Documentación de productos
XenServer
8 Citrix Hypervisor 8.2 CU1
Ver PDF

Certificados para el equilibrio de carga de trabajo

October 24, 2024
Contribución de: 
X X

XenServer y Equilibrio de carga de trabajo se comunican a través de HTTPS. Durante la configuración de equilibrio de carga de trabajo, el asistente crea automáticamente un certificado de prueba autofirmado. Este certificado de prueba autofirmado permite a Equilibrio de carga de trabajo establecer una conexión TLS con XenServer. De forma predeterminada, Equilibrio de carga de trabajo crea automáticamente esta conexión TLS con XenServer. No es necesario realizar ninguna configuración de certificado durante o después de la configuración de Equilibrio de carga de trabajo para crear esta conexión TLS.

Nota: No

El certificado autofirmado es un marcador de posición para facilitar la comunicación HTTPS y no procede de una autoridad de certificación de confianza. Para mayor seguridad, se recomienda utilizar un certificado firmado por una autoridad de certificación de confianza.

Para utilizar un certificado de otra entidad de certificación, como uno firmado por una entidad comercial, debe configurar Equilibrio de carga de trabajo y XenServer para utilizarlo.

De forma predeterminada, XenServer valida la identidad del certificado antes de establecer una conexión con Equilibrio de carga de trabajo. Para configurar XenServer para que busque un certificado específico, exporte el certificado raíz que se utilizó para firmar el certificado. Copie el certificado en XenServer y configure XenServer para que lo compruebe cuando se establezca una conexión con Equilibrio de carga de trabajo. XenServer actúa como cliente en este escenario y Equilibrio de carga de trabajo actúa como servidor.

En función de sus objetivos de seguridad, puede:

XenServer comprueba que un certificado específico esté presente antes de permitir que el dispositivo virtual de equilibrio de carga de trabajo se conecte a él a través de TLS. En este caso, el certificado real (el certificado con la clave privada) se encuentra en el servidor de equilibrio de carga de trabajo. El certificado que se utilizó para firmarlo se encuentra en el coordinador del grupo de XenServer.

Nota: No

La verificación de certificados es una medida de seguridad diseñada para evitar conexiones no deseadas. Los certificados de equilibrio de carga de trabajo deben cumplir requisitos estrictos o la verificación del certificado no se realizará correctamente. Cuando se produce un error en la verificación de certificados, XenServer no permite la conexión.

Para que la verificación de certificados se realice correctamente, debe almacenar los certificados en las ubicaciones específicas en las que XenServer espera encontrar los certificados.

Configurar XenServer para verificar el certificado autofirmado

Puede configurar XenServer para verificar que el certificado autofirmado de Equilibrio de carga de trabajo de XenServer sea auténtico antes de que XenServer permita que Equilibrio de carga de trabajo se conecte.

Importante:

Para verificar el certificado autofirmado de XenServer Equilibrio de carga de trabajo, debe conectarse a Equilibrio de carga de trabajo mediante su nombre de host. Para encontrar el nombre de host de equilibrio de carga de trabajo, ejecute el comando Nombre de host en el dispositivo virtual.

Para configurar XenServer para verificar el certificado autofirmado, siga estos pasos:

  1. Copie el certificado autofirmado del dispositivo virtual Equilibrio de carga de trabajo en el coordinador del grupo. El certificado autofirmado de XenServer Workload Balancing se almacena en /etc/ssl/certs/servidor.pem. Ejecute el siguiente comando en el coordinador del grupo:

      scp root@<wlb-ip>:/etc/ssl/certs/server.pem wlb.pem
<!--NeedCopy-->

  2. Si recibe un mensaje en el que se indica que la autenticidad de WLB-IP no se puede establecer, tipo para continuar.

  3. Introduzca la contraseña raíz del dispositivo virtual de equilibrio de carga de trabajo cuando se le solicite. El certificado se copia en el directorio actual.

  4. Instalar el certificado. Ejecute el siguiente comando en el directorio donde copió el certificado:

      xe pool-certificate-install filename=wlb.pem
<!--NeedCopy-->

  5. Compruebe que el certificado se instaló correctamente ejecutando el siguiente comando en el coordinador del grupo:

      xe pool-certificate-list
<!--NeedCopy-->

    Si instaló el certificado correctamente, el resultado de este comando incluye el certificado raíz exportado. Al ejecutar este comando, se enumeran todos los certificados TLS instalados, incluido el certificado que instaló.

