Loading

Usar el certificado HTTPS existente en el dominio de su comunidad

Fecha de publicación: Jan 22, 2020
Descripción

Introducción

Salesforce Community Cloud permite gestionar cada comunidad de su organización en un dominio personalizado (p. ej., comunidad.miempresa.com en lugar de miempresa.force.com). Para garantizar la seguridad, las comunicaciones entre los navegadores de sus usuarios y las comunidades de su organización se harán con HTTPS (p. ej., HTTP sobre TLS). Si tiene su comunidad bajo un dominio personalizado, debe cargar un certificado HTTPS que coincida con el dominio personalizado de su comunidad. Los certificados HTTPS garantizan la autenticidad del dominio de su comunidad para los usuarios y es fundamental para obtener los detalles de su certificado justo antes de cargarlo.

 

Puede solicitar un nuevo certificado HTTPS para reutilizar determinados certificados existentes en el dominio de su comunidad. En términos generales, hay dos opciones:

Mi comunidad necesita un nuevo certificado.

Si su comunidad necesita un nuevo certificado HTTPS, puede seguir las instrucciones de Ayuda y formación para configurar y descargar una nueva Solicitud de firma de certificado (CSR), que podrá facilitar a su autoridad de certificados.

Ya tengo un certificado para el dominio de mi comunidad.

Si su empresa ya dispone de un certificado que coincide con el dominio de su comunidad, puede seguir estos pasos para importar ese certificado en un archivo de keystore de Java (JKS) y prepararlo para cargarlo en su organización.
 

Es importante asegurarse de que su certificado coincide con el dominio que utiliza su comunidad. Por ejemplo:

DOMINIO DE LA COMUNIDAD: comunidad.miempresa.com

CERTIFICADO COMODÍN: *.miempresa.com

CERTIFICADO SIN COMODÍN: comunidad.miempresa.com


¿No sabe con certeza que opción necesita usar? Hable con el equipo informático (TI) para determinar si ya tiene un certificado o si necesita uno nuevo.

¿Cómo se importan un certificado existente y una clave privada en Salesforce con un archivo de keystore de Java (JKS)?


Hay varias opciones para importar una cadena de certificados existente en Salesforce, en función de los formatos de los certificados y de la clave privada que se va a importar. Salesforce es compatible con el formato de archivo del keystore de Java, pero no todos los sistemas exportan directamente a ese formato de archivo. Afortunadamente, se puede usar el comando keytool en el kit de desarrollo de Java para convertir formatos de archivo de certificados comunes en un archivo de keystore de Java.

Un formato común para el almacenamiento de una cadena de certificados (el certificado del servidor o del cliente, junto con los certificados intermedios en su cadena de firmas) y la clave privada del certificado del servidor o el cliente es el formato de PKCS#12, que contiene esos elementos en un archivo. Otro posible formato es una recopilación de archivos de certificado individuales y un archivo de clave privada independiente. A continuación se muestran algunas secciones para esas posibles conversiones. Después de convertir el archivo en un archivo de keystore de Java, puede importarlos en Salesforce.
 

Archivo PKCS#12 (.p12, .pfx)

El formato de archivo PKCS#12 almacena una cadena de certificados y una clave privada en un archivo y se usa habitualmente para realizar una copia de seguridad de los certificados. La administración de certificados en Windows y Windows Server puede exportar en este formato de archivo. La clave privada de un archivo PKCS#12 está cifrada con una frase de contraseña. Consulte la imagen de referencia aquí.

Antes de continuar, asegúrese de instalar el kit de desarrollo de Java desde Oracle si aún no ha instalado Java. Descargue e instale la versión correspondiente a su sistema. Asegúrese de que la ruta a keytool o keytool.exe pertenezca a su variable de entorno PATH o, en su caso, sea completamente compatible con el comando keytool o keytool.exe al ejecutar los comandos siguientes.

