Gestión de certificados

Editar en línea

Los certificados se utilizan para firmar, validar, cifrar y descifrar diversos objetos como, por ejemplo, las aserciones SAML y las señales web JSON (JWT) de OAuth y OpenID Connect.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la consola de administración de IBM® Verify como administrador.
Nota: Si se utiliza un certificado firmado por CA, todos los certificados intermedios y raíz de la cadena deben importarse en el almacén de confianza de IBM Verify . El certificado firmado por la entidad emisora de certificados debe definida tener una lista de revocación de certificados válida y el sitio de la lista de revocación de certificados debe ser accesible.

Acerca de esta tarea

Verify utiliza los certificados siguientes:
Certificado personal

Certificado de confianza digital que un cliente o servidor proporciona a otros clientes o servidores para la autenticación.

El certificado personal contiene un certificado de firmante o una clave pública y una clave privada para firmar y cifrar datos.

El proveedor de identidad siempre firma su respuesta SAML de autenticación. Cuando configure el inicio SAML de sesión único, deberá proporcionar al proveedor de servicios el certificado del firmante o el componente de clave pública del certificado personal. Esta información valida la identidad del proveedor de identidades. El certificado de firmante o clave pública del certificado personal se rellena automáticamente en las Aplicaciones > Inicio de sesión instrucciones.

El certificado también se utiliza para firmar señales de ID para aplicaciones de inicio de sesión único de OIDC.

Verify incluye un certificado personal. Sin embargo, este certificado solamente se utiliza con la finalidad de demostración, prueba de concepto o prueba de tecnología. No utilice el certificado proporcionado en un entorno de producción. Añada un certificado personal diferente durante la configuración inicial de Verify .

Puede añadir varios certificados personales pero siempre debe tener un certificado:
  • Con Nombre descriptivo establecido como server.
  • Establecer como valor predeterminado. Solo se utiliza el certificado predeterminado para firmar la respuesta SAML de autenticación.

Cuando el certificado personal predeterminado está a punto de caducar, asegúrese de cambiarlo y, a continuación, volver a configurar el inicio de sesión único para la aplicación que ha utilizado la clave pública de ese certificado personal. De lo contrario, la configuración de inicio de sesión único no puede funcionar si la clave pública no es compatible con el nuevo certificado personal predeterminado.

Certificado de firmante

Certificado de confianza digital generado y proporcionado por proveedor de servicios y específico de la cuenta o instancia de la aplicación de destino.

El certificado de firmante contiene la clave pública que está asociada al certificado personal de la aplicación de destino. El certificado de firmante valida y confía en el emisor del certificado. Verify utiliza este certificado para validar la solicitud de autenticación SAML firmada que recibe de la aplicación de destino y para indicar que Verify confía en la aplicación de destino.

Si el proveedor de servicios firma su SAML solicitud de autenticación, proporciona su certificado de firmante. Normalmente puede obtener los detalles del certificado de firmante de los metadatos del proveedor de servicios. Importe los datos Verify antes de configurar el inicio SAML de sesión único para la aplicación de destino.

Si el proveedor de servicios no firma su SAML solicitud de autenticación, no proporciona un certificado de firmante.

Puede añadir varios certificados de firmante.
Nota: Cuando añades un proveedor de SAML identidad empresarial, su certificado de firmante se importa automáticamente en la página Seguridad > Certificados > Certificados de firmante.
Puede realizar las siguientes tareas:

Procedimiento

  1. Seleccione Seguridad > Certificados.
  2. Ver la información de certificado.
    1. Seleccione el certificado para visualizar el recuadro de diálogo Detalles del certificado , que proporciona la siguiente información:
      Tabla 1. Detalles del certificado
      Información Descripciones
      Nombre descriptivo

      También se hace referencia como alias de certificado. Es el nombre de visualización. Se considera como una referencia enfocada al certificado en lugar del Número de serie y el DN de emisor.

      Debe estar en texto en minúsculas. Utilice sólo caracteres alfanuméricos
      Tipo de certificado

      Identifica el certificado como certificado personal o certificado de firmante.
      DN del emisor El nombre distinguido de la entidad que ha firmado y emitido el certificado. Generalmente es la entidad emisora de certificados.

