La función de entidad de certificación (CA) externa está disponible para grandes empresas y clientes gubernamentales que implementan Orchestrator localmente y tienen el requisito de utilizar su propia entidad de certificación (CA) en lugar de la entidad de certificación predeterminada autofirmada de Orchestrator. En esta sección se explica cómo habilitar y configurar una CA externa.

Cuando se configura una CA externa, en lugar de que Orchestrator reciba una solicitud de firma del certificado (CSR) y emita los certificados del dispositivo personalmente, Orchestrator debe pasar la CSR a una CA externa para emitir el certificado. El certificado del dispositivo se devolverá a Orchestrator y se enviará a la instancia de Edge o Gateway.

Se espera que un cliente que utiliza esta característica haya implementado una entidad de certificación comercial, por ejemplo de PrimeKey (EJBCA PKI), o en algunos casos, puede haber implementado su propia entidad de certificación.

A partir de la versión 5.1.0, una instancia de Orchestrator en la que se activa una CA externa puede configurarse con dos nuevos modos listos para API:

  • El Modo manual (Manual Mode) proporciona compatibilidad con cualquier entidad de certificación y proporciona flexibilidad y control con el usuario que realiza manualmente cada paso del proceso de certificado.

  • El Modo asincrónico (Asynchronous Mode) proporciona compatibilidad con cualquier entidad de certificación con la capacidad de generar scripts de los pasos manuales y automatizar las tareas recurrentes.

Estos modos se agregan al modo sincrónico o automatizado, que fue el primer modo que se introdujo en la versión 4.3.0. Con el modo sincrónico, Orchestrator se integra directamente con una CA externa (que, para la versión 4.3.0 y versiones posteriores, ofrece PrimeKey EJBCA PKI como la única entidad de certificación externa disponible) y a través de las REST API para la solicitud, renovación y revocación de certificados.

Habilitar una CA externa

La función de CA externa se habilita a través de dos propiedades del sistema. Solo un operador con una función de superusuario puede habilitar estas propiedades del sistema.

Procedimiento

La primera propiedad del sistema que debe habilitarse es ca.external.configuration. Esta propiedad se crea manualmente con un tipo de datos JSON y el JSON se rellena de forma coherente con el ejemplo que se muestra a continuación, en la sección "Configuración de una CA externa de ejemplo".

Solo después de crear y habilitar ca.external.configuration, el operador debe habilitar la segunda propiedad del sistema: ca.external.enable.

  1. En la interfaz de usuario de Orchestrator, seleccione Propiedades del sistema (System Properties)
  2. En el cuadro de búsqueda de la página Propiedades del sistema (System Properties), introduzca ca.external.enable como se muestra en las imágenes a continuación.
  3. Una vez que se encuentre la propiedad ca.external.enable, haga clic en esa propiedad o active la casilla y haga clic en Editar (Edit).
  4. Cambie la propiedad ca.external.enable a True y seleccione Guardar cambios (Save Changes) para completar el cambio, como se muestra en la imagen a continuación.

    La páginaPropiedad del sistema (System Property) muestra una confirmación de que la propiedad se modificó correctamente y ahora mostrará que ca.external.enable es True.

Configurar una CA externa

Una vez activada la propiedad del sistema de CA externa, el operador ahora puede hacer clic en Orchestrator > Entidades de certificación (Certificate Authorities) para comenzar a configurar una entidad de certificación externa.

La configuración de una CA externa se puede realizar mediante uno de estos tres modos:
  1. Automatizado (Sincrónico) (Automated (Synchronous)): con el modo Automatizado (Automated), solo se admite una entidad de certificación externa: PrimeKey EJBCA PKI.
  2. Manual: el modo manual proporciona compatibilidad con cualquier entidad de certificación y proporciona flexibilidad y control con el usuario que realiza manualmente cada paso del proceso de certificado.

  3. Asincrónico: el modo asincrónico proporciona compatibilidad con cualquier entidad de certificación con la capacidad de generar scripts de los pasos manuales y automatizar las tareas recurrentes.

  1. En la página Orchestrator > Entidades de certificación (Certificate Authorities), haga clic en + CA adicional (+ Additional CA).
  2. Después de hacer clic en + CA adicional (+ Additional CA), la interfaz de usuario cambiará a Tipo de CA (CA Type) con un menú desplegable con las opciones de CA intermedia (Intermediate CA) y CA externa (External CA). Haga clic en CA externa (External CA).