Para convertir un archivo PKCS#12 en un archivo de keystore de Java, necesitará obtener el alias de origen usado para el certificado en el archivo PKCS#12. Para obtener dicha información, ejecute el siguiente comando en su archivo PKCS#12, y sustituya pkcs12file.pfx por el nombre de su archivo PKCS#12. Se le solicitará la frase de contraseña de cifrado de su clave privada del archivo PKCS#12. Esta frase se estableció al crear el archivo PKCS#12.
 

keytool -list -keystore pkcs12file.pfx -storetype pkcs12


El resultado será similar al siguiente. Tome nota del alias, que aparece resaltado en negrita a continuación. El valor del alias en este ejemplo es le-384927abc3839f-829278-ee12. El valor usado en su archivo puede ser diferente, e incluso ser simplemente el número 1.
 

Keystore type: PKCS12
Keystore provider: SunJSSE
 
Your keystore contains 1 entry
                                                                                                      
le-384927abc3839f-829278-ee12, Jan 29, 2016, PrivateKeyEntry,
Certificate fingerprint (SHA1): 99:68:C4:80:45:AF:9F:01:40:C5:BD:FB:0B:AB:CC:F0:99:9B:91:9D


Con el alias, se puede convertir el archivo PKCS#12 en un archivo de keystore de Java con el siguiente comando. Sustituya pkcs12file.p12 por el nombre de su archivo PKCS#12. Sustituya keystorefile.jks por el nombre de archivo que quiere usar para el archivo de keystore de Java. Reemplace cert_dev_name_in_salesforce con el nombre de desarrollador que quiere usar para el certificado en Salesforce. El nombre de desarrollador es el nombre que puede usar un código Apex o la API de metadatos para hacer referencia a este certificado. El nombre de desarrollador debe comenzar por una letra y solo puede contener caracteres alfanuméricos o guiones bajos no consecutivos. Este comando le solicitará una frase de contraseña para cifrar la clave privada en el archivo de keystore de Java, así como la frase de contraseña del archivo PKCS#12 del archivo en conversión.
 

keytool -importkeystore -srckeystore pkcs12file.p12 -destkeystore
keystorefile.jks -srcstoretype pkcs12 -deststoretype jks -destalias
cert_dev_name_in_salesforce -srcalias le-384927abc3839f-829278-ee12


Una vez ejecutado correctamente el comando, el archivo keystorefile.jks se puede importar en Salesforce usando el botón Importar desde keystore de la página de configuración de Administración certificados y claves. Cuando se importa un archivo de keystore de Java, debería mostrarse el certificado importado con el nombre de alias de destino en la lista de certificados.

Para importar el archivo JKS en Salesforce, vaya a Configuración | Controles de seguridad | Gestión de certificados y claves | Importar de Keystore
 
 

Archivos PEM o DER individuales

Los formatos de archivo PEM y DER suelen almacenar certificados y claves privadas en distintos archivos. El formato PEM basado en texto permite que existan opcionalmente la cadena de certificados y la clave privada en un archivo concatenado. Hay multitud de configuraciones de archivo como resultado de trabajar con archivos PEM y DER. Normalmente, es más fácil trabajar con archivos PEM, y es posible convertir archivos DER en archivos PEM para continuar el procesamiento.

Antes de continuar, asegúrese de instalar el kit de desarrollo de Java desde Oracle si aún no ha instalado Java. Descargue e instale la versión correspondiente a su sistema. Asegúrese de que la ruta a keytool o keytool.exe pertenezca a su variable de entorno PATH o, en su caso, sea completamente compatible con el comando keytool o keytool.exe al ejecutar los comandos siguientes.

Si no ha instalado OpenSSL, necesitará instalar OpenSSL para estos pasos. OpenSSL se integra en Mac OS X y Linux, no así en Windows. Cygwin puede ser una opción para instalar OpenSSL en Windows, y además hay otras opciones.

Si uno o más archivos de entrada usan el formato DER, necesitará convertirlos en formato PEM. Normalmente, se puede determinar si un certificado de entrada o un archivo de clave privada está en formato DER abriéndolo en un editor de texto. Si consta de caracteres de texto normales y contiene la frase "BEGIN CERTIFICATE" o "PRIVATE KEY", significa que ya está en formato PEM basado en texto. Si aparentemente es una combinación aleatoria de caracteres extraños, es probable que esté en formato DER.