      Consta de varios pares de attribute=value, que están separados por comas.

      CN: NombreComún
      Nombre de dominio completo para la organización.
      OU: UnidadOrganizativa
      Nombre de la división o del departamento en la organización.
      O: Organización
      Nombre legal de la organización que se registra con la autoridad de ciudad, estado o país/región.
      L: Localidad
      La ciudad donde está la dirección de la organización.
      ST: NombreEstadoOProvincia
      Estado o provincia donde se encuentra físicamente la organización.
      C®: CountryName
      Código de dos caracteres de país o región.
      DN de asunto

      Nombre distinguido del asunto. Nombre de la entidad para la que se emite el certificado.

      Consta de varios pares de attribute=value, que están separados por comas.
      Válido desde

      La fecha de inicio en la que este certificado es válido. Los certificados solamente son válidos durante un tiempo específico. La entidad emisora de certificados establece e inicia el periodo de validez del certificado cuando firma el certificado.

      La fecha especificada depende de los valores de fecha y hora local.
      Caduca el El certificado no es válido después de esta fecha.

      La fecha especificada depende de los valores de fecha y hora local.
      Número de serie Identificador exclusivo para distinguir el certificado de otros certificados que la entidad emisora de certificados ha emitido.
      Huellas dactilares
      Algoritmo de resumen para identificar el certificado. Algoritmo que se utiliza para trocear el certificado de claves públicas y para firmar mensajes SAML 2.0 salientes.
      • SHA-1
        Nota: Los emisores de certificados SSL dejaron de utilizar este algoritmo a partir de enero de 2016.
      • SHA-256
      Certificado predeterminado

      Indica si es el valor predeterminado.

      El certificado personal predeterminado no puede editarse ni suprimirse.
      Algoritmo de firma El algoritmo de hash y cifrado del certificado.
  3. Añadir un certificado personal de .
    1. Seleccione Añadir certificado personal. Se visualiza el recuadro de diálogo Añadir certificado personal.
    2. Busque el archivo PKCS#12 (.p12) o el archivo PKCS#8 (.p8). De forma alternativa, arrástrelo al área de colocación.
      Nota: solo se da soporte a los certificados RSA en el formato de archivo PKCS#12 y solo se da soporte a los certificados ECDSA en el formato de archivo PKCS#8 .
      Se visualiza el nombre del Archivo seleccionado .
    3. Especifique la siguiente información para el nuevo certificado:
      Tabla 2. Añadir cuadro de diálogo de certificado personal
      Información Descripción
      Contraseña de archivo Solo es necesario para los archivos .p12.

      Contraseña para descifrar e instalar el archivo de certificado.
      Nombre descriptivo Necesario para los archivos .p8, pero opcional para .p12 files.

      Una etiqueta para el certificado.
      Certificado predeterminado Indica si es el valor predeterminado.
      Nota: solo se pueden utilizar certificados .p12 como certificado predeterminado.
    4. Seleccione Aceptar.
  4. Añadir un certificado de firmante.
    1. Seleccione Añadir certificado de firmante. Se visualiza el recuadro de diálogo Añadir certificado de firmante.
    2. Busque el archivo .pem o arrástrelo en el área de colocación.
      Se visualiza el nombre del Archivo seleccionado .
    3. Especifique el Nombre descriptivo para el nuevo certificado. Consulte la Tabla 1 para obtener más detalles.
    4. Seleccione Aceptar.
      El certificado se muestra en la sección Certificados de firmante . También se añade como valor para el certificado de firma del proveedor de servicios en la página Aplicaciones > Inicio de sesión.
  5. Suprimir un certificado personal o certificado de firmante.
    1. Elija una de las siguientes opciones:
      • Pase el cursor sobre el certificado que desea eliminar y seleccione el Suprimir icono.
      • Seleccione el certificado.
    2. Seleccione Suprimir.
    3. Confirme que desea suprimir de forma definitiva el usuario o los usuarios seleccionados.