Administrar Certificados del Dispositivo (Web UI)

Puede utilizar Fireware Web UI para ver y administrar los certificados de su Firebox. Esto incluye lo siguiente:

  • Ver un listado de los certificados actuales del Firebox y sus propiedades
  • Actualizar certificados CA de Confianza
  • Eliminar un certificado del Firebox
  • Importar un certificado o lista de revocación de certificados (CRL)
  • Exportar un certificado para nueva firma o distribución
  • Crear una solicitud de firma de certificado (CSR)
  • Configurar el certificado del Servidor Web Firebox

Cuando importa, actualiza o elimina un certificado de un miembro FireCluster, el cambio se sincroniza automáticamente con los otros miembros FireCluster. No es necesario importar certificados separados para los miembros FireCluster.

Le recomendamos encarecidamente que no elimine los certificados CA públicos. Si elimina un certificado CA de confianza para proxies, es posible que algunos servicios de seguridad no funcionen.

Ver certificados

Para ver y administrar la lista actual de certificados, seleccione Sistema > Certificados.

Use la lista desplegable para filtrar la visualización según el tipo de certificado.

Screen shot of the Certificates page

La lista de Certificados incluye:

  • El estado del certificado
  • La fecha de importación del certificado
  • El tipo de certificado
  • El algoritmo usado por el certificado (EC, RSA o DSS)
  • El nombre del sujeto o identificador del certificado

Para ver un certificado, seleccione el certificado y haga clic en Detalles.

Screen shot of the certificate details page

Acerca del Estado del Certificado

Firmado — El certificado es válido y está disponible para su uso.

Revocado — El certificado ha sido revocado a través de la Lista de Revocación de Certificados (CRL) por la Autoridad de Certificación (CA) emisora antes de la fecha de vencimiento.

Vencido — El certificado ha vencido.

Aún no válido — La fecha de inicio de validez del certificado es futura y no coincide con la fecha y hora del Firebox.

Pendiente — Se ha creado la solicitud de firmas y autoridades del certificado. El certificado firmado coincidente debe cargarse para que este certificado esté listo para su uso.

Eliminar un Certificado

Cuando elimina un certificado, éste ya no se puede usar para la autenticación. Si elimina uno de los certificados generados automáticamente, como el certificado autofirmado que el proxy usa de manera predeterminada, su Firebox crea un nuevo certificado autofirmado para este fin la próxima vez que se reinicia. El dispositivo no crea un nuevo certificado autofirmado automáticamente si usted ha importado un certificado diferente.

El certificado de Autoridad Proxy no debe eliminarse y dejarse al Firebox sin certificado. Firebox automáticamente reemplaza el certificado faltante con uno predeterminado si se reinicia el dispositivo.

Si elimina un certificado CA de confianza para proxies, es posible que algunos servicios de seguridad no funcionen.

No puede eliminar un certificado del Firebox si se usa en la configuración del túnel IPSec de VPN de Sucursal (BOVPN).

Para eliminar un certificado del dispositivo:

  1. Seleccione Sistema > Certificados.
  2. Seleccione el certificado en el cuadro de diálogo Certificados.
  3. Haga clic en Eliminar.
    Se abre el cuadro de diálogo Eliminar Certificado.
  4. Haga clic en Aceptar.
    El Certificado se elimina.

Exportar un certificado

Puede exportar un certificado para ser firmado nuevamente por una CA de confianza, o para distribución a clientes en su red. El certificado es guardado en formato PEM.

  1. Seleccione Sistema > Certificados.
  2. Seleccione un certificado y haga clic en Exportar.

Actualizar Certificados CA de Confianza

Su Firebox puede obtener automáticamente versiones nuevas de los certificados CA de confianza almacenados en el Firebox e instalar automáticamente los certificados nuevos. Esta actualización asegura que todos los certificados CA en su Firebox cuenten con la versión más reciente. Todos los certificados expirados se actualizan, y se agregan nuevos certificados CA de confianza a su Firebox. Los certificados actualizados se descargan de un servidor de WatchGuard seguro. El Firebox busca actualizaciones cada 48 horas.

Screen shot of the Trusted Certificate Authorities page

  1. Seleccione Sistema > Certificados.
  2. Marque la casilla de selección Habilitar actualizaciones automáticas de certificados CA.
  3. Haga clic en Actualizar Certificados CA de Confianza para actualizar de inmediato sus certificados CA de confianza. Puede seleccionar entre estas opciones:

Screen shot of the Update Trusted CA page

  • Descargar las últimas versiones de los certificados CA de Confianza
  • Agregar otro certificado CA de Confianza (Base64 PEM)

Importar un Certificado

Puede importar un certificado desde el portapapeles de Windows o desde un archivo en su equipo local. Los certificados deben estar en formato Base64 PEM codificados o en archivo de formato PFX.

Antes de importar un certificado para usarlo con la característica de inspección de contenido de proxy, debe importar cada certificado anterior en la cadena de confianza del tipo Uso General. Comience con el certificado CA raíz y continúe con el certificado final en la cadena de confianza, en ese orden.

Para importar un certificado CA para que su Firebox lo utilice para validar otros certificados cuando estos se importan y se crea una cadena de confianza, asegúrese de seleccionar la categoría Uso General al importar el certificado CA y no incluya la llave privada.

Acerca de los Archivos PFX

Un paquete de certificados PFX contiene todos los certificados requeridos y una llave privada, y se sube como archivo individual.

Para usar un paquete PFX para inspección de contenido HTTPS, debe tener dos archivos PFX:

  • El primer archivo PFX de autoridad proxy debe tener al certificado CA raíz que emitió el certificado de autoridad proxy, y el certificado de autoridad proxy con su llave privada.
  • El segundo archivo PFX del servidor proxy debe tener el certificado CA raíz que emitió el certificado del servidor proxy, así como el certificado del servidor proxy con su llave privada.

Acerca de las Funciones del Certificado

Uso General — Seleccione esta opción para certificados CA raíz o intermedios, túnel VPN, servidor web u otros certificados.

Autoridad Proxy(firmar nuevamente un certificado CA para la inspección de contenido de salida) — Seleccione esta opción si el certificado es para una política de proxy que maneja el tráfico de la web que los usuarios solicitan en redes de confianza u opcionales de un servidor web en una red externa. Un certificado importado con esa finalidad debe ser un certificado CA. Antes de importar el certificado CA que se utiliza para volver a cifrar tráfico con un proxy, asegúrese de que el certificado CA que se utiliza para firmar este certificado haya sido importado con la categoría Uso General.

Servidor Proxy(certificado del servidor para inspección de contenido entrante) — Seleccione esta opción si el certificado es para una política de proxy que maneja tráfico en la web que los usuarios solicitan en una red externa de un servidor web protegido por el Firebox. Antes de importar el certificado del servidor proxy que se utiliza para volver a cifrar tráfico de un servidor web, asegúrese de que se haya importado el certificado CA que se utiliza para firmar este certificado con la categoría Uso General.

Para más información, consulte Acerca de los Certificados, Usar Certificados con Inspección de Contenido de Proxy HTTPS y Proxy SMTP: Encryption (Cifrado) STARTTLS.

Importar Certificado con Fireware Web UI

  1. Seleccione Sistema > Certificados.
    Se abre la página Certificados.
  2. Haga clic en Importar Certificado.
    Se abre el asistente Import Certificate Wizard.

Screen shot of the Certificate Import Wizard start page

  1. Haga clic en Siguiente.
  2. En la página Función de Certificado, seleccione la función prevista para el certificado.

Screen shot of the Certificate Import Wizard certificate function page

  1. Si seleccionó Servidor Proxy:

    • Para hacer que este sea el certificado de Servidor Proxy predeterminado, marque la casilla de selección Importar como Servidor Proxy predeterminado. Esto eliminará la opción de especificar un Nombre de Visualización de Certificado.
    • Escriba el nombre del certificado en el cuadro de texto Nombre de Visualización del Certificado, puede especificar un nombre que le ayude a identificar este certificado. Si el nombre del certificado ya existe y desea sobrescribir el certificado actual, marque la casilla de selección Sobrescribir si el certificado ya existe.

Screen shot of the Certificate Import Wizard proxy server page

  1. Haga clic en Siguiente.
  2. En la página Tipo de Importación, seleccione Certificado Base64 (PEM) o Archivo PFX como tipo de certificado.

Screen shot of the Certificate Import Wizard certificate type page

  1. Si seleccionó Certificado Base64 (PEM), puede hacer clic en Explorar para seleccionar y cargar el certificado desde un archivo, o copiar y pegar el contenido del certificado PEM en el cuadro de texto. Si el certificado incluye una clave privada, ingrese la contraseña para descifrar la clave.

Screen shot of the Certificate Import Wizard import Base64 PEM page

Si seleccionó Archivo PFX, ingrese la Contraseña del Archivo PFX y haga clic en Explorar para seleccionar el archivo PFX que desea subir.

Screen shot of the Certificate Import Wizard import PFX file page

  1. Haga clic en Siguiente.
    Se agrega el certificado al Firebox.

Screen shot of the Certificate Import Wizard finished page

  1. Haga clic en Finalizar.
  1. Siga los pasos para la solicitud de firma de un certificado que se describen en Crear un Certificado CSR.
  2. En la última página del asistente, haga clic en Finalizar e Importar.
    Se abre la página Importar Certificado.
  3. Seleccione la opción que coincida con la función del certificado:

Screen shot of the import certificate dialog box

  1. Si seleccionó Servidor Proxy:

    • Para hacer que este sea el certificado de Servidor Proxy predeterminado, marque la casilla de selección Importar como Servidor Proxy predeterminado. Esto eliminará la opción de especificar un Nombre de Visualización de Certificado.
    • Escriba el nombre del certificado en el cuadro de texto Nombre de Visualización del Certificado, puede especificar un nombre que le ayude a identificar este certificado. Si el nombre del certificado ya existe y desea sobrescribir el certificado actual, marque la casilla de selección Sobrescribir si el certificado ya existe.

  1. En la lista desplegable Tipo de Certificado, seleccione Certificado Base64 (PEM) o Archivo tipo PFX.

 

Si seleccionó Certificado Base64 (PEM), puede cargar el certificado desde un archivo, o bien copiar y pegar el contenido del certificado PEM en el cuadro de texto. Si el certificado incluye una clave privada, ingrese la contraseña para descifrar la clave.

Si seleccionó Archivo PFX, ingrese la Contraseña del Archivo PFX y haga clic en Elegir Archivo para seleccionar el archivo PFX que desea subir.

Screen shot of the PFX file import options

  1. Haga clic en Aceptar.
    Se agrega el certificado al Firebox.

Importar un CRL

Puede importar una Lista de Revocación de Certificados (CRL) que haya descargado anteriormente desde su computadora local. Las CRL se usan solo para verificar el estado de los certificados usados para la autenticación VPN. Los certificados deben estar en formato PEM (Base64) codificados.

  1. Seleccione Sistema > Certificados.
  2. Haga clic en la pestaña Importar una CRL.

Screen shot of import CRL page

  1. Haga clic en Buscar y ubique el archivo.
  2. Haga clic en Importar.
    Se abre el cuadro de diálogo Importar una CRL.
  3. Haga clic en Aceptar.
    La CRL especificada está incluida a la CRL en su dispositivo.

Crear una Solicitud de Firma de Certificado (CSR)

Puede crear una solicitud de firma de certificado (CSR) desde su Firebox con Fireware Web UI o Firebox System Manager (FSM). Para crear un certificado autofirmado, usted agrega una parte de un par de claves criptográficas en una CSR y envía la solicitud a una CA (Autoridad de Certificación). La CA emite un certificado después de recibir la CSR y verificar su identidad.

Para obtener más información sobre cómo crear una solicitud de firma de certificación, consulte Crear un Certificado CSR.

Configurar el Certificado del Servidor Web Firebox

El Firebox usa un certificado de Servidor Web predeterminado para las conexiones de usuario al Firebox, como las conexiones de administración.

Cuando los usuarios se conectan a su Firebox con un explorador web, generalmente ven una advertencia de seguridad. Ese alerta aparece porque el certificado predeterminado no es de confianza o porque el certificado no coincide con la dirección IP o nombre de dominio usado para la autenticación. Para configurar el certificado del Servidor Web Firebox, consulte Configurar el Certificado del Servidor Web para la Autenticación de Firebox.

También puede usar un certificado autofirmado o de terceros que coincida con la dirección IP o nombre de dominio para la autenticación de usuarios. Debe importar ese certificado en cada dispositivo o explorador cliente para evitar los alertas de seguridad. Para obtener más información sobre cómo importar e instalar un certificado de terceros del Servidor Web, consulte Importar e Instalar un Certificado de Servidor Web de Terceros.

Ver También

Acerca de los Certificados

Configurar el Certificado del Servidor Web para la Autenticación de Firebox

Certificados para la Autenticación del Túnel de Mobile VPN with IPSec (Web UI)

Certificados para Autenticación de Túnel VPN de Sucursal (BOVPN)