En el Firebox System Manager, se puede:
- Ver un listado de los certificados actuales del Firebox y sus propiedades
- Actualizar los certificados CA de confianza
- Eliminar un certificado del dispositivo
- Exportar un certificado para nueva firma o distribución
- Importar un certificado o lista de revocación de certificados (CRL)
Cuando importa, actualiza o elimina un certificado de un miembro FireCluster, el cambio se sincroniza automáticamente con los otros miembros FireCluster. No es necesario importar certificados separados para los miembros FireCluster.
Le recomendamos encarecidamente que no elimine los certificados CA públicos. Si elimina un certificado CA de confianza para proxies, es posible que algunos servicios de seguridad no funcionen.
Ver certificados
Para ver el listado actual de certificados:
- Abra el Firebox System Manager.
- Seleccione Ver > Certificados.
Se abre el cuadro de diálogo Certificados.
En ese cuadro de diálogo, puede ver una lista de todos los certificados y solicitudes de firma de certificado (CSR). El listado incluye:
- El estado y tipo del certificado
- El algoritmo usado por el certificado (EC, RSA o DSA)
- El nombre del sujeto o identificador del certificado
Para filtrar la visualización en función del tipo de certificado, haga clic en la lista desplegable Mostrar. Para ordenar la lista, haga clic en cualquier encabezado de columna.
- Para ver información adicional acerca de un certificado en la lista, seleccione el certificado y haga clic en Detalles.
Se abre el cuadro de diálogo Detalles del Certificado. Puede ver qué CA firmó el certificado y la huella digital del certificado. Puede usar esta información para resolver problemas o identificar los certificados de manera única.
Acerca del Estado del Certificado
Firmado — El certificado es válido y está disponible para su uso.
Revocado — El certificado ha sido revocado a través de la Lista de Revocación de Certificados (CRL) por la Autoridad de Certificación (CA) emisora antes de la fecha de vencimiento.
Vencido — El certificado ha vencido.
Aún no válido — La fecha de inicio de validez del certificado es futura y no coincide con la fecha y hora del Firebox.
Pendiente — Se ha creado la solicitud de firmas y autoridades del certificado. El certificado firmado coincidente debe cargarse para que este certificado esté listo para su uso.
Actualizar Certificados CA de Confianza
Su Firebox puede obtener automáticamente versiones nuevas de los certificados CA de confianza almacenados en el Firebox e instalar automáticamente los certificados nuevos. Esta actualización asegura que todos los certificados CA en su Firebox cuenten con la versión más reciente. Todos los certificados expirados se actualizan, y se agregan nuevos certificados CA de confianza a su dispositivo. Los certificados actualizados se descargan de un servidor de WatchGuard seguro. El Firebox busca actualizaciones cada 48 horas.
Para habilitar las actualizaciones automáticas:
- Abra Policy Manager y luego seleccione Configuración > Certificados.
- Marque la casilla de selección Habilitar actualizaciones automáticas de certificados CA de confianza.
- Haga clic en Aceptar.
Eliminar un Certificado
Cuando elimina un certificado, éste ya no puede ser usado para autenticación. Si elimina uno de los certificados generados automáticamente, como el certificado autofirmado que el proxy usa de manera predeterminada, su Firebox crea un nuevo certificado autofirmado para este propósito la siguiente vez que se reinicia o cuando utiliza el comando de certificado de actualización en la CLI (Command Line Interface). El Firebox no crea un nuevo certificado autofirmado automáticamente si usted ha importado un certificado diferente.
El tráfico fallará si se eliminan ciertos certificados, como los certificados de la Autoridad Proxy o del Servidor Proxy, sin un reemplazo. Si elimina un certificado CA de confianza para proxies, es posible que algunos servicios de seguridad no funcionen. Una buena práctica es agregar el nuevo certificado antes de eliminar el antiguo.
No puede eliminar un certificado del Firebox si se usa en la configuración del túnel IPSec de VPN de Sucursal (BOVPN).
- Seleccione el certificado en el cuadro de diálogo Certificados.
- Haga clic en Eliminar.
Se abre el cuadro de diálogo Eliminar Certificado. - En los cuadros de texto Nombre de Usuario y Contraseña, ingrese las credenciales para una cuenta de usuario con privilegios de Administrador de Dispositivos (lectura/escritura).
- Haga clic en Aceptar.
El Certificado se elimina.
Importar un CRL
Puede importar una Lista de Revocación de Certificados (CRL) que haya descargado anteriormente desde su computadora local. Las CRL se usan solo para verificar el estado de los certificados usados para la autenticación VPN. Los certificados deben estar en formato PEM (base64) codificados.
- Haga clic en la pestaña Importar una CRL.
- Haga clic en Buscar, ubique el archivo y luego haga clic en Aceptar.
- En los cuadros de texto Nombre de Usuario y Contraseña, ingrese las credenciales para una cuenta de usuario con privilegios de Administrador de Dispositivos (lectura/escritura).
