Crear un certificado autofirmado personalizado

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Bizagi Studio > Bizagi Studio - instalación > Configurar HTTPS en sus proyectos desde Bizagi Studio >

Crear un certificado autofirmado personalizado

Introducción

Los navegadores han reforzado las políticas de seguridad y requieren que las aplicaciones web abiertas utilicen protocolos seguros como HTTPS. Debido a que se accede al Portal de trabajo de Bizagi mediante navegadores web, debe configurar todos los entornos del Portal de trabajo mediante HTTPS. Este artículo explica cómo configurarlo en sus diferentes entornos.

 

Navegadores que requieren HTTPS

Chrome desde la versión 58. También requiere que el certificado tenga el campo Nombre Alternativo del Sujeto (SAN)

Edge

Nota: Aunque es posible que otros navegadores no soliciten un certificado para usar el protocolo HTTPS, es recomendable configurar HTTPS para todos sus entornos (desarrollo, prueba y producción).

 

Configurar HTTPS para sus ambientes

Para configurar el protocolo HTTPS, debe seguir estos pasos:

 

1. Cree o compre un certificado digital

 Certificado para ambientes de Desarrollo o Pruebas

 Certificado para ambiente de producción

2. Configure el binding de HTTPS en el IIS

3. Agregue el certificado a la tienda de confianza de su servidor (aplica cuando el certificado no ha sido firmado por una autoridad certificadora).

 

Certificado para ambientes de desarrollo y prueba

Para los entornos de desarrollo o pruebas, puede utilizar o bien certificados comprados (que ya posee), certificados firmados por una autoridad certificadora (CA), o certificados autofirmados. Si usted usa certificados autofirmados, es importante que el certificado tenga el campo Nombre alternativo del sujeto ( Subject Alternative Name - SAN). Para generar un certificado autofirmado con el nombre alternativo del sujeto, puede seguir estos pasos:

 

Abra la consola de comandos de Powershell como administrador y use el siguiente comando:

 

New-SelfSignedCertificate -FriendlyName <name> -DnsName <DNS> -CertStoreLocation cert:\LocalMachine\My

 

Donde

<name> es un nombre amigable que le puede dar al certificado; por ejemplo, BizagiDev.

<DNS> es el DNS asociado a su sitio en el servidor (IIS). Si usted está usando localhost como su DNS, es recomendable que usted incluya todas las opciones para acceder a su localhost, por ejemplo:

 

-DnsName "localhost","127.0.0.1","localhost.domain.com","*.domain.com"

 

https_01

 

Este comando crea un certificado autofirmado utilizando un nombre alternativo del sujeto. Si tiene varios DnsNames o necesita otro almacenamiento de certificación, consulte más información sobre este comando Nuevo certificado autofirmado.

 

note_pin

Si no puede utilizar Powershell como administrador, puede utilizar las herramientas SDK. El procedimiento se describe en Cómo crear un certificado digital con soporte subjectAltName. Para este procedimiento es necesario que usted tenga una CA definida por su administrador de IT.

 

Para revisar el certificado, puede abrir el Administrador de servicios de información de Internet (IIS), seleccionar el nodo principal de su servidor y hacer clic en Certificados de servidor.

 

https_02

 

Aquí puede encontrar el certificado creado usando el comando:

 

https_03

 

Certificado para entornos de producción

En entornos de producción, no puede utilizar certificados autofirmados. Por lo tanto, debe adquirir un certificado de una CA, aquí hay algunas:

 

DigiCert

Symantec

Sectigo

RapidSSL

GeoTrust

Thawte

 

Algunos administradores de TI de las organizaciones tienen su propia CA. Necesitará un certificado firmado por la CA definida por su administrador de TI.

 

Después de obtener el certificado, puede proceder a configurar el enlace HTTPS en el IIS.

 

Establecer el enlace HTTPS en IIS

Una vez que tenga un certificado válido para su servidor, especifique los enlaces en el sitio web del portal de trabajo (de forma predeterminada, en el sitio web predeterminado). Agregue un nuevo binding. Seleccione el tipo de HTTPS y escriba el puerto, generalmente 443 para HTTPS. Luego seleccione el certificado SSL usando el certificado mencionado anteriormente.

 

https_04

 

Haga clic en Aceptar para guardar esta configuración.

 

Ahora se puede acceder a todos los sitios, dentro el sitio web predeterminado, como el Portal de Trabajo, el editor de Sitios o los sitios publicados, mediante el protocolo HTTPS.

 

note_pin

Cuando utilice HTTPS, considere editar el archivo web.config para especificar <add key = "PROTOCOL" value = "HTTPS" />.

Esto se aplica cuando se utilizan enlaces de casos en notificaciones de procesos, como se describe en Notificaciones mediante enlaces de casos.

 

Para más recomendaciones de seguridad en el IIS haga clic acá.

 

Agregue el certificado a la tienda de confianza de su servidor

Para incluir el certificado en el que confíe el servidor Certification Authorities Store, abra el cuadro de diálogo Run de Windows, buscando en Windows la palabra Run:

 

https_05

 

En el menú de archivo, haga clic en Agregar /Remover Snap In. Seleccione Certificados y haga click en Agregar.

 

https_06

 

Seleccione Cuenta de Computadora y haga clic en Siguiente. Seleccione Computadora local y haga clic en Finalizar. Luego haga clic en Aceptar.

 

Abra la carpeta personal y haga clic en la carpeta Certificados. Haga clic con el botón derecho en el Certificado con el nombre descriptivo creado con el comando. Seleccione Todas las tareas y haga clic en Exportar.

 

https_08

 

En el Asistente, haga clic en Siguiente. Seleccione Sí, exporte la llave privada y haga clic en Siguiente. Exporte el certificado en formato PFX.

 

https_09

 

Defina una contraseña y haga clic en siguiente.

 

Defina una carpeta y un nombre para exportar el archivo. Finalmente de clic en Finalizar. Ahora tiene el certificado exportado.

 

En la misma ventana de MMC, seleccione ahora Authoridades Confiadas de Certificación. Haga clic derecho en Certificados, y luego haga click en Todas Las Tareas /Importar.

 

https_10

 

En el asistente de importación, haga clic en Siguiente y luego seleccione el archivo exportado anteriormente. En el siguiente paso, escriba la contraseña utilizada al exportar el certificado. y seleccione la tienda Trusted Root Certification Authorities.

 

Después de anotar que si revisa su certificado en el IIS, el estado debe ser OK.

 

https_12

 

También puede revisar que su certificado es válido cuando acceda al Portal de Trabajo, haciendo click en el ícono de seguridad al lado de la URL:

 

https_13

 

note_pin

Si el navegador aún muestra que el certificado no es válido en Chrome, asegúrese de restablecer Google Chrome (cerrando todas las pestañas abiertas en el administrador de tareas) y restablecer su servidor de aplicaciones web (IIS).