  6. Para sincronizar el certificado del coordinador con todos los hosts del grupo, ejecute el siguiente comando en el coordinador del grupo:

      xe pool-certificate-sync
<!--NeedCopy-->

    La ejecución de la función sincronización-de-certificados-de-grupo en el coordinador sincroniza las listas de certificados y revocación de certificados en todos los hosts del grupo con el coordinador. Esta acción garantiza que todos los hosts del grupo utilicen los mismos certificados.

    No hay ninguna salida de este comando. Sin embargo, el siguiente paso no funciona si este no funcionó correctamente.

  7. Indique a XenServer que verifique el certificado antes de conectarse al dispositivo virtual de equilibrio de carga de trabajo. Ejecute el siguiente comando en el coordinador del grupo:

      xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
<!--NeedCopy-->

    Consejo:

    Al pulsar el botón Pestaña rellena automáticamente el UUID del grupo.

  8. (Opcional) Para comprobar que este procedimiento ha funcionado correctamente, realice los siguientes pasos:

    1. Para comprobar si el certificado se ha sincronizado con los demás hosts del grupo, ejecute el comando lista-de-certificados-de-grupo en esos hosts.

    2. Para comprobar si XenServer se configuró para verificar el certificado, ejecute el comando pool-param-get con el comando nombre-parámetro=Parámetro wlb-verify-cert. Por ejemplo:

        xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
<!--NeedCopy-->

Configurar XenServer para verificar un certificado de entidad de certificación

Puede configurar XenServer para verificar un certificado firmado por una entidad de certificación de confianza.

En el caso de los certificados de autoridad de confianza, XenServer requiere un certificado exportado o una cadena de certificados (los certificados intermedio y raíz) en .Pem formato que contiene la clave pública.

Si desea que el equilibrio de carga de trabajo utilice un certificado de autoridad de confianza, realice las siguientes tareas:

  1. Obtener un certificado firmado de la autoridad de certificación.

  2. Especificar y aplicar el nuevo certificado.

  3. Importación de la cadena de certificados en el grupo.

Antes de comenzar estas tareas, asegúrese de lo siguiente:

  • Conoce la dirección IP del coordinador del grupo de XenServer.

  • XenServer puede resolver el nombre de host de Equilibrio de carga de trabajo. (Por ejemplo, puede intentar hacer ping al FQDN de equilibrio de carga de trabajo desde la consola de XenServer para el coordinador del grupo).

Obtener un certificado firmado de la autoridad de certificación

Para obtener un certificado de una autoridad de certificación, debe generar una solicitud de firma de certificado (CSR). En el dispositivo virtual Equilibrio de carga de trabajo, cree una clave privada y utilícela para generar la CSR.

Directrices para especificar el nombre común

El nombre común (CN) que especifique al crear una CSR debe coincidir exactamente con el FQDN del dispositivo virtual de equilibrio de carga de trabajo. También debe coincidir con el FQDN o la dirección IP que especificó en el archivo Dirección en el Conéctese al servidor WLB cuadro de diálogo.

Para asegurarse de que el nombre coincide, especifique el nombre común mediante una de estas directrices:

  • Especifique la misma información para el nombre común del certificado que especificó en el archivo Conéctese al servidor WLB diálogo.

    Por ejemplo, si el dispositivo virtual de equilibrio de carga de trabajo se denomina wlb-vpx.tudominioespecificar wlb-vpx.tudominio En Conéctese al servidor WLB diálogo y proporcionar wlb-vpx.tudominio como el nombre común al crear la CSR.

  • Si ha conectado el grupo al equilibrio de carga de trabajo por dirección IP, use el FQDN como nombre común y la dirección IP como nombre alternativo del firmante (SAN). Sin embargo, es posible que este enfoque no funcione en todas las situaciones.

Crear un archivo de clave privada

En el dispositivo virtual Equilibrio de carga de trabajo, complete los siguientes pasos:

  1. Cree un archivo de clave privada:

      openssl genrsa -des3 -out privatekey.pem 2048
<!--NeedCopy-->

  2. Eliminar la contraseña:

      openssl rsa -in privatekey.pem -out privatekey.nop.pem
<!--NeedCopy-->

Nota: No

Si ingresa la contraseña de manera incorrecta o inconsistente, es posible que reciba algunos mensajes que indican que hay un error en la interfaz de usuario. Puede ignorar el mensaje y volver a ejecutar el comando para crear el archivo de clave privada.

Generar la solicitud de firma de certificado

En el dispositivo virtual Equilibrio de carga de trabajo, complete los siguientes pasos:

  1. Cree la solicitud de firma de certificado (CSR) utilizando la clave privada:

      openssl req -new -key privatekey.nop.pem -out csr
<!--NeedCopy-->

  2. Siga las indicaciones para proporcionar la información necesaria para generar la CSR:

    Nombre del país. Introduzca los códigos de país del certificado TLS de su país. Por ejemplo, CA para Canadá o JM para Jamaica. Puede encontrar una lista de códigos de país del certificado TLS en la web.

    Nombre del estado o provincia (nombre completo). Introduzca el estado o la provincia donde se encuentra el grupo. Por ejemplo, Massachusetts o Alberta.

    Nombre de la localidad. El nombre de la ciudad donde se encuentra la piscina.

    Nombre de la organización. El nombre de su empresa u organización.

    Nombre de la unidad organizativa. Introduzca el nombre del departamento. Este campo es opcional.

    Nombre común. Introduzca el FQDN del servidor de equilibrio de carga de trabajo. Este valor debe coincidir con el nombre que usa el grupo para conectarse a Equilibrio de carga de trabajo. Para obtener más información, consulte Directrices para especificar el nombre común.

    Dirección de correo electrónico. Esta dirección de correo electrónico se incluye en el certificado cuando lo genera.

  3. Proporcione atributos opcionales o haga clic en Intro para omitir el suministro de esta información.

    La solicitud de CSR se guarda en el directorio actual y se denomina Rse.

  4. Muestre la CSR en la ventana de la consola ejecutando los siguientes comandos en la consola del dispositivo de equilibrio de carga de trabajo:

      cat csr
<!--NeedCopy-->

  5. Copie toda la CSR y utilícela para solicitar el certificado a la autoridad de certificación.

Especificar y aplicar el nuevo certificado

Utilice este procedimiento para especificar el equilibrio de carga de trabajo, utilice un certificado de una entidad de certificación. Este procedimiento instala los certificados raíz y (si están disponibles) intermedios.

Para especificar un nuevo certificado, siga estos pasos:

  1. Descargue el certificado firmado, el certificado raíz y, si la autoridad de certificación tiene uno, el certificado intermedio de la autoridad de certificación.

  2. Si no descargó los certificados directamente en el dispositivo virtual de equilibrio de carga de trabajo, cópielos mediante uno de los siguientes métodos:

    • Desde un equipo Windows, utilice WinSCP u otra utilidad de copia.

      Para el nombre de host, puede ingresar la dirección IP y dejar el puerto en el valor predeterminado. El nombre de usuario y la contraseña suelen ser root y la contraseña que establezca durante la configuración.

    • Desde un equipo Linux hasta el dispositivo de equilibrio de carga de trabajo, utilice SCP u otra utilidad de copia. Por ejemplo:

         scp root_ca.pem root@wlb-ip:/path_on_your_WLB
 <!--NeedCopy-->

  3. En el dispositivo virtual Equilibrio de carga de trabajo, combine el contenido de todos los certificados (certificado raíz, certificado intermedio, si existe, y certificado firmado) en un solo archivo. Puede utilizar el siguiente comando:

      cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
<!--NeedCopy-->

  4. Cambie el nombre del certificado y la clave existentes mediante el comando move:

      mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
  mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
<!--NeedCopy-->

  5. Copie el certificado combinado:

      mv server.pem /etc/ssl/certs/server.pem
<!--NeedCopy-->

  6. Copie la clave privada creada anteriormente:

      mv privatekey.nop.pem /etc/ssl/certs/server.key
<!--NeedCopy-->

  7. Haga que la clave privada sea legible solo por root. Utilice la función chmod para corregir los permisos.

      chmod 600 /etc/ssl/certs/server.key
<!--NeedCopy-->

  8. Reanudar túnel:

      killall stunnel
  stunnel
<!--NeedCopy-->

Importar la cadena de certificados en el grupo

Después de obtener los certificados, impórtelos en el coordinador del grupo de XenServer. Sincronice los hosts del grupo para usar esos certificados. A continuación, puede configurar XenServer para que compruebe la identidad y la validez del certificado cada vez que Equilibrio de carga de trabajo se conecte a un host.

