Share via

Administrar los certificados de inspección de HTTPS

  • Artículo

Publicada: noviembre de 2009

Se aplica a: Forefront Threat Management Gateway (TMG)

En este tema se explica cómo instalar e implementar los certificados de inspección de HTTPS para la inspección del tráfico HTTPS, incluidos los requisitos previos y los procedimientos de configuración. Esos pasos no serán necesarios si solo implementa la inspección de HTTPS para la validación de certificados.

Requisitos previos

  • Para inspeccionar el tráfico HTTPS, debe haber un certificado de una entidad de certificación (CA) en el servidor Forefront TMG, que se debe implementar además en todos los equipos cliente. Para obtener información sobre cómo se puede obtener el certificado, vea Planeación para la inspección de HTTPS.

  • En una matriz administrada por un servidor EMS (Enterprise Management Server), el certificado se debe instalar en cada una de las matrices administradas por dicho servidor.

  • Cuando se usa un certificado de una entidad de certificación local o pública, el certificado debe ser de confianza para el servidor de Forefront TMG.

  • La implementación automática del certificado requiere que Forefront TMG se implemente en un entorno de dominio; en un entorno de grupo de trabajo, el certificado se implementa manualmente en cada equipo cliente.

  • En el caso de las aplicaciones que usan almacenes de certificados de su propiedad, como Mozilla Firefox, es preciso implementar el certificado manualmente, lo que incluye la implementación para los usuarios del dominio.

  • Para notificar a los usuarios la inspección del tráfico HTTPS, el cliente de Forefront TMG debe estar instalado en los equipos cliente.

Información general sobre la configuración

Para administrar la certificación de la inspección de HTTPS se requieren dos pasos:

  1. Ubicar un certificado de una entidad de certificación en el servidor de Forefront TMG; este certificado actúa como certificado de inspección de HTTPS. Para obtener más información, vea Ubicar el certificado de inspección de HTTPS en el servidor de Forefront TMG.

  2. Implementar el certificado de inspección de HTTPS en los equipos cliente y ubicarlo en el almacén de certificados de entidades de certificación raíz de confianza. Para obtener más información, vea Implementar el certificado de inspección de HTTPS en los equipos cliente.

Ubicar el certificado de inspección de HTTPS en el servidor de Forefront TMG

En los siguientes procedimientos se describe cómo ubicar el certificado de inspección de HTTPS en el servidor de Forefront TMG. Debería seleccionar el método adecuado para el certificado que desea usar.

  • Generar un certificado autofirmado

  • Importar un certificado de una entidad de certificación local o pública

Generar un certificado autofirmado

  1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, en el recuadro Tareas, haga clic en Configurar inspección de HTTPS.

  2. En el cuadro de diálogo Inspección de HTTPS saliente, en la pestaña General, bajo Configuración de certificado de inspección de HTTPS, seleccione Usar Forefront TMG para generar un certificado y, a continuación, haga clic en Generar.

  3. En el cuadro de diálogo Generar certificado, puede personalizar los detalles del certificado; escriba, por ejemplo, un nombre personalizado para el certificado de inspección de HTTPS o seleccione una fecha de expiración. Después de especificar los detalles necesarios, haga clic en Generar certificado ahora.

  4. En el cuadro de diálogo Certificado, haga clic en Aceptar.

    Importante

    No haga clic en Instalar certificado.

El próximo paso es implementar el certificado en los equipos cliente. Sin cerrar el cuadro de diálogo Inspección de HTTPS saliente, vaya a Implementar el certificado de inspección de HTTPS en los equipos cliente.

Importar un certificado de una entidad de certificación local o pública

  1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, en el recuadro Tareas, haga clic en Configurar inspección de HTTPS.

  2. En el cuadro de diálogo Inspección de HTTPS saliente, en la pestaña General, bajo Configuración de certificado de inspección de HTTPS, seleccione Importar una certificado, haga clic en Importar y, a continuación, utilice el cuadro de diálogo Abrir para seleccionar el certificado que desea importar.

El próximo paso es implementar el certificado en los equipos cliente. Sin cerrar el cuadro de diálogo Inspección de HTTPS saliente, vaya a Implementar el certificado de inspección de HTTPS en los equipos cliente.

Implementar el certificado de inspección de HTTPS en los equipos cliente

Puede recurrir a uno de los siguientes métodos para implementar el certificado en los equipos cliente:

  • Automáticamente, a través de Servicios de dominio de Active Directory (AD DS). Para obtener más información, vea Implementar el certificado de inspección de HTTPS manualmente.

