Exportación de cadenas de certificados de CA de cliente de confianza para usarlos en la autenticación de clientes

  • Artículo

Para configurar la autenticación mutua con el cliente o la autenticación de clientes, Application Gateway requiere que se cargue una cadena de certificados de CA de cliente de confianza en la puerta de enlace. Si tiene varias cadenas de certificados, debe crear las cadenas por separado y cargarlas como archivos diferentes en Application Gateway. En este artículo, aprenderá a exportar una cadena de certificados de CA de cliente de confianza, que puede usar en la configuración de autenticación de clientes en la puerta de enlace.

Requisitos previos

Para generar la cadena de certificados de CA de cliente de confianza se requiere un certificado de cliente existente.

Exportación de certificados de CA de cliente de confianza

Se requiere un certificado de CA de cliente de confianza para permitir la autenticación de clientes en Application Gateway. En este ejemplo, se usa un certificado TLS/SSL como certificado de cliente, se exporta su clave pública y, luego, se exportarán los certificados de CA de la clave pública para obtener los certificado de CA de cliente de confianza. Luego, se concatenaran todos los certificados de CA de cliente en una cadena de certificados de CA de cliente de confianza.

Los siguientes pasos le ayudan a exportar el archivo .pm o .cer para el certificado:

Exportación de un certificado público

  1. Para obtener un archivo .cer del certificado, abra Administrar certificados de usuario. Busque el certificado; normalmente se encuentra en "Certificados - Usuario actual\Personal\Certificados" y haga clic con el botón derecho. Haga clic en Todas las tareas y, luego, en Exportar. Se abre el Asistente para exportar certificados. Si no encuentra el certificado en Usuario actual\Personal\Certificados, puede que haya abierto de forma accidental "Certificados – equipo Local", en lugar de "Certificados - Usuario actual"). Si desea abrir el Administrador de certificados en el ámbito del usuario actual mediante PowerShell, escriba certmgr en la ventana de la consola.

    Screenshot shows the Certificate Manager with Certificates selected and a contextual menu with All tasks, then Export selected.

  2. En el asistente, haga clic en Siguiente.

    Screenshot of export certificate.

  3. Seleccione No exportar la clave privada y, después, haga clic en Siguiente.

    Screenshot of do not export the private key.

  4. En la página Formato de archivo de exportación, seleccione X.509 codificado base 64 (.CER) y, luego, haga clic en Siguiente.

    Screenshot of Base-64 encoded.

  5. En Archivo que se va a exportar, haga clic en Examinar para ir a la ubicación a la que desea exportar el certificado. En Nombre de archivo, asígnele un nombre al archivo de certificado. A continuación, haga clic en Siguiente.

    Screenshot shows the Certificate Export Wizard where you specify a file to export.

  6. Haga clic en Finalizar para exportar el certificado.

    Screenshot shows the Certificate Export Wizard after you complete the file export.

  7. El certificado se exportó correctamente.

    Screenshot shows the Certificate Export Wizard with a success message.

    El certificado exportado tiene un aspecto similar al siguiente:

    Screenshot shows a certificate symbol.

Exportación de certificados de CA desde el certificado público

Ahora que ha exportado el certificado público, exportará los certificados de CA desde el certificado público. Si solo tiene una CA raíz, únicamente tendrá que exportar ese certificado. Sin embargo, si tiene varias CA intermedias, deberá exportar también todas ellas.

  1. Cuando se haya exportado la clave pública, abra el archivo.

    Screenshot of Open authorization certificate.

    Screenshot of about certificate.

  2. Seleccione la pestaña Ruta de certificación para ver la entidad de certificación.

    Screenshot of certificate details.

  3. Seleccione el certificado raíz y haga clic en Ver certificado.

    Screenshot of certificate path.

    Debería ver los detalles del certificado raíz.

    Screenshot of certificate info.

  4. Seleccione la pestaña Detalles y haga clic en Copiar en archivo...

    Screenshot of copy root certificate.

  5. En este punto, ha extraído los detalles del certificado de CA del certificado de back-end. Verá el Asistente para exportación de certificados. Siga los pasos 2 a 7 de la sección anterior (Exportación de un certificado público) para completar el Asistente para exportación de certificados.

  6. Ahora repita los pasos 2 a 6 de esta sección (Exportación de certificados de CA desde el certificado público) en todas las CA intermedias para exportar todos los certificados de CA intermedios en formato X.509 codificado con Base 64 (.CER).

    Screenshot of intermediate certificate.

    Por ejemplo, repita los pasos 2 a 6 de esta sección en la CA intermedia MSIT CAZ2 para extraerlo como su propio certificado.

Concatenación de todos los certificados de CA en un archivo

  1. Ejecute el siguiente comando con todos los certificados CA que extrajo anteriormente.

    Windows:

    type intermediateCA.cer rootCA.cer > combined.cer

    Linux:

    cat intermediateCA.cer rootCA.cer >> combined.cer

    El certificado combinado resultante debería ser similar al siguiente:

    Screenshot of combined certificate.

Pasos siguientes

Ya tiene la cadena de certificados de CA de cliente de confianza. Puede agregarla a la configuración de autenticación del cliente en Application Gateway para permitir la autenticación mutua con la puerta de enlace. Consulte la secciones sobre configuración de la autenticación mutua mediante Application Gateway con Azure Portal o configuración de la autenticación mutua mediante Application Gateway con PowerShell.