Para convertir un certificado DER en un archivo PEM, ejecute el siguiente comando openssl. Sustituya der-certificate.crt por el nombre de archivo de su archivo de certificado DER y pem-certificate.crt por el nombre de archivo que quiere usar como archivo de salida.
 

openssl x509 -in der-certificate.crt -out pem-certificate.crt -inform der -outform pem


Para convertir una clave privada DER en un archivo PEM, ejecute el siguiente comando openssl. Sustituya der-privatekey.key por el nombre de archivo de su archivo de clave privada DER y pem-privatekey.key por el nombre de archivo que quiere usar como archivo de salida.
 

openssl rsa -in der-privatekey.key -out pem-privatekey.key -inform der -outform pem


Si tiene más de un certificado intermedio, concatene esos archivos PEM de certificados intermedios en un archivo PEM basado en texto usando un editor de texto. En las siguientes instrucciones, este archivo se denomina intermediate-chain.crt.

Si la cadena de certificados y la clave privada están disponibles como archivos PEM, se puede usar OpenSSL para convertirlos en un archivo PKCS#12. Para convertirlos en un archivo PKCS#12, ejecute el siguiente comando. Sustituya pem-certificate.crt por el nombre de archivo del certificado de cliente o servidor con formato PEM. Sustituya pem-privatekey.key con la clave privada con formato PEM del certificado del cliente o el servidor. Sustituya intermediate-chain.crt con el archivo con formato PEM que contiene todos los certificados intermedios en la cadena de firmas del certificado del servidor o del cliente.

 
openssl pkcs12 -in pem-certificate.crt -inkey pem-privatekey.key -certfile intermediate-chain.crt -export -out pkcs12file.p12

El archivo resultante pkcs12file.p12 ahora se puede convertir en un archivo keystore de Java usando el siguiente comando. Sustituya pkcs12file.p12 por el nombre de su archivo PKCS#12. Sustituya keystorefile.jks por el nombre de archivo que quiere usar para el archivo de keystore de Java. Reemplace cert_dev_name_in_salesforce con el nombre de desarrollador que quiere usar para el certificado en Salesforce. El nombre de desarrollador es el nombre que puede usar un código Apex o la API de metadatos para hacer referencia a este certificado. El nombre de desarrollador debe comenzar por una letra y solo puede contener caracteres alfanuméricos o guiones bajos no consecutivos. Este comando le solicitará una frase de contraseña para cifrar la clave privada en el archivo de keystore de Java, así como la frase de contraseña del archivo PKCS#12 del archivo en conversión.
keytool -importkeystore -srckeystore pkcs12file.p12 -destkeystore keystorefile.jks -srcstoretype pkcs12 -deststoretype jks -destalias cert_dev_name_in_salesforce -srcalias 1

Una vez ejecutado correctamente el comando, el archivo keystorefile.jks se puede importar en Salesforce usando el botón Importar desde keystore de la página de configuración de Administración certificados y claves. Cuando se importa un archivo de keystore de Java, debería mostrarse el certificado importado con el nombre de alias de destino en la lista de certificados.

Referencia adicional


Archivo de keystore de Java

Un archivo de keystore de Java se puede importar tal cual. Solo se importan las entradas PrivateKeyEntry del keystore. Cada entrada de ese tipo contiene una cadena de certificados y una clave privada. El resto de tipos de entrada, como trustedCertEntry, se ignoran.

El nombre de una PrivateKeyEntry se convierte en el nombre de desarrollador del certificado importado, que puede usar un código Apex o la API de metadatos para hacer referencia a este certificado. El nombre de desarrollador debe comenzar con una letra y solo debe contener caracteres alfanuméricos o guiones bajos no consecutivos.

Para importar el archivo JKS en Salesforce, vaya a Configuración | Controles de seguridad | Gestión de certificados y claves | Importar de Keystore

Solución

GAA: Desarrollador

 FA:API / Integration

Número del artículo de conocimiento

000387916

 
Cargando
Salesforce Help | Article