Antes de realizar este paso, asegúrese de haber redireccionado a Symantec Management Agent para que use HTTPS.
Ver"Cómo redireccionar Symantec Management Agent para usar HTTPS"
en la página 81.
La administración habilitada para la nube no asigna certificados de servidor a los servidores de sitio. Es necesario aplicar certificados de servidor a servidores de sitio para poder acceder a ellos con HTTPS. Un certificado de servidor es un
requisito previo para que cualquier servidor de sitio sirva a los Symantec
Management Agents en Internet. Por razones de seguridad, Symantec recomienda usar los certificados autofirmados.
Es necesario usar su propia autoridad de certificación (CA) de empresa para crear los certificados de servidor que se necesitan para configurar HTTPS en los servidores de sitio. Sin embargo, si no tiene su propia autoridad de certificación de empresa, Symantec Management Platform proporciona una herramienta de línea de comandos que permite generar certificados de servidor.
La herramienta del generador de certificados de servidor de sitio,
AeXGenSiteServerCert.exe, permite crear el certificado de servidor que se necesita. Una autoridad especial de certificación de servidor de Notification Server emite el certificado de servidor. Se almacena la parte pública del certificado en la base de datos de administración de configuración (CMDB). Las partes públicas y privadas se agregan a un archivo PKCS#12 (PFX) que contiene la cadena de certificado completa.
Nota:La herramientaAeXGenSiteServerCert.exesolo admite IIS.
Una vez que haya generado el archivo de certificado de servidor, debe instalar el certificado en el servidor de sitio apropiado. El procedimiento de instalación depende de si el certificado de servidor está protegido por contraseña o no. Además depende del sistema operativo del equipo del servidor de sitio.
Tenga en cuenta que los equipos de Task Server deben tener las funciones de IIS 6.0 o IIS 7.0 y de .NET Framework 3.5 habilitadas.
Nota:Aplicar un certificado de servidor regenerado a un gateway de Internet afecta los Symantec Management Agents existentes. Los agentes existentes no pueden conectarse al gateway de Internet hasta que reciben los detalles actualizados de la huella digital de certificado del gateway. Si ningún gateway de Internet alternativo está disponible, es posible que los Symantec Management Agents afectados no puedan conectarse a la red interna. Necesitaría actualizar la configuración del agente manualmente.
Para generar un certificado de servidor para un servidor de sitio
1
En el equipo con Notification Server, abra una ventana de línea de comandos y vaya al siguiente directorio:C:\\Program Files\Altiris\Notification Server\bin\Tools
2
Escriba la siguiente línea de comandos con los parámetros apropiados: AeXGenSiteServerCert.exe <SiteServerFQDN> [-oCertificateChain.pfx] [-p password]
El nombre que Symantec Management Agent usa para conectarse al servidor de sitio.
Este nombre es típicamente el nombre de dominio completo (FQDN) del equipo del servidor de sitio. Por ejemplo, su servidor de sitio se puede denominar
mihost.midominio.com.
El nombre en el certificado debe coincidir con el nombre que el agente usa para conectarse al servidor de sitio. Si el nombre o la dirección no coinciden, el agente no puede conectarse al servidor de sitio.
SiteServerFQDN
El nombre del archivo PFX que desea generar.
Si omite este parámetro, el nombre del archivo del certificado generado es el nombre común especificado con la extensión .pfx aplicada a él (CommonName.pfx).
CertificateChain.pfx
La contraseña que desea usar.
Si omite este parámetro, la contraseña está vacía. No se proporciona una contraseña predeterminada.
IIS Manager espera que un archivo PFX esté protegido por una contraseña cuando lo importa. Si el archivo PFX no cuenta con ninguna contraseña, primero debe importar el archivo al equipo del servidor de sitio con la Consola de administración de Microsoft (MMC). Es posible entonces usar IIS Manager para aplicar el certificado al elegir asignar un certificado existente.
Contraseña
El archivo de certificado de servidor se crea en el mismo directorio donde se ejecuta el comando.
Para aplicar un certificado de servidor a un servidor de sitio de Windows Vista/7/2008
1
Coloque el archivo PFX de certificado de servidor en el equipo del servidor de sitio o en una ubicación a la que se pueda acceder.2
En el equipo del servidor de sitio, inicie el Administrador de Internet Information Services (IIS) en el panel izquierdo y haga clic en Nombre de equipo.3
En el panel medio, haga doble clic en Certificados de servidor y acontinuación en el panel Acciones, haga clic en Importar.
