¡Muy buenos días!!

Vamos al ataque con una de las tareas, al menos para mí, más engorrosas del entorno de sistemas, sin olvidarme de la documentación x»DDD, pero hoy no nos toca. ¡Estamos de suerte!! Me estoy refiriendo a todo lo relacionado con los certificados SSL. En este caso aplicados al entorno View de VMware.

ssl-cert.png

Cada día son más las empresas con instalaciones de entornos de escritorio virtualizado y como la seguridad va por delante, el uso de conexiones cifradas y seguras es imprescindible.

Con la propia instalación de los servicios de Horizon View se generan los conocidos certificados auto-firmados (Self Signed). Si bien es verdad que sirven perfectamente para el normal funcionamiento del entorno, no queda nada bonito/profesional el mensaje de advertencia/error que espeta a cada intento de conexión. Donde nos informa que no se puede validar el emisor del certificado y que aceptamos con confianza ciega hacia él para conectarnos al entorno.

Pues bien, ahí da de pleno este pequeño post, que no pretende otra cosa que ayudar a quiénes os veáis en la necesidad de instalar/renovar tal certificado SSL. Hay que decir que VMware tiene una nota técnica donde lo explica todo de primera mano.

En el centro de control veremos el estado de los certificados instalados en nuestro entorno View, se muestra en la pantalla de Administrador del Connection Server, como podemos ver en el siguiente ejemplo:

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B17.06.13.png

Si desplegamos el estado en concreto de cada uno de los semáforos en rojo, podemos ver a modo de ejemplo los siguientes mensajes descriptivos:

  • En relación al Connection Server

 

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B17.36.57.png

* Con esta variante, si esta cercana la caducidad, pero todavía no hemos llegado a la fecha límite.

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B18.40.06.png

  • En relación al Security Server

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B17.36.36.png

 

Una vez conocido el estado de los certificados de nuestro entorno, en este caso se trataría de una renovación, debemos seguir los pasos comentados en la nota que he mencionado anteriormente. Rellenar el request.inf y crear la solicitud de firma de certificado (CSR) para remitir a posteriori a nuestra entidad certificadora de confianza. Con la solicitud tramitada terminamos el proceso de solicitud en la misma máquina en la que iniciamos el proceso usando el certificado firmado emitido por la entidad certificadora.
Con el nuevo certificado ya en nuestro poder, iniciamos los pasos meramente propios de importación del nuevo certificado, ya sea como primera vez o renovación de uno existente. Todo muy sencillo pero con detalles de cierta importancia. Vamos a ver:

  1. En el equipo Connection Server o Security Gateway donde queramos instalar el certificado debemos abrir una consola MMC para agregar el complemento Certificados. Estos son los pasos:

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B17.37.16.png

 

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B18.42.15.png

 

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B18.42.16.png

 

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B18.42.34.png

 

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B18.42.52.png

 

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B18.43.01.png

 

2.  Ahora ya tenemos preparado el entorno para realizar la importación de nuestro certificado SSL.

Captura%2Bde%2Bpantalla%2B2015-05-20%2Ba%2Blas%2B18.43.28.png

3.  Realizando los siguientes pasos lo tendremos preparado en nada y menos.

Captura%2Bde%2Bpantalla%2B2015-05-21%2Ba%2Blas%2B18.40.23.png

 

Captura%2Bde%2Bpantalla%2B2015-05-21%2Ba%2Blas%2B18.40.38.png

 

Captura%2Bde%2Bpantalla%2B2015-05-21%2Ba%2Blas%2B18.40.49.png

 

Captura%2Bde%2Bpantalla%2B2015-05-21%2Ba%2Blas%2B18.44.28.png

 

Captura%2Bde%2Bpantalla%2B2015-06-01%2Ba%2Blas%2B13.10.08.png

 

Captura%2Bde%2Bpantalla%2B2015-06-01%2Ba%2Blas%2B13.10.17.png

 

Captura%2Bde%2Bpantalla%2B2015-06-01%2Ba%2Blas%2B13.10.30.png

Como resumen de los puntos más importantes a llevar a cabo en este último apartado y que pueden pasar por alto, son:

  1. Realizar la importación del certificado incluyendo este la clave privada. (Al finalizar el proceso tenemos que ver como el icono del «diploma» del certificado tienen una llave. Si esta no aparece, el certificado no incluye la clave privada y no será válido para el uso en el entorno que nos atañe.)
  2. En el proceso de importación, marcar como exportable la clave privada. (Si no marcamos esa opción, aparentemente el proceso parecerá que ha ido bien, pero el servicio de Connection Server o Security Gateway va a estar iniciando y parando continuamente.)
  3. Añadir el nombre descriptivo «vdm» a las propiedades del certificado instalado. (Si no realizamos este último paso, la infraestructura de View no sabrá que ese en concreto es el certificado que debe seleccionar para el uso requerido.)
  • Ahora ya se nos muestra el resultado final como certificado válido.

Captura%2Bde%2Bpantalla%2B2015-06-01%2Ba%2Blas%2B13.07.56.png

De todas formas si con estas breves explicaciones algo no saliera según lo previsto, recomiendo encarecidamente la lectura de esta otra nota del fabricante, donde se resumen los principales aspectos a revisar:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2082408

Saludos y muchas gracias por leernos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Post Relacionados: