Usuarios y certificados
La configuración de certificados define la interacción entre las claves privadas del HSM y los certificados conocidos por Windows.
Las aplicaciones de Windows normalmente sólo interactúan con los certificados. Los CSP (Cryptographic Services Providers) interconectan estos certificados con los dispositivos que almacenan las claves privadas (como los HSM y los tokens USB), por lo que es importante entender cómo es el entorno y saber, por ejemplo, si una determinada clave privada del HSM tiene su certificado reconocido por Windows.
Debido a la forma en que funciona la arquitectura del sistema Windows, tener la clave y el certificado cargados en el HSM no los pone automáticamente a disposición de las aplicaciones. La consola gráfica intenta dejar automatizados tantos pasos como sea posible, pero puede ser necesaria alguna intervención del usuario.
La configuración realizada a través de la consola gráfica permanece en el ámbito del usuario (perfil) y, por lo tanto, sólo es válida y reconocida para las aplicaciones que se ejecutan bajo el perfil del usuario actual.
Para utilizar los ajustes de la opción Certificados, debe iniciar sesión en el HSM. Si no hay ninguna cuenta de usuario de HSM ya configurada, la consola le solicitará una.
Tras conectarse al HSM, la consola mostrará una barra de estado, una barra de título y un menú lateral. La barra de estado (abajo) muestra la versión de la consola. La barra de título muestra la información sobre el estado de la conexión a la nube de Dinamo Networks, un aviso sobre la telemetría del HSM con la nube, el número de serie del HSM, la dirección IP y la versión del firmware.
Advertencia
La integración con la nube es opcional y no interfiere con el funcionamiento normal del HSM. Si no utiliza telemetría para la nube, puede ignorar los mensajes de advertencia que aparecen en la barra de título.
Las opciones de configuración del entorno se agrupan en pestañas:
Las otras opciones son acciones directas:
- Pantalla de inicio
- Salida
Al cargar la configuración de Usuarios y Certificados, la consola escaneará el entorno y buscará posibles relaciones entre claves privadas y certificados que puedan configurarse automáticamente.
Usuarios de HSM
Define qué usuario HSM se está utilizando para el acceso; el nombre se muestra en la parte superior de la página.
Si el usuario configurado actualmente tiene permiso, puede crear nuevos usuarios en el HSM (botón Crear usuario). Esta operación no modifica la configuración actual.
Puede compartir la partición actual con otros usuarios de HSM (botón Compartir). Si tiene permiso de lista, puede elegir de una lista; de lo contrario, debe introducir el nombre del usuario con el que desea compartir la partición.
Atención
Una vez compartida la partición, todos los certificados y claves estarán disponibles para el usuario o usuarios seleccionados.
Para cambiar el usuario actual del HSM, utilice el botón Cambiar usuario. Si tiene permiso de lista, puede elegir de una lista; de lo contrario, debe introducir el nombre del nuevo usuario.
Para cambiar la contraseña del usuario actual del HSM, utilice el botón Cambiar contraseña e introduzca la nueva contraseña.
Atención
Los administradores de HSM no pueden modificar las contraseñas de otros usuarios. Sólo el propio usuario puede cambiar su contraseña. No existe ninguna opción para recuperar las contraseñas en caso de pérdida. Esta es una característica de seguridad y un requisito exigido por las normas de homologación.
Certificados
Las relaciones entre claves privadas, certificados y proveedores se gestionan mediante las opciones siguientes.
Para importar un archivo de certificado PKCS#12 (.pfx
) para HSM utilice el Importar. Seleccione el archivo e introduzca un nombre y una contraseña. El nombre se utilizará para identificar la clave en el HSM, el certificado tendrá el mismo nombre que la clave con el sufijo _cer
. Cuando se importa un archivo PKCS#12, el certificado se asocia automáticamente al proveedor de servicios criptográficos (CSP) del HSM.
Si el HSM está configurado para telemetría con el servicio en la nube Dinamo Networks, puede ver el informe de uso de certificados directamente en el sitio web de servicios. El botón Informe de uso abre una nueva ventana(navegador predeterminado) en la página del informe de uso de certificados. Es posible que tenga que iniciar sesión para ver el informe.
Para emitir un certificado directamente con una autoridad de certificación (CA), utilice el botón Emitir a través de CA y seleccione la CA. Cada CA tiene su propia política sobre los documentos y procedimientos necesarios para emitir un certificado a partir de una clave en el HSM, por lo que este proceso debe iniciarse contactando primero con la CA. Comprueba en la versión instalada de la consola gráfica qué CAs están disponibles.
Al pulsar el botón de actualización, la consola escaneará el entorno y buscará posibles relaciones entre claves privadas y certificados que puedan configurarse automáticamente. Este escaneo también se realiza cada vez que se selecciona la opción Certificados en la pantalla principal.
Las columnas de la tabla de certificados pueden redimensionarse, reposicionarse y ordenarse.
El campo de búsqueda realiza una búsqueda textual en las filas de la tabla, distingue entre mayúsculas y minúsculas y permite el uso de comodines con *
.
Columnas:
- Emitido a:
- HSM:
- Ventanas:
- Nube:
- Fecha de caducidad:
- Clave privada en HSM:
- Clave privada en la nube:
- Proveedor clave:
- Contenedor:
- Impresión digital:
Las acciones de la tabla se activan en un menú emergente mediante el botón derecho del ratón. Dependiendo del estado, las siguientes opciones están disponibles para cada certificado:
- Abierto:
- Habilitar:
- Desactivar:
- Activar todo:
- Desactivar todo:
- Sube a la nube:
- Cambia a un proveedor de HSM:
- Cámbiate a un proveedor en la nube:
Copia de seguridad
Realiza una operación de copia de seguridad de la base de datos del HSM. El usuario actual debe tener los permisos necesarios. Seleccione el archivo de destino e introduzca la contraseña de protección. Se puede realizar una copia de seguridad sin interrumpir el funcionamiento del HSM.
La restauración de una copia de seguridad también requiere autorización. La restauración sólo se procesa y se hace efectiva tras un reinicio del HSM.
Atención
La restauración de la copia de seguridad sobrescribe completamente la base del HSM. Tras la operación, el SVMK de activación del HSM(tarjetas inteligentes o contraseña de activación) será el que estaba configurado en el HSM cuando se generó la copia de seguridad.
Dinamo Super Nube
Muestra la cuenta actualmente configurada y conectada al servicio en la nube de Dinamo Networks. Puede cambiar la cuenta o cerrar la sesión.
Para dejar de enviar telemetría desde el HSM al servicio en la nube Dinamo Networks, utilice el botón Desvincular HSM de la nube.
Para importar certificados que están en la nube al HSM, utilice el botón Importar certificados. Solo se importa el certificado, no la clave privada.
Advertencia
La integración con la nube es opcional y no interfiere en el funcionamiento normal del HSM.
Abrir la consola HTTP
El botón Abrir consola HTTP abre una nueva ventana(navegador por defecto) con la pantalla inicial de inicio de sesión de la consola HTTP del HSM. Para obtener más información sobre la consola, consulte el tema Consola HTTP.