Dell Encryption User Manual [es]

Download

Page 1

Dell Data Protection

Guía de configuración

Page 2

____________________

Marcas comerciales utilizadas en el conjunto de documentos de DDP|E, DDP|ST y DDP|CE: Dell™ y su logotipo, DellPrecision™, OptiPlex™, ControlVault™, Latitude™, XPS

y Xeon

son marcas de IntelCorporation en EstadosUnidos y otros países. Adobe®, Acrobat® y Flash® son marcas de AdobeSystemsIncorporated. AuthenTec Microsoft Access SQLServer

, Windows®, y WindowsServer®, InternetExplorer®, MS-DOS®, WindowsVista®, MSN®, ActiveX®, ActiveDirectory®,

, ActiveSync®, BitLocker®, BitLockerTo Go®, Excel®, Hyper-V®, Silverlight®, Outlook®, PowerPoint®, Skydrive®,

® y

Visual C++® son marcas de MicrosoftCorporation en EstadosUnidos u otros países. VMware® es marca de VMware,Inc. en EstadosUnidos u otros países. Box Android™, Google™Chrome™, Gmail™, YouTube

Apple

, Aperture®, AppStoreSM, AppleRemoteDesktop™, AppleTV®, BootCamp™, FileVault™, iCloud

iPhoto u otros países. GOID GuidanceSoftware. Entrust

, iTunesMusicStore®, Macintosh®, Safari® y Siri® son marcas, algunas de ellas de servicios, de Apple,Inc. en EstadosUnidos

, RSA® y SecurID® son marcas de EMCCorporation. EnCase™ y GuidanceSoftware® son marcas de

es mar ca d e En trus t®,Inc. en EstadosUnidos y otros países. InstallShield® es mar ca d e Fl exera Software en EstadosUnidos, China, UniónEuropea, HongKong, Japón, Taiwán y ReinoUnido. Micron MicronTechnology,Inc. en EstadosUnidos y otros países. Mozilla otros países. iOS

se utiliza con licencia y es marca de CiscoSystems,Inc. en EstadosUnidos y otros países. Oracle® y Java® son marcas de Oracle o sus filiales. Los demás nombres utilizados pueden ser marcas de sus respectivos titulare s. S AM S UN G™ e s m a rc a d e SA M SUNG en EstadosUnidos u otros países. Seagate marca de HGST,Inc. en EstadosUnidos y otros países. UNIX Va li d i ty Sensors,Inc. en EstadosUnidos y otros países. VeriSign o compañías controladas, en EstadosUnidos y otros países, y cuentan con licencia a favor de SymantecCorporation. KVMonIP marca de VideoProducts. Yahoo!

es marca deYahoo!Inc.

Este producto utiliza partes del programa 7-Zip. El código fuente puede consultarse en las restricciones de licencia GNU LGPL y unRAR (

2014-02

Protegido por una o varias patentes de Estados Unidos, entre otras: Número 7665125; Número 7437752; y Número 7665118.

La información en este documento está sujeta a cambios sin aviso previo.

y KA CE ™ s on m a rc as de Del l, Inc. Intel®, Pentium®, IntelCoreInsideDuo®, Itanium®

y Eikon® son marcas de AuthenTec. A M D® es marca de AdvancedMicroDevices,Inc.

es marca deBox. DropboxSM es marca de servicios de Dropbox,Inc. Google™,

y Google™Play son marcas de Google,Inc. en EstadosUnidos y otros países.

Firefox® es marca de MozillaFoundation en EstadosUnidos u

es marca de SeagateTechnology,LLC en EstadosUnidos u otros países. Travelstar® es

es marca de TheOpenGroup. VALIDITY™ es marca de

y los nombres relacionados son marcas de VeriSign,Inc. o sus filiales

www.7-zip.org

www.7-zip.org/license.txt

y RealSSD® son marcas de

. La licencia se encuentra sujeta a

, iPad®, iPhone®,

Page 3

Contenido

1 Configuración de Compatibility Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

server_config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Habilitar el formato dominio/nombre de usuario

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

run-service.conf

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2 Configuración de Core Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Cambio del arbitraje de políticas, de La más segura a La menos segura. . . . . . . . . . . . . . . . . . . 13

PolicyService.config

Deshabilitar los servicios web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Habilitación del servidor SMTP para el envío de notificaciones de licencia por correo electrónico

NotificationObjects.config

Notification.config

Agregar la ubicación de la carpeta de Compatibility Server  al archivo de configuración de Core Server

Permitir que Core Server utilice un proceso de iteración para los métodos de autenticación

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

. . . . 14

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

. . . . . . . 15

3 Configuración de Device Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

eserver.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

run-service.conf

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

4 Configuración de Security Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

context.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

5 Configuración de las funciones de encriptación. . . . . . . . . . . . . . . . . . . . . 21

Prevención de la eliminación de archivos temporales . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Ocultar iconos superpuestos

Ocultar el icono de la bandeja del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Guía de configuración 3

Page 4

Activación escalonada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Sondeo forzado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Opciones de inventario

Activaciones fuera del dominio

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

6 Configuración de los componentes a fin de utilizarlos con la

autenticación/autorización Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Configuración de los componentes a fin de utilizarlos con la autenticación/autorización Kerberos . . . . 25

Instrucciones del Servicio de Windows

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Instrucciones del archivo de configuración de Key Server. . . . . . . . . . . . . . . . . . . . . . . . . . 25

Ejemplo de archivo de configuración:

Instrucciones del Servicio de Windows

Instrucciones de la Consola de Administración Remota

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

. . . . . . . . . . . . . . . . . . . . . . . . . . . 27

7 Asignar función de administrador forense . . . . . . . . . . . . . . . . . . . . . . . . . 29

Instrucciones de la Consola de Administración Remota . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Deshabilitar autorización forense

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

8 Expresiones cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Introducción a las expresiones cron. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Formatos de las expresiones cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Caracteres especiales

Ejemplos

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

9 Creación de un certificado autofirmado con Keytool 

y generación de una solicitud de firma de certificado

Generación de un nuevo par de claves y un certificado autofirmado . . . . . . . . . . . . . . . . . . . . 35

Solicitud de certificado firmado a una Autoridad de certificación. . . . . . . . . . . . . . . . . . . . . . 36

Importación de un certificado raíz

Ejemplo de un método para solicitar un certificado

4 Guía de configuración

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

. . . . . . . . . . . . . . . . . 35

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Page 5

Configuración de Compatibility Server

Este capítulo explica en detalle los parámetros que se pueden modificar a fin de ajustar el servidor Compatibility Server a su sistema. Siempre haga una copia de seguridad de los archivos de configuración antes de modificarlos.

En estos archivos cambie solo parámetros documentados. Si se cambia algún otro dato de estos archivos, incluso las etiquetas, el sistema podría dañarse y presentar fallas. Dell no puede garantizar que los problemas derivados de modificaciones no autorizadas de estos archivos se puedan resolver sin reinstalar Compatibility Server.

server_config.xml

Se pueden cambiar algunos de los parámetros indicados a continuación, en el archivo <Directorio de instalación de Compatibility Server>\conf\server_config.xml. Los parámetros que no se deben modificar están señalados como tales. Si Compatibility Server se está ejecutando, se debe detener el servicio Compatibility Server Service, modificar el archivo server_config.xml y luego reiniciar el servicio Compatibility Server Service para que las modificaciones realizadas tengan efecto.

server_config.xml

Parámetro Valor predeterminado Descripción

secrets.location $dell.home$/conf/secretKeyStore Ubicación predeterminada del archivo "secretkeystore".

Actualice este parámetro si mueve este archivo de su ubicación predeterminada.

archive.location $dell.home$/conf/archive Ubicación predeterminada del archivo "archive".

Actualice este parámetro si mueve este archivo de su ubicación predeterminada.

domain.qualified.authentication true Indica si se requiere de un nombre de usuario de inicio

de sesión para hacer solicitudes al Servidor.

Si se modifica ese valor, se debe reiniciar el servidor Device Server para que la modificación realizada tenga efecto.

directory.max.search.size 1000 Límite de las

ese valor se inicia una excepción.

directory.server.search.timeout.seconds 60 Tiempo de espera del servidor de las búsquedas LDAP,

en segundos.

directory.client.search.timeout 60 Tiempo de espera del cliente de las búsquedas LDAP,

en segundos.

búsquedas

en directorios; por encima de



Guía de configuración 5

Page 6

server_config.xml

Parámetro Valor predeterminado Descripción

rmi.recovery.host Para utilizar la recuperación de EMS en diversos

servidores: <!--

- quite la marca de comentario y modifique los nombres de host a sus nombres de dominio completamente autorizados para realizar una recuperación en cadena <property name="rmi.recovery.host"> <value>rmi://foo.fabrikam.com:1099</value> </property> <property name="rmi.recovery.host"> <value>rmi://foo.fabrikam2.com:1099</value> </property>

-->

default.gatekeeper.group.remote CMGREMOTE El nombre predeterminado del grupo al que

pertenecen, como opción predeterminada, todos los proxy de políticas. Este nombre se puede modificar aquí, y también en el archivo "context.properties" del Device Server.

