Introducción a la administración de certificados - Metasys - LIT-12013352 - M4-SNE10500-0 - M4-SNE11000-0 - M4-SNE110L0-0 - M4-SNE22000-0 - Supervisory Device - SNE16 Network Engine - SNE22 Network Engine - SNE Supervisory Network Engine - 10.1

Guía de puesta en marcha del SNE

Product
Document type
Commissioning Guide
Document number
LIT-12013352
Version
10.1
Revision date
2020-11-11

La administración de certificados es una opción de SCT que se utiliza para gestionar los certificados de confianza que se almacenan en los motores de red. Las mejoras en la versión 8.1 de Metasys supusieron una mayor seguridad al permitir la comunicación cifrada entre los servidores Metasys y los motores de red. Estas mejoras incluían la opción de configurar la comunicación cifrada y de confianza de los motores de red. A partir de la versión 9.0, está disponible una comunicación cifrada y fiable entre el servidor Metasys y los motores de red. El atributo Site Security Level del objeto Sitio controla esta capacidad. Pueden consultarse más detalles en ADS/ADX Commissioning Guide (LIT-1201645) .

Cuando se instala o actualiza un sitio Metasys a la versión 8.1 o posterior, los certificados autofirmados se instalan para el servidor Metasys y los motores de red de manera predeterminada. Los certificados autofirmados para los motores de red tienen una duración de tres años. Una vez instalados o actualizados los dispositivos, la comunicación del sistema Metasys se encripta. Si un cliente está satisfecho con las comunicaciones cifradas, no se requiere ningún paso de administración de certificados. Los componentes del sistema vienen en línea y se comunican como lo harían en cualquier versión de software de Metasys.

Opcionalmente, si se desean comunicaciones de confianza, el departamento de TI del cliente puede generar certificados de confianza u obtenerlos de una autoridad de certificación (CA) para los motores de red y el servidor Metasys. La opción de administración de certificados en SCT se utiliza para gestionar los certificados de confianza de los motores de red.
Nota: Si está implementando la administración de certificados en un sistema Metasys existente, tenga en cuenta que añadir un certificado de confianza puede requerir que añada un nombre de dominio al nombre de host original de un servidor o motor. Esta acción requiere que se renombren todos los datos de las bases de datos históricos de Metasys. Puede realizar la operación de cambio de nombre dentro de la SCT, pero tenga en cuenta que este procedimiento requiere operaciones intensivas de la base de datos que prolongan significativamente la actualización del sistema. Por lo tanto, asegúrese de asignar tiempo extra si va a renombrar los datos históricos como parte de una actualización a la versión 9.0 de Metasys. Para conocer más detalles sobre el cambio de nombre de un motor de red, consulte la sección Download en Metasys® SCT Help (LIT-12011964) .

El estado de conexión actualmente activo en el equipo se indica mediante un icono de escudo de seguridad que aparece en las ventanas de inicio de sesión de SMP y SCT de Metasys y en las pantallas principales de la interfaz de usuario de SMP y SCT. Si el motor utiliza certificados de confianza, aparece un icono de escudo verde con una marca de verificación. Si el motor utiliza certificados autofirmados, aparece un icono de escudo naranja con un signo de exclamación. Y finalmente, si la cadena del certificado al motor se rompe, el certificado se nombra mal o ha caducado, aparece un icono de escudo rojo con una X. La pantalla de inicio de sesión de la interfaz de usuario de Metasys no indica el estado de conexión activo.

Para ayudarle a recordar cuándo caducan los certificados de servidor instalados en los motores de red, el objeto Sitio tiene un atributo para recordar la renovación llamado Certificate Renewal Reminder. Este atributo regula cuándo comienzan los recordatorios de caducidad de los certificados. Especifica el número de días previos a la caducidad del certificado de seguridad antes de que se notifique diariamente a los operadores que un certificado de motor está a punto de caducar. Por ejemplo: si se utiliza el período predeterminado de 60 días, y un certificado de servidor en un motor de red caduca el 1 de enero, a partir del 1 de noviembre se envía a los operadores un evento que requiere acuse de recibo una vez al día o hasta que se renueve el certificado autofirmado o se instale un nuevo certificado de confianza.

En las secciones siguientes se describe cómo gestionar los certificados de seguridad de los motores de red con SCT 12.0, incluyendo cómo solicitar, cargar y descargar certificados. También se utiliza la Administración de certificados para añadir cada certificado de servidor Metasys de modo que la SCT pueda insertar el certificado raíz del servidor en los motores de red. Sin el certificado raíz, la comunicación del motor de red con el servidor Metasys funciona, pero no es fiable. Para configurar los certificados raíz, intermedio y de servidor en un servidor Metasys, consulte el documento correspondiente: Metasys® Server Installation and Upgrade Instructions (LIT-12012162) , ODS Installation and Upgrade Instructions (LIT-12011945) , Open Application Server (OAS) Installation Guide (LIT-12013222) o NAE85 Installation and Upgrade Instructions (LIT-12011530).

Figura 1 muestra un ejemplo de la ventana Certificate Management en SCT. Ábralo haciendo clic en Tools > Certificate Management. La ventana tiene una pestaña de certificados que incluye detalles sobre cada certificado del archivo. Desde esta ventana se puede solicitar, exportar o borrar un certificado. También se puede sustituir un certificado existente por un certificado autofirmado.

Figura 1. Pantalla principal de administración de certificados

La siguiente tabla explica cada columna de la ventana Certificates. Haga clic dentro del encabezado de una columna para clasificarla.

Tabla 1. Descripción de la tabla de certificados
Nombre de la columna Descripción

Status

Un icono de escudo de seguridad que indica el estado de conexión que ofrece el certificado.

: cifrado y de confianza

:cifrado y autofirmado

: cifrado, pero o bien la cadena del certificado hasta el sitio o el motor están rotos, el certificado tiene mal el nombre o ha caducado.

Icono de la casilla de verificación

Una casilla de verificación para seleccionar el dispositivo con el que desea trabajar.

Issued To

El nombre del dispositivo al que se le expide el certificado.

Type

El tipo de certificado: raíz, intermedio o servidor.

Device

El dispositivo al que está vinculado el certificado (único o múltiple para los certificados intermedio y raíz).

Expiration

La fecha en que caduca el certificado. La herramienta de administración de certificados destaca todos los certificados que caducarán dentro del plazo especificado por el atributo Certificate Renewal Period del objeto Sitio (o que ya hayan caducado). Además, el atributo Certificate Renewal Period del objeto Sitio controla cuándo comienzan los recordatorios de caducidad del certificado. Especifica el número de días previos a la caducidad del certificado de seguridad antes de que se notifique diariamente al operador que un certificado de motor está a punto de caducar. Este atributo está sincronizado con todos los dispositivos secundarios. El atributo que indica el período de renovación del certificado se aplica solo a los dispositivos en la versión 8.1 o posterior.

Details

Una flecha pulsable que abre un panel ampliado con información más detallada sobre el certificado.