Gestión de certificados

Editar en línea

Los certificados se utilizan para firmar, validar, cifrar y descifrar diversos objetos como, por ejemplo, las aserciones SAML y las señales web JSON (JWT) de OAuth y OpenID Connect.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM® Verify consola de administración como administrador.
Nota: Si se utiliza un certificado firmado por una autoridad de certificación (CA), es necesario importar todos los certificados intermedios y raíz de la cadena al IBM Verify almacén de confianza. El certificado firmado por la entidad emisora de certificados debe definida tener una lista de revocación de certificados válida y el sitio de la lista de revocación de certificados debe ser accesible.

Acerca de esta tarea

Verify utiliza los siguientes certificados:
Certificado personal

Certificado de confianza digital que un cliente o servidor proporciona a otros clientes o servidores para la autenticación.

El certificado personal contiene un certificado de firmante o una clave pública y una clave privada para firmar y cifrar datos.

El proveedor de identidad siempre firma su respuesta de autenticación SAML. Al configurar el inicio de sesión único de SAML, debe facilitar al proveedor de servicios el certificado del firmante o el componente de clave pública del certificado personal. Esta información valida la identidad del proveedor de identidades. El certificado del firmante o la clave pública del certificado personal se rellena automáticamente en las instrucciones de inicio de sesión de Aplicaciones.

El certificado también se utiliza para firmar señales de ID para aplicaciones de inicio de sesión único de OIDC.

Verify incluye un certificado personal. Sin embargo, este certificado solamente se utiliza con la finalidad de demostración, prueba de concepto o prueba de tecnología. No utilice el certificado proporcionado en un entorno de producción. Añade un certificado personal diferente durante la configuración inicial Verify .

Puede añadir varios certificados personales pero siempre debe tener un certificado:
  • Con el nombre descriptivo establecido como server.
  • Establecer como valor predeterminado. Para firmar la respuesta de autenticación de SAML solo se utiliza el certificado predeterminado.

Cuando el certificado personal predeterminado está a punto de caducar, asegúrese de cambiarlo y, a continuación, volver a configurar el inicio de sesión único para la aplicación que ha utilizado la clave pública de ese certificado personal. De lo contrario, la configuración de inicio de sesión único no puede funcionar si la clave pública no es compatible con el nuevo certificado personal predeterminado.

Certificado de firmante

Certificado de confianza digital generado y proporcionado por proveedor de servicios y específico de la cuenta o instancia de la aplicación de destino.

El certificado de firmante contiene la clave pública que está asociada al certificado personal de la aplicación de destino. El certificado de firmante valida y confía en el emisor del certificado. Verify utiliza este certificado para validar la solicitud de autenticación firmada SAML que recibe de la aplicación de destino y para indicar que Verify confía en dicha aplicación.

Si el proveedor de servicios firma su solicitud de autenticación SAML, debe proporcionar su certificado de firma. Normalmente puede obtener los detalles del certificado de firmante de los metadatos del proveedor de servicios. Imporlo en Verify antes de configurar el inicio de sesión único de SAML para la aplicación de destino.

Si el proveedor de servicios no firma su solicitud de autenticación SAML, no proporciona un certificado de firmante.

Puede añadir varios certificados de firmante.
Nota: Cuando se añade un proveedor de identidades corporativo de SAML, su certificado de firmante se importa automáticamente a la página «Seguridad > Certificados > Certificados de firmante ».
Puede realizar las siguientes tareas:

Procedimiento

  1. Selecciona Seguridad > Certificados
  2. Ver la información de certificado.
    1. Seleccione el certificado para mostrar el cuadro de diálogo «Detalles del certificado », que ofrece la siguiente información:
      Tabla 1. Detalles del certificado
      Información Descripciones
      Nombre descriptivo

      También se hace referencia como alias de certificado. Es el nombre que se muestra. Se considera una referencia específica al certificado, en lugar del número de serie y el DN del emisor.

      Debe estar en texto en minúsculas. Utilice sólo caracteres alfanuméricos
      Tipo de certificado

      Identifica el certificado como certificado personal o certificado de firmante.
      DN del emisor El nombre distinguido de la entidad que ha firmado y emitido el certificado. Generalmente es la entidad emisora de certificados.

      Consta de varios pares de attribute=value, que están separados por comas.

      CN: NombreComún
      Nombre de dominio completo para la organización.
      OU: UnidadOrganizativa
      Nombre de la división o del departamento en la organización.
      O: Organización
      Nombre legal de la organización que se registra con la autoridad de ciudad, estado o país/región.
      L: Localidad
      La ciudad en la que se encuentra la sede de la organización.
      ST: NombreEstadoOProvincia
      Estado o provincia donde se encuentra físicamente la organización.
      C®: CountryName
      Código de dos caracteres de país o región.
      DN de asunto

      Nombre distinguido del asunto. Nombre de la entidad para la que se emite el certificado.

      Consta de varios pares de attribute=value, que están separados por comas.
      Válido desde

      La fecha de inicio en la que este certificado es válido. Los certificados solamente son válidos durante un tiempo específico. La entidad emisora de certificados establece e inicia el periodo de validez del certificado cuando firma el certificado.

      La fecha especificada depende de los valores de fecha y hora local.
      Caduca el El certificado no es válido después de esta fecha.

      La fecha especificada depende de los valores de fecha y hora local.
      Número de serie Identificador exclusivo para distinguir el certificado de otros certificados que la entidad emisora de certificados ha emitido.
      Huellas dactilares
      Algoritmo de resumen para identificar el certificado. Algoritmo que se utiliza para trocear el certificado de claves públicas y para firmar mensajes SAML 2.0 salientes.
      • SHA-1
        Nota: Los emisores de certificados de la SSL e dejaron de utilizar este algoritmo a partir de enero de 2016.
      • SHA-256
      Certificado predeterminado

      Indica si es el valor predeterminado.

      El certificado personal predeterminado no puede editarse ni suprimirse.
      Algoritmo de firma El algoritmo de hash y cifrado del certificado.
  3. Añade un certificado personal.
    1. Selecciona «Añadir certificado personal ». Se visualiza el recuadro de diálogo Añadir certificado personal.
    2. Busca el archivo « PKCS#12 » (.p12) o « PKCS#8 » (.p8). De forma alternativa, arrástrelo al área de colocación.
      Nota: En el formato de archivo PKCS#12 solo se admiten certificados RSA, mientras que en el formato de archivo PKCS#8 solo se admiten certificados ECDSA.
      Se muestra el nombre del archivo seleccionado.
    3. Especifique la siguiente información para el nuevo certificado:
      Tabla 2. Cuadro de diálogo «Añadir certificado personal»
      Información Descripción
      Contraseña de archivo Solo es necesario para los archivos .p12.

      Contraseña para descifrar e instalar el archivo de certificado.
      Nombre descriptivo Necesario para los archivos .p8, pero opcional para .p12 files.

      Una etiqueta para el certificado.
      Certificado predeterminado Indica si es el valor predeterminado.
      Nota: Solo .p12 los certificados pueden utilizarse como certificado predeterminado.
    4. Selecciona «Aceptar ».
  4. Añadir un certificado de firmante.
    1. Selecciona «Añadir certificado de firmante ». Se visualiza el recuadro de diálogo Añadir certificado de firmante.
    2. Busca el .pem archivo o arrástralo hasta el área de colocación.
      Se muestra el nombre del archivo seleccionado.
    3. Indique el nombre descriptivo del nuevo certificado. Consulte la tabla 1 para obtener más detalles.
    4. Selecciona «Aceptar ».
      El certificado aparece en la sección «Certificados de firmantes ». También se añade como valor del certificado de firmante del proveedor de servicios en la página «Aplicaciones > Inicio de sesión ».
  5. Eliminar un certificado personal o un certificado de firmante.
    1. Elija una de las siguientes opciones:
      • Pasa el cursor por encima del certificado que quieras eliminar y selecciona el Suprimir icono.
      • Seleccione el certificado.
    2. Selecciona «Eliminar ».
    3. Confirme que desea suprimir de forma definitiva el usuario o los usuarios seleccionados.