  3. Una vez que se hace clic en la entidad de certificación externa, la pantalla cambia a Agregar CA externa (Add External CA), donde un operador puede elegir entre los tres modos de CA externa mencionados anteriormente: automatizado (sincrónico), asincrónico y manual.

  4. Una vez seleccionado un modo de CA, la pantalla Agregar CA externa (Add External CA) cambia para permitir una configuración adicional de la entidad de certificación externa. Aquí es donde el operador pegaría el Certificado raíz de CA (CA Root Certificate).

    Al activar la casilla de Activar VCO para sondear CRL (Activate VCO to poll for CRL), el operador elige que Orchestrator realice comprobaciones de revocación de certificados mediante la lista de revocación de certificados (CRL). Si se marca esta opción, el operador configura dos parámetros de configuración adicionales:

    1. Minutos de intervalo de sondeo de CRL (CRL Poll Interval Minutes) determina la frecuencia en minutos con la que Orchestrator realizará la comprobación de revocación de certificados con la CRL más reciente.
    2. Punto de distribución de CRL (CRL Distribution Point) es la URL en la que Orchestrator recupera la CRL más reciente.

  5. Una vez que el operador haya rellenado todos los campos requeridos, debe hacer clic en Guardar (Save).
  6. Una vez configurada una CA externa, el operador tendrá nuevas opciones disponibles para Importar CRL (Import CRL) y Descargar CRL (Download CRL).

    Con Importar CRL (Import CRL) mientras también tiene configurado el Sondeo de CRL de Orchestrator (Orchestrator CRL Polling), un operador puede realizar importaciones y exportaciones individuales o por lotes.

    La CRL realizará una validación después de cualquier importación de los certificados y Orchestrator distribuye la CRL a cada instancia de Edge y Gateway conectada a Orchestrator.

Nota: Existe una tercera propiedad del sistema: ca.external.caCertificate. Esta propiedad del sistema aparecerá una vez que se habilite la entidad de certificación externa y haya conectividad con una entidad de certificación externa válida. Esta propiedad requiere un certificado codificado PEM (correo mejorado con privacidad).
Nota: La solicitud de firma de certificado (CSR) generada por Edge/Gateway solo tiene un nombre común (CN). Al firmar la CSR, la entidad de certificación externa agrega el asunto requerido.

Configuración de una CA externa de ejemplo

Esta sección proporciona un ejemplo de configuración para el campo ca.external.configuration.

{
"integrationType": "SYNCHRONOUS",
"csrDistinguishedName": {
"CN_PID_SN": "VMWare-SDWAN"
},
"synchronous": {
"synchronousIntegrationType": "EJBCA",
"ejbca": {
"serverCaCertificate": "-----BEGIN CERTIFICATE-----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\n+kEK69DlZRNudn4=\n-----END CERTIFICATE-----",
"apiCertificate": "-----BEGIN CERTIFICATE-----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\nGvpl0ZmGVYmond3aBOYu\n-----END CERTIFICATE-----",
"apiKey": "-----BEGIN PRIVATE KEY-----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\nSNV2aPx+2+DGSZEVbuLXviHs\n-----END PRIVATE KEY-----",
"host": "ip-10-81-125-132.us-west-2.compute.internal",
"port": "443",
"distinguishedName": "UID=r-0595a13c153d76ae5,CN=ManagementCA,OU=ami-02a4474c1f74940a8,O=ip-10-81-125-132.us-west-2.compute.internal",
"certificateProfile": "ENDUSER",
"endEntityProfile": "EMPTY"
}
}
}

Supervisar una CA externa

La supervisión de certificados se realiza en la misma página de Orchestrator > Entidades de certificación (Certificate Authorities).

La página Resumen de certificados (Certificates Summary) proporciona a un operador un estado visual de los indicadores clave del ciclo de vida de sus certificados. El operador también importará certificados y descargará CSR en esta sección.

En la sección Certificados (Certificates), el operador puede descargar una lista completa de todos los certificados de Edge o Gateway en formato .csv.

Un administrador de operador, socio o cliente también puede examinar el certificado de una instancia de Edge concreta si se desplaza hasta Configurar (Configure) > Edge > Descripción general (Overview).

Limitaciones

  • La CA externa solo se puede habilitar en una instancia de Orchestrator local administrada por un solo cliente. Esta función no está disponible en las instancias de Orchestrator alojadas por VMware.
  • En una instancia de Orchestrator que utiliza la versión 3.4.0 hasta la versión 5.0.0, esta función solo puede utilizar PrimeKey EJBCA PKI como entidad de certificación externa.