La capacidad de Unified Access Gateway en el pod requiere SSL para las conexiones de cliente. Cuando desee que el pod tenga una configuración de Unified Access Gateway, el asistente de implementación de pods requiere un archivo en formato PEM para proporcionar la cadena de certificados de servidor SSL a la configuración de Unified Access Gateway del pod. El archivo PEM único debe contener la cadena de certificados completa, incluso la clave privada: el certificado de servidor SSL, cualquier certificado de CA intermedio necesario, el certificado de CA raíz y la clave privada.

Para obtener más detalles sobre los tipos de certificado utilizados en Unified Access Gateway, consulte el tema sobre cómo seleccionar el tipo de certificado correcto en la documentación del producto de Unified Access Gateway.

En el paso del asistente de implementación de pods que hace referencia a la configuración de la puerta de enlace, cargue un archivo de certificado. Durante el proceso de implementación, este archivo se envía a la configuración de las instancias de Unified Access Gateway implementadas. Cuando se realiza el paso de carga en la interfaz del asistente, este comprueba que el archivo cargado cumpla los siguientes requisitos:

  • El archivo se puede analizar como formato PEM.
  • Contiene una cadena de certificados válida y una clave privada.
  • Esa clave privada coincide con la clave pública del certificado del servidor.

Si no tiene un archivo con formato PEM para la información del certificado, debe convertir la información del certificado en un archivo que cumpla los requisitos mencionados anteriormente. Debe convertir el archivo que no es de formato PEM a formato PEM y crear un archivo PEM único que contenga la cadena completa de certificados, más la clave privada. También debe editar el archivo para eliminar la información adicional, si apareciera alguna, para que el asistente no tenga problemas al analizar el archivo. Los pasos de alto nivel son:

  1. Convertir la información del certificado en formato PEM y crear un único archivo PEM que contenga la cadena de certificados y la clave privada.
  2. Editar el archivo para quitar la información de certificado adicional, si la hubiera, que se encuentra fuera de la información del certificado entre cada conjunto de marcadores de ----BEGIN CERTIFICATE---- y -----END CERTIFICATE-----.

Los ejemplos de código en los siguientes pasos dan por sentado que comienza con un archivo denominado mycaservercert.pfx que contiene el certificado de CA raíz, la información del certificado de CA intermedio y la clave privada.

Requisitos previos

  • Compruebe que disponga del archivo de certificado. El formato del archivo puede ser PKCS#12 (.p12 o .pfx) o bien Java JKS o JCEKS.
    Importante: Todos los certificados de la cadena de certificados deben tener intervalos de tiempo válidos. Las máquinas virtuales de Unified Access Gateway requieren que todos los certificados de la cadena, incluidos los certificados intermedios, tengan plazos válidos. Si no ha caducado ningún certificado de la cadena, se pueden producir errores inesperados más adelante al cargar el certificado en la configuración de Unified Access Gateway.
  • Familiarícese con la herramienta de línea de comandos openssl que utilizará para convertir el certificado. Consulte https://www.openssl.org/docs/apps/openssl.html.
  • Si el certificado tiene el formato Java JKS o JCEKS, familiarícese con la herramienta de línea de comandos de Java keytool para convertir en primer lugar el certificado al formato .p12 o .pks antes de convertirlo en archivos .pem.

Procedimiento

  1. Si su certificado tiene el formato Java JKS o JCEKS, utilice keytool para pasar el certificado al formato .p12 o .pks.
    Importante: Durante la conversión, utilice la misma contraseña de origen y destino.
  2. Si su certificado tiene el formato PKCS#12 (.p12 o .pfx), o después de que el certificado se convierte al formato PKCS#12, utilice openssl para convertir el certificado en un archivo .pem.
    Por ejemplo, si el nombre del certificado es mycaservercert.pfx, puede usar los comandos siguientes para convertir el certificado:
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    
    La primera línea anterior obtiene los certificados en mycaservercert.pfx y los escribe en formato PEM en mycaservercertchain.pem. La segunda línea anterior obtiene la clave privada de mycaservercert.pfx y la escribe en formato PEM en mycaservercertkey.pem
  3. (opcional) Si la clave privada no está en formato RSA, conviértala al formato de clave privada RSA.
    Las instancias de Unified Access Gateway requieren el formato de clave privada RSA. Para comprobar si necesita realizar este paso, observe el archivo PEM y consulte si la información de clave privada empieza con la línea:
    -----BEGIN PRIVATE KEY-----
    Si la clave privada comienza con esa línea, se debe convertir la clave privada al formato RSA. Si la clave privada comienza con -----BEGIN RSA PRIVATE KEY-----, no es necesario realizar este paso para convertir la clave privada.
    Para convertir la clave privada al formato RSA, ejecute este comando.
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
    La clave privada del archivo PEM ahora está en formato RSA ( -----BEGIN RSA PRIVATE KEY----- y -----END RSA PRIVATE KEY-----).
  4. Combine la información en el archivo PEM de cadena de certificados y el archivo PEM de clave privada para crear un único archivo PEM.
    El ejemplo siguiente se muestra dónde se encuentra el contenido de mycaservercertkeyrsa.pem primero (la clave privada en formato RSA), seguido por el contenido de mycaservercertchain.pem, que es el certificado SSL principal, seguido por un certificado intermedio, seguido por el certificado raíz.
    -----BEGIN CERTIFICATE-----
    .... (your primary SSL certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the intermediate CA certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the trusted root certificate)
    -----END CERTIFICATE-----
    -----BEGIN RSA PRIVATE KEY-----
    .... (your server key from mycaservercertkeyrsa.pem)
    ----- END RSA PRIVATE KEY-----
    Nota: El certificado del servidor debería aparecer primero, seguido de los intermedios y, a continuación, el certificado raíz de confianza.
  5. Si existe información extraña o entradas de certificado no necesarias entre los marcadores BEGIN y END, edite el archivo para eliminarlas.

Resultados

El archivo PEM resultante cumple los requisitos del asistente de implementación de pods.