Visión General
El dispositivo Zyxel puede usar certificados (también conocidos como ID digital) para autenticar a los usuarios. Los certificados se basan en pares de claves público-privadas. Un certificado contiene la identidad del propietario del certificado y la clave pública. Los certificados proporcionan una forma de intercambiar claves públicas para usar en la autenticación.
Utilice la pantalla Mis certificados para generar y exportar certificados autofirmados o crear solicitudes de certificado (CSR) para importar un certificado firmado por CA.
Use la pantalla Certificados de confianza para guardar certificados de CA y certificados de host remoto de confianza en el dispositivo Zyxel. El dispositivo confía en cualquier certificado válido que haya importado como certificado de confianza. También confía en cualquier certificado válido firmado por cualquiera de los certificados que haya importado como certificado de confianza.
A continuación encontrará instrucciones sobre cómo deshacerse de este error utilizando un certificado autofirmado, creando una CSR para adquirir un certificado firmado por CA y/o utilizando un certificado firmado obtenido de otras fuentes (como directamente de CA, sin Zyxel CSR).
Dispositivos Soportados
ZyWALL 110
ZyWALL 310
ZyWALL 1100
USG40
USG40W
USG60
USG60W
USG110
USG210
USG310
USG1100
USG1900
USG20-VPN
USG20W-VPN
USG2200-VPN
UAG2100
UAG4100
UAG5100
NXC2500
NXC5500
Utilizando Certificado Autofirmado
Los certificados autofirmados se utilizan para asegurar las comunicaciones entre el cliente y el dispositivo Zyxel mientras se accede a la pantalla de configuración web. El certificado cifra la comunicación entre dispositivos para minimizar los ataques. Los administradores de red pueden crear certificados en el dispositivo Zyxel para proteger y autenticar a los usuarios de VPN, asegurar la comunicación entre los clientes y el dispositivo Zyxel o utilizarlos con el proxy web transparente para el servicio de filtrado de contenido.
La creación de un nuevo certificado
Para crear un nuevo certificado autofirmado con el dispositivo Zyxel, inicie sesión en la pantalla de configuración web y acceda al menú, Configuración() → Objeto → Certificado. Para este ejemplo, crearemos un nuevo certificado (más seguro) para ser utilizado por el dispositivo Zyxel para la pantalla de configuración web. Comience haciendo clic en el botón Añadir en la pestaña Mis certificados en "Configuración de mis certificados".
- Nombre - Proporcione un nombre para el certificado.
- Información del asunto - Seleccione una de las radios opcionales y complete la información. El nombre común para el certificado puede ser una dirección IPv4, una dirección IPv6 (si la compatibilidad con IPv6 está habilitada), un nombre de dominio o una dirección de correo electrónico. (Para este ejemplo, estamos seleccionando "Nombre de dominio del host")
- Unidad de organización - Esta es una entrada opcional, se puede dejar en blanco. Un ejemplo para una unidad organizativa sería el departamento dentro de la empresa (e.g. envío, ventas, etc.).
- Organización - Esta es una entrada opcional, se puede dejar en blanco. Un ejemplo para una organización sería el nombre de la empresa..
- Población (Ciudad) - Esta es una entrada opcional, se puede dejar en blanco.
- Estado (Provincia) - Esta es una entrada opcional, se puede dejar en blanco.
- Country - Esta es una entrada opcional, se puede dejar en blanco.
- Tipo de clave: las opciones para el tipo de clave son RSA-SHA256, RSA-SHA512 y DSA-SHA256. (Para este ejemplo usaremos RSA-SHA256).
- Longitud de la clave - Opciones para la longitud de clave son 1024, 1536 y 2048. (Para este ejemplo vamos a utilizar 2048).
- Uso de clave extendida: indica el propósito del certificado generado. Los certificados generados por el dispositivo Zyxel se pueden usar para la autenticación del servidor, la autenticación del cliente y/o IKE. (Debido a que este ejemplo de certificado es para generar un nuevo certificado que se utilizará para acceder a la pantalla de configuración web del dispositivo Zyxel, el uso de la clave extendida del certificado se establecerá en "Autenticación del servidor")
- Opciones de registro - Seleccione "Crear un certificado autofirmado".
- Haga clic en OK para generar el nuevo certificado.
Exportación de certificado(s)
Una vez que se crea el nuevo certificado autofirmado, haga doble clic en el certificado para abrirlo. Desplácese hasta la parte inferior de la ventana y haga clic en el botón para Exportar sólo certificado. Guarde este certificado en su computadora.
Cambio de certificado predeterminado
Para cambiar el certificado que utiliza el dispositivo Zyxel para cifrar la comunicación para el acceso WWW, vaya a Configuración() → Sistema → WWW.
