Introducción al servicio y soporte
Novedades
5-Marzo-2025 certificados SSL OV
Ya tenemos disponible a través del nuevo proveedor (Harica) los certificados SSL de tipo OV.
Introducción y soporte
| Panel |
|---|
| borderColor | Darkblue |
|---|
| bgColor | AliceBlue |
|---|
| borderStyle | solid |
|---|
| title | Nota |
|---|
|
note |
El ASIC proporciona al resto de la comunidad universitaria un servicio de certificados SSL gratuito para los equipos inventariados y localizados en de la red local de la universidad y el dominio upv.es |
Para acceder a este servicio es necesario:
- Que el equipo donde se instale el certificado esté inventariado y ubicado la red local de la universidad.
- Puede solicitar el certificado cualquier responsable técnico del equipo.
...
dudas o problemas puede contactar con los gestores que prestan soporte a través de la aplicación Poli[Consulta]; |
...
...
| Nota |
|---|
| title | Certificados IGTF o tipo GRID |
|---|
|
Contacte con soporte con antelación si necesita un certificado tipo GRID o IGTF |
| Advertencia |
|---|
| title | Limitaciones al número de nombres de dominio |
|---|
|
Por limitaciones de la infraestructura que gestiona los certificados, no es posible autorizar certificados cuya lista de nombres alcancen o superen los 999 caracteres, incluyendo espacios. Esto es, la lista de todos los nombres incluidos en el certificado, por ejemplo; prueba.sub.upv.es
prueba2.sub.upv.es
prueba3.upv.es
prueba4.subdominio.upv.es No deben superar los 999 caracteres en total. Si es el caso, trocee la solicitud en varias solicitudes más pequeñas que encajen dentro de este límite. |
Tipos de certificados SSL
Los certificados SSL son archivos digitales que sirven para identificar un recurso o un servidor bajo un nombre DNS.
El uso más extendido es para configurar HTTPs en servidores web. Por ejemplo "https://miservidor.upv.es/". Sin embargo, también es compatible con otros muchos servicios.
Dentro de los certificados SSL, hay varios tipos;
- DV (domain validate) - son los certificados que se pueden solicitar por este servicio.
- OV (organization validate) - contacte con soporte con antelación si necesita un certificado de este tipo.
- EV (extended validation) - no se pueden solicitar mediante este servicio.
- IGTF o tipo GRID - certificados especiales para equipos de investigación. Contacte con soporte antes de solicitar este certificado.
| Nota |
|---|
| title | Certificados IGTF o tipo GRID |
|---|
|
Contacte con soporte con antelación si necesita un certificado tipo GRID o IGTF |
Solicitud de un certificado SSL
Todo el proceso de solicitud de un certificado SSL consta de estos pasos:
- Generar el CSR previamente (paso optativo y , pero recomendado).
- Introducir la solicitud a través de un formulario en la web de Harica.
- Esperar a que un gestor apruebe la solicitud, comprobando que el solicitante está autorizado en los subdominios que corresponda.
- Recoger el fichero de certificado de la web de Harica.
- Instalarlo en el servidor.
...
el CSR (optativo y recomendado)Existen dos posibilidades de gestión de la clave privada del certificado; generarla nosotros mismos (opción recomendada) o delegar en Harica la generación de la clave privada. Si deseamos generar y controlar nosotros la clave privada del certificado realizaremos los pasos de este apartado. En caso contrario, |
|
...
si deseamos delegar en Harica la generación de la clave privada, no se realizará este paso y se continuará directamente con el paso 2. Paso 1.0 Preparación del entorno| UI Expand |
|---|
| title | Paso 1.0 Preparación del entorno |
|---|
| Para la generación del CSR utilizaremos la herramienta "openssl" en un equipo Linux o Mac. - Utilice un equipo linux o Mac con openssl. Si no dispone de uno, puede utilizar Windows con cualquier distribución WSL. No es necesario que sea el mismo equipo donde se instalará el certificado.
- Genere una carpeta de trabajo para almacenar los ficheros que genere. Dentro de esta carpeta genere una subcarpeta con la fecha, para organizar sus solicitudes a lo largo del tiempo.
- Compruebe que dispone de la herramienta openssl con la instrucción:
| Bloque de código |
|---|
$ openssl version |
|
Paso 1.1 Revisar o modificar el fichero .conf |
|
...
Paso 1.3 Generar el CSR
En nuestro ejemplo para silvestre.upv.es
Se han cambiado los ficheros certificado.conf para que el nombre principal salga también como nombre alternativo.
| 1 Revisar o modificar el fichero .conf |
| Crearemos un fichero llamado certificado.conf con este contenido. Sustituya el texto "prueba.sub.upv.es" por el nombre de dominio de su equipo en las dos secciones en las que aparece. | Bloque de código |
|---|
| language | bash |
|---|
| title | certifcado.conf |
|---|
| HOME= .
#---------------------------------------------------------------------
[ req ]
string_mask = utf8only
default_bits = 2048
default_keyfile = certificado.key
default_md = sha256
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
[ req_distinguished_name ]
C = ES
# En caso de certificados Grid quitad los acentos a la UPV porque se detectan problemas
O = "Universitat Politècnica de València"
CN = prueba.sub.upv.es
[ req_ext ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.0 = prueba.sub.upv.es
|
| Advertencia |
|---|
| title | ficheros .conf anteriores |
|---|
| El formato del fichero .conf ha cambiado respecto de los que se usaban anteriormente. El cambio concreto es la existencia de una entrada alt_names con el nombre principal del equipo. Evite reutilizar ficheros .conf anteriores a febrero de 2025. |
Si el certificado es multidominio y desea incluir varios SAN (subject alternative names) añada las entradas que necesite como en el siguiente ejemplo |
|
|
...
: | Bloque de código |
|---|
| language | bash |
|---|
| title | certifcado.conf |
|---|
|
|
|
| collapse | true | HOME= .
#---------------------------------------------------------------------
[ req ]
string_mask = utf8only
default_bits = 2048
default_keyfile = certificado.key
default_md = sha256
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no
[ req_distinguished_name ]
C = ES
# En caso de certificados Grid quitad los acentos a la UPV porque se detectan problemas
O = "Universitat Politècnica de València"
CN = |
|
|
silvestre
[ req_ext ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.0 = |
|
|
silvestreprueba.sub.upv.es
DNS.1 = prueba2.sub.upv.es
DNS.2 = prueba3.upv.es
DNS.3 = prueba4.subdominio.upv.es
|
¡IMPORTANTE! Compruebe que el nombre principal del equipo aparece repetido en dos lugares.  Image Added
|
Paso 1.2 Generar la clave privada |
|
|---|
...
| Antes de generar la clave privada, elija qué algoritmo usar; RSA o ECDSA (también conocido como ECC). - ECDSA es el más moderno, ofrece mejor rendimiento y es el recomendado por sus ventajas.
- RSA es compatible con todos los sistemas, incluso con los sistemas antiguos.
- Si no sabe cuál escoger, elija RSA.
Si desea usar ECDSA ejecute esta instrucción; | Bloque de código |
|---|
$ openssl ecparam -genkey -name prime256v1 -out certificado.key |
Si desea usar RSA ejecuta esta otra; | Bloque de código |
|---|
$ openssl genrsa -out certificado.key 4096 |
|
Paso 1.3 Generar el CSR| UI Expand |
|---|
| title | Paso 1.3 Generar el CSR |
|---|
| Utilice la siguiente instrucción para generar el fichero CSR, que utilizará en los siguientes pasos. | Bloque de código |
|---|
$ openssl req -new -sha256 -config certificado.conf -key certificado.key -out certificado.csr |
|
|
| UI Step |
|---|
Paso 2. Introducir la solicitud en la página web de Harica |
|
El proceso de validación en Harica sería así:
1) Entramos en "Server"
Image Removed
2) Guardamos el CSR que nos han dado en Piolín en un fichero y lo importamos en el panel de HARICA
Image Removed
3) Nos deben aparecer todos los nombres. Si es múltiple también aparecerán los alias.
Image Removed
4) Continuamos el proceso hasta que nos pide autogeneral la clave o meter el csr. Metemos el csr
Image Removed
Image Removed
5) El certificado quedará para validar. Debe ser otro administrador quien lo valide. El que lo pide no puede hacerlo.
