Verificación de certificados
Cuando se habilita la verificación de certificados para un grupo, todos los puntos finales de comunicación TLS de su red de administración utilizan certificados para validar la identidad de sus pares antes de transmitir información confidencial.
Comportamiento
Las conexiones iniciadas por un host de XenServer en la red de administración requieren que el punto final de destino proporcione un certificado TLS para verificar su identidad. Este requisito afecta a los siguientes elementos que forman parte del grupo o interactúan con él:
- Anfitriones en la piscina
- XenCenter
- Clientes de terceros que utilizan la API
La verificación de certificados es compatible tanto con los certificados autofirmados proporcionados por XenServer como con los certificados instalados por el usuario y firmados por una autoridad de confianza. Para obtener más información, consulte Instalar un certificado TLS en el host.
Cada host XenServer de un grupo tiene dos certificados que lo identifican:
-
Los certificados de identidad internos del grupo se utilizan para proteger las comunicaciones entre los hosts del grupo. Para la comunicación dentro del grupo, XenServer siempre usa certificados autofirmados.
-
Loscertificados de identidad del servidor se utilizan para verificar la identidad de un host de XenServer ante cualquier aplicación cliente que se comunique con el grupo de la red de administración. Para la comunicación entre el host y una aplicación cliente, puede usar certificados autofirmados o puede instalar sus propios certificados TLS en sus hosts.
Cuando un host se une al grupo por primera vez o un cliente establece una conexión al grupo por primera vez, el grupo confía en la conexión. Durante esta primera conexión, los certificados se intercambian entre el grupo y el host que se une o el cliente que se conecta. Para todas las comunicaciones posteriores de este host o cliente en la red de administración, los certificados se utilizan para verificar la identidad de las partes involucradas en la comunicación.
Le recomendamos que habilite la verificación de certificados en todos sus hosts y grupos. Para que un host XenServer se una correctamente a un grupo, tanto el host como el grupo deben tener habilitada o deshabilitada la verificación de certificados. Si la verificación de certificados está habilitada en uno y no en el otro, la operación de unión no se realiza correctamente. XenCenter proporciona un mensaje de advertencia en el que se le indica que habilite la verificación de certificados en el grupo o en el host que se une.
Cuando un host abandona un grupo con la verificación de certificados habilitada, tanto el host como el grupo eliminan los certificados relacionados con el otro.
El dispositivo virtual Workload Balancing se puede utilizar con la verificación de certificados. Debe asegurarse de que los certificados autofirmados de Workload Balancing estén instalados en el host de XenServer.
El dispositivo virtual XenServer Conversion Manager no se conecta a los hosts de XenServer y, por lo tanto, está exento del requisito de verificación de certificación cuando actúa como punto final de un cliente TLS.
Habilitar la verificación de certificados para su grupo
La verificación de certificados está habilitada de forma predeterminada en las instalaciones nuevas de XenServer 8 y versiones posteriores. Si actualiza desde una versión anterior de XenServer o Citrix Hypervisor, la verificación de certificados no se habilita automáticamente y debe habilitarla. XenCenter le pedirá que habilite la verificación de certificados la próxima vez que se conecte al grupo actualizado.
Antes de habilitar la verificación de certificados en un grupo, asegúrese de que no se estén ejecutando operaciones en el grupo.
Habilitar mediante XenCenter
XenCenter ofrece varias formas de habilitar la verificación de certificados.
-
La primera vez que conecte XenCenter a un grupo sin la verificación de certificados habilitada, se le pedirá que la habilite. Haga clic en Sí, habilitar la verificación de certificados.
-
En el menú Agrupación, seleccione Habilitar verificación de certificados.
-
En la ficha General del grupo, haga clic con el botón derecho en la entrada Verificación de certificados y seleccione Habilitar verificación de certificados en el menú.
Habilitar mediante la CLI xe
Para habilitar la verificación de certificados para un grupo, ejecute el siguiente comando en la consola de un host del grupo:
xe pool-enable-tls-verification
Administración de certificados
Puede instalar, ver información y restablecer los certificados que se utilizan para verificar la identidad de un host.
Instalación de certificados
Puede instalar su propio certificado TLS para que el host lo presente como certificado de identidad cuando reciba conexiones de aplicaciones cliente en la red de administración.
Para obtener más información, consulte Instalar un certificado TLS en el host.
Ver la información del certificado
Para saber si un grupo tiene habilitada la verificación de certificados:
-
En XenCenter, busque el grupo en la ficha General. La sección General tiene una entrada para Verificación de certificados que muestra si la verificación de certificados está habilitada o inhabilitada. Esta ficha también contiene una sección Certificados que enumera el nombre, la validez y la huella digital de los certificados de CA.
-
Con la CLI xe, puede ejecutar el siguiente comando:
xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled
Si la verificación de certificados está habilitada, la línea
tls-verification-enabled ( RO): true
aparece en el resultado del comando.
Para ver información sobre los certificados en un host de XenServer:
-
En XenCenter, vaya a la pestaña General de ese host. La sección Certificados muestra la huella digital y las fechas de validez del certificado de identidad del servidor y el certificado de identidad interno del grupo.
-
Con la CLI xe, puede ejecutar el siguiente comando:
xe certificate-list
Actualización de certificados de identidad internos del grupo
Puede actualizar el certificado de identidad interno del grupo mediante la CLI xe:
-
Busque el UUID del host cuyo certificado desea restablecer ejecutando el siguiente comando:
xe host-list
-
Para restablecer el certificado, ejecute el siguiente comando:
xe host-refresh-server-certificate host=<host_uuid>
Nota:
Se puede usar cualquier parámetro del selector de host con este comando para indicar el host en el que se debe restablecer el certificado.
Restablecer los certificados de identidad del servidor
Puede restablecer el certificado de identidad del servidor desde XenCenter o la CLI xe. Al restablecer un certificado, se elimina el certificado del host y se instala un nuevo certificado autofirmado en su lugar.
Para restablecer un certificado en XenCenter:
- Vaya a la ficha General del host.
- En la sección Certificados, haga clic con el botón derecho en el certificado que desea restablecer.
- En el menú, selecciona Restablecer certificado.
- En el cuadro de diálogo que aparece, haga clic en Sí para confirmar el restablecimiento del certificado.
Como alternativa, en el menú Servidor, puede ir a Certificados > Restablecer certificado.
Al restablecer un certificado, se desconectan todas las conexiones existentes al host de XenServer, incluida la conexión entre XenCenter y el host. XenCenter se vuelve a conectar automáticamente al host tras restablecer el certificado.
Para restablecer un certificado mediante la CLI xe:
-
Busque el UUID del host cuyo certificado desea restablecer ejecutando el siguiente comando:
xe host-list
-
Para restablecer el certificado, ejecute el siguiente comando:
xe host-reset-server-certificate host=<host_uuid>
Nota:
Se puede usar cualquier parámetro del selector de host con este comando para indicar el host de XenServer en el que se debe restablecer el certificado.
Al restablecer un certificado, se desconectan todas las conexiones existentes al host de XenServer, incluida la conexión entre XenCenter y el host. XenCenter se vuelve a conectar automáticamente al host tras restablecer el certificado.
Alertas de caducidad
XenCenter muestra alertas en la vista de notificaciones cuando los certificados de identidad del servidor, los certificados de identidad internos del grupo o los certificados de CA del grupo están cerca de su fecha de caducidad.
Desactivación temporal de la verificación de certificados
No se recomienda deshabilitar la verificación de certificados después de haberla habilitado en un host o grupo. Sin embargo, XenServer proporciona comandos que se pueden usar para inhabilitar la verificación de certificados por host a la hora de solucionar problemas con los certificados.
Para inhabilitar temporalmente la verificación de certificados, ejecute el siguiente comando en la consola host:
xe host-emergency-disable-tls-verification
XenCenter muestra una alerta en la vista de notificaciones cuando la verificación del certificado está deshabilitada en un host de un grupo en el que la función está habilitada.
Una vez que haya resuelto cualquier problema con los certificados del host, asegúrese de volver a habilitar la verificación de certificados en él. Para volver a habilitar la verificación de certificados, ejecute el siguiente comando en la consola host:
xe host-emergency-reenable-tls-verification