Para cambiar el certificado predeterminado WWW, haga clic en el menú desplegable "Certificado del servidor" y seleccione el nuevo certificado que se utilizará para la autenticación del servidor. Una vez que se haya seleccionado el certificado, haga clic en el botón Aplicar en la parte inferior de la pantalla.
Importación de Certificado(s)
Importar el certificado autofirmado como CA en su computadora ayudará a autenticar la conexión al dispositivo Zyxel evitando errores del navegador con respecto al certificado autofirmado. Este es un paso adicional que no necesita completarse. El único propósito de este paso adicional es borrar las advertencias del certificado del navegador. Siga los pasos a continuación (para Windows, macOS y/o Mozilla Firefox) para confiar en el certificado autofirmado como CA.
Windows
Para acceder a la consola de certificados de confianza e importar el certificado, abra el cuadro de diálogo EJECUTAR. Puede acceder a esto presionando las teclas Windows + R en el teclado.
En el cuadro EJECUTAR, escriba "mmc" y haga clic en Aceptar o presione la tecla .
En la consola mmc, haga clic en Archivo → Agregar o quitar complemento...
En "Complementos disponibles:" seleccione Certificados y Agregar > a la lista "Complementos seleccionados:".
Seleccione "Cuenta de equipo" y presione Siguiente >.
Seleccione "Equipo local (el equipo en el que se está ejecutando esta consola)" y presione Finalizar.
Haga clic en Aceptar para guardar la configuración.
Abra Certificados (equipo local) → Entidades de certificación raíz de confianza y haga clic con el botón derecho en Certificados → Todas las tareas → Importar.
Ejecute el asistente de importación de certificados para abrir el certificado creado y exportado previamente desde el dispositivo Zyxel. [MGMT]
macOS
Para importar el certificado en macOS, abra la aplicación Keychain Access en Aplicaciones → Utilidades. Haga doble clic en el certificado o arrástrelo a la aplicación Keychain Access para importar.
Una vez que el certificado se haya importado a la lista de certificados, haga doble clic para cambiar el privilegio..
- SSL (Secure Sockets Layer) - Confiar siempre
- Política básica X.509 - Confiar siempre
Mozilla Firefox
Para importar el certificado a Mozilla Firefox, abra el navegador y acceda al menú Opciones. Esto será diferente dependiendo de la versión del sistema operativo de la computadora y la versión del navegador Firefox. También se puede acceder al menú escribiendo 'about:preferences' en la barra de direcciones. Haga clic en la opción de menú "Privacidad & Seguridad" y desplácese hacia abajo hasta Certificados. Haga clic en Ver certificados... para abrir el Administrador de certificados.
En la ventana del Administrador de certificados, haga clic en la pestaña Autoridades para importar la CA de confianza.
- Haga clic en el botón Importar... para buscar en la computadora el certificado exportado desde el dispositivo Zyxel.
- Seleccione el certificado Zyxel y ábralo. [MGMT]
- Seleccione "Confiar en esta CA para identificar sitios web" cuando se le solicite.
- Haga clic en Aceptar para aceptar e importar el certificado.
Verifique que el certificado esté en la lista de "Autoridades" y haga clic en Aceptar para guardar. Reinicie el navegador para completar la instalación..
Resolución de Nombre(s)
Este es un paso adicional para ayudar a resolver el nombre de dominio (nombre de host) creado en el certificado autofirmado. Basado en el ejemplo de certificado autofirmado anterior, creamos el certificado basado en el nombre de dominio ts.lab. Para que las computadoras en la red resuelvan este nombre, podemos editar el archivo host de las computadoras para agregar la entrada o establecer una "Dirección/registro PTR" en el dispositivo Zyxel. Para configurar el registro de Dirección/PTR, acceda a la pantalla de configuración web del dispositivo Zyxel y vaya al menú Configuración() → Sistema → DNS. Haga clic en el botón Añadir para insertar una entrada de registro.
Esto permitirá que el dispositivo Zyxel redirija el tráfico destinado a ts.lab a 192.168.1.1 cuando intente acceder a este nombre de host desde la red interna.
Uso de la solicitud de firma de certificado (CSR) para obtener un certificado firmado
Esta sección del tutorial explica cómo crear una CSR en los dispositivos Zyxel. El CSR es utilizado por una Autoridad de Certificación (como Verisign, GoDaddy, DigiCert, Comodo, etc.) para emitir un certificado firmado y verificado. Para este ejemplo, utilizaremos el servicio SSL for Free (que proporciona certificados Lets Encrypt) para firmar y emitir un certificado de confianza. Para obtener un certificado oficial firmado, debe tener registrado un nombre de dominio completo.
Comience accediendo a la pantalla de configuración web del dispositivo Zyxel y vaya al menú, Configuración() → Objeto → Certificado. Haga clic en el botón Añadir en la pestaña Mis certificados en "Configuración de mis certificados".