Image Removed
6) Una vez validado nos aparecerá para descargar
Image Removed
7) Descargaremos el PEM y lo insertaremos en Piolín para que se lo descargue el que lo pidió
Image Removed
8) El certificado, una vez instalado, tiene esta pinta:
Paso 2.1 Entrar en la web de Harica| UI Expand |
|---|
| title | Paso 2.1 - Entrar en la web de Harica |
|---|
| Entramos a la página de Harica en esta dirección; Este enlace redirige a la página de solicitud de certificados, que en el contrato actual corresponde con la web de Harica https://cm.harica.gr En la página de login, escogeremos la opción "Academic Login"  Image Added
Escribimos "upv" y seleccionamos "UPV - Universitat Politècnica de València"  Image Added
Nos llevará a la página de login de la UPV, donde utilizaremos nuestras credenciales para iniciar sesión.  Image Added
Si todo ha ido bien llegaremos a la siguiente página de Harica;  Image Added
|
Paso 2.2 Rellenar los datos de la solicitud | UI Expand |
|---|
| En el menú de la izquierda pulsamos sobre la opción "SERVER" Image Added Podemos poner el nombre que queramos;  Image Added
Si hemos realizado el paso 1 pulsaremos el botón "IMPORT" para introducir el CSR que hemos generado anteriormente.  Image Added
Si después de importar el fichero CSR, el sistema no reconoce automáticamente los nombres, se debe a que el CSR no tiene el formato adecuado. En concreto, este error es debido a que el nombre de dominio principal no está incluido en el apartado [alt_names]. Vuelva a generar el CSR con especial atención en el paso 1.1. Si no hemos realizado el paso 1, rellenaremos a mano los nombres de dominio para los que se emitirá el certificado. IMPORTANTE; evite demoras innecesarias indicando sólo los dominios a los que está autorizado. Sólo se aprobarán aquellas solicitudes cuyos nombres de dominio estén asociados a equipos responsabilidad del solicitante, según la aplicación corporativa de inventario. Si tiene dudas, contacte con soporte antes de realizar la solicitud.  Image Added
Se pueden elegir entre dos tipos de certificados; - "DOMAIN ONLY (DV)"
- "FOR ENTERPRISES OR ORGANIZATIONS (OV)"
Los dos tipos funcionan igual en todas las situaciones. La única diferencia es que el segundo incluye un texto "Organization: UPV" que el primero no añade. Pero este texto es meramente informativo y no es necesario para el funcionamiento. Puede elegir entre cualquiera de ellos ya que ambos se instalan igual y funcionan igual. Ejemplo de certificado tipo OV donde aparece resaltado el texto que no tienen los certificados DV:  Image Added
Seleccione entre DV o OV y pulse el botón "NEXT"
 Image Added
Lea las condiciones legales del servicio, y si está conforme con todas ellas, marque el recuadro correspondiente y el botón "NEXT"  Image Added
Si hemos realizado el paso 1 utilizaremos el botón "SUBMIT CSR MANUALLY" e introduciremos (de nuevo) el CSR que hemos generado (del que ya tenemos la clave privada).  Image Added
Si no hemos realizado el paso 1, rellenaremos con los siguientes datos. - Elija entre el algoritmo RSA o ECDSA.
- ECDSA es el más moderno, ofrece mejor rendimiento y es el recomendado por sus ventajas.
- RSA es compatible con todos los sistemas, incluso con los sistemas antiguos.
- Si no sabe cuál escoger, elija RSA.
- Todas las opciones de "key size" son válidas excepto
RSA 2048.
| Advertencia |
|---|
| RSA 2048 no está autorizado por el CCN para su uso en AAPP. No lo utilice. |
- Escriba una contraseña de mínimo 8 caracteres. Anótela en una ubicación temporal, la necesitará más adelante para instalar el certificado en el servidor.
Este paso no es necesario si ha subido manualmente el CSR, pues ya disponemos de la clave privada generada por nosotros mismos. Para el caso de CSR autogenerado, en la siguiente ventana pulse el enlace "DOWNLOAD" para descargar la clave privada generada por HARICA. ¡CUIDADO! si no realiza este paso antes de cerrar la ventana no podrá instalar el certificado que se va a generar, y deberá repetir todo el proceso desde el principio.  Image Added
|
|
| UI Step |
|---|
Paso 3. Esperar a que un gestor apruebe su solicitudAl terminar el paso anterior aparecerá una nueva entrada en la ventana principal bajo el epígrafe "PENDING CERTIFICATES" Si mueve el ratón sobre el texto "Waiting for 1 task" encontrará el mensaje "Please wait our validators to validate your request".  Image Added
|
| UI Step |
|---|
Paso 4. Descargar el certificadoRecibirá una notificación por correo electrónico tanto si se ha aceptado como si se ha rechazado su solicitud. Si se ha aceptado su solicitud entre en la página de Harica para descargar el certificado: En el apartado "VALID CERTIFICATES" aparecerá una entrada que le permitirá descargar su certificado.  Image Added
 Image Added
Todas las opciones contienen el mismo certificado pero en distintos formatos, elija el formato más adecuado según sus instrucciones de instalación. - PEM bundle - Es el formato más común. Si no sabe cuál elegir, escoja éste. El paquete que incluye el certificado generado más certificados intermedios. Si tiene problemas relacionados con la cadena de certificados, utilice este formato.
- PEM - Paquete con el certificado (sin la cadena de certificados intermedios). Se usa habitualmente cuando la cadena de certificados intermedios se debe instalar a parte.
|
|
| Incluir página |
|---|
| Pie de pagina manuales |
|---|
| Pie de pagina manuales |
|---|
|
Image Removed
