Importar un certificado en el portal

HTTPS es un medio de cifrar las comunicaciones que llegan a un servidor web y que salen de él. HTTPS permite también que una aplicación cliente confirme la identidad del servidor web. Cuando se usa HTTPS, cada servidor web en el que HTTPS está habilitado debe enviar un certificado a los clientes. El certificado contiene una declaración de identidad (“Soy gis.mycity.gov”) y una clave pública que el cliente puede usar para enviar la información cifrada al servidor web.

A menudo, los usuarios de Portal for ArcGIS transmiten información que es necesario cifrar. Por este motivo, HTTPS siempre está habilitado en el portal y es obligatorio para Web Adaptor. El Web Adaptor se instala para que funcione con un servidor web, que debe tener HTTPS habilitado.

Es recomendable que el certificado del servidor web haya sido firmado por una entidad emisora de certificados. El portal se suministra con un certificado autofirmado. Un certificado autofirmado significa que un cliente no puede verificar la identidad del servidor pero puede enviar el contenido cifrado. Al reemplazar el certificado autofirmado por el certificado firmado por una entidad emisora de certificados, mejora la seguridad de la implementación.

Hay dos formas de usar un certificado con el portal. La primera forma es generar un nuevo certificado. Para ello se debe crear una solicitud de firma de certificado (CSR), hacer que la entidad emisora de certificados lo firme e importarlo en el portal. La segunda forma es importar un certificado existente que ya se ha asignado al equipo en el que está instalado el portal. Dado que la mayoría de las entidades emisoras de certificados cobran por firmar los certificados, los clientes que ya tienen certificados para un equipo pueden preferir importar los certificados existentes a generar otros nuevos. A continuación se describen los pasos de ambos procesos.

En todos los pasos siguientes se usa una herramienta denominada keytool para gestionar los certificados. El comando keytool se encuentra en <Portal for ArcGIS installation location>\arcgis\portal\framework\runtime\jre\bin. Todos los certificados están almacenados en un archivo que se llama portal.ks situado en <Portal for ArcGIS installation location>\arcgis\portal\etc\ssl.

Generar un nuevo certificado

Estos pasos ayudan a generar una solicitud de firma de certificado (CSR), a firmarla, a importar el certificado raíz de su organización y a importar el certificado firmado.

Generar una CSR y firmarla

Pasos:
  1. Abra una ventana de comando usando la opción Ejecutar como administrador.
  2. En la línea de comandos, vaya al directorio <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Ejecute el comando siguiente:

    keytool –genkey –alias portalcert –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks -keyalg RSA

    NotaNota:

    Puede introducir su propio texto en el parámetro -alias. portalcert se indica solo como ejemplo. El alias elegido es importante, ya que se debe reutilizar más tarde para generar la CSR e importar el certificado firmado en el portal.

    1. Cuando se le pida, escriba portal.secret como contraseña de keystore. Pulse Intro.
    2. Cuando el sistema le pregunte su nombre y su apellido, escriba el nombre de dominio completo del servidor (por ejemplo, portal.mycity.gov). Pulse Intro.
    3. Para su unidad organizativa, especifique un nombre de departamento que resulte intuitivo para un usuario del sitio. Pulse Intro.
    4. Especifique el nombre de su organización. Pulse Intro.
    5. Especifique el nombre de su ciudad o localidad. Pulse Intro.
    6. Especifique el nombre de su estado o provincia. Pulse Intro.
    7. Especifique el código de país de dos letras correspondiente al país donde reside su organización. Pulse Intro.
    8. Compruebe la información indicada. Escriba yes y pulse Intro.
    9. De forma opcional, especifique una contraseña keystore para el certificado. Si desea utilizar la contraseña de keystore predeterminada portal.secret, no especifique nada. Pulse Intro.
  4. Ejecute el comando siguiente:

    keytool –certreq –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/portalcert.csr –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  5. Especifique la contraseña keystore. Si ha utilizado el valor predeterminado de arriba, la contraseña es portal.secret. Pulse Intro.

Se genera un archivo llamado portalcert.csr en el directorio <Portal for ArcGIS installation location>/etc/ssl. Envíe este archivo a la entidad emisora de certificados para que lo firme. Coloque el archivo que se le devuelva en el directorio <Portal for ArcGIS installation location>\etc\ssl.

Importar el certificado raíz de su organización

Pasos:
  1. Abra una ventana de comando usando la opción Ejecutar como administrador.
  2. En la línea de comandos, vaya al directorio <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Importe el certificado raíz de su organización en el portal ejecutando el comando siguiente:

    keytool –importcert –alias orgRootCert –file <file path to root certificate>/orgRootCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

    Póngase en contacto con su administrador de sistemas para solicitar información sobre cómo obtener el certificado raíz.

    NotaNota:

    Puede introducir su propio texto en el parámetro -alias. orgRootCert se indica solo como ejemplo.

  4. Especifique la contraseña keystore. Si ha utilizado el valor predeterminado de arriba, la contraseña es portal.secret. Pulse Intro.
  5. Cuando se le pregunte si desea confiar en este certificado, escriba yes y pulse Intro.

Importación del certificado firmado

Pasos:
  1. Abra una ventana de comando usando la opción Ejecutar como administrador.
  2. En la línea de comandos, vaya al directorio <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Importe el certificado firmado que ha obtenido de la autoridad certificadora ejecutando el comando siguiente:

    keytool –importcert –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/signedCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  4. Especifique la contraseña keystore. Si ha utilizado la predeterminada de arriba, la contraseña es portal.secret. Pulse Intro.
  5. En un editor de texto, abra el archivo <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml.
  6. Busque la propiedad keystorePass="portal.secret" y agregue keyAlias="portalcert" al final de la propiedad. Por ejemplo
    keystorePass="portal.secret" keyAlias="portalcert"
  7. Guarde y cierre el archivo
  8. Reinicie Portal for ArcGIS para que el cambio tenga efecto. Para obtener instrucciones, consulte Detener e iniciar el portal.

Importar un certificado existente

Estos pasos le ayudarán a importar un certificado existente en el portal. HTTPS realiza el cifrado usando un par de claves de cifrado públicas y privadas. La clave pública está contenida en el certificado y se comparte con todos los usuarios para que la información se pueda cifrar. Para descifrar se necesita una clave privada que se debe proporcionar al portal.

Las claves privadas y los certificados públicos se transportan en archivos *.p12 o *.pfx, y estos archivos a menudo están protegidos mediante una contraseña. Antes de empezar, asegúrese de que tiene el archivo *.p12 o *.pfx y de que conoce la contraseña.

Pasos:
  1. Ponga el archivo *.p12 o *.pfx en el directorio <Portal for ArcGIS installation location>\etc\ssl. En los pasos restantes se usará como ejemplo cert.p12.
  2. Abra una ventana de comando usando la opción Ejecutar como administrador.
  3. En la línea de comandos, vaya al directorio <Portal for ArcGIS installation location>\etc\ssl.
  4. Busque el alias del certificado que desee importar:

    keytool -list -keystore cert.p12 -storetype PKCS12

    Cuando se le pida la contraseña de keystore, escriba la contraseñad el archivo *.p12 o *.pfx. La línea de comandos mostrará un mensaje parecido al siguiente:

    Keystore type: PKCS12
Keystore provider: SunJSSE

Your keystore contains 1 entry
la-620dfedf-681b-4fe0-af13-2d09b1c5515e, Dec 21, 2013, PrivateKeyEntry,
Certificate fingerprint (SHA1): 28:BB:ED:55:7C:5B:0F:F1:79:54:BF:FE:CC:14:82:20:E5:8F:BF:3D

    La cadena de letras y números a continuación de Your keystore contains 1 entry (El keystore contiene 1 entrada), es el alias del certificado.

  5. Importe el certificado definiendo el alias y cambie el alias del certificado a portalcert.

    keytool -importkeystore -srckeystore cert.p12 -destkeystore portal.ks -srcstoretype PKCS12 -deststoretype JKS -alias la-620dfedf-681b-4fe0-af13-2d09b1c5515e -destalias portalcert

    Cuando se le pida, escriba portal.secret como contraseña de keystore de destino. Cuando se le pida, escriba la contraseña del archivo *.p12 o *.pfx. Con esto se importará el certificado y cambiará el alias del certificado a portalcert.

    NotaNota:

    Puede introducir su propio texto en el parámetro -destalias. portalcert se indica solo como ejemplo.

  6. Compruebe que se haya importado el certificado correctamente:

    keytool -list -keystore portal.ks

    Cuando se le pida, escriba portal.secret como contraseña de keystore de destino. En la lista de entradas de keystore, compruebe que aparezca el alias portalcert.

  7. Cambie la contraseña del certificado importado para que coincida con la contraseña del keystore del portal:

    keytool -keypasswd -keystore portal.ks -alias portalcert -keypass passwordofp12orpfxfile -new portal.secret

    Cuando se le pida, escriba portal.secret como contraseña de keystore de destino. Ahora, la contraseña del certificado que ha importado es la misma que la del keystore del portal.

  8. En un editor de texto, abra el archivo <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml.
  9. Busque la propiedad keystorePass="portal.secret" y agregue keyAlias="portalcert" al final de la propiedad. Por ejemplo
    keystorePass="portal.secret" keyAlias="portalcert"
  10. Guarde y cierre el archivo
  11. Reinicie Portal for ArcGIS para que el cambio tenga efecto. Para obtener instrucciones, consulte Detener e iniciar el portal.
Copyright © 1995-2014 Esri. All rights reserved.
5/9/2014