- Nombre - Proporcione un nombre para el certificado.
- Información del asunto - Seleccione una de las radios opcionales y complete la información. El nombre común para el certificado puede ser una dirección IPv4, una dirección IPv6 (si la compatibilidad con IPv6 está habilitada), un nombre de dominio o una dirección de correo electrónico. (Para este ejemplo, estamos seleccionando "Nombre de dominio del host")
- Unidad de organización - Esta es una entrada opcional, se puede dejar en blanco. Un ejemplo para una unidad organizativa sería el departamento dentro de la empresa (e.g. envío, ventas, etc.).
- Organización - Esta es una entrada opcional, se puede dejar en blanco. Un ejemplo para una organización sería el nombre de la empresa..
- Población (Ciudad) - Esta es una entrada opcional, se puede dejar en blanco.
- Estado (Provincia) - Esta es una entrada opcional, se puede dejar en blanco.
- Country - Esta es una entrada opcional, se puede dejar en blanco.
- Tipo de clave: las opciones para el tipo de clave son RSA-SHA256, RSA-SHA512 y DSA-SHA256. (Para este ejemplo usaremos RSA-SHA256).
- Longitud de la clave - Opciones para la longitud de clave son 1024, 1536 y 2048. (Para este ejemplo vamos a utilizar 2048).
- Uso de clave extendida: indica el propósito del certificado generado. Los certificados generados por el dispositivo Zyxel se pueden usar para la autenticación del servidor, la autenticación del cliente y/o IKE. (Debido a que este ejemplo de certificado es para generar un nuevo certificado que se utilizará para acceder a la pantalla de configuración web del dispositivo Zyxel, el uso de la clave extendida del certificado se establecerá en "Autenticación del servidor")
- Opciones de registro - Seleccione "Crear un certificado autofirmado".
- Haga clic en OK para generar el nuevo certificado.
Ahora que se ha creado la CSR, haga doble clic en ella para abrir la solicitud. Desplácese hacia abajo por la ventana y copie el contenido del cuadro "Formato codificado del certificado PEM (Base-64)". Esto será necesario por la Autoridad de Certificación.
Acceda a su cuenta de autoridad de certificación para generar un certificado basado en el código CSR como se muestra en el siguiente ejemplo.
Una vez que la autoridad de certificación haya generado el certificado, descargue el certificado firmado utilizando uno de los formatos mencionados en la siguiente captura de pantalla.
Una vez que el certificado se haya importado al dispositivo Zyxel, vaya a Configuración() → Sistema → WWW para usar el certificado firmado para la autenticación de la pantalla de configuración web.
Certificado firmado obtenida de otras fuentes
Si tiene un certificado creado en una máquina diferente, Linux, Windows Server, autoridad de certificación en línea, etc. y desea importar el certificado al dispositivo ZLD, puede hacerlo creando un certificado PKCS12 (*.p12) archivo. Este tipo de certificado abarca el certificado + clave en el archivo. Para importar el certificado PKCS12, vaya al menú, Configuración() → Objeto → Certificado y desde la pestaña Mi certificado haga clic en el botón Importar. Seleccione la ruta del archivo "*.p12" y proporcione la contraseña del certificado para importar.
Para exportar el certificado como un archivo PKCS12 puede utilizar Microsoft Management Console en Windows o OpenSSL.
Consola de administración de Microsoft
- En MMC, haga doble clic en Certificados (equipo local) en la ventana central.
- Haga doble clic en la carpeta Personal y luego en Certificados.
- Haga clic con el botón derecho en el Certificado que desea respaldar y elija, Todas las tareas > Exportar.
- Siga el Asistente para exportación de certificados para hacer una copia de seguridad de su certificado en un archivo *.pfx.
- Elija 'Sí, exportar la clave privada'.
- Elija "Incluir todos los certificados en la ruta de certificación (si es posible)" (NO seleccione la opción Eliminar clave privada).
- Ingrese una contraseña que recordará.
- Elija guardar el archivo en una ubicación establecida.
- Haga clic en Finalizar.
- Recibirá un mensaje, "La exportación se realizó correctamente", haga clic en Aceptar. La copia de seguridad del archivo *.pfx ahora se guarda en la ubicación que seleccionó y está lista para ser movida o almacenada para su custodia.
- Cambie la extensión del archivo *.pfx a *.p12 antes de importar al dispositivo ZLD.
OpenSSL
Desde una ventana de Terminal/CLI/PowerShell, escriba el siguiente comando para crear el archivo PKCS12.
openssl pkcs12 -export -out cert.p12 -inkey private.key -in certificate.crt
(Nota: certfile es opcional, utilícelo si la CA incluyó un certificado root o ca-bundle)
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.