Exportar (0) Imprimir
Expandir todo

Administrar certificados

Actualizado: abril de 2014

Microsoft Azure utiliza los certificados de tres maneras:

  • Certificados de administración: almacenados en el nivel de suscripción, estos certificados permiten que se utilicen las herramientas del SDK, Windows Azure Tools para Microsoft Visual Studio o la Referencia de la API de REST de administración de servicios. Estos certificados son independientes de los servicios en la nube o las implementaciones.

  • Certificados de servicio: almacenados en el nivel de servicio en la nube, estos certificados los utilizan los servicios implementados.

  • Claves de SSH: almacenadas en la máquina virtual de Linux, las claves de SSH se utilizan para autenticar conexiones remotas con la máquina virtual.

Para utilizar un certificado en Azure, este debe cargarse en Azure. Los certificados de administración y de servicio se pueden cargar a través del Portal de administración de Windows Azure. Los certificados de servicio también se pueden cargar en el Portal de administración utilizando Agregar certificado de servicio en la Referencia de la API de REST de administración de servicios.

Los certificados que se utilizan en Azure son certificados x.509 v3 y pueden estar firmados por otro certificado de confianza o estar autofirmados. Un certificado autofirmado está firmado por su propio creador. Por este motivo, el certificado no es de confianza para los exploradores web y generará una alerta de seguridad en Internet Explorer. Los usuarios pueden continuar, pero tienen que omitir un mensaje de seguridad.

Los certificados autofirmados se suelen utilizar en escenarios de prueba o como contenedores para claves públicas o privadas.

Los certificados que utiliza Azure pueden contener una clave pública o una privada. Los certificados tienen una huella digital que permite identificarlos de forma inequívoca. Esta huella digital se utiliza en el archivo de configuración de Azure para identificar el certificado que debe utilizar un servicio en la nube. Para obtener más información sobre la configuración de certificados en el archivo de configuración, vea Configurar un servicio en la nube para Azure.

Azure utiliza certificados para identificar una relación de confianza: la entidad en la que se va a confiar tiene la clave privada.

  • Certificados de administración (archivos de certificado .cer): el cliente que se conecta con el servicio necesita ser de confianza y tener la clave privada.

  • Certificados de servicio (archivos de certificado .pfx): el cliente que se conecta al servicio debe confiar en el servicio. Por ejemplo, en un escenario de servicio protegido mediante SSL, el certificado SSL contiene la clave privada.

Los certificados de administración permiten el acceso de cliente a los recursos de la suscripción de Azure. Los certificados de administración son certificados x.509 v3 que solo contienen una clave pública y que se guardan como un archivo .cer.

Usos comunes de los certificados de administración

El mismo certificado se puede utilizar en varios equipos para administrar una suscripción de Azure. Para mover un certificado de administración desde un equipo de desarrollo a otro, se debe exportar en forma de archivo PFX y, a continuación, reimportar en otro equipo de desarrollo.

ImportantImportante
Hay un límite de 100 certificados de administración por suscripción de Windows Azure. También hay un límite de 100 certificados de administración para todas las suscripciones que tengan un id. de usuario de administrador de servicios específico. Si el id. de usuario para el administrador de la cuenta ya se ha utilizado para agregar 100 certificados de administración y se requieren más certificados, puede agregar un coadministrador para agregar certificados adicionales. Antes de agregar más de 100 certificados, compruebe si puede reutilizar un certificado existente. El uso de coadministradores agrega una complejidad probablemente innecesaria al proceso de administración de certificados.

Para obtener más información acerca de cómo se agregan coadministradores, vea Agregar un coadministrador a una suscripción de Azure.

Los certificados de servicio proporcionan interacciones seguras para los usuarios de la aplicación o servicio web. Un caso común es un certificado que está asociado a un extremo HTTPS, pero se pueden utilizar certificados de servicio de otras maneras. Los certificados de servicio, definidos en la definición de servicio, se implementan automáticamente en la máquina virtual que ejecuta una instancia del rol. Puede cargar certificados de servicio en el Portal de administración utilizando el Portal de administración o la API de administración de servicios. Los certificados de servicio están asociados con un servicio en la nube específico y se asignan a una implementación en el archivo de definición de servicio.

Los certificados de servicio se pueden administrar independientemente de los servicios, y pueden hacerlo distintos usuarios. Por ejemplo, un desarrollador puede cargar un paquete de servicio que hace referencia a un certificado que un director de TI ha cargado previamente en Azure. Un director de TI puede administrar y renovar el certificado cambiando la configuración del servicio sin necesidad de cargar un nuevo paquete de servicio. Esto es posible porque el nombre lógico del certificado y su nombre y ubicación de almacén se especifican en el archivo de definición de servicio, mientras que la huella digital del certificado se especifica en el archivo de configuración del servicio. Para actualizar el certificado, solo es necesario cargar un nuevo certificado y cambiar el valor de la huella digital del archivo de configuración del servicio.

WarningAdvertencia
Si se cambia la configuración de esta manera, es posible que no esté sincronizada con la plataforma de desarrollo. Esto significa que las actualizaciones podrían sobrescribirse si la configuración del equipo de desarrollo no se actualiza antes de cargar las actualizaciones del servicio. La solución recomendada consiste en actualizar el servicio con un nuevo archivo de configuración. Esto garantiza que no se perderán los cambios.

Los certificados de servicio son certificados x.509 v3 que se cargan en el Azure y se almacenan en el servicio hospedado en el que se utilizarán. Los certificados de servicio son archivos de clave privada (.pfx). Los certificados de servicio se utilizan tanto para el descifrado SSL como para el descifrado de escritorio remoto, que requieren un certificado con una clave privada.

Hay tres aplicaciones principales para los certificados de servicio:

  • Cifrado: cifrado de contraseña RDP.

  • Servidor: SSL proporciona seguridad en las comunicaciones para las páginas web seguras.

  • Autenticación mutua: autenticación de cliente de WCF.

Las claves de SSH permiten obtener acceso remoto y autenticar conexiones con una máquina virtual de Linux desde un cliente Linux o Windows. La versión actual del Portal de administración de Microsoft Azure solo acepta claves públicas de SSH que estén encapsuladas en un certificado X509 que contenga un par de claves de 2.048 bits. Para obtener más información sobre cómo generar y utilizar claves de SSH para tener acceso a una máquina virtual de Linux, vea Utilizar SSH con Linux en Windows Azure.

Vea también

Mostrar:
© 2014 Microsoft