¿Qué es el Auth Connector de Applivery?

El Auth Connector de Applivery es un servicio que proporciona contraseñas de desafío SCEP al workspace de Applivery, permitiendo a los dispositivos solicitar certificados, especialmente cuando los servicios NDES están en redes privadas.

¿Cómo se distribuye el Auth Connector de Applivery?

Applivery distribuye el Auth Connector como un contenedor Docker, disponible para las arquitecturas AMD64 y ARM64.

¿Qué información se necesita para configurar el contenedor del Auth Connector?

Debes proporcionar el CONNECTOR_TOKEN (del proveedor de certificados), el LOG_LEVEL (nivel de detalle del registro) y el LOG_JSON (salida de registro en JSON) para configurar el contenedor.

¿Cómo obtengo la huella digital de la CA para el proveedor de certificados?

Abre el certificado de CA, dirígete a la sección de Extensiones, localiza la entrada de huella digital de CA y copia el valor en la configuración del proveedor de certificados.

¿Dónde puedo descargar la imagen Docker del Auth Connector de Applivery?

Puedes descargar la imagen Docker desde el registro de Applivery: europe-southwest1-docker.pkg.dev/applivery/public/auth-connector.

¿Cómo puedo comprobar el estado del Auth Connector?

El Auth Connector expone un informe de estado en el puerto 3000 del contenedor, y el panel de Applivery muestra un icono de estado del conector en la configuración del proveedor de certificados.

¿Qué indica el error 'la caché de contraseñas está llena'?

Este error indica que el servidor NDES ha alcanzado su límite de solicitudes, lo que requiere ajustar los valores del registro de Windows Server correspondientes.

Auth Connector Applivery: Despliegue SCEP y Certificados

El Auth Connector de Applivery es un servicio auxiliar que suministra a tu Workspace de Applivery contraseñas de desafío SCEP válidas, las cuales se entregan a los dispositivos para que puedan solicitar certificados. Esto suele ser necesario cuando los servicios de la Autoridad de Certificación NDES se alojan en redes privadas.

Applivery distribuye el Auth Connector como un contenedor Docker para arquitecturas AMD64 y ARM64.

Desde una perspectiva de infraestructura, el Auth Connector establece conexiones salientes con el servidor PKI que ejecuta el servicio NDES, recupera los desafíos SCEP y los reporta al panel de Applivery para su uso en las configuraciones de dispositivos.

Configurar el proveedor de certificados

Antes de desplegar el Auth Connector, deberás configurar un nuevo proveedor de certificados.

Una vez en el panel de Applivery, navega a la sección Recursos 1. Desde el menú lateral izquierdo, selecciona Proveedores de certificados 2 y haz clic en el botón + Crear Proveedor de certificado 3.

El formulario de configuración incluye las siguientes secciones:

Configuración del servidor

URL del servidor: https://<tu-servidor-ndes>/certsrv/mscep/mscep.dll.
Huella digital de la CA: Este valor debe extraerse del certificado de la CA utilizado por el servidor NDES. Para obtenerlo, abre el certificado de la CA, navega a la sección Extensiones y localiza la entrada Huella digital de la CA. Copia este valor y pégalo en el campo.
Nombre de la autoridad: Introduce el nombre de la CA intermedia/emisora exactamente como aparece en el certificado de la CA.

Configuración de la clave

Tamaño de la clave: Normalmente 2048 o 4096, dependiendo de la política de seguridad.
Tipo de clave: RSA.

Configuración del sujeto

Configura los campos del sujeto según lo requiera el servicio consumidor. Applivery admite etiquetas de interpolación para rellenar automáticamente los valores a partir de los atributos de dispositivo o usuario.

Configuración del desafío

Modo: NDES.
URL: https://<tu-servidor-ndes>/certsrv/mscep_admin.
Nombre de usuario: Usuario de dominio con permisos para la plantilla de certificado configurada en el servidor NDES.
Contraseña: Contraseña del usuario anterior.