  • Si no usa AD DS, debe instalar el certificado manualmente en cada equipo cliente y ubicarlo en el almacén de certificados de entidades de certificación raíz de confianza del equipo. Para obtener más información, vea Implementar el certificado de inspección de HTTPS manualmente.

Nota

Este procedimiento describe cómo implementar el certificado de inspección de HTTPS en equipos cliente que ejecuten un explorador web que usa los almacenes de certificados de Windows, como Internet Explorer. Para configurar los demás exploradores web para que confíen en el certificado, consulte la documentación del explorador web.

Implementar el certificado de inspección de HTTPS automáticamente

  1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, en el recuadro Tareas, haga clic en Configurar inspección de HTTPS.

  2. En el cuadro de diálogo Inspección de HTTPS saliente, en la pestaña General, haga clic en Opciones de certificado de entidad de certificación raíz de confianza HTTPS.

  3. En el cuadro de diálogo Opciones de implementación de certificados, seleccione Automáticamente a través de Active Directory (recomendado) y, a continuación, haga clic en Credenciales de administrador de dominio.

  4. En el cuadro de diálogo Microsoft Threat Management Gateway, escriba las credenciales y, a continuación, haga clic en Aceptar.

    Nota

    Las credenciales que escriba deben tener privilegios suficientes para actualizar AD DS y permitir ejecutar los procesos en Forefront TMG.

  5. Cierre los cuadros de diálogo Opciones de implementación de certificados e Inspección de HTTPS saliente. En la barra Aplicar cambios, haga clic en Aplicar. No se necesita ninguna configuración adicional; el certificado se reenvía a Active Directory y se implementa automáticamente a los equipos cliente.

    Importante

    • La implementación en los equipos cliente se produce una vez aplicada la directiva de grupo; el proceso puede tardar hasta ocho horas.

    • Hasta que los equipos cliente reciben el certificado, el acceso a los sitios web HTTPS generará un mensaje de advertencia en Internet Explorer. Para evitarlo, se recomienda que deshabilite la inspección de HTTPS temporalmente. Para ello haga clic en Configurar inspección de HTTPS en el panel Tareas del nodo Directiva de acceso web y desactive la casilla Habilitar inspección de HTTPS. Cuando la implementación haya finalizado, vuelva a habilitar la inspección de HTTPS.

Implementar el certificado de inspección de HTTPS manualmente

La implementación manual del certificado de CA raíz de confianza de inspección HTTPS requiere dos acciones:

  1. Exportar el certificado desde Forefront TMG.

  2. Importar el certificado a todos los equipos cliente. Para esta operación se requieren derechos administrativos en el equipo cliente.

Para exportar el certificado

  1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuación, en el recuadro Tareas, haga clic en Configurar inspección de HTTPS.

  2. En el cuadro de diálogo Inspección de HTTPS saliente, en la pestaña General, haga clic en Opciones de certificado de entidad de certificación raíz de confianza HTTPS.

  3. En el cuadro de diálogo Opciones de implementación de certificados, seleccione Manualmente en cada equipo cliente, haga clic en Exportar al archivo y, a continuación, use el cuadro de diálogo Guardar como para exportar el certificado.

Para importar el certificado a un equipo cliente

  1. En el equipo cliente, haga clic en Inicio, Todos los programas, Accesorios y, a continuación, haga clic en Ejecutar.

  2. Escriba MMC y, a continuación, presione ENTRAR.

  3. En Microsoft Management Console, haga clic en el menú Archivo, en Agregar o quitar complemento, haga clic en Certificados y, a continuación, haga clic en Agregar.

  4. En el cuadro de diálogo Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente. En la ventana Agregar o quitar complementos, haga clic en Aceptar. Se cerrará la ventana Agregar o quitar complementos.

  5. En la ventana Seleccionar equipo, asegúrese de que Equipo local está seleccionado y, a continuación, haga clic en Finalizar.

  6. En Microsoft Management Console, en el panel Nombre de almacén lógico, haga clic con el botón secundario en Entidades de certificación raíz de confianza, haga clic en Todas las tareas y, a continuación, haga clic en Importar.

  7. En el Asistente para importación de certificados, busque el archivo que guardó al exportar el certificado y, a continuación, haga clic en Siguiente.

  8. En la página Almacén de certificados, asegúrese de que todos los certificados se colocan en el almacén de certificados Entidades de certificación raíz de confianza, haga clic en Siguiente y, a continuación, haga clic en Finalizar.

Temas relacionados

Conceptos

Configurar la inspección de HTTPS en la puerta de enlace web segura de Forefront TMG