Seguridad
Seguridad
Breadcrumbs

Mecánica de certificados

Introducción

Anjana Data como empresa y como producto no gestiona por defecto certificados firmados por entidades no reconocidas; se utilizan certificados de tipo wildcard pero que tengan un ámbito más específico al del cometido de la empresa y del propio software, no un wildcard demasiado amplio. Nos basamos en la siguiente normativa.

✅ Ejemplos validos:

  • *.anjana-plugins.cliente.com

  • *.entorno.cliente.com

  • *.entorno.anjanadata.net

⚠️ Ejemplos no recomendados:

  • *.cliente.com

  • *.anjanadata.net

Modelo IaaS/PaaS/SaaS Híbrido

Cuando Anjana Data es desplegado en infraestructuras gestionadas por el cliente (ya sea on-premise o en la nube), la responsabilidad sobre la gestión de certificados recae en el cliente final.

Responsabilidades del cliente:

  • Gestionar el ciclo de vida de los certificados.

  • Almacenar de forma segura los certificados.

  • Integrar los certificados en los diferentes componentes de la plataforma de acuerdo a la documentación oficial.

Requisitos técnicos:

  • Los certificados deben ser emitidos por una autoridad certificadora pública reconocida, en caso contrario se podrían producir problemas de confianza e interconexión. Algunos ejemplos de CAs públicas son:

    • Let's Encrypt

    • Microsoft

    • Google

    • Amazon

    • DigiCert

    • GlobalSign

    • Otras…

Recomendación: Se recomienda el uso de Let's Encrypt junto con Certbot (o cualquier otra herramienta segura) para automatizar la emisión y renovación de certificados sin costes adicionales.

  • Por seguridad la comunicación por IP ya no será posible, necesitarán asociarse dominios incluidos en los certificados mencionados a todas las máquinas que formen parte del entorno.

NOTA: todos los pasos necesarios para ubicar los certificados en un entorno de forma correcta, el plataformado y la configuración, se encuentran descritos en la documentación del kit de despliegue Manual de despliegue con kit Ansible

Consideraciones adicionales

  • Los certificados deben contar con un nivel de cifrado robusto (mínimo RSA 2048 o ECC equivalente).

  • Se recomienda configurar alertas o automatismos que permitan anticiparse a la expiración de certificados.

  • En caso de utilizarse un proxy inverso (como NGINX o Apache), se debe asegurar que el mismo esté correctamente configurado para servir el certificado y permitir la validación TLS adecuada.

  • En el modelo IaaS/PaaS/SaaS Híbrido, Anjana Data no proporciona soporte sobre herramientas específicas de gestión del ciclo de vida de los certificados, pero puede ofrecer recomendaciones.

Característica

Certificado Autofirmado

Certificado de CA Pública

Confianza
https://lh7-rt.googleusercontent.com/docsz/AD_4nXeeJZBZ48yIQjfJ1qUorka1FosxYQ0AZwf1A5fY1gosvkEDBIHHO840qysJKmfFMl3vxagcUs_QYRrYgWx61bkeq5fX9aqfw4UO-2xq-WMyrn2XSjyyPw8Lf8-7dlZLgIqvx8lj?key=AJhaCAVN2mgZ1sHcX8wCgnt7

No confiado por defecto. Hay que instalarlo manualmente en cada cliente que se conecte.
https://lh7-rt.googleusercontent.com/docsz/AD_4nXeCdhj_AHz_h4Ttz_symVkni6DzTsE9cEdWyxMdr6Ul2QaGCYScpNW_noWktgL3S2AFVUmngo69OU4PVxAGbXL1pBNfLhmIPolV87jMc-7ihp22aDrY7GTV4-3_7jl_eP8FGyygrQ?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Confiado por todos los navegadores, sistemas operativos, clientes Java y herramientas estándar.

Configuración inicial
https://lh7-rt.googleusercontent.com/docsz/AD_4nXcaveL7MvLh59mr1vCCz2crpA5x6m7RYeoY9zawfI8ottJSXQSDEu5dJnfgLzWDGc3Bygp2sWyAB2eccSZJZAbeevNy02wTeP_qS39HGjeGoyKkG50Q_hwivBCoOOjwGO9_MLy5zA?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Requiere generar el certificado, compartirlo, instalarlo en cada máquina cliente (cacerts) y configurar el DNS correctamente.
https://lh7-rt.googleusercontent.com/docsz/AD_4nXcACuS2y3-y9zPn6YxiW16-E4SAy5aAOwSfngFePCWopCumfU3Cv-m-7MIR_PnGd8AZKw4vjiBaVRQ0ePDEmeovYGAkupzyJ06260s6-JmCkRjEfG0Qrzn7ID1w95TmOQxkxXKYFw?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Solo instalar el certificado en el servidor, sin intervención del cliente.

Mantenimiento
https://lh7-rt.googleusercontent.com/docsz/AD_4nXfDAM7dