Documentación de productos
XenServer
8.4 Citrix Hypervisor 8.2 CU1
Ver PDF

Verificación de certificados

January 31, 2025
Contribución de: 
X

Cuando la verificación de certificados está habilitada para un grupo, todos los puntos de conexión de comunicación TLS en su red de administración usan certificados para validar la identidad de sus pares antes de transmitir información confidencial.

Comportamiento

Las conexiones iniciadas por un host XenServer en la red de administración requieren que el punto final de destino proporcione un certificado TLS para verificar su identidad. Este requisito afecta a los siguientes elementos que forman parte del grupo o interactúan con él:

  • Anfitriones en la piscina
  • XenCenter
  • Clientes de terceros que utilizan la API

La verificación de certificados es compatible tanto con los certificados autofirmados proporcionados por XenServer como con los certificados instalados por el usuario y firmados por una entidad de confianza. Para obtener más información, consulte Instale un certificado TLS en su host.

Cada host de XenServer de un grupo tiene dos certificados que lo identifican:

  • Certificados de identidad internos del grupo se utilizan para proteger las comunicaciones entre hosts dentro del grupo. Para la comunicación dentro del grupo, XenServer siempre utiliza certificados autofirmados.

  • Certificados de identidad de servidor se utilizan para verificar la identidad de un host de XenServer en cualquier aplicación cliente que se comunique con el grupo en la red de administración. Para la comunicación entre el host y una aplicación cliente, puede utilizar certificados autofirmados o puede instalar sus propios certificados TLS en los hosts.

Cuando un host se une por primera vez al grupo o un cliente establece una conexión con el grupo, el grupo confía en la conexión. Durante esta primera conexión, los certificados se intercambian entre el grupo y el host que se une o el cliente que se conecta. Para todas las comunicaciones posteriores de este host o cliente en la red de administración, los certificados se utilizan para verificar la identidad de las partes involucradas en la comunicación.

Le recomendamos que habilite la verificación de certificados en todos los hosts y grupos. Para que un host de XenServer se una correctamente a un grupo, tanto el host como el grupo deben tener habilitada o deshabilitada la verificación de certificados. Si la verificación de certificados está habilitada en uno y no en el otro, la operación de combinación no se realiza correctamente. XenCenter proporciona un mensaje de advertencia que aconseja habilitar la verificación de certificados en el grupo o en el host que se une.

Cuando un host abandona un grupo con la verificación de certificados habilitada, tanto el host como el grupo eliminan los certificados que se relacionan entre sí.

El dispositivo virtual de equilibrio de carga de trabajo se puede utilizar con la verificación de certificados. Debe asegurarse de que los certificados autofirmados de Equilibrio de carga de trabajo estén instalados en el host de XenServer.

El dispositivo virtual del Administrador de conversiones no se conecta a los hosts de XenServer y, por lo tanto, está exento del requisito de comprobación de certificación cuando actúa como punto final de cliente TLS.

Habilitación de la verificación de certificados para el grupo

La verificación de certificados está habilitada de forma predeterminada en las instalaciones nuevas de XenServer 8 y versiones posteriores. Si actualiza desde una versión anterior de XenServer o Citrix Hypervisor, la verificación de certificados no se habilita automáticamente y debe habilitarla. XenCenter le solicita que habilite la verificación de certificados la próxima vez que se conecte al grupo actualizado.

Antes de habilitar la verificación de certificados en un grupo, asegúrese de que no se esté ejecutando ninguna operación en el grupo.

Habilitar mediante XenCenter

XenCenter proporciona varias formas de habilitar la verificación de certificados.

  • Al conectar XenCenter por primera vez a un grupo sin la verificación de certificados habilitada, se le pedirá que la habilite. Clic Sí, habilite la verificación de certificados.

  • En Piscina menú, seleccione Habilitar la verificación de certificados.

  • En el General del grupo, haga clic con el botón derecho en la entrada Verificación de certificados y elige Habilitar la verificación de certificados en el menú.

Habilitación mediante la CLI de xe

Para habilitar la verificación de certificados para un grupo, ejecute el siguiente comando en la consola de un host del grupo:

  xe pool-enable-tls-verification

Administración de certificados

Puede instalar, ver información sobre los certificados que se utilizan para verificar la identidad de un host.

Instalación de certificados

Puede instalar su propio certificado TLS para que el host lo presente como su certificado de identidad al recibir conexiones de aplicaciones cliente en la red de administración.

