Instalación de certificados de seguridad para el conector ACL para Analytics Exchange
El conector de ACL para Analytics Exchange admite el cifrado de Secure Sockets Layer (SSL) en las conexiones entre las máquinas clientes y el servidor de AX. Si SSL está habilitado, el conector utiliza OpenSSL para cifrar todos los datos que se mueven a través de las conexiones de red entre las máquinas clientes y el servidor.
Para configurar SSL mediante certificados, debe generar un conjunto de certificados SSL en la máquina del servidor. Puede generar uno de los siguientes tipos de certificados para la conexión SSL:
- Certificado autofirmado
- Certificado de una autoridad de certificación (CA)
Antes de comenzar
Descargue e instale OpenSSL y luego agregue la ruta hacia ejecutable openssl.exe a su variable de entorno PATH.
Nota
Al igual que muchos proyectos de software de código abierto, el proyecto OpenSSL no distribuye ningún código en forma binaria. En su lugar, debe descargar el código fuente del proyecto y crear el binario o ubicar un binario que algún tercero distribuya para su sistema operativo.
Si desea obtener más información, consulte la documentación de OpenSSL.
Generación de un certificado SSL para autofirmado
Utilice OpenSSL para generar un archivo de clave y un archivo de certificado en el equipo servidor. Los certificados autofirmados son útiles durante el desarrollo o las pruebas, cuando no es necesario adquirir un certificado comercial.
Muéstreme cómo
- Abra una línea de comandos y, a continuación, cree el directorio C:\newcerts.
md C:\newcerts
-
Cambie al nuevo directorio y genere un archivo de clave de servidor y un archivo de certificado de servidor.
md C:\newcerts openssl req -x509 -newkey rsa:4096 -keyout server-key.pem -out server-cert.pem -days 365 -nodes
Se le solicitará información que se incorpora al certificado, como País, Ciudad, Nombre de la compañía, etc. Anote la información que ingresa, ya que es posible que se le solicite esa información nuevamente en una etapa posterior.
Nota
El argumento -nodes elimina la protección por contraseña de la clave privada para que no necesite introducir una contraseña cuando reinicie el servidor.
Resultado se crea el certificado autofirmado. Necesita server-key.pem y server-cert.pem durante la instalación del conector de ACL para Analytics Exchange en la máquina del servidor de AX. Los usuarios clientes no requieren un archivo de certificado cuando usan esta opción.
Generación de un certificado SSL con una autoridad de certificación (CA)
Al igual que los certificados autofirmados, los certificados de una autoridad de certificación (CA) garantizan que ningún tercero puede acceder fácilmente a la conexión. Sin embargo, los certificados de CA proporcionan confianza adicional porque una autoridad de certificación independiente y confiable valida la autenticidad del servidor.
Muéstreme cómo
Cree la clave privada del servidor
- Abra una línea de comandos y, a continuación, cree el directorio C:\newcerts.
md C:\newcerts
-
Cambie al nuevo directorio y genere una nueva clave.
md C:\newcerts openssl genrsa -out server-key-withPass.pem
- Genere una solicitud de firma de certificados.
openssl req -new -key server-key-withPass.pem -out signingReq.csr
Se le solicita información que es incorporada al certificado, como País, Ciudad, Nombre de la empresa, etc. Anote la información que ingresa, ya que es posible que se le solicite esa información nuevamente en una etapa posterior. Cuando se le solicite una dirección de correo electrónico, proporcione una dirección de correo electrónico válida para que la autoridad de certificación pueda enviar el certificado a esa dirección.
- Verifique la información en el archivo signingReq.csr de firma y, a continuación, envíe el archivo a la autoridad de certificación como una solicitud.
Resultadosi la solicitud es satisfactoria, la autoridad de certificación le envía un certificado utilizando la dirección de correo electrónico que proporcionó en la solicitud de la firma. El correo electrónico que recibirá incluye un certificado CA cifrado y un enlace a un certificado intermedio CA cifrado.
Copie ambos certificados en un archivo de texto, con el certificado no intermedio seguido por el certificado intermedio y luego guarde el archivo como CA-cert.pem. Se requiere este archivo para la siguiente sección.
Cree y firme el certificado de servidor
- Reúna los siguientes archivos, que se generaron en la sección anterior y copie los tres archivos en C:\newcerts:
- server-key-withPass.pem
- signingReq.csr
- CA-cert.pem
- Abra una línea de comandos y cambie a C:\newcerts:
cd C:\newcerts
- Cree el certificado del servidor:
openssl CA -in signingReq.csr -out server-cert.pem -keyfile server-key-withPass.pem -days 365 -cert CA-cert.pem
- Quite la contraseña de server-key-withPass.pem para que no se requiera introducir una contraseña al reiniciar el servidor y genere el archivo final de la clave del servidor (server-key.pem).
openssl rsa -in server-key-withPass.pem -out server-key.pem
Precaución:
Una vez que se ha quitado el requisito de la contraseña, el certificado se puede copiar y utilizar en cualquier otro lugar. Por lo tanto, una vez que quite el requisito de la contraseña, debe tomar las precauciones adecuadas cuando almacene el archivo. Asegúrese de que los permisos están configurados para permitir solo el acceso a aquellos que los necesitan.
Resultado se crea y se firma el certificado del servidor.
Distribución de certificados SSL
Una vez que genere un certificado autofirmado o CA, tiene un conjunto completo de certificados SSL que puede distribuir:
- el archivo CA-cert.pem requerido por cualquier cliente para conectarse al conector de ACL para Analytics Exchange a través de SSL mediante un certificado de una autoridad de certificación
- el archivo de clave del servidor (server-key.pem) y el archivo de certificado del servidor (server-cert.pem) necesarios cuando se ejecuta el conector de ACL para el instalador de Analytics Exchange en Servidor de AX si desea habilitar SSL
Ayuda de Analytics Exchange 14.1 Cliente