- Haga clic en Aceptar.
La CRL especificada está incluida a la CRL en su dispositivo.
Importar un Certificado
Puede importar un certificado desde el portapapeles de Windows o desde un archivo en su computadora local. Los certificados deben estar en formato Base64 PEM codificados o en archivo de formato PFX.
En Fireware v12.2.1 o inferior, antes de importar un certificado para usarlo con la característica de inspección de contenido de proxy, debe importar cada certificado anterior en la cadena de confianza del tipo Uso General. Comience con el certificado CA raíz y continúe con los certificados CA intermedios.
Acerca de los Archivos PFX
Un archivo PFX es un archivo de paquete de certificados protegido con contraseña que contiene toda la cadena de certificados y la llave privada correspondiente. Un paquete PFX contiene todos los certificados necesarios y se carga como un solo archivo.
Acerca de las Funciones del Certificado
Uso General — Seleccione esta opción para certificados CA raíz o intermedios, túnel VPN, servidor web u otros certificados.
Autoridad Proxy (volver a firmar el certificado CA para la inspección de contenido saliente) — Seleccione esta opción si el certificado es para volver a firmar el certificado CA para la inspección de contenido saliente.
Servidor Proxy(certificado de servidor web para la inspección de contenido entrante) — Seleccione esta opción si el certificado es para un certificado de servidor para la inspección de contenido entrante.
Para más información, consulte Acerca de los Certificados y Usar Certificados con Inspección de Contenido de Proxy HTTPS.
Importar un Certificado con Firebox System Manager
- Abra el Firebox System Manager.
- Seleccione Ver > Certificados.
Se abre el cuadro de diálogo Certificados. - Haga clic en Importar Certificado.
Se abre el asistente Certificate Import Wizard.
- Haga clic en Siguiente.
- En la página Función de Certificado, seleccione la opción que coincida con la función del certificado:
- Si seleccionó Servidor Proxy:
- Para hacer que este sea el certificado de Servidor Proxy predeterminado, marque la casilla de selección Importar como Servidor Proxy predeterminado. Esto eliminará la opción de especificar un Nombre de Visualización de Certificado.
Si está importando un certificado para la inspección de contenido SMTP entrante, debe cargarse como certificado predeterminado.
- Escriba el nombre del certificado en el cuadro de texto Nombre de Visualización del Certificado, puede especificar un nombre que le ayude a identificar este certificado. Si el nombre del certificado ya existe y desea sobrescribir el certificado actual, marque la casilla de selección Sobrescribir si el certificado ya existe.
- Haga clic en Siguiente.
- En la página Tipo de Certificado, seleccione Certificado Base64 (PEM) o Archivo PFX como tipo de certificado.
Si seleccionó Certificado Base64 (PEM), puede hacer clic en Explorar y luego seleccionar y cargar el certificado desde un archivo, o bien copiar y pegar el contenido del certificado PEM en el cuadro de texto.
Si seleccionó Archivo PFX, ingrese la Contraseña del Archivo PFX y haga clic en Elegir Archivo para seleccionar el archivo PFX que desea subir.
- Haga clic en Siguiente.
Se agrega el certificado al Firebox.
- Haga clic en Finalizar.
En Fireware v12.2 o inferior, haga clic en Importar Certificado en el cuadro de diálogo Fireware System Manager > Certificados y comience con el Paso 5.
- Abra el Firebox System Manager.
- Seleccione Ver > Certificados.
Se abre el cuadro de diálogo Certificados. - Siga los pasos para la solicitud de firma de un certificado que se describen en Crear un Certificado CSR.
- En la última página del asistente, haga clic en Importar Ahora.
Se abre el cuadro de diálogo Importar Certificado.
- Seleccione la opción que coincida con la función del certificado:
- Si seleccionó Servidor Proxy:
- Para hacer que este sea el certificado de Servidor Proxy predeterminado, marque la casilla de selección Importar como Servidor Proxy predeterminado. Esto eliminará la opción de especificar un Nombre de Visualización de Certificado.
- Escriba el nombre del certificado en el cuadro de texto Nombre de Visualización del Certificado, puede especificar un nombre que le ayude a identificar este certificado. Si el nombre del certificado ya existe y desea sobrescribir el certificado actual, marque la casilla de selección Sobrescribir si el certificado ya existe.
- En la lista desplegable Tipo de Certificado, seleccione Certificado Base64 (PEM) o Archivo tipo PFX.
- Si seleccionó Certificado Base64 (PEM), puede cargar el certificado desde un archivo, o bien copiar y pegar el contenido del certificado PEM en el cuadro de texto.
Si seleccionó Archivo PFX, ingrese la Contraseña del Archivo PFX y haga clic en Elegir Archivo para seleccionar el archivo PFX que desea subir.
- Haga clic en Importar Certificado.
Se agrega el certificado al Firebox.