Para obtener más información, consulte Instale un certificado TLS en su host.

Visualización de la información del certificado

Para averiguar si un grupo tiene habilitada la verificación de certificados:

  • En XenCenter, busque en el archivo General para la piscina. El General tiene una entrada para Verificación de certificados que muestra si la verificación de certificados está habilitada o deshabilitada. Esta pestaña también contiene un Certificados que enumera el nombre, la validez y la huella digital de los certificados de CA.

  • Con la CLI xe, puede ejecutar el siguiente comando:

       xe pool-param-get uuid=<pool_uuid> param-name=tls-verification-enabled

    Si la verificación de certificados está habilitada, la línea tls-verification-enabled ( RO): true aparece en la salida del comando.

Para ver información sobre los certificados en un host de XenServer:

  • En XenCenter, vaya a la General para ese host. El Certificados muestra la huella digital y las fechas de validez del certificado de identidad del servidor y del certificado de identidad interno del grupo.

  • Con la CLI xe, puede ejecutar el siguiente comando:

       xe certificate-list

Actualización de certificados de identidad internos del grupo

Puede actualizar el certificado de identidad interno del grupo mediante la CLI xe:

  1. Busque el UUID del host cuyo certificado desea restablecer ejecutando el siguiente comando:

      xe host-list

  2. Para restablecer el certificado, ejecute el siguiente comando:

      xe host-refresh-server-certificate host=<host_uuid>

    Nota: No

    Cualquier parámetro de selector de host se puede utilizar con este comando para indicar el host en el que se debe restablecer el certificado.

Restablecimiento de certificados de identidad de servidor

Puede restablecer el certificado de identidad del servidor desde XenCenter o la CLI de xe. Al restablecer un certificado, se elimina el certificado del host y se instala un nuevo certificado autofirmado en su lugar.

Para restablecer un certificado en XenCenter:

  1. Vaya a la General para el anfitrión.
  2. En Certificados , haga clic con el botón derecho en el certificado que desea restablecer.
  3. En el menú, seleccione Restablecer certificado.
  4. En el cuadro de diálogo que aparece, haga clic en para confirmar el restablecimiento del certificado.

Alternativamente, en el Servidor menú, puedes ir a Certificados > Restablecer certificado.

Al restablecer un certificado, se desconectan todas las conexiones existentes con el host de XenServer, incluida la conexión entre XenCenter y el host. XenCenter se vuelve a conectar automáticamente al host después de restablecer el certificado.

Para restablecer un certificado mediante la CLI de xe:

  1. Busque el UUID del host cuyo certificado desea restablecer ejecutando el siguiente comando:

      xe host-list

  2. Para restablecer el certificado, ejecute el siguiente comando:

      xe host-reset-server-certificate host=<host_uuid>

    Nota: No

    Cualquier parámetro de selector de host se puede utilizar con este comando para indicar el host de XenServer en el que se debe restablecer el certificado.

Al restablecer un certificado, se desconectan todas las conexiones existentes con el host de XenServer, incluida la conexión entre XenCenter y el host. XenCenter se vuelve a conectar automáticamente al host después de restablecer el certificado.

Alertas de caducidad

XenCenter muestra alertas en el archivo Notificaciones vea cuándo los certificados de identidad del servidor, los certificados de identidad internos del grupo o los certificados de CA del grupo están cerca de su fecha de vencimiento.

Deshabilitación temporal de la verificación de certificados

No se recomienda deshabilitar la verificación de certificados después de que se haya habilitado en un host o grupo. Sin embargo, XenServer proporciona comandos que se pueden utilizar para inhabilitar la verificación de certificados por host al solucionar problemas con los certificados.

Para deshabilitar temporalmente la verificación de certificados, ejecute el siguiente comando en la consola del host:

  xe host-emergency-disable-tls-verification

XenCenter muestra una alerta en el Notificaciones Ver cuándo la verificación de certificados está deshabilitada en un host de un grupo donde está habilitada la característica.

Una vez que haya resuelto cualquier problema con los certificados en el host, asegúrese de volver a habilitar la verificación de certificados en él. Para volver a habilitar la verificación de certificados, ejecute el siguiente comando en la consola del host:

  xe host-emergency-reenable-tls-verification
Verificación de certificados
January 31, 2025
Contribución de: 
X
January 31, 2025
Contribución de: 
X

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.