos.

  • Verifique el contenido del archivo: Después de pegar el contenido en el archivo, use un editor de texto (como nano, vim o gedit) para verificar si hay caracteres no deseados al final del archivo.
  • Utilice echo con redirección: En lugar de pegar directamente el contenido, utilice echo con redirección para crear el archivo. Esto minimiza el riesgo de tener caracteres ocultos.
  • Utilice scp para copiar los archivos de su sistema local a una instancia remota, en vez de solo copiarlos.

Tareas comunes: creación de los certificados

Aprenda a crear certificados PEM Base64.

Cuando cree los certificados, cree seis certificados PEM Base64 de servidor (llamado formato openssl en algunos sistemas), con nombres de dominio y nombres de archivo asignados de la siguiente manera, donde el UID es proporcionado por Process Discovery y el dominio apex es su dominio apex que utilizará para PEG. Cada certificado que cree solo debe contener el certificado de la hoja y no la cadena completa.

Tabla 1. Asignación de nombres de dominio a nombres de archivos de certificados
Dominio Nombre de archivo de certificado Nombre del archivo de clave (necesario solo si creó sus propias claves)
analytics-fiq-<UID>.<apex domain> analytics-cert.pem analytics-key.pem
proxy-fiq-<UID>.<apex domain> proxy-cert.pem proxy-key.pem
storage-fiq-<UID>.<apex domain> storage-cert.pem storage-key.pem
st-fiq-<UID>.<apex domain> st-cert.pem st-key.pem
dlp-fiq-<UID>.<apex domain> dlp-cert.pem dlp-key.pem
es-fiq-<UID>.<apex domain> es-cert.pem es-key.pem
klite-fiq-<UID>.<apex domain> klite-cert.pem klite-key.pem
Nota: Puede crear un certificado con todos los SAN. También puede crear una sola clave si lo desea. Sin embargo, todavía tendrá que asegurarse de que haya siete copias de ese certificado y siete copias de esa clave (si creó claves) nombradas como se indicó anteriormente. No cree un certificado comodín.

Consideraciones

Revise las siguientes consideraciones para crear certificados para instalar PEG:
  • No se permiten certificados comodín: No se pueden utilizar certificados comodín para las implementaciones de PEG. Cada certificado debe crearse de forma individual para cada servicio con un nombre de dominio específico.
  • Los certificados no son válidos a nivel mundial: Los certificados generados por CA interna no son reconocidos como confiables a nivel global por los sistemas externos, lo que significa que es necesario indicar su fiabilidad manualmente en todos los dispositivos o servicios del cliente.
  • Validación manual de certificados: Los certificados deben validarse de forma manual en cada etapa de implementación para garantizar que sean correctos y que no se hayan dañado ni alterado durante la transferencia.
  • Transferencia manual de certificado: Los certificados deben copiarse de forma manual a las máquinas virtuales (VM), lo que puede generar posibles errores si se hace incorrectamente o si se alteran los archivos durante el proceso de copia.
  • Verificación de que los certificados sean válidos en todas las máquinas: Es esencial confirmar que todos los certificados sean válidos y estén correctamente instalados en cualquier máquina que necesite acceder a los servicios protegidos por estos certificados.
  • Ausencia de renovación automática de certificados: Dado que los certificados internos carecen de integración con los sistemas de CA globales, no existe un proceso de renovación automatizado. Los administradores deben rastrear y renovar de forma manual los certificados antes de que caduquen para evitar interrupciones del servicio.
  • Configuración adicional de fiabilidad: Cada cliente o sistema que acceda a los servicios PEG debe configurar de forma manual la fiabilidad de los certificados de CA internos, lo que puede implicar instalar certificados raíz o ajustar la configuración de seguridad.
  • Riesgo de error humano: La naturaleza manual de la creación, validación y distribución de certificados aumenta la probabilidad de errores humanos, como nombres de archivos incorrectos, configuraciones no válidas o certificados faltantes.
  • Revocación limitada y auditoría: Las configuraciones de CA internas pueden carecer de mecanismos de revocación sofisticados (como listas de revocación de certificados u OCSP), lo que dificulta la revocación de certificados comprometidos o vencidos y la auditoría efectiva de su uso.
  • Dificultad al escalar: Administrar manualmente una gran cantidad de certificados en varias máquinas virtuales (VM) y entornos puede resultar difícil a medida que el sistema escala, lo que requiere procesos específicos para garantizar la coherencia.