  1. Copie el certificado firmado, el certificado raíz y, si la autoridad de certificación tiene uno, el certificado intermedio de la autoridad de certificación en el coordinador del grupo de XenServer.

  2. Instale el certificado raíz en el coordinador del grupo:

      xe pool-install-ca-certificate filename=root_ca.pem
<!--NeedCopy-->

  3. Si corresponde, instale el certificado intermedio en el coordinador del grupo:

      xe pool-install-ca-certificate filename=intermediate_ca.pem
<!--NeedCopy-->

  4. Verifique los dos certificados instalados correctamente ejecutando este comando en el coordinador del grupo:

      xe pool-certificate-list
<!--NeedCopy-->

    Al ejecutar este comando, se enumeran todos los certificados TLS instalados. Si los certificados se han instalado correctamente, aparecen en esta lista.

  5. Sincronice el certificado en el coordinador del grupo con todos los hosts del grupo:

      xe pool-certificate-sync
<!--NeedCopy-->

    La ejecución de la función sincronización-de-certificados-de-grupo en el coordinador sincroniza los certificados y las listas de revocación de certificados en todos los hosts del grupo con el coordinador del grupo. Esta acción garantiza que todos los hosts del grupo utilicen los mismos certificados.

  6. Indique a XenServer que verifique un certificado antes de conectarse al dispositivo virtual de equilibrio de carga de trabajo. Ejecute el siguiente comando en el coordinador del grupo:

      xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
<!--NeedCopy-->

    Consejo:

    Al presionar la tecla Tab, se rellena automáticamente el UUID del grupo.

  7. Si especificó una dirección IP en el archivo Conéctese a WLB antes de habilitar la verificación de certificados, es posible que se le pida que vuelva a conectar el grupo al equilibrio de carga de trabajo.

    Especifique el FQDN para el dispositivo de equilibrio de carga de trabajo en Dirección En Conéctese a WLB exactamente como aparece en el nombre común del certificado. Introduzca el FQDN para asegurarse de que el nombre común coincida con el nombre que XenServer utiliza para conectarse.

Solución de problemas

  • La verificación de certificados está habilitada de forma predeterminada en el grupo. Deshabilite la verificación de certificados si el grupo no puede conectarse al equilibrio de carga de trabajo:

    1. Obtener el UUID del grupo:

        xe pool-list
<!--NeedCopy-->

    2. Deshabilitar la verificación de certificados:

        xe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool
<!--NeedCopy-->

    Si el grupo puede conectarse a Equilibrio de carga de trabajo con la verificación de certificados desactivada, el problema está en la configuración del certificado. Si no puede conectarse, el problema está en sus credenciales de equilibrio de carga de trabajo o en su conexión de red. Póngase en contacto con el servicio de asistencia o consulte Solución de problemas de equilibrio de carga de trabajo para obtener más información.

  • Algunas autoridades de certificación comerciales proporcionan herramientas para verificar que el certificado está instalado correctamente. Considere la posibilidad de ejecutar estas herramientas si estos procedimientos no logran aislar el problema. Si estas herramientas requieren especificar un puerto TLS, especifique el puerto 8012 o el puerto que haya establecido durante la configuración de equilibrio de carga de trabajo.

  • Si el WLB muestra un error de conexión, puede haber un conflicto entre el nombre común del certificado y el nombre del dispositivo virtual de equilibrio de carga de trabajo. El nombre del dispositivo virtual de equilibrio de carga de trabajo y el nombre común del certificado deben coincidir exactamente.

Para obtener más información, consulte Solucionar problemas.

Certificados para el equilibrio de carga de trabajo
October 24, 2024
Contribución de: 
X X
October 24, 2024
Contribución de: 
X X

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.