- -
Manuales de las Aplicaciones Corporativas

Accesos directos de espacio

Árbol de páginas

Versiones comparadas

Versión anterior 20

changes.mady.by.user Beatriz De la Blanca Sanchez

Guardado el

comparado con

Nueva versión Actual

changes.mady.by.user Beatriz De la Blanca Sanchez

Guardado el

Clave

  • Se ha añadido esta línea.
  • Se ha eliminado esta línea.
  • El formato se ha cambiado.

Tabla de contenidos

Introducción al servicio y soporte

Novedades

5-Marzo-2025 certificados SSL OV

Ya tenemos disponible a través del nuevo proveedor (Harica) los certificados SSL de tipo OV.

Introducción y soporte

note
Panel
borderColorDarkblue
bgColorAliceBlue
borderStylesolid
titleNota

El ASIC proporciona al resto de la comunidad universitaria un servicio de certificados SSL gratuito para los equipos inventariados y localizados en de la red local de la universidad y el dominio upv.es


Para acceder a este servicio es necesario:

  • Que el equipo donde se instale el certificado esté inventariado y ubicado la red local de la universidad.
  • Puede solicitar el certificado cualquier responsable técnico del equipo.


Sugerencia
titleSOPORTE

Si tiene

...

dudas o problemas puede contactar con los gestores que prestan soporte a través de la aplicación Poli[Consulta];

...

https://policonsulta.upv.es/

...


Nota
titleCertificados IGTF o tipo GRID

Contacte con soporte con antelación si necesita un certificado tipo GRID o IGTF


Advertencia
titleLimitaciones al número de nombres de dominio

Por limitaciones de la infraestructura que gestiona los certificados, no es posible autorizar certificados cuya lista de nombres alcancen o superen los 999 caracteres, incluyendo espacios.

Esto es, la lista de todos los nombres incluidos en el certificado, por ejemplo;

prueba.sub.upv.es 
prueba2.sub.upv.es
prueba3.upv.es
prueba4.subdominio.upv.es

No deben superar los 999 caracteres en total. Si es el caso, trocee la solicitud en varias solicitudes más pequeñas que encajen dentro de este límite.

Tipos de certificados SSL que se pueden solicitar

Los certificados SSL son archivos digitales que sirven para identificar un recurso o un servidor bajo un nombre DNS. 

El uso más extendido es para configurar HTTPs en servidores web. Por ejemplo "https://miservidor.upv.es/". Sin embargo, también es compatible con otros muchos servicios.

Dentro de los certificados SSL, hay varios tipos;

  • DV (domain validate) - son los certificados que se pueden solicitar por este servicio.
  • OV (organization validate) - contacte con soporte con antelación si necesita un certificado de este tipo. 
  • EV (extended validation) - no se pueden solicitar mediante este servicio.
  • IGTF o tipo GRID - certificados especiales para equipos de investigación. Contacte con soporte antes de solicitar este certificado.
Nota
titleCertificados IGTF o tipo GRID

Contacte con soporte con antelación si necesita un certificado tipo GRID o IGTF


Solicitud de un certificado SSL

Todo el proceso de solicitud de un certificado SSL consta de estos pasos:

  1. Generar el CSR previamente (paso optativo y , pero recomendado).
  2. Introducir la solicitud a través de un formulario en la web de Harica.
  3. Esperar a que un gestor apruebe la solicitud, comprobando que el solicitante está autorizado en los subdominios que corresponda.
  4. Recoger el fichero de certificado de la web de Harica.
  5. Instalarlo en el servidor.


UI Steps
UI Step

Paso 1. Generar el CSR (optativo y recomendado)

Existen dos posibilidades de gestión de la clave privada del certificado; generarla nosotros mismos (opción recomendada) o delegar en Harica la generación de la clave privada.

Si deseamos generar y controlar nosotros la clave privada del certificado realizaremos los pasos de este apartado. En caso contrario, si deseamos delegar en Harica la generación de la clave privada, no se realizará este paso y se continuará directamente con el paso 2.

Paso 1.0 Preparación del entorno

title
UI Expand
titlePaso 1.0 Preparación del entorno

Para la generación del CSR utilizaremos la herramienta "openssl" en un equipo Linux o Mac. 

  • Utilice un equipo linux o Mac con openssl. Si no dispone de uno, puede utilizar Windows con cualquier distribución WSL. No es necesario que sea el mismo equipo donde se instalará el certificado.
  • Genere una carpeta de trabajo para almacenar los ficheros que genere. Dentro de esta carpeta genere una subcarpeta con la fecha, para organizar sus solicitudes a lo largo del tiempo.
  • Compruebe que dispone de la herramienta openssl con la instrucción:
Bloque de código
$ openssl version
expandedtrue

Paso 1.1 Revisar o modificar el fichero .conf
 UI Expand
titlePaso 1.1 Revisar o modificar el fichero .conf
Crearemos un fichero llamado certificado.conf con este contenido. Sustituya el texto "prueba.sub.upv.es" por el nombre de dominio de su equipo en las dos secciones en las que aparece.
En nuestro ejemplo para silvestre.upv.es
Se han cambiado los ficheros certificado.conf para que el nombre principal salga también como nombre alternativo.
 Bloque de código
languagebash
titlecertifcado.conf
HOME= .

#--------------------------------------------------------------------- 
[ req ]
string_mask = utf8only
default_bits = 2048
default_keyfile = certificado.key
default_md = sha256
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
 
[ req_distinguished_name ]
C = ES
# En caso de certificados Grid quitad los acentos a la UPV porque se detectan problemas
O  = "Universitat Politècnica de València"
CN = prueba.sub.upv.es

[ req_ext ]
basicConstraints  = CA:FALSE
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth
 
subjectAltName = @alt_names
 
[alt_names]
DNS.0 = prueba.sub.upv.es
 


 Advertencia
titleficheros .conf anteriores
El formato del fichero .conf ha cambiado respecto de los que se usaban anteriormente. El cambio concreto es la existencia de una entrada alt_names con el nombre principal del equipo.
Evite reutilizar ficheros .conf anteriores a febrero de 2025.

Si el certificado es multidominio y desea incluir varios SAN (subject alternative names) añada las entradas que necesite como en el siguiente ejemploEn este caso el fichero de configuración queda así:
 Bloque de código
languagebash
titlecertifcado.conf
HOME= .

#--------------------------------------------------------------------- 
[ req ]
string_mask = utf8only
default_bits = 2048
default_keyfile = certificado.key
default_md = sha256
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
 
[ req_distinguished_name ]
C = ES
# En caso de certificados Grid quitad los acentos a la UPV porque se detectan problemas
O  = "Universitat Politècnica de València" 
CN = silvestreprueba.sub.upv.es
 
[ req_ext ]
basicConstraints  = CA:FALSE
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth
 
subjectAltName = @alt_names
 
[alt_names]
DNS.0 = prueba.sub.upv.es
DNS.1 = prueba2.sub.upv.es
DNS.2 = prueba3.upv.es
DNS.3 = silvestreprueba4.subdominio.upv.es


 UI Expand
expandedtrue
title
¡IMPORTANTE! Compruebe que el nombre principal del equipo aparece repetido en dos lugares.
Image Added
Paso 1.2 Generar la clave privada
title
 UI Expand
titlePaso 1.2 Generar la clave privada
 UI Expand
Antes de generar la clave privada, elija qué algoritmo usar; RSA o ECDSA (también conocido como ECC). 
    • ECDSA es el más moderno, ofrece mejor rendimiento y es el recomendado por sus ventajas.
    • RSA es compatible con todos los sistemas, incluso con los sistemas antiguos.
    • Si no sabe cuál escoger, elija RSA.
Si desea usar ECDSA ejecute esta instrucción;
 Bloque de código
$ openssl ecparam -genkey -name prime256v1 -out certificado.key
Si desea usar RSA ejecuta esta otra;
 Bloque de código
$ openssl genrsa -out certificado.key 4096

Paso 1.3 Generar el CSR
 UI Expand
titlePaso 1.3 Generar el CSR
Utilice la siguiente instrucción para generar el fichero CSR, que utilizará en los siguientes pasos.
 Bloque de código
$ openssl req -new -sha256 -config certificado.conf -key certificado.key -out certificado.csr



Paso 2.1 
 - 
 Entrar en la web de Harica
 UI Step
Paso 2. Introducir la solicitud en la página web de Harica
 UI Expand
expandedtrue
title
 UI Expand
titlePaso 2.1 - Entrar en la web de Harica
Entramos a la página de Harica en esta dirección;
 UI Text Box
sizelarge
iconnote
http://www.upv.es/id/336
Este enlace redirige a la página de solicitud de certificados, que en el contrato actual corresponde con la web de Harica https://cm.harica.gr
En la página de login, escogeremos la opción "Academic Login"
Escribimos "upv" y seleccionamos "UPV - Universitat Politècnica de València"
Nos llevará a la página de login de la UPV, donde utilizaremos nuestras credenciales para iniciar sesión.
Si todo ha ido bien llegaremos a la siguiente página de Harica;

Paso 2.2 Rellenar los datos de la solicitud 
 UI Expand
expandedtrue
titlePaso 2.2
Paso 2.2 Rellenar los datos de la solicitud 
En el menú de la izquierda pulsamos sobre la opción "SERVER"
Podemos poner el nombre que queramos;
Si hemos realizado el paso 1 pulsaremos el botón "IMPORT" para introducir el CSR que hemos generado anteriormente.
Si después de importar el fichero CSR, el sistema no reconoce automáticamente los nombres, se debe a que el CSR no tiene el formato adecuado. En concreto, este error es debido a que el nombre de dominio principal no está incluido en el apartado [alt_names]. Vuelva a generar el CSR con especial atención en el paso 1.1.
Si no hemos realizado el paso 1, rellenaremos a mano los nombres de dominio para los que se emitirá el certificado. IMPORTANTE; evite demoras innecesarias indicando sólo los dominios a los que está autorizado. Sólo se aprobarán aquellas solicitudes cuyos nombres de dominio estén asociados a equipos responsabilidad del solicitante, según la aplicación corporativa de inventario. Si tiene dudas, contacte con soporte antes de realizar la solicitud.
Seleccione 
Se pueden elegir entre dos tipos de certificados;
  • "DOMAIN ONLY (DV)"
  • "FOR ENTERPRISES OR ORGANIZATIONS (OV)"
Los dos tipos funcionan igual en todas las situaciones. La única diferencia es que el segundo incluye un texto "Organization: UPV" que el primero no añade. Pero este texto es meramente informativo y no es necesario para el funcionamiento. Puede elegir entre cualquiera de ellos ya que ambos se instalan igual y funcionan igual. 
Ejemplo de certificado tipo OV donde aparece resaltado el texto que no tienen los certificados DV:
Image Added

Seleccione entre DV o OV y pulse el botón "NEXT"

Lea las condiciones legales del servicio, y si está conforme con todas ellas, marque el recuadro correspondiente y el botón "NEXT"
Si hemos realizado el paso 1 utilizaremos el botón "SUBMIT CSR MANUALLY" e introduciremos (de nuevo) el CSR que hemos generado (del que ya tenemos la clave privada).
Si no hemos realizado el paso 1, rellenaremos con los siguientes datos.
  • Elija entre el algoritmo RSA o ECDSA. 
    • ECDSA es el más moderno, ofrece mejor rendimiento y es el recomendado por sus ventajas.
    • RSA es compatible con todos los sistemas, incluso con los sistemas antiguos.
    • Si no sabe cuál escoger, elija RSA.
  • Todas las opciones de "key size" son válidas excepto RSA 2048
 Advertencia
titleRSA 2048 bits
RSA 2048 no está autorizado por el CCN para su uso en AAPP. No lo utilice.
  •  Escriba Escriba una contraseña de mínimo 8 caracteres. Anótela en una ubicación temporal, la necesitará más adelante para instalar el certificado en el servidor.
En Este paso no es necesario si ha subido manualmente el CSR, pues ya disponemos de la clave privada generada por nosotros mismos. Para el caso de CSR autogenerado, en la siguiente ventana pulse el enlace "DOWNLOAD" para descargar la clave privada generada por HARICA. ¡CUIDADO! si no realiza este paso antes de cerrar la ventana no podrá instalar el certificado que se va a generar, y deberá repetir todo el proceso desde el principio.



 UI Step
Paso 3. Esperar a que un gestor apruebe su solicitud
Al terminar el paso anterior aparecerá una nueva entrada en la ventana principal bajo el epígrafe "PENDING CERTIFICATES"
Si mueve el ratón sobre el texto "Waiting for 1 task" encontrará el mensaje "Please wait our validators to validate your request".

 UI Step
Paso 4. Descargar el certificado
Recibirá una notificación por correo electrónico tanto si se ha aceptado como si se ha rechazado su solicitud.
Entre Si se ha aceptado su solicitud entre en la página de Harica para descargar el certificado:
 UI Text Box
sizelarge
iconnote
http://www.upv.es/id/336
En el apartado "VALID CERTIFICATES" aparecerá una entrada que le permitirá descargar su certificado.

Image RemovedImage Added
Todas las opciones contienen el mismo certificado pero en distintos formatos, elija el formato más adecuado a según sus instrucciones de instalación.
  • PEM  - si bundle - Es el formato más común. Si no sabe cuál elegir, escoja éste. Es el formato que se usaba en el anterior sistema.PEM bundle - El paquete que incluye el certificado generado más certificados intermedios. Si tiene problemas relacionados con la cadena de certificados, utilice este formato.
  • PEM - Paquete con el certificado (sin la cadena de certificados intermedios). Se usa habitualmente cuando la cadena de certificados intermedios se debe instalar a parte.


 UI Step
Paso 5. Instale el certificado en el servidor y realice comprobaciones
Este paso se detalla aquí; XXXXXXXXXX 2 - Instalación de un certificado SSL




 Incluir página
Pie de pagina manuales
Pie de pagina manuales