Si se cambia el nombre del grupo aquí, también hay que cambiarlo en el Device Server, si usted planea:

• Habilitar Shield para dispositivos Windows

• Utilizar CREDActivate

Recomendamos que todos los proxy de políticas pertenezcan al mismo grupo.

rsa.securid.enabled false Si en su sistema está utilizando RSA SecurID para

Microsoft Windows versión 6 como reemplazo de GINA, establezca este campo a "true" (verdadero), y luego detenga y reinicie el servicio Compatibility Server Service.

Cuando los usuarios de Shield se activan en un entorno en el que se reemplazó RSA GINA, la autenticación RSA reemplaza a la autenticación LDAP.

inv.queue.task.worker.size 10 Cantidad de subprocesos que procesan la cola de

inventario.

inv.queue.task.timeout.seconds 900 Cantidad de segundos antes de que se produzca el

vencimiento del tiempo de espera.

inv.queue.task.retry.count 3 Cantidad de veces que el servidor intenta procesar el

inventario antes de descartarlo.

report.retry.max 120 Cantidad máxima de reintentos.

report.retry.wait.millis 250 Cantidad de milisegundos de espera entre un reintento

y otro.

6 Guía de configuración

Page 7

server_config.xml

Parámetro Valor predeterminado Descripción

triage.execute.time 0 0 0/6 * * Se denomina triage al proceso de reconciliar a los

usuarios y a los grupos que ya el servidor conoce.

La configuración predeterminada es 0 0 0/6 * * ?, que significa que se hace triage cada 6 horas a partir de medianoche (medianoche, 6 AM, mediodía, 6 PM, medianoche...)

gatekeeper.service.max.sessions 5 Cantidad máxima de sesiones del servidor Policy Proxy

de políticas.

gatekeeper.service.max.session.timeout 5 Tiempo de espera de la cantidad máxima de las

sesiones del Policy Proxy.

security.authorization.method.IAdministrat iveService.updateAdminRoles

security.authorization.method.IAdministrati veService.getAdministrativeAccountGroups

security.authorization.method.IAdministrat iveService.openGetLogsSession

security.authorization.method.IAdministrat iveService.getLogs

security.authorization.method.IAdministrat iveService.getLogColumnList

security.authorization.method.IAdministrat iveService.getLogCategoryList

security.authorization.method.IAdministrat iveService.getLogPriorityList

security.authorization.method.IAdministrat iveService.getUniqueIdName

security.authorization.method.IAdministrat iveService.getAdministrators

security.authorization.method.IAdministrat iveService.setSuperAdminPassword

security.authorization.method.IAdministrat iveService.resetSuperAdminPassword

security.authorization.method.IAdministrat iveService.addDomain

security.authorization.method.IAdministrat iveService.removeDomain

security.authorization.method.IAdministrat iveService.updateDomain

security.authorization.method.IAdministrat iveService.addGroups

security.authorization.method.IAdministrat iveService.removeGroup

AcctAdmin,SecAdmin,HelpDesk

AcctAdmin Función necesaria para actualizar las funciones

administrativas de grupos y usuarios.

AcctAdmin Función necesaria para actualizar las funciones

administrativas de grupos y usuarios

SystemAdmin,LogAdmin Funciones necesarias para recuperar las sesiones de los

registros.

SystemAdmin,LogAdmin Funciones necesarias para recuperar los registros.

SystemAdmin,LogAdmin Funciones necesarias para recuperar la lista de

columnas de los registros.

SystemAdmin,LogAdmin Funciones necesarias para recuperar la lista de

categorías de los registros.

SystemAdmin,LogAdmin Funciones necesarias para recuperar la lista de

prioridades de los registros.

Funciones necesarias para recuperar los nombres ID

Admin,SystemAdmin

AcctAdmin Función necesaria para recuperar la lista de

SuperAdmin Función necesaria para configurar la contraseña del

SecAdmin Función necesaria para restablecer la contraseña del

SystemAdmin,SecAdmin Funciones necesarias para agregar dominios.

SystemAdmin,SecAdmin Funciones necesarias para quitar dominios.

SystemAdmin,SecAdmin Funciones necesarias para actualizar dominios.

SystemAdmin,SecAdmin Funciones necesarias para agregar grupos.

SystemAdmin,SecAdmin Funciones necesarias para quitar grupos.

únicos.

administradores del sistema.

superadministrador.

Guía de configuración 7

Page 8

server_config.xml

Parámetro Valor predeterminado Descripción

security.authorization.method.IAdministrat iveService.findLdapGroups

security.authorization.method.IAdministrat iveService.findLdapUsers

security.authorization.method.IAdministrat iveService.addUsers

security.authorization.method.IAdministrat iveService.addLicense

security.authorization.method.IAdministrat iveService.getLicense

security.authorization.method.IDeviceMan ager.recoverDevice

security.authorization.method.IDeviceMan ager.isUserSuspended

security.authorization.method.DeviceMana gerService.proxyActivate

security.authorization.method.DeviceMana gerService.proxiedDeviceManualAuth

security.authorization.method.IFileManage r.getGatekeeperResource

security.authorization.method.IFileManage r.approveGatekeeperResource

security.authorization.method.IFileManage r.approveGatekeeperConfig

policy.arbiter.security.mode most-restrictive Esta propiedad controla el modo de funcionamiento

policy.set.synchronization.sync-unmodified true Este indicador señala que se debe agregar o reasignar, en

db.schema.version.major Esquema principal de la base de datos.

db.schema.version.minor Esquema secundario de la base de datos.

SystemAdmin,SecAdmin Funciones necesarias para encontrar grupos LDAP.

SystemAdmin,SecAdmin Funciones necesarias para encontrar usuarios LDAP.

SystemAdmin,SecAdmin Funciones necesarias para agregar usuarios.

SystemAdmin Función necesaria para agregar licencias Enterprise.

SystemAdmin Función necesaria para ver la licencia Enterprise.

HelpDeskAdmin,SecAdmin Funciones necesarias para recuperar dispositivos.

HelpDeskAdmin,SecAdmin Funciones necesarias para suspender usuarios.

SecAdmin Funciones necesarias para activar dispositivos por

proxy.

HelpDeskAdmin,SecAdmin Funciones necesarias para recuperar dispositivos

manualmente por proxy.

SystemAdmin Función necesaria para recuperar el recurso de archivos

de Gatekeeper.

SystemAdmin Función necesaria para aprobar el recurso de archivos

de Gatekeeper.

SystemAdmin Funciones necesarias para aprobar la configuración de

Gatekeeper.

del algoritmo de asignación (mapeo) de políticas de los elementos de políticas, que tienen una preferencia de seguridad cuando la política tenga múltiples nodos padre.

Va lo re s :

Least-restrictive (la menos restrictiva) - se utiliza el valor del elemento menos restrictivo del padre

Most-restrictive (la más restrictiva) - se utiliza el valor del elemento más restrictivo del padre

la próxima sincronización externa, todos los elementos de política, sin configurar el indicador modificado a "true" (verdadero). En cada sincronización se alterna el valor de este indicador, de modo que es necesario reiniciarlo si el administrador de seguridad quiere agregar sin modificaciones. Esta es una opción avanzada.

8 Guía de configuración

Page 9

server_config.xml

Parámetro Valor predeterminado Descripción

db.schema.version.patch Versión de la revisión del esquema de la base de datos.

dao.db.driver.dir $dell.home$/lib/mssql-microsoft Ubicación predeterminada del controlador de la base

de datos. Actualice este parámetro si mueve este archivo de su ubicación predeterminada.

dao.db.host El nombre de host de su servidor de base de datos.

Este parámetro se cambia mediante la herramienta de configuración.

dao.db.name El nombre de su base de datos.

Este parámetro se cambia mediante la herramienta de configuración.

dao.db.user El nombre de usuario que tiene acceso completo a la

base de datos.

Este parámetro se cambia mediante la herramienta de configuración.

dao.db.password La contraseña del nombre de usuario que tiene acceso

completo a la base de datos.

Este parámetro se cambia mediante la herramienta de configuración.

dao.db.max.retry.count 10 La cantidad máxima de veces que Compatibility

Server intenta reconectarse a SQL Server cuando ocurre un error especificado de socket.

dao.db.connection.retry.wait.seconds 5 El primer intento de reconexión ocurre de inmediato.

El segundo intento ocurre luego de la cantidad especificada de segundos. El tercer intento ocurre luego de la cantidad especificada de segundos multiplicada por dos, el cuarto en la cantidad multiplicada por tres y así sucesivamente.

dao.connection.pool.max.uses 10000 Permite el retiro de conexiones, el valor "0" indica que

no se retiren.

dao.connection.pool.inactive.threshold.seconds 900 Se utiliza para determinar si no se ha utilizado una

conexión, y por lo tanto se puede cerrar.

dao.db.driver.socket.errors 0 Compatibility Server intenta reconectarse a SQL

Server cuando ocurren los errores que corresponden a los códigos que se encuentran en esta lista, separados por comas. "0" es el código de error de los errores de socket de Microsoft SQL Server. También se puede agregar a la lista el código 17142 que corresponde a errores del servidor en pausa, y el 6002 que corresponde a errores de servidor cerrando.

dao.db.mssql.compatability.level 90 Valor correspondiente a SQL Server 2005 o posterior.

vfs.file.handler.auth com.credant.guardian.server.vfs.

AuthFileHandler

vfs.file.handler.inventory com.credant.guardian.server.vfs.I

nventoryFileHandler

Controlador del archivo de autorizaciones.

Controlador del archivo de inventarios.

Guía de configuración 9

Page 10

server_config.xml

Parámetro Valor predeterminado Descripción

vfs.file.handler.event com.credant.guardian.server.vfs.

EventFileHandler

gatekeeper.resource $dell.home$/conf/gkresource.xml Actualice este parámetro si mueve el archivo de

gatekeeper.config $dell.home$/conf/gkconfig.xml Actualice este parámetro si mueve el archivo de

rmi.server.registry.host localhost La propiedad Host se utiliza solamente para que los

rmi.server.registry.port 1099 El puerto del registro RMI se configura durante la

security.authorization.method.IServerRepor ts.getOverviewReport

security.authorization.method.IReportingSe rvice.removeEntity

security.authorization.method.IReportingSe rvice.setEntityVisibility

security.authorization.method.IReportingSe rvice.getHardwareDetailReport

security.authorization.method.IReportingSe rvice.openSession

security.authorization.method.IReportingSe rvice.getPagedReport

security.authorization.method.IReportingSe rvice.getDeviceTypeReport

security.authorization.method.IReportingSe rvice.getDeviceOsReport

security.authorization.method.IReportingSe rvice.getDeviceModelReport

security.authorization.method.IReportingSe rvice.getPolicyDetailReport

security.authorization.method.IReportingSe rvice.getWorkstationDetailReport

security.authorization.method.IReportingSe rvice.getEncryptionFailuresReport

security.authorization.method.IReportingSe rvice.getEncryptionSummaryReport

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

SystemAdmin Función necesaria para quitar las entidades del

SystemAdmin Función necesaria para configurar la visibilidad de las

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

Controlador del archivo de eventos.

recursos de Gatekeeper de su ubicación predeterminada.

programas cliente puedan determinar en qué lugar se encuentra el registro. No se utiliza durante la creación del registro RMI ni de los objetos remotos. Se creará en localhost.

instalación. Este parámetro también se puede utilizar para cambiar el puerto después de la instalación.

Si se cambia ese valor, también se debe configurar los servicios Gatekeeper Web Services.

Funciones requeridas para configurar las autorizaciones de los informes del servidor.

servidor.

entidades del servidor.

Funciones necesarias para ver la página de detalles de los dispositivos.

Funciones necesarias para abrir una sesión del servidor.

Funciones necesarias para ver el informe paginado.

Funciones necesarias para ver el informe de tipos de dispositivos.

Funciones necesarias para ver el informe del sistema operativo.

Funciones necesarias para ver los informes de modelos de dispositivos.

Funciones necesarias para ver el informe detallado de las políticas.

Funciones necesarias para ver el informe detallado de las estaciones de trabajo.

Funciones necesarias para ver el informe de fallas en la encriptación.

Funciones necesarias para ver el informe de resumen de la encriptación.

10 Guía de configuración

Page 11

server_config.xml

Parámetro Valor predeterminado Descripción

security.authorization.method.IReportingSe rvice.getUserDetail

security.authorization.method.IReportingSe rvice.getGroupDetail

security.authorization.method.IReportingSe rvice.getDomainDetail

security.authorization.method.IKeyService. getKeys

accountType.nonActiveDirectory.enabled false Habilitar las activaciones fuera del dominio es una

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

AcctAdmin,HelpDeskAdmin,Sys

temAdmin,SecAdmin

Fore ns ic Ad mi n Esta configuración se utiliza con los complementos de

Funciones necesarias para ver el informe de información detallada de los usuarios.

Funciones necesarias para ver el informe de información detallada de los grupos.

Funciones necesarias para el informe de la lista de dominios.

integración forense. Comuníquese con el departamento de apoyo técnico de Dell si necesita la integración con una herramienta forense.

configuración avanzada que tiene consecuencias amplias. póngase en contacto con el departamento de apoyo al cliente para analizar las necesidades específicas de su entorno. Reinicie el servicio de Compatibility Server después de modificar este valor.

Además de esta configuración, cree o modifique el parámetro de registro de la computadora con Windows de la siguiente manera:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield

AllowNonDomainActivations=REG_DWORD:1

ANTES

de habilitar esta configuración,

gkresource.xml

Se pueden cambiar los parámetros en <Directorio de instalación de Compatibility Server>\conf\gkresource.xml.

Recomendamos que indique la secuencia de los cambios realizados, mediante comentarios al comienzo del archivo. Eso le permitirá trasladar de manera sencilla los cambios al nuevo archivo cuando haga una actualización.

NOTA: El archivo gkresource.xml debe ser un archivo XML de formato correcto. Si no está familiarizado con los archivos XML, Dell

recomienda que no intente modificar este archivo. Asegúrese de utilizar referencias a entidades cuando corresponda, en vez de caracteres especiales no precedidos por una secuencia de escape.



Todo cambio al archivo de recursos de Gatekeeper debe ser aprobado por un Administrador del Sistema antes de su implementación.

Habilitar el formato dominio/nombre de usuario

Agregue la siguiente cadena para habilitar (o deshabilitar) el formato dominio\nombre de usuario. El formato queda deshabilitado si la cadena no existe en el archivo. También se puede configurar el valor a "0" para deshabilitarlo.

Vaya a <Directorio de instalación de Compatibility Server>\conf.

Abra el archivo gkresource.xml con un editor de archivos .xml.

Agregue la cadena:

Haga clic en Guardar y cierre el archivo.



Guía de configuración 11

Page 12

run-service.conf

Se pueden cambiar algunos de los parámetros indicados a continuación, en el archivo <Directorio de instalación de Compatibility Server>\conf\run-service.conf. Estos parámetros se configuran automáticamente durante la instalación. Para personalizar o cambiar la configuración de cualquier servicio:

Detenga el servicio.

Quite el servicio.

Modifique y guarde el archivo mediante comentarios al comienzo del archivo.

Vuelva a instalar el servicio.

Arranque el servicio.

Parámetro Valor predeterminado Descripción

JAVA_HOME Dell\Java Runtime\jreX.x Ubicación del directorio de instalación de

wrapper.java.additional.5 n/a La dirección MAC indicada en este renglón

wrapper.ntservice.name EpmCompatSvr Nombre del servicio.

wrapper.ntservice.displayname Dell Compatibility Server Nombre para mostrar del servicio.

wrapper.ntservice.description Enterprise Compatibility Server Descripción del servicio.

wrapper.ntservice.dependency.1 Dependencias del servicio. Agregue las

wrapper.ntservice.starttype AUTO_START Modo en el que el servicio está instalado:

wrapper.ntservice.interactive false Cuando se configura a "true"

run-service.conf

. Recomendamos que indique la secuencia de los cambios realizados,

run-service.conf

Jav

es la dirección MAC de la tarjeta de la red local.

Si el servidor tiene varias tarjetas de red, o si desea enlazar a tarjeta principal del sistema, escriba aquí la dirección MAC de la tarjeta deseada, sin guiones.

dependencias del servicio, según sea necesario, a partir de 1.

AUTO_START o bien DEMAND_START.

puede interactuar con el escritorio.

una tarjeta distinta de la

, el servicio

12 Guía de configuración

Page 13

Configuración de Core Server

Este capítulo explica en detalle los parámetros que se pueden modificar para ajustar el servidor Core Server de núcleo a su sistema.

Cambio del arbitraje de políticas, de La más segura a La menos segura

PolicyService.config

Modifique este parámetro para cambiar el arbitraje de políticas, de "la más segura" a "la menos segura". Cambie la configuración en <Directorio de instalación de Core Server>\PolicyService.config. Si Core Server está en ejecución, se debe detener el servicio, modificar el archivo PolicyService.config y luego reiniciar el servicio, para que los cambios realizados al archivo tengan efecto.

Modifique la siguiente sección:

<object id="PolicyService" singleton="false" type="Credant.Policy.Service.PolicyService,

Credant.Policy.ServiceImplementation">

La menos segura]

</object>

[Cambie este valor de “0” a “1” para configurar a la opción

Deshabilitar los servicios web

NOTA: Esta es una configuración avanzada que solo debe modificarse con la guía del departamento de apoyo técnico al cliente.

Para deshabilitar los servicios web en Core Server (por ejemplo, si se cuenta con una segunda instalación de Core Server que solo realiza el procesamiento de inventarios), modifique los parámetros de configuración en:

<Directorio de instalación de Core Server>\ Credant.Server2.WindowsService.exe.Config

<Directorio de instalación de Core Server>\Spring.config

Si Core Server está en ejecución, se debe detener el servicio, modificar los parámetros de configuración de estos dos archivos y luego reiniciar el servicio, para que los cambios realizados al archivo tengan efecto.

Guía de configuración 13

Page 14

Credant.Server2.WindowsService.exe.Config

Elimine la siguiente sección:

<system.serviceModel>

</system.serviceModel>

Spring.config

Elimine lo siguiente:

Elimine todas las definiciones <object> </object> en los encabezados de AOP Advice, Web Service Target Definition y Web Service Host Definition.

Habilitación del servidor SMTP para el envío de notificaciones de licencia por correo electrónico

Si se utiliza Dell Data Protection | Cloud Edition, estos parámetros de configuración se automatizan usando la herramienta de configuración del servidor. Utilice este procedimiento si necesita habilitar el servidor SMTP para el envío de notificaciones de licencia por correo electrónico por otros motivos no relacionados con Dell Data Protection | Cloud Edition.

NotificationObjects.config

Para configurar su servidor SMTP para el envío de notificaciones de licencia por correo electrónico, modifique el archivo NotificationObjects.config que se encuentra en el <Directorio de instalación de Core Server>.

Modifique lo siguiente:

No cambie este valor

]

No cambie este valor

]

Notification.config

Si su servidor de correo electrónico requiere de autenticación, modifique el archivo Notification.config que se encuentra en el <Directorio de instalación de Core Server>.

Modifique lo siguiente:

14 Guía de configuración

Page 15

Agregar la ubicación de la carpeta de Compatibility Server al archivo de configuración de Core Server

Dado que Core Server es una aplicación .Net, el acceso a la información de registro puede bloquearse en ocasiones, a causa de los permisos. El problema es que, para que Core Server pueda leer secretkeystore (la clave de encriptación de la base de datos), necesita acceso a la información de la configuración de registro de Compatibility Server para encontrar la ubicación de secretkeystore. Si los permisos del registro bloquean este acceso, Core Server no puede autenticar a los usuarios de la consola. Esta configuración agrega la ubicación de la carpeta de Compatibility Server a la carpeta de configuración de Core Server en caso de problemas de acceso al registro.

Navegue hasta el <Directorio de instalación de Core Server>\EntityDataAccessObjects.config.

Cambie el siguiente elemento en

<property name="Logger" ref="DataAccessLogger"/> 



Quite la marca de comentario de esta línea y establezca la ruta de acceso completa a Compatibility Server

</object>

Haga clic en Guardar y cierre el archivo.

Reinicie los servicios de Core Server y Compatibility Server.

negrita

Permitir que Core Server utilice un proceso de iteración para los métodos de autenticación

El controlador de dominio puede bloquear los intentos de autenticación de Core Server debido a políticas configuradas en los métodos de autenticación permitidos. La mejora se realizó para implementar un “interruptor” en el archivo de configuración de Core Server para permitir que Core Server repita (iteración) diversos métodos de autenticación, en un intento por encontrar uno que funcione.

Navegue hasta el <Directorio de instalación de Core Server>\Spring.config.

Cambie el siguiente elemento en

<property name="Logger" ref="DataAccessLogger" /> <property name="DomainDataAccess" ref="DomainDataAccess" /> <property name="RefreshFrequency" value="300" />

<property name="TryAllAuthTypes" value="false" /> 

<!-- Used to change the AuthType per domain: key is domain's CID and value is the System.DirectoryServices.AuthenticationTypes value

--> </object>

negrita

Cambie este valor a “true” para habilitar esta función.

Guía de configuración 15

Page 16

Haga clic en Guardar y cierre el archivo.

Reinicie el servicio de Core Server.

16 Guía de configuración

Page 17

Configuración de Device Server

Este capítulo explica en detalle los parámetros que se pueden modificar para ajustar el servidor Device Server de dispositivos a su sistema.

eserver.properties

Se pueden cambiar los siguientes parámetros en <Directorio de instalación de Device Server>\conf\eserver.properties.

eserver.properties

Parámetro Valor predeterminado Descripción

eserver.default.host Servicio Device Server El FQDN de la ubicación en la que está

instalado Device Server.

eserver.default.port Enterprise Server v7.7 o posterior: 8443

Enterprise Server anterior a v7.7: 8081

eserver.use.ssl Tr u e Los protocolos SSL están habilitados como

eserver.keystore.location ${context['server.home']}/conf/cacerts La ubicación del certificado SSL que utiliza

eserver.keystore.password changeit Este parámetro se modifica cuando se

El puerto en el que Device Server estará atento a solicitudes entrantes de activación provenientes de los dispositivos.

opción predeterminada. Para deshabilitar SSL, cambie el valor de este parámetro a "False".

Device Server.

modifica la contraseña de cacerts mediante la herramienta de configuración. Si se modifica el cacert del sistema mediante la herramienta de configuración en algún momento después de la configuración inicial, actualice este parámetro con la contraseña Keystore que usted utiliza.

Guía de configuración 17

Page 18

eserver.properties

Parámetro Valor predeterminado Descripción

eserver.ciphers Configura la lista de algoritmos de

encripta uno de los algoritmos. Si se deja vacío, el socket sólo permitirá los algoritmos compatibles con Tomcat.

Quite la marca de comentario en el ejemplo a continu algoritmos de encriptación. Coloque una coma entre cada uno de los algoritmos. Consulte la guía de referencia de JSSE de Sun para conocer la lista de nombres válidos de los paquetes de algoritmos de encriptación.

#eserver.ciphers= SSL_R A_WITH_RC4_128_SHA,SSL_DHE_RSA _WITH_3DES_EDE_CBC_SHA

ción. Coloque una coma entre cada

ación para configurar la lista de

SA_WITH_RC4_128_MD5,SSL_RS

run-service.conf

Se pueden cambiar algunos de los parámetros indicados a continuación, en el archivo <Directorio de instalación de Device Server>\conf\run-service.conf. Estos parámetros se configuran automáticamente durante la instalación. Para personalizar o cambiar la configuración de cualquier servicio:

Detenga el servicio.

Quite el servicio.

Modifique y guarde el archivo mediante comentarios al comienzo del archivo.

Vuelva a instalar el servicio.

Arranque el servicio.

run-service.conf

. Recomendamos que indique la secuencia de los cambios realizados,

run-service.conf

Parámetro Valor predeterminado Descripción

JAVA_HOME Dell\Java Runtime\jreX.x Ubicación del directorio de instalación de

Jav

wrapper.ntservice.name EpmDeviceSvr Nombre del servicio.

wrapper.ntservice.displayname Dell Device Server Nombre para mostrar del servicio.

wrapper.ntservice.description Enterprise Device Server Descripción del servicio.

wrapper.ntservice.dependency.1 Dependencias del servicio. Agregue las

dependencias del necesario, a partir de 1.

wrapper.ntservice.starttype AUTO_START Modo en el que el servicio está instalado:

UTO_START o bien DEMAND_START.

wrapper.ntservice.interactive false Cuando se configura a "true"

puede interactuar con el escritorio.

servicio, según sea

, el servicio

18 Guía de configuración

Page 19

Configuración de Security Server

Este capítulo explica en detalle los parámetros que se pueden modificar a fin de ajustar el servidor Security Server a su sistema.

context.properties

Se pueden cambiar los siguientes parámetros en <Directorio de instalación de Security Server>\webapps\xapi\WEB-INF\context.properties.

context.properties

Parámetro Valor predeterminado Descripción

default.gatekeeper.group.remote CMGREMOTE Nombre del grupo remoto del dispositivo.

Evite modificarlo.

xmlrpc.max.threads 250 Cantidad máxima de subprocesos

simultáneos en este Device Server.

default.auth.upn.suffix El sufijo UPN que se añade al nombre del

usuario a fin de iniciar una sesión, si el servidor requiere de un nombre completo y la solicitud no lo incluye.

device.manual.auth.enable true Indica si las autenticaciones manuales están

habilitadas o deshabitadas. Evite modificarlo.

service.activation.enable true Indica si el servidor Device Server maneja

las activaciones. Evite modificarlo.

service.policy.enable true Indica si la política está habilitada o

deshabitada. Evite modificarlo.

service.auth.enable true Indica si el servidor Device Server maneja

las autenticaciones.

service.forensic.enable true Esta configuración se utiliza con los

complementos de integración forense. Comuníquese con el departamento de apoyo técnico de Dell si necesita la integración con una herramienta forense.

service.support.enable true Habilita la recuperación de

metainformación del servidor.

Guía de configuración 19

Page 20

context.properties

Parámetro Valor predeterminado Descripción

service.device.enable true Habilita la compatibilidad con servicios

Shield tales como el almacenamiento de claves SDE.

20 Guía de configuración

Page 21

Configuración de las funciones de encriptación

Esta sección explica cómo se puede controlar de manera independiente las funciones de encriptación.

Prevención de la eliminación de archivos temporales

Como opción predeterminada, todos los archivos temporales que se encuentren en el directorio c:\windows\temp serán eliminados automáticamente al hacer instalaciones y actualizaciones de DDPE. La eliminación de los archivos temporales agiliza la encriptación inicial, y se realiza antes del barrido inicial de encriptación.

No obstante, si en su sistema se utilizan aplicaciones de terceros que requieren que se conserve la estructura de archivos contenida en el directorio \temp, no se debe realizar dicha eliminación.

Para deshabilitar la eliminación de archivos temporales, cree o modifique la configuración de registro de la siguiente manera:

HKLM\SOFTWARE\CREDANT\CMGShield

DeleteTempFiles (REG_DWORD)=0

Tome en cuenta que si no se eliminan los archivos temporales aumentará la duración de la encriptación inicial.

Ocultar iconos superpuestos

Como opción predeterminada, durante la instalación todos los iconos de encriptado superpuestos están configurados para mostrarse. Utilice los siguientes parámetros de registro para ocultar los iconos de encriptado superpuestos para todos los usuarios administrados en una computadora después de la instalación original.

Cree o modifique las siguientes configuraciones de registro:

HKLM\Software\CREDANT\CMGShield

HideOverlayIcons (DWORD value)=1

Si un usuario (con los privilegios apropiados) decide mostrar los iconos de encriptado superpuestos, esa configuración anulará este valor del registro.

Ocultar el icono de la bandeja del sistema

De forma predeterminada, durante la instalación se muestra el icono de la bandeja del sistema. Utilice los siguientes parámetros de registro para ocultar el icono de la bandeja del sistema para todos los usuarios administrados en una computadora después de la instalación original.

Cree o modifique las siguientes configuraciones de registro:

HKLM\Software\CREDANT\CMGShield

HIDESYSTRAYICON (DWORD value)=1

Activación escalonada

La Activación escalonada es una función que permite repartir las activaciones de Shield a lo largo de un período determinado de tiempo, a fin de reducir las cargas sobre el servidor al realizar implementaciones masivas. Las activaciones se retrasan con base en escalones de tiempo generados algorítmicamente, a fin de permitir una distribución homogénea de los lapsos de activación.

Guía de configuración 21

Page 22

La Activación escalonada se habilita y configura a través del instalador de Shield, y a través de la estación de trabajo de Shield.

En el caso de usuarios que requieran de activación a través de redes VPN, podría ser necesaria una configuración de Activación escalonada de Shield, a fin de retrasar la activación inicial durante el lapso necesario que permita que el software cliente de la VPN establezca una conexión de red.

PRECAUCIÓN: Configure la Activación escalonada sólo con la asistencia del departamento de apoyo técnico al cliente. Si el

escalonamiento de tiempo se configura de manera incorrecta, es posible que una gran cantidad de clientes intenten la activación de forma simultánea, lo que puede generar problemas graves de rendimiento.

En la configuración de la Activación escalonada se utilizan las siguientes claves de registro. Todo cambio a estas claves de registro requieren del reinicio de la estación de trabajo de Shield para que las actualizaciones tengan efecto.

• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation

Esta configuración habilita o deshabilita la función de Activación escalonada. Deshabilitada=0 (predeterminado)



Habilitada=1

• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot

El lapso de tiempo, en segundos, en que ocurrirá el intervalo entre escalones de la activación. Se puede utilizar esta propiedad a fin de reemplazar el período de tiempo, en segundos, durante el que ocurre el intervalo entre escalones de la activación. Están disponibles 25200 segundos para las activaciones escalonadas, durante un período de siete horas. La configuración predeterminada es de 86400 segundos, lo que representa una repetición diaria.

• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals

El intervalo dentro de la repetición, ACTIVATION_SLOT_CALREPEAT, en el que se producen todos los escalones de tiempo de activación. Sólo se permite un intervalo. El valor de esa configuración debe ser de "0",<CalRepeat>. Toda desviación del valor 0 podría arrojar resultados inesperados. La configuración predeterminada es 0,86400. Para configurar una repetición de siete horas, utilice la configuración 0,25200. CALREPEAT se activa cuando un usuario de Shield inicia una sesión.

• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold

La cantidad de escalones de activación que pueden ser omitidos antes de que la computadora intente hacer la activación, durante el siguiente inicio de sesión del usuario cuya activación haya sido escalonada. Si la activación no se realiza durante ese intento inmediato, Shield reinicia los intentos de Activación escalonada. Si la activación no se realiza debido a una falla en la red, se intentará la activación al reconectarse la red, aunque no se haya superado el valor del parámetro MISSTHRESHOLD. Si un usuario cierra su sesión antes de haberse alcanzado el lapso del escalón de activación, se asigna un nuevo escalón cuando el usuario inicie una nueva sesión.

• HKCU/Software/CREDANT/ActivationSlot (según la información de usuario)

El tiempo diferido en el que se intentará la Activación escalonada, que se configura cuando el usuario inicia una sesión en la red por primera vez después de haberse habilitado la Activación escalonada. El escalón de activación se vuelve a calcular después de cada uno de los intentos de activación.

• HKCU/Software/CREDANT/SlotAttemptCount (según la información de usuario)

La cantidad de intentos fallidos u omitidos, cuando se llega al escalón de tiempo y se intenta la activación pero falla. Cuando esa cifra alcanza el valor configurado en el parámetro ACTIVATION_SLOT_MISSTHRESHOLD, la computadora intenta una activación inmediata al momento de la conexión a la red.

Para activar la Activación escalonada mediante la línea de comandos, utilice un comando similar al siguiente:

setup.exe /v"SLOTTEDACTIVATION=1 CALREPEAT=25200 SLOTINTERVALS=0,25200 <otros parámetros>"

NOTA: Asegúrese de incorporar un valor que contenga uno o más caracteres especiales, como un espacio, en comillas no precedidas por

una secuencia de escape.

22 Guía de configuración

Page 23

Sondeo forzado

Utilice la configuración de registro a continuación para que Shield sondee al servidor para una actualización forzada de política.

Cree o modifique las siguientes configuraciones de registro:

HKLM\SOFTWARE\Credant\CMGShield\Notify

PingProxy (DWORD value)=1

Según la versión de Shield, la configuración de registro desaparecerá automáticamente o se modificará de 1 a 0 una vez que el sondeo esté terminado.

Según el conjunto de permisos de un usuario administrador, podría necesitarse realizar una modificación en los permisos para crear este parámetro de configuración de registro. Si surgen problemas al intentar crear un DWORD nuevo, siga los pasos que se detallan a continuación para realizar la modificación de permisos.

En el registro de Windows vaya a HKLM\SOFTWARE\Credant\CMGShield\Notify.

Haga clic con el botón derecho en

Una vez que se abre la ventana

Haga clic en

Ya puede crear su nueva configuración de registro.

Aceptar

Notificar

Permisos

Permiso para notificar

, seleccione la casilla de

Control total

Opciones de inventario

Utilice los siguientes parámetros de registro para permitir que Shield envíe un inventario optimizado al servidor, envíe un inventario completo al servidor o envíe un inventario completo para todos los usuarios activados al servidor.

Enviar inventario optimizado al servidor

Cree o modifique las siguientes configuraciones de registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield

OnlySendInvChanges (REG_DWORD)=1

Si no hay ninguna entrada, se envía el inventario optimizado al servidor.

Enviar inventario completo al servidor

Cree o modifique las siguientes configuraciones de registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield

OnlySendInvChanges (REG_DWORD)=0

Si no hay ninguna entrada, se envía el inventario optimizado al servidor.

Enviar inventario completo para todos los usuarios activados

Cree o modifique las siguientes configuraciones de registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield

RefreshInventory (REG_DWORD)=1

Esta entrada se quita del registro tras ser procesada. El valor se guarda en el almacén, de forma que incluso si se reinicia la computadora antes de que se cargue el inventario, Shield seguirá cumpliendo la solicitud en la próxima carga de inventario satisfactoria.

Esta entrada tiene precedencia sobre el valor de registro OnlySendInvChanges.

Guía de configuración 23

Page 24

Activaciones fuera del dominio

Habilitar las activaciones fuera del dominio es una configuración avanzada que tiene consecuencias amplias. Póngase en contacto con el departamento de apoyo al cliente para analizar las necesidades específicas de su entorno y obtener instrucciones para activar esta función.

