Crear certificados
- Última actualización2024/09/05
Crear certificados
Crear certificados como parte de la instalación de PEG.
Antes de empezar
- Opción 1:PEG genera claves y solicitud de firma de certificado (CSR).
- Opción 2: Cree sus propias claves y certificados.
-
ID único (UID): Cada VM de PEG que ejecute debe tener un ID único. Puede definir que el UID sea lo que desee, siempre y cuando cumpla con los siguientes criterios:
- Menor o igual a 18 caracteres de longitud
- Contiene solo letras de la "a" a la "z", números del 0 al 9 o guiones
- No debe comenzar ni terminar con un guión
- No debe contener guiones consecutivos
-
Consejo: Para crear fácilmente un UID, tome los últimos 18 caracteres de un GUID generado desde un generador GUID en línea.
- El dominio apex que se quiere utilizar para los nombres PEG DNS (por ejemplo, example.com)
Opción 2: cree sus propias claves y certificados
Aprenda a crear claves y certificados antes de implementar PEG.
Las claves y los certificados deben estar en formato PEM Base64 (llamado openssl o PKCS #8 para el formato de las claves en algunos sistemas). Cree los certificados según Tareas comunes: creación de los certificados. Las claves no deben estar protegidas por contraseña. Además, asegúrese de que sus claves coincidan con los nombres de archivo en la columna Nombre del archivo de clave de Tareas comunes: creación de los certificados.
Es importante verificar que el certificado pegado en el terminal coincida exactamente con el certificado de origen. Algunas aplicaciones pueden agregar el archivo con un carácter oculto al copiar y pegar. Para evitar cualquier problema, se ofrece ayuda a través de los siguientes pasos.
- Verifique el contenido del archivo: Después de pegar el contenido en el archivo, use un editor de texto (como nano, vim o gedit) para verificar si hay caracteres no deseados al final del archivo.
- Utilice echo con redirección: En lugar de pegar directamente el contenido, utilice echo con redirección para crear el archivo. Esto minimiza el riesgo de tener caracteres ocultos.
- Utilice scp para copiar los archivos de su sistema local a una instancia remota, en vez de solo copiarlos.
Tareas comunes: creación de los certificados
Aprenda a crear certificados PEM Base64.
Cuando cree los certificados, cree seis certificados PEM Base64 de servidor (llamado formato openssl en algunos sistemas), con nombres de dominio y nombres de archivo asignados de la siguiente manera, donde el UID es proporcionado por Process Discovery y el dominio apex es su dominio apex que utilizará para PEG. Cada certificado que cree solo debe contener el certificado de la hoja y no la cadena completa.
Dominio | Nombre de archivo de certificado | Nombre del archivo de clave (necesario solo si creó sus propias claves) |
---|---|---|
analytics-fiq-<UID>.<apex domain> | analytics-cert.pem | analytics-key.pem |
proxy-fiq-<UID>.<apex domain> | proxy-cert.pem | proxy-key.pem |
storage-fiq-<UID>.<apex domain> | storage-cert.pem | storage-key.pem |
st-fiq-<UID>.<apex domain> | st-cert.pem | st-key.pem |
dlp-fiq-<UID>.<apex domain> | dlp-cert.pem | dlp-key.pem |
es-fiq-<UID>.<apex domain> | es-cert.pem | es-key.pem |
klite-fiq-<UID>.<apex domain> | klite-cert.pem | klite-key.pem |
Consideraciones
- No se permiten certificados comodín: No se pueden utilizar certificados comodín para las implementaciones de PEG. Cada certificado debe crearse de forma individual para cada servicio con un nombre de dominio específico.
- Los certificados no son válidos a nivel mundial: Los certificados generados por CA interna no son reconocidos como confiables a nivel global por los sistemas externos, lo que significa que es necesario indicar su fiabilidad manualmente en todos los dispositivos o servicios del cliente.
- Validación manual de certificados: Los certificados deben validarse de forma manual en cada etapa de implementación para garantizar que sean correctos y que no se hayan dañado ni alterado durante la transferencia.
- Transferencia manual de certificado: Los certificados deben copiarse de forma manual a las máquinas virtuales (VM), lo que puede generar posibles errores si se hace incorrectamente o si se alteran los archivos durante el proceso de copia.
- Verificación de que los certificados sean válidos en todas las máquinas: Es esencial confirmar que todos los certificados sean válidos y estén correctamente instalados en cualquier máquina que necesite acceder a los servicios protegidos por estos certificados.
- Ausencia de renovación automática de certificados: Dado que los certificados internos carecen de integración con los sistemas de CA globales, no existe un proceso de renovación automatizado. Los administradores deben rastrear y renovar de forma manual los certificados antes de que caduquen para evitar interrupciones del servicio.
- Configuración adicional de fiabilidad: Cada cliente o sistema que acceda a los servicios PEG debe configurar de forma manual la fiabilidad de los certificados de CA internos, lo que puede implicar instalar certificados raíz o ajustar la configuración de seguridad.
- Riesgo de error humano: La naturaleza manual de la creación, validación y distribución de certificados aumenta la probabilidad de errores humanos, como nombres de archivos incorrectos, configuraciones no válidas o certificados faltantes.
- Revocación limitada y auditoría: Las configuraciones de CA internas pueden carecer de mecanismos de revocación sofisticados (como listas de revocación de certificados u OCSP), lo que dificulta la revocación de certificados comprometidos o vencidos y la auditoría efectiva de su uso.
- Dificultad al escalar: Administrar manualmente una gran cantidad de certificados en varias máquinas virtuales (VM) y entornos puede resultar difícil a medida que el sistema escala, lo que requiere procesos específicos para garantizar la coherencia.