4
En el cuadro de diálogo Importar certificado, especifique la ruta y el archivo del certificado que desee importar, escriba la contraseña si usted creó el certificado con una contraseña y después haga clic en Aceptar.5
En el Administrador de Internet Information Services (IIS), en el panel izquierdo, en Nombre de equipo > Sitios, haga clic en Sitio web predeterminado.6
En el panel Acciones, haga clic en Vínculos.7
En la lista de vínculos, ejecute una de las siguientes acciones: Haga clic en Agregar y configure el tipo HTTPS. Cree un nuevo enlaceSeleccione el enlace y haga clic en Editar. Edite un enlace HTTPS
existente
8
En el cuadro de diálogo Agregar enlace de sitio o Modificar enlace de sitio, especifique el número de puerto para usar, las interfaces de red para escuchar y el certificado SSL que desee usar y después haga clic en Aceptar. Se espera que el certificado esté en el almacén Personal de la cuenta Equipo local.9
En el equipo del servidor de sitio, reinicie IIS y Altiris Object Host Services. Para aplicar un certificado de servidor protegido por contraseña a un servidor de sitio Windows 20031
Coloque el archivo PFX de certificado de servidor en el equipo del servidor de sitio o en una ubicación a la que se pueda acceder.2
En el equipo del servidor de sitio, inicie el Administrador de IIS y en el panel izquierdo, en Nombre de equipo > Sitios web, haga clic con el botón derecho en Sitio web predeterminado y en Propiedades.3
En la ventana Propiedades de sitio web predeterminado, en la fichaSeguridad de directorios, haga clic en Certificado de servidor.
■ En la página Certificado de servidor, haga clic en Importar un certificado
desde un archivo .pfx y haga clic en Siguiente.
■ En la página Importar certificado, especifique la ruta y el nombre de archivo del archivo de certificado y haga clic en Siguiente.
■ En la página Contraseña del certificado que desee importar, escriba la contraseña para el certificado que desee importar.
■ En la página Puerto SSL, especifique el número de puerto para usar y haga clic en Siguiente.
■ En la página Resumen del certificado importado, verifique los datos del certificado y haga clic en Siguiente.
■ Haga clic en Terminar.
5
Haga clic en Aceptar para cerrar la ventana Propiedades de sitio webpredeterminado.
6
En el equipo del servidor de sitio, reinicie IIS y Altiris Object Host Services. Para aplicar un certificado de servidor sin contraseña a un servidor de sitio de Windows 20031
En el equipo del servidor de sitio, inicie Microsoft Management Console.2
Agregue el complemento Certificados a la cuenta Equipo Local y abra lacarpeta Raíz de consola > Certificados > Personal.
3
Haga clic con el botón derecho en Certificados y en Todas las tareas >Importar.
4
En Asistente para importar certificado, especifique el archivo de certificado del servidor que desea importar.5
Haga clic en Siguiente para aceptar la configuración predeterminada para todas las páginas restantes en el Asistente para importar certificado y haga clic en Finalizar.El certificado se agrega al almacén de certificados Personal.
6
Inicie el Administrador de Internet Information Services (IIS) y, en el panel izquierdo, en Nombre de equipo > Sitios web, haga clic con el botón derecho en Sitio web predeterminado y, luego, haga clic en Propiedades.7
En la ventana Propiedades de sitio web predeterminado, en la fichaSeguridad de directorios, haga clic en Certificado de servidor.
8
En el Asistente para certificados de servidor web, en la página Certificadode servidor, haga clic en Asignar un certificado ya existente y, luego, en Siguiente.
9
Seleccione el certificado que ha importado y haga clic en Siguiente para aceptar la configuración predeterminada para todas las páginas restantes.10
Haga clic en Terminar y, luego, en Aceptar para cerrar la ventanaPropiedades de sitio web predeterminado.
Para aplicar un certificado de servidor a un servidor de sitio de Windows XP
1
Coloque el archivo PFX de certificado de servidor en el equipo del servidor desitio o en una ubicación a la que se pueda acceder.
2
En el equipo del servidor de sitio, inicie Microsoft Management Console.3
Agregue el complemento Certificados a la cuenta Equipo Local y abra lacarpeta Raíz de consola > Certificados > Personal.
4
Haga clic con el botón derecho en Certificados y en Todas las tareas >Importar.
5
En el Asistente para importación de certificados, especifique el nombre y la ruta del archivo de certificado que desee importar, escriba la contraseña, especifique el almacén de certificados, verifique la configuración y después haga clic en Terminar.6
En el Administrador de IIS, en el panel izquierdo, en Nombre de equipo >Sitios web, haga clic con el botón derecho en Sitio web predeterminado y,
luego, haga clic en Propiedades.
Tenga en cuenta que es necesario tener las funciones de IIS 6.0 o IIS 7.0 y de .NET Framework 3.5 habilitadas.
7
En la ventana Propiedades de sitio web predeterminado, en la fichaSeguridad de directorios, haga clic en Certificado de servidor.
8
En el Asistente para certificados IIS, haga lo siguiente:■ En la página Certificado de servidor, haga clic en Asignar un certificado
ya existente y haga clic en Siguiente.
■ En la página Certificados disponibles, haga clic en el archivo de certificado y haga clic en Siguiente.
■ En la página Puerto SSL, especifique el número de puerto para usar y haga clic en Siguiente.
■ En la página Resumen del certificado, verifique los datos del certificado y haga clic en Siguiente.
9
Haga clic en Aceptar para cerrar la ventana Propiedades de sitio webpredeterminado.
10
En el equipo del servidor de sitio, reinicie IIS y Altiris Object Host Services. El siguiente paso consiste en configurar servidores de paquetes para publicar bases de códigos de paquetes de HTTPS.Ver"Configuración de un servidor de paquetes para publicar bases de código de paquetes de HTTPS"en la página 88.
Si desea obtener el proceso completamente detallado del establecimiento de la comunicación HTTPS en el entorno de ITMS, Ver"Configurar Notification Server para usar HTTPS después de finalizar la instalación de ITMS"en la página 70.