Configuración de un destino mTLS

Para configurar un destino utilizando la autenticación TLS mutua (mTLS), seleccione el protocolo mTLS en la lista desplegable del asistente Añadir destino.

Procedimiento

Siga los pasos para Añadir un destino.
En la lista Protocolo , seleccione mTLS.

Especifique la siguiente información necesaria:

Opción	Descripción
Origen de almacén de confianza TLS	Esta opción determina qué certificados se utilizan para autenticar el servidor cuando WinCollect inicia una conexión TLS. Consulte Configuración de un destino TLS utilizando los almacenes de certificados de Windows para ver los pasos para configurar este valor.
Validación de nombre de host	Seleccione si el cliente verifica que el nombre de host del servidor coincide con el nombre común o los nombres alternativos de asunto en el certificado de servidor de entrada antes de que se realice una conexión. Importante: Se recomienda dejar esta opción habilitada para asegurarse de que el certificado proporcionado pertenece al servidor. Su inhabilitación permite al cliente aceptar certificados entrantes que no pertenecen al servidor.

Opción

Descripción

Origen de almacén de confianza TLS

Esta opción determina qué certificados se utilizan para autenticar el servidor cuando WinCollect inicia una conexión TLS. Consulte Configuración de un destino TLS utilizando los almacenes de certificados de Windows para ver los pasos para configurar este valor.

Validación de nombre de host

Seleccione si el cliente verifica que el nombre de host del servidor coincide con el nombre común o los nombres alternativos de asunto en el certificado de servidor de entrada antes de que se realice una conexión.

Importante: Se recomienda dejar esta opción habilitada para asegurarse de que el certificado proporcionado pertenece al servidor. Su inhabilitación permite al cliente aceptar certificados entrantes que no pertenecen al servidor.

Seleccione un Origen de certificado de cliente.

Esta opción determina qué tipo de certificado se utiliza para configurar la conexión mTLS . La selección determina qué campos son necesarios.

Seleccione Certificado y clave para utilizar un archivo de certificado de cliente, un archivo de clave privada cifrada y una frase de contraseña. Los campos siguientes son necesarios para esta opción.

Certificado de clientemTLS	Utilice un "@" seguido de la vía de acceso de archivo a un archivo de formato PEM. El archivo debe contener uno o más certificados para utilizar para la autenticación de cliente cuando WinCollect inicia una conexión TLS con el servidor. Puede utilizar un único certificado o una cadena de certificados.
clave privada de clientemTLS	Utilice un "@" seguido de la vía de acceso de archivo a un archivo de formato PEM. El archivo debe contener la clave privada que se utiliza para generar el certificado de cliente. Debe utilizar una clave RSA o ECC cifrada con una frase de contraseña.
frase de contraseñamTLS	Especifique la frase de contraseña utilizada para cifrar la clave privada de clientemTLS.

Certificado de clientemTLS

Utilice un "@" seguido de la vía de acceso de archivo a un archivo de formato PEM. El archivo debe contener uno o más certificados para utilizar para la autenticación de cliente cuando WinCollect inicia una conexión TLS con el servidor. Puede utilizar un único certificado o una cadena de certificados.

clave privada de clientemTLS

Utilice un "@" seguido de la vía de acceso de archivo a un archivo de formato PEM. El archivo debe contener la clave privada que se utiliza para generar el certificado de cliente.

Debe utilizar una clave RSA o ECC cifrada con una frase de contraseña.

frase de contraseñamTLS

Especifique la frase de contraseña utilizada para cifrar la clave privada de clientemTLS.

Seleccione PKCS#12 para utilizar un archivo de formato PKCS#12 (PFX) que contenga un certificado y una clave privada. También debe proporcionar la frase de contraseña para descifrar el archivo PKCS#12 .

par de claves y certificado de clientemTLS	Utilice un "@" seguido de la vía de acceso de archivo a un archivo de formato PKCS#12 (PFX). El archivo debe contener el certificado que se debe utilizar para la autenticación de cliente cuando WinCollect inicia una conexión TLS con el servidor y la clave privada asociada. Puede utilizar un único certificado o una cadena de certificados. Nota: Sólo un par de claves privadas y certificados asociados pueden estar contenidos en el archivo. Si hay varios pares presentes, sólo se utiliza el primer par que se encuentra. Si hay más certificados en el archivo, se incluyen como una cadena de certificados.
frase de contraseñamTLS	Especifique la frase de contraseña utilizada para cifrar el archivo PKCS#12 . Puesto que el archivo PKCS#12 debe estar cifrado con una frase de contraseña, este campo es necesario.

par de claves y certificado de clientemTLS

Utilice un "@" seguido de la vía de acceso de archivo a un archivo de formato PKCS#12 (PFX). El archivo debe contener el certificado que se debe utilizar para la autenticación de cliente cuando WinCollect inicia una conexión TLS con el servidor y la clave privada asociada. Puede utilizar un único certificado o una cadena de certificados.

Nota: Sólo un par de claves privadas y certificados asociados pueden estar contenidos en el archivo. Si hay varios pares presentes, sólo se utiliza el primer par que se encuentra. Si hay más certificados en el archivo, se incluyen como una cadena de certificados.

frase de contraseñamTLS

Especifique la frase de contraseña utilizada para cifrar el archivo PKCS#12 . Puesto que el archivo PKCS#12 debe estar cifrado con una frase de contraseña, este campo es necesario.

Seleccione Almacén de certificados de Windows para utilizar un certificado y una clave privada asociada que esté instalada en un almacén de certificados de Windows en la máquina local. El certificado debe tener una clave privada correspondiente que esté instalada con él (por ejemplo, instalándolo como un archivo .p12 ), y la clave privada debe establecerse como Exportable al instalarlo.

almacén de certificados de clientemTLS	Este es el almacén de certificados en el que buscar el certificado de cliente. Este almacén de certificados debe estar disponible para la máquina local. Las tiendas disponibles sólo para un determinado usuario no se comprueban. Nota: El nombre del almacén de certificados que se muestra en la consola de gestión de certificados de Windows puede ser un alias para el nombre del almacén de certificados real. Generalmente, puede encontrar los nombres reales del almacén de certificados utilizando PowerShell (`ls Cert:\LocalMachine\`).
identificador de certificado de clientemTLS	El método en el que se identificará el certificado de cliente en el almacén de certificados de Windows. Las opciones son un nombre descriptivo o una miniatura. La opción de nombre descriptivo es el valor predeterminado.
Nombre descriptivo de certificado de clientemTLS	El valor establecido como el nombre descriptivo en el certificado en el almacén de certificados de Windows.
huella de certificado de clientemTLS	Es el hash thumbprint o `SHA1` del certificado que se va a utilizar. Puede encontrar este valor en los Detalles del certificado en la consola de gestión de certificados de Windows.

Pulse Guardar.
El agente de WinCollect intenta conectarse al destino utilizando TLS con autenticación mutua.
Nota: Para asegurarse de que los certificados de cliente proporcionados para conectarse con mTLS son válidos, se registra un mensaje cuando un certificado de cliente caduca pronto. Esta comprobación se realiza cuando un destino se conecta por primera vez y se registra como un mensaje INFO . Además, se registra diariamente un mensaje WARN para cada certificado de cliente que caduque pronto. Puede configurar la cantidad de tiempo que queda hasta que caduque un certificado que desencadene estos avisos actualizando el parámetro Umbral de aviso de caducidad de certificado en la interfaz de usuario avanzada. El umbral predeterminado es de 30 días.