Haz clic en Guardar, luego vuelve a abrir la configuración para copiar el Token del Auth Connector 4 que se muestra en la parte superior.

Desplegar el Auth Connector

Despliega el Auth Connector como un contenedor Docker.

El servicio se empaqueta como una imagen Docker, que puedes descargar del registro Docker de Applivery:

europe-southwest1-docker.pkg.dev/applivery/public/auth-connector

Versiones disponibles

Arquitectura	Etiquetas
linux/amd64	`latest`, `0.1.2`
linux/arm64	`latest-arm`, `0.1.2-arm`

Cómo configurar el contenedor

Necesitas proporcionar algunos datos importantes para que el contenedor se ejecute:

CONNECTOR_TOKEN: El token obtenido del proveedor de certificados en el paso anterior.
LOG_LEVEL: El nivel de detalle del registro. Las opciones son debug, info, error o silent. El valor predeterminado es info.
LOG_JSON: Establece en true para generar registros en formato JSON, o false para registros de texto plano. El valor predeterminado es false.

Puedes proporcionar estas configuraciones de dos maneras:

Usando un archivo .env: Un archivo que contiene todas las variables de entorno.
Directamente como variables de entorno en tu comando Docker run o en tu archivo Docker Compose.

Ejemplo de archivo de configuración

# Token del Auth Connector del proveedor de certificados. (obligatorio)
CONNECTOR_TOKEN=

# Requerido para despliegues de instancias privadas.
# TENANT=

# El nivel de registro puede ser debug, info, error o silent. (predeterminado: info)
LOG_LEVEL=info

# Registrar como json. (predeterminado: false)
LOG_JSON=false

# Puerto de escucha para el servidor de informes. (predeterminado: 3000)
PORT=3000

Note

Solo necesitas establecer la variable TENANT para Instancias Privadas.

Ejemplos con Docker run

# Variables de entorno
docker run \
 -e CONNECTOR_TOKEN=YOUR_AUTH_TOKEN \
 -p 3000:3000 \
 europe-southwest1-docker.pkg.dev/applivery/public/auth-connector:latest

# Archivo de configuración
docker run \
 -v .env:/app/.env \
 -p 3000:3000 \
 europe-southwest1-docker.pkg.dev/applivery/public/auth-connector:latest

Ejemplos con Docker Compose

services:
  # Archivo de configuración
  applivery-auth-connector:
    image: europe-southwest1-docker.pkg.dev/applivery/public/auth-connector:latest
    volumes:
      - .env:/app/.env
    ports:
      - 3000:3000

services:
  applivery-auth-connector:
    image: europe-southwest1-docker.pkg.dev/applivery/public/auth-connector:latest-arm
    environment:
      CONNECTOR_TOKEN: YOUR_AUTH_TOKEN
      #TENANT:
      LOG_LEVEL: info
    ports:
      - 3000:3000

Informe de estado

Un servicio HTTP se ejecuta en el puerto 3000 dentro del contenedor del Auth Connector, exponiendo un informe de estado con información como:

Número de desafíos solicitados.
Recuento total de errores.
Métricas operacionales adicionales.

La misma información de estado también está disponible directamente en la configuración del proveedor de certificados en el panel de Applivery a través del icono de estado del conector.

Una marca de verificación verde indica que el conector ha informado correctamente en los últimos 20 minutos.

Note

Errores como La caché de contraseñas está llena indican que el servidor NDES ha alcanzado su límite de solicitudes. Ajusta los valores de registro correspondientes del servidor Windows para aumentar este límite.

Key Takeaways

El Auth Connector de Applivery facilita la gestión de certificados SCEP para dispositivos.

Se despliega como un contenedor Docker, compatible con arquitecturas AMD64 y ARM64.

La configuración del proveedor de certificados en Applivery es un paso inicial crucial.

Es esencial configurar las variables de entorno del contenedor, como `CONNECTOR_TOKEN`.

El servicio ofrece un informe de estado para monitorizar su funcionamiento.