En esta ocasión mostramos un procedimiento que nos ha remitido Alejoso en el que podremos ver paso a paso como crear un certificado de seguridad para posteriormente ser utilizado en Web Interface en nuestra granja de XenApp o XenDektop, al ser un procedimiento totalmente mixto.

Para poder realizar el proceso de configuración podremos basarnos inicialmente en el documento ya existente en la knowledgebase de ctxdom.com, ya que ciertos pasos iniciales no están incluidos en este procedimiento. (Pulsar aquí para acceder al procedimiento).

El primer paso a realizar será el establecer en el servidor de IIS (Web) la entidad certificadora o CA, ello será agregado como componente e instalado para poder realizar el proceso de configuración. Una vez iniciado el proceso de configuración, el procedimiento inicial será el siguiente:

• Accedermos a Panel de control
  
• Pulsaremos en Add remove components
  
• Seleccionaremos, Certificate Services
  

Seleccionaremos Stand-alone root CA, pulsaremos Next,

Se establece el estandar que es “NOMBRE DE SERVDOR”+”CITRIX”+ “CA”, por un periodo de valides de 5 años, pulsaremos Next,

Dejaremos los parámetros por defecto , y el SharedFolder correspondiente a configuración también, pulsando Next,

Desde el menú Inicio/Start, accederemos a Administrative Tools y seleccionaremos Certification Authority, apareciendo en la siguiente ventana la entidad certificadora que se creo al momento de agregar el componente CA al servidor,

 Sobre la entidad certificadora TESTCITRIXICA, pulsaremos botón izquierdo del ratón y seleccionaremos Propiedades,

En la pestaña de Policy Module, pulsamos en Propiedades,

Seleccionamos "Folow the settings...." esto con motivos de que la entidad nos expida los certificados de forma manual, (ello reiniciará los servicios de la entidad certificadora). y pulsaremos Ok. y Ok nuevamente para salir al menú principal.

Una vez hecho lo anterior desde un Browser ingresamos la dirección de http://localhost/certsrv, esto nos permitirá crear  el certificado llave y el certificado para el servidor. De la siguiente ventana seleccionamos la opción de “Download a CA certificate, certificate chain, or CRL” que es el certificado llave para los usuarios finales.

 Seleccionamos Download CA certificate, de las siguientes opciones,

 Es recomendable asignarle un nombre conocido como “Certificado Usuarios XXXXX”. Ello realizará la apertura de una dialog para almacenar el correspondiente certificado,

Y realizaremos la correspondiente grabación del fichero.cer, pulsando en Save,

Regresamos a la venta Principal  http://localhost/certsrv

Seleccionamos la opción de “Request a certificate” para generar la puerta de acceso al Servidor.

Pulsamos sobre la opción  “Create and submit Request to this CA”,

Nota: Es muy importante validar que el nombre pueda ser resulto via internet por el dns, esto se puede comprobar dando un ping a la dirección alfanumérica si es el caso de Internet www.midominio.com.mx o por el FQDN  ejemplo xenapp.midominio.com

Antes de terminar con la configuración del certificado es necesario ingresar al sitio web ingresando al IIS y modificar el nombre de Default Web Site por el de la dirección a la cual se va a generar el certificado de seguridad. (Como mejor practica solo hacer esto con un sitio web).

Pulsamos en Default site botón izquierdo del ratón,

Seleccionamos "Rename",

Se renombra con el FQDN o dirección  alfanumérica asignada, por ejemplo xenapp.misitioweb.com, una vez hecho de esta manera regresamos a la  ventana  “Advanced Certificate Request”

Nota: el mobre de sitio web en IIS con el nombre de Certificado que se creara tiene que coincidir.

Procedemos a crear el nuevo Certificado especificando en name xenapp.misitioweb.com

Es necesario seleccionar el tipo de certificado que se esta creando, para nuestro fin es un certificado de autenticación de servidor.

 Es impotante seleccionar la opciones de “Mark Keys as exportable”  y “Store Certificate in the local computer certificate store”, tal y como se muestra,  Pulsaremos Submit para continuar,

Pulsaremos Yes (el servidor nos advertirá que estamos generando o vamos a generar un certificado nuevo),

 Finalmente, Pulsaremos en "Install this Certificate", para instalar el certificado de seguridad, pulsando sobre este.

 Pulsaremos Yes, para la carga del mismo, 

Desde la consola de IIS,  es Es necesario una vez que ya esta generado el certificado de seguridad decirle al sitio web en el IIS que lo utilice, para ello tenemos que acceder a las propiedades del sitio web xenapp.misitioweb.com y seleccionar la opción de “Directory Security” y seleccionamos la opcion de ”Server Certificate”,

 Pulsando tal y como se ha comenado con anterioridad "Server Certificate", arrancando el siguiente Wizard,

Pulsaremos Next,

Pulsaremos en "Assign an existing certificate" si este ya existe o "Create New certificate" si es un nuevo certificado a crear, pulsando Next para continuar con el wizard,

Es importante asignar el que se creo para el servidor en este caso xenapp.misitioweb.com, pulsararemos Next,

Pulsaremos Finish para finalizar,una vez finalizado podremos ver y validar el correspondiente certificado,

Nota: Una de las mejores practicas es genera la entidad Certificadora (Ca)  en otro servidor que no sea un servidor con rol de Web Interfaces y una vez generados nuestros certificados apagar la entidad certificadora esto con el propósito de seguridad.

Procedimiento creado por: Alejoso. Revisado por xavisan.