Crear un perfil de certificado para servidores SSL

A continuación se describe cómo crear perfiles de certificado para certificados de servidor.

Para obtener más información conceptual sobre los perfiles de certificado, consulte Descripción general de los perfiles de certificado y para obtener información sobre los campos de perfiles de certificado disponibles, consulte Campos de perfil de certificado .

Los perfiles de certificado proporcionan una plantilla y restricciones para los certificados generados para un propósito específico. El perfil de certificado seleccionado para una CA restringe los certificados para las claves de dicha CA, no los certificados que, a su vez, están firmados por dichas claves. Estos se definen en el perfil de entidad final .

Esta es solo una guía de ejemplo y no se ajusta a ningún programa o estándar de requisitos básicos. Dado que los estándares y los requisitos tienden a diferir y evolucionar, siempre es responsabilidad del usuario final garantizar que sus configuraciones cumplan con los requisitos.

Crear un perfil de certificado para certificados de servidor

Para crear un perfil de certificado adecuado para servidores SSL/TLS, como servidores web, haga lo siguiente:

  1. Haga clic en Perfiles de certificado en Funciones de CA para abrir la página Administrar perfiles de certificado.

  2. Especifique un nombre para el perfil del certificado, por ejemplo SSLServerCertificateProfile , y haga clic en Agregar .

    imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_17.03.33.png

  3. Busque su nuevo SSLServerCertificateProfile en la Lista de perfiles de certificado y haga clic en Editar .

  4. Edite la configuración de acuerdo con lo siguiente:

    • En Tipo , seleccione Entidad final .

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_17.04.26.png

    • Seleccione el algoritmo y los parámetros que desee aceptar; este ejemplo utiliza RSA y tamaños de clave de 2048 y 4096 como aceptables.

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_17.05.24.png

    • En el campo Validez , ingrese 365d para especificar la validez del certificado por 1 año.

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_las_17.10.49.png

    • Desplácese hacia abajo hasta Permisos y asegúrese de que la opción Permitir anulación del uso de clave no esté seleccionada, ya que esto permitiría que un CSR anule los usos de clave especificados en el perfil.

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_las_17.13.11.png

    • Desplácese hacia abajo hasta Uso de clave y seleccione Firma digital y Cifrado de clave .

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_las_17.14.47.png

    • Habilite el uso extendido de clave y seleccione Autenticación de servidor .

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_las_17.16.14.png

    • Si utiliza Transparencia de certificados , seleccione Usar en nuevos certificados y luego seleccione las etiquetas (grupos de registros) que desea enviar a

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_las_17.18.12.png

    • Si su flujo de trabajo requiere que varios administradores aprueben las solicitudes de certificados , desplácese hacia abajo hasta Configuración de aprobación y seleccione su esquema de aprobaciones.

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_las_17.21.32.png

    • Desplácese hacia abajo hasta Otros datos y en la lista de CA disponibles , seleccione las CA que desea que puedan utilizar este perfil.

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_las_17.23.44.png



    • Si desea publicar sus certificados (por ejemplo, publicar revocaciones en una autoridad de verificación), seleccione sus editores en la fila Editores .

      imágenes/descargar/archivos adjuntos/132448352/Captura de pantalla_2020-12-21_a_las_17.23.57.png

  5. Haga clic en Guardar para guardar la configuración y ver el nuevo perfil de certificado en la lista.

Crear un perfil de certificado para certificados de servidor a partir de una plantilla

Puede crear un nuevo perfil de certificado clonando una plantilla predeterminada o cualquier otro perfil de certificado existente. La página "Administrar perfiles de certificado" ( Funciones de CA > Perfiles de certificado ) muestra todos los perfiles disponibles y enumera los perfiles predeterminados en la parte superior de la lista de perfiles de certificado , seguidos de los perfiles de certificado existentes.

Para crear un nuevo perfil de certificado utilizando un perfil existente como plantilla, haga lo siguiente:

  1. Haga clic en Perfiles de certificado en Funciones de CA para abrir la página Administrar perfiles de certificado.

  2. Busque el perfil de certificado que desea utilizar como plantilla, por ejemplo la plantilla SERVIDOR predeterminada, y haga clic en Clonar.

  3. En la pantalla Clonar que aparece, especifique un nombre para su nuevo perfil de certificado, por ejemplo SSLServerCertificateProfile , y haga clic en Crear desde plantilla .

  4. Busque su nuevo SSLServerCertificateProfile en la Lista de perfiles de certificado y haga clic en Editar para realizar cualquier cambio.