24 Guía de configuración

Page 25

Configuración de los componentes a fin de utilizarlos con la autenticación/autorización Kerberos

Esta sección explica la manera de configurar los componentes a fin de utilizarlos con la autenticación/autorización Kerberos.

Configuración de los componentes a fin de utilizarlos con la autenticación/autorización Kerberos

NOTA: Si se va a utilizar la autenticación/autorización Kerberos, entonces el servidor que contiene el componente servidor de claves (Key

Server) deberá formar parte del dominio afectado.

Key Server es un servicio que está atento a la conexión de clientes a sockets. Al conectarse un cliente, se negocia, autentica y encripta una conexión segura, con el uso de las interfaces API de Kerberos (si no se puede negociar una conexión segura, se desconecta al cliente).

Key Server comprueba con Device Server si el usuario que ejecuta el cliente tiene el permiso de acceso a las claves. Dicho acceso se otorga a través de la consola de administración remota mediante dominios

Instrucciones del Servicio de Windows

Navegue hasta el panel del Servicio de Windows (Inicio > Ejecutar... > services.msc > Aceptar).

Haga clic con el botón de la derecha sobre Dell Key Server y seleccione

Vaya a la pestaña

En el campo derechos de administrador local a la carpeta de Key Server (debe poder escribir en el archivo de configuración de Key Server, y también escribir en el archivo log.txt).

Haga clic en

Reinicie el servicio (deje abierto el panel del Servicio de Windows para operaciones posteriores).

Navegue hasta <Directorio de instalación de Key Server> log.txt a fin de verificar que el servicio arrancó correctamente.

Iniciar sesión

Esta cuenta:

Aceptar

y seleccione el botón de opción

, agregue el usuario deseado de dominio. Este usuario de dominio debe tener al menos los

Esta cuenta:

Propiedades

individuales

Instrucciones del archivo de configuración de Key Server

Navegue hasta el <Directorio de instalación de Key Server>.

Abra Credant.KeyServer.exe.config con un editor de texto.

Vaya a <add key="user" value="superadmin" /> y cambie el valor de "superadmin" al nombre del usuario correspondiente (también puede dejar el valor de "superadmin").

El formato "superadmin" puede ser cualquier método que pueda autenticarse con el servidor. El nombre de la cuenta del SAM, el nombre UPN y también el formato "dominio/nombre de usuario" son aceptables. Todo método que pueda autenticar con el servidor es aceptable, debido que se requiere la validación de autorización con Active Directory.

esa

cuenta de usuario a fin de obtener la

Guía de configuración 25

Page 26

Por ejemplo, en un entorno multi-dominios, si sólo se coloca el nombre de la cuenta del SAM, "jdoe", probablemente fallará porque el servidor no podrá autenticar "jdoe" ya que no puede encontrar "jdoe". En un entorno multi-dominios, se recomienda el formato UPN, aunque el formato "dominio/nombre de usuario" también es aceptable.

En un entorno de dominio único, es aceptable el nombre de la cuenta del SAM.

Vaya a <add key="epw" value="<valor encriptado de la contraseña>" /> y cambie "epw" a "password". Luego cambie "<valor encriptado de la contraseña>" a la contraseña del usuario según el Paso 3. El valor de la contraseña del usuario será encriptado cuando se reinicie el servidor.

Si se utiliza "superadmin" en el paso 3, y la contraseña del superadministrador no es "changeit",se debe cambiar aquí.

Guarde los cambios y cierre el archivo.

Ejemplo de archivo de configuración:

<?xml version="1.0" encoding="utf-8" ?>

[El puerto TCP en el que el servidor estará atento. La opción predeterminada

es 8050, modifique de ser necesario.]

[Máxima cantidad de conexiones activas al socket permitidas por

el servidor].

[URL de Device Server. Si su Enterprise Server es v7.7 o posterior, el formato es https://keyserver.domain.com:8443/xapi/ -- Si su Enterprise Server es anterior a v7.7, el formato es https://keyserver.domain.com:8081/xapi (sin la barra diagonal al final)].

[El valor "true" verifica los certificados. Configure el valor en

"false" si desea omitir la verificación o si utiliza certificados de firma automática].

[El nombre de usuario que se utiliza para comunicarse con el servidor Device Server. Este usuario debe ser del tipo "Administrador forense", seleccionado en la consola de administración remota. El formato "superadmin" puede ser cualquier método que pueda autenticarse con el servidor. El nombre de la cuenta del SAM, el nombre UPN y también el formato "dominio/nombre de usuario" son aceptables. Todo método que pueda autenticar con el servidor es aceptable, debido que se requiere la validación de esa cuenta de usuario a fin de obtener la autorización con Active Directory. Por ejemplo, en un entorno multi-dominios, si sólo se coloca el nombre de la cuenta del SAM, "jdoe", probablemente fallará porque el servidor no podrá autenticar "jdoe" ya que no puede encontrar "jdoe". En un entorno multi-dominios, se recomienda el formato UPN, aunque el formato "dominio/nombre de usuario" también es aceptable. En un entorno de dominio único, es aceptable el nombre de la cuenta del SAM.]

[Qué tan a menudo (en segundos) el servicio debe comprobar quiénes tienen permiso de pedir claves. El servicio mantiene una memoria caché y lleva el seguimiento de la antigüedad. Una vez que la información en la caché tenga más antigüedad que el valor de este parámetro (en segundos), obtiene una nueva lista. Al conectarse un usuario, Key Server debe descargar del Device Server la información de los usuarios autorizados. Si no hay información de los usuarios en la caché, o si la lista no se ha descargado en los últimos "x" segundos, se volverá a descargar. No se hace sondeo, sino que este valor configura qué tan antigua puede llegar a ser la lista antes de que sea actualizada, cuando sea necesaria.]

[Contraseña que se utiliza para comunicarse con

Device Server. Si la contraseña "superadmin" fue cambiada, se debe cambiar aquí.]

</appSettings>

</configuration>

26 Guía de configuración

Page 27

Instrucciones del Servicio de Windows

Regrese al panel del Servicio de Windows.

Reinicie

Navegue hasta <Directorio de instalación de Key Server> log.txt a fin de verificar que el servicio arrancó correctamente.

Cierre el panel del Servicio de Windows.

el servicio Dell Key Server Service.

Instrucciones de la Consola de Administración Remota

De ser necesario, inicie una sesión en la Consola de Administración Remota.

Haga clic en

En la lista de cuentas de Key Server, agregue al usuario que realizará las actividades de Administrador. El formato es dominio\nombre de usuario. Haga clic en

Haga clic en en el Paso 4. Haga clic en

Una vez que haya encontrado el usuario correcto, haga clic en el icono

Seleccione

Los componentes estarán ya configurados para la autenticación/autorización Kerberos.

Dominios

Key Server

Usuarios

Administrador forense

y luego en el icono

en el menú a la izquierda. En la casilla de búsqueda, escriba el nombre de usuario que fue agregado

Buscar

Agregar cuenta

. Haga clic en

Detalle

Actualizar

Detalle

Guía de configuración 27

Page 28

28 Guía de configuración

Page 29

Asignar función de administrador forense

De forma predeterminada, la autorización forense está habilitada en los servidores de base de datos y deshabilitada en los servidores de aplicaciones. Estas configuraciones se establecen apropiadamente al momento de la instalación tanto de Device Server como de Security Server.

Instrucciones de la Consola de Administración Remota

De ser necesario, inicie una sesión en la Consola de Administración Remota.

En el panel izquierdo, haga clic en

En la página de administrador forense, y luego haga clic en las utilidades CMGAd, CMGAu, CMGAlu, y durante la ejecución del agente Decryption Agent en el modo Forense).

En la página

En la columna "Usuario", marque

La función del administrador forense ya está configurada.

Búsqueda de usuarios

Resultados de la búsqueda de usuarios Detalles de usuario de: <Nombre de usuario>

Deshabilitar autorización forense

Controlar

Administrador forense

Usuarios

, introduzca el nombre del usuario al que quiere asignar la función de

Buscar

(las credenciales de este usuario se suministran durante la ejecución de

, haga clic en el icono

, seleccione

, y haga clic en

Detalle

Admin

Actualizar

En su servidor de base de datos, vaya a <Directorio de instalación de Server>\webapps\xapi\WEB-INF\context.properties

service.forensic.enable=true

service.forensic.enable=false

Reinicie

Navegue hasta siguiente

<init-param>

<param-name>forensic</param-name>

<param-value>

</init-param>

Reinicie

La práctica recomendada es eliminar la función de administrador forense de cualquier usuario que no utilice activamente los permisos que otorga la función.

el servicio del Servidor de Seguridad.

<Directorio de instalación de Device Server>\webapps\ROOT\WEB-INF\web.xml

@FORENSIC_DISABLE@

el servicio de Device Server.

</param-value>

y cambie la siguiente propiedad:

Security

y m

odifique lo

Guía de configuración 29

Page 30

30 Guía de configuración

Page 31

Expresiones cron

Esta sección explica la manera de utilizar los formatos y los caracteres especiales de las expresiones cron.

Introducción a las expresiones cron

La herramienta cron es una herramienta de UNIX que ha estado en uso durante mucho tiempo, de modo que sus capacidades de planificación en el tiempo son poderosas y están demostradas. La clase CronTrigger se basa en las capacidades de planificación en el tiempo de cron.

CronTrigger utiliza expresiones cron, con las que viernes" o "la 1:30 am todos los últimos viernes del mes".

Las expresiones cron son muy poderosas pero también pueden ser de los misterios de la creación de expresiones cron, lo que le da un recurso que puede utilizar antes de buscar ayuda de otros.

Formatos de las expresiones cron

Las expresiones cron constan de 6 campos obligatorios y de 1 campo opcional, separados por espacios en blanco.  Los campos pueden contener cualquiera de los valor especiales permitidos para cada campo en particular.

Las expresiones cron puede ser tan sencillas como****?*.

O más complicadas, como 00/51

La descripción de los cam

pos es como sigue.

4,18,3-39,52? JAN,MAR,SEP MON-FRI 2002-2010.

se puede crear cronogramas de activación, del estilo "8:00 am de lunes a

muy confusas. Este documento busca eliminar algunos

es permitidos, junto con diversas combinaciones de los caracteres

Nombre del campo ¿Obligatorio? Valores permitidos Caracteres especiales

permitidos

Minutos Sí 0-59 , - * /

Horas Sí 0-23 , - * /

Día del mes Sí 1-31 , - * ? / L W C

Mes Sí 1-12 o bien JAN-DEC , - * /

Día de la semana Sí 1-7 o bien SUN-SAT , - * ? / L C #

Año No Vacío, 1970-2099 , - * /

Caracteres especiales

• El caracter "*" se utiliza para especificar todos los valores. Por ejemplo, "*" en el campo de minutos significa todos los minutos.

• El caracter "?" (sin valor especificado) es útil cuando se quier permite el uso de dicho caracter, pero no en el otro. Por ejemplo, para desencadenar una activación en un día particular del mes (el día 10), sin importar qué día de la semana sea la fecha, coloque "10" en el campo del día del mes y "?" en el campo del día de la semana.

e especificar algo en alguno de los dos campos en los que se

Guía de configuración 31

Page 32

• El caracter "-" se utiliza para especificar intervalos. Por ejemplo, "10-12" en el campo de horas significa las horas 10, 11 y 12.

• El caracter "," se utiliza para especificar valores adicionales. Por ejemplo, MON,WED,FRI en el campo del día de la semana significa los días lunes, miércoles y viernes.

• El caracter "/" se utiliza para especificar incrementos.

"0/15" en el campo de segundos significa los segundos 0, 15, 30 y 45.

"5/15" en el campo de segundos significa los segundos 5, 20, 35 y 50.

Colocar "*" antes de "/" equivale a especificar "0" como el valor inicial.

"1/3" en el campo del día del mes significa activar cada 3 días a partir del primer día del mes.

En pocas palabras, existe un conjunto de números para cada uno de los campos de la expresión que se pueden poner en uso y en desuso. Para segundos y minutos, los números van de 0 a 59; para las horas, de 0 a 23; para los días del mes, de 0 a 31; y para los meses, de 1 a 12. El caracter / simplemente le ayuda a activar cada valor ordinal (nº) en un conjunto dado. De ese modo, "7/6" en el campo del mes sólo activa los meses 7, no significa cada 6º mes.

• El caracter "L" es un caracter permitido en los campos de día del mes y de día de la semana. El significado de este carácter es "último" (last), pero tiene un significado diferente en cada uno de los dos campos.

El valor "L" en el campo del día del mes significa el último día del mes (el día 31 del mes de enero, el día 28 del mes de febrero en los años no bisiestos, etc).

Si se utiliza por sí solo en el campo del día de la semana, significa 7 o SAT (sábado).

Si se utiliza en el campo del día de la semana después de otro valor, significa el último día XXX del mes. Por ejemplo, "6L" significa el último viernes del mes. Cuando se utiliza la opción "L", es importante que no se especifique listas ni intervalos de valores, ya que los resultados obtenidos serán confusos.



• El caracter "W" es un caracter permitido en el campo del día del mes. Este caracter se utiliza para especificar el día de la semana (lunes-viernes) más cercano al día dado. Por ejemplo, si se coloca "15W" en el campo del día del mes, significa el día de la semana (lunes-viernes) más cercano al día 15 del mes. De modo que si el día 15 es un sábado, el desencadenador se activará el día viernes 14. Si el día 15 es un domingo, el desencadenador se activará el día lunes 16. Si el día 15 es un martes, el desencadenador se activará el día martes 15. No obstante, si se especifica "1W" como el valor del campo del día del mes, y el día 1º es un sábado, el desencadenador se activará el lunes 3, ya que no 'saltará' la demarcación de los días de un mes. El caracter "W" sólo se puede utilizar cuando el día del mes sea un día único, no un intervalo ni una lista de días.

Los caracteres "L" y "W" también se pueden combinar en las expresiones del día del mes, para crear la expresión "LW" que significa el último día de la semana (lunes-viernes) del mes.

• El caracter "#" es un caracter permitido en el campo del día de la semana. Este caracter se utiliza para especificar el ‘nº’ día XXX del mes. Por ejemplo, la expresión "6#3" en el campo del día de la semana significa el tercer viernes del mes (día 6 = viernes, y #3 = el 3º del mes).

Ejemplos adicionales: 2#1 = el primer lunes del mes 4#5 = el quinto miércoles del mes.

Tome en cuenta que si coloca "#5" y no hay un día 5º del día dado en ese mes, no se producirá la activación en dicho mes.



32 Guía de configuración

Page 33

• El caracter "C" se utiliza en expresiones de calendario. Al utilizar este caracter se indica que los valores se calculan en relación al calendario asociado, si existe. Si no existe un calendario asociado, entonces es equivalente a tener un calendario total. Por ejemplo, la expresión "5C" en el campo del día del mes significa el primer día incluido en el calendario que caiga en la fecha 5 del mes o con posterioridad a dicha fecha. Por ejemplo, la expresión "1C" en el campo de la semana del mes significa el primer día incluido en el calendario que caiga en domingo o después de un domingo.

NOTA: La compatibilidad para especificar valores tanto del día de la semana como del día del mes todavía no está finalizada. En dichos

campos, utilice el caracter "?". La compatibilidad de las funciones asociadas al caracter "C" todavía no está finalizada. Los caracteres permitidos y los nombres de los meses y los días no distinguen entre mayúsculas y minúsculas. "MON" es lo mismo que "mon". Preste atención a los efectos de ? y * en los campos de día de la semana y día del mes. Tenga cuidado cuando establezca las horas de disparo entre la medianoche y causar saltos (o repeticiones) en función de si la hora se atrasa o si adelanta.

la 1:00 de la mañana. Los horarios de verano pueden

Ejemplos

Expresión Significado

0 0 12 * * ? Activar a las 12 pm (mediodía) todos los días

0 15 10 ? * * Activar a las 10:15 am todos los días

0 15 10 * * ? Activar a las 10:15 am todos los días

0 15 10 * * ? * Activar a las 10:15 am todos los días

0 15 10 * * ? 2005 Activar a las 10:15 am todos los días durante el año 2005

0 * 14 * * ? Activar cada minuto a partir de las 2 pm hasta las 2:59 pm, todos

s días

0 0/5 14 * * ? Activar cada 5 minutos a partir de las 2 pm hasta las 2:55 pm, todos

los días

0 0/5 14,18 * * ? Activar cada 5 minutos a partir de las 2 pm hasta las 2:55 pm, Y

activar cada 5 minutos a partir de las 6 pm hasta las 6:55 pm, todos los días

0 0-5 14 * * ? Activar cada minuto a partir de las 2 pm hasta las 2:05 pm, todos

s días

0 10,44 14 ? 3 WED Activar a las 2:10 pm y a las 2:44 pm todos los miércoles del mes de

marzo.

0 15 10 ? * MON-FRI Activar a las 10:15 am todos los lunes, martes, miércoles, jueves y

viernes

0 15 10 15 * ? Activar a las 10:15 am el día 15 de cada mes

0 15 10 L * ? Activar a las 10:15 am el último día de cada mes

0 15 10 ? * 6L Activar a las 10:15 am el último viernes de cada mes

0 15 10 ? * 6L 2002-2005 Activar a las 10:15 am todos los últimos viernes de cada mes

durante los

0 15 10 ? * 6#3 Activar a las 10:15 am el tercer viernes de cada mes

0 0 12 1/5 * ? Activar a las 12 pm (mediodía) cada 5 días todos los meses, a partir

del primer día del mes.

0 11 11 11 11 ? Activar todos los días 11 de noviembre a las 11:11 am.

años 2002, 2003, 2004 y 2005

Guía de configuración 33

Page 34

34 Guía de configuración

Page 35

Creación de un certificado autofirmado con Keytool y generación de una solicitud de firma de certificado

NOTA: Esta sección explica los pasos necesarios para crear un certificado autofirmado para componentes basados en Java. Este proceso

no puede usarse

para crear un certificado autofirmado en componentes basados en.NET.

Recomendamos los certificados autofirmados

Si su organización exige un certificado de servidor SSL, o si necesita crear un certificado por cualquier otro motivo, esta sección describe el proceso para crear un keystore de java usando la herramienta Keytool.

Keytool crea claves privadas que se transmiten en un formato de Solicitud de firma de certificado (CSR) a una Autoridad de certificación (CA), como puede ser VeriSign® o Entrust®. La CA, basada en esta CSR, crea y firma un certificado de servidor. El certificado de servidor se descarga entonces a un archivo, junto con el certificado de la autoridad de firma. Los certificados se importan luego al archivo cacerts.

solamente

en entornos que no sean de producción.

Generación de un nuevo par de claves y un certificado autofirmado

Vaya has ta e l di rect ori o

Realice una copia de seguridad de la base de datos de certificados predeterminada:

Haga clic en

Agregue Keytool a la ruta del sistema. Escriba el siguiente comando en la línea de comandos:

set path=%path%;%dell_java_home%\bin

Para generar un certificado, ejecute Keytool como se muestra:

keytool -genkey -keyalg RSA -sigalg SHA1withRSA -alias dell -keystore .\cacerts

Introduzca la siguiente información cuando Keytool se la solicite.

NOTA: Haga una copia de seguridad de los archivos de configuración antes de modificarlos. Cambie únicamente los parámetros

especificados. Si se cambia algún otro dato de estos archivos, incluso las etiquetas, el sistema podría dañarse y presentar fallas. Dell no puede garantizar que los problemas derivados de modificaciones no autorizadas de estos archivos se puedan resolver sin reinstalar Enterprise Server.

•

Contraseña de keystore:

en el archivo de componente

<Directorio de instalación de Compliance Reporter>\conf\eserver.properties. Configure el valor eserver.keystore.password =

Inicio

Ejecutar

conf

de Compliance Reporter, Console Web Services, Device Server, o Gatekeeper Web Services.

, y escriba

Ingrese una contraseña (los caracteres no compatibles son <>;&” ’), y configure la variable

move cacerts cacerts.old

conf

al mismo valor, como se muestra:

<Directorio de instalación de Console Web Services>\conf\eserver.properties. Configure el valor eserver.keystore.password =

<Directorio de instalación de Device Server>\conf\eserver.properties. Configure el valor eserver.keystore.password =

Guía de configuración 35

Page 36

•

Nombre completo:

está trabajando. Este nombre completo incluye el nombre de host y el nombre de dominio (ejemplo: server.dell.com).

•

Unidad organizacional:

•

Organización:

•

Ciudad o localidad:

•

Estado o provincia:

• Código de dos letras del país:

Estados Unidos = US

Canadá = CA

Suiza = CH

Alemania = DE

España = ES

Francia = FR

Gran Bretaña = GB

Irlanda = IE

Italia = IT

Países Bajos = NL

Introduzca el nombre completo del servidor en el que está instalado el componente con el que

Introduzca el valor apropiado (ejemplo: Seguridad).

Introduzca el valor apropiado (ejemplo: Dell).

Introduzca el valor apropiado (ejemplo: Austin).

Introduzca el nombre de la provincia o el estado sin abreviar (ejemplo: Texas).

• La utilidad solicita la confirmación de que la información es correcta. De ser así, escriba

Si no lo es, escriba no. Keytool muestra cada valor ingresado previamente. Haga clic en cambie el valor y haga clic en

•

Contraseña clave para alias:

Keystore.

Intro

Si no introduce aquí otra contraseña, de forma predeterminada se utilizará la de

yes



Intro

para aceptar el valor o

Solicitud de certificado firmado a una Autoridad de certificación

Utilice este procedimiento para generar una solicitud de firma de certificado (CSR) para el certificado autofirmado creado en

Generación de un nuevo par de claves y un certificado autofirmado

Sustituya el mismo valor usado anteriormente para <

keytool -certreq -sigalg MD5withRSA -alias <certificate-alias> -keystore .\cacerts -file <csr-filename>

Ejemplo:

keytool -certreq -sigalg MD5withRSA -alias dell -keystore .\cacerts -file credant.csr

El archivo .csr contendrá un par BEGIN/END que se usará durante la creación del certificado por parte de la CA.



certificate-alias

36 Guía de configuración

Page 37

Figura 9-1. Ejemplo de archivo .CSR

Siga el proceso de su organización para la adquisición de un certificado de servidor SSL de una autoridad de certificación. Envíe el contenido de <csr-filename> para su firma.

NOTA: Hay varios métodos para solicitar un certificado válido. Puede ver un método de ejemplo en

certificado

Cuando reciba el certificado firmado, guárdelo en un archivo.

La práctica recomendada es realizar una copia de seguridad de este certificado, en caso de que ocurra un error durante el proceso de importación. Esta copia de seguridad evitará tener que comenzar todo el proceso otra vez.

Ejemplo de un método para solicitar un

Importación de un certificado raíz

NOTA: Si la autoridad de certificación del certificado raíz es Verisign (no Verisign Test), pase al siguiente procedimiento e importe el

certificado firmado.

El certificado raíz de la autoridad de certificación valida los certificados firmados.

Haga

una

de las siguientes acciones:

• Descargue el certificado raíz de la autoridad de certificación y guárdelo en un archivo.

• Obtenga el certificado raíz del ser

Haga

una

de las siguientes acciones:

• Si está habilitando SSL para Compliance Reporter, Console

Connector, cambie al directorio del componente

• Si está habilitando SSL entre el servidor y el servidor de dir

de Dell>\Java Runtimes\jre1.x.x_xx\lib\security

Ejecute Keytool de la siguiente manera, para instalar el certificado raíz:

keytool -import -trustcacerts -alias <ca-cert-alias> -keystore .\cacerts -file <ca-cert-filename>

vidor de directorios empresarial.

Web Services, Device Server o Legacy Gatekeeper

conf

ectorios empresarial, cambie a

(La contraseña predeterminada para el cacerts JRE es

<Directorio de instalación

changeit

Ejemplo:

keytool -import -alias Entrust -keystore .\cacerts -file .\Entrust.cer



Ejemplo de un método para solicitar un certificado

Un ejemplo de un método para solicitar un certificado es usar un navegador web para acceder al servidor de CA de Microsoft, que su organización habría configurado internamente.

Navegue hasta el servidor de CA de Microsoft. Su organización le proporcionará la dirección IP.

Guía de configuración 37

Page 38

Seleccione

Figura 9-2. Servicios de certificación de Microsoft

Seleccione

Request a certificate

Advanced Request

y haga clic en

Next>

Figura 9-3. Selección del tipo de solicitud

38 Guía de configuración

Page 39

Seleccione la opción

Figura 9-4. Solicitud de certificado avanzada

Submit a certificate request using a base64 encode PKCS #10 file

y haga clic en

Next>

Pegue el contenido de la solicitud CSR en el cuadro de texto. Seleccione una plantilla de certificado de

Submit>

clic en

Figura 9-5. Envío de una solicitud guardada

Web S e rv e r

haga

Guía de configuración 39

Page 40

Guarde el certificado. Seleccione

Figura 9-6. Descarga del certificado de la CA

DER encoded

y haga clic en

Download CA certificate

Guarde el certificado. Seleccione

Figura 9-7. Descarga de la ruta de certificación de la CA

DER encoded

y haga clic en

Download CA certification path

40 Guía de configuración

Page 41

Importe el certificado de la autoridad de firma convertido. Volver a la ventana de DOS. Escriba:

keytool -import -trustcacerts -file <csr-filename> -keystore cacerts

Ahora que ya ha importado el certificado de la autoridad de firma, puede importar el certificado del servidor (puede establecerse la cadena de confianza). Escriba:

keytool -import -alias dell -file <csr-filename> -keystore cacerts

Utilice el alias del certificado autofirmado para emparejar la solicitud de CSR con el certificado del servidor.

Al listar el archivo cacerts se verá que el certificado del servidor tiene una

longitud de cadena de certificado

indica que el certificado no es autofirmado. Escriba:

keytool -list -v -keystore cacerts

Observe que la huella digital del segundo certificado en la cadena es el certificado importado de la autoridad de certificación (que también aparece en el listado bajo el certificado del servidor en la lista).

El certificado del servidor se ha importado correctamente, junto con el certificado de la autoridad de firma.

de 2, lo que

Guía de configuración 41

Page 42

42 Guía de configuración

Page 43

Page 44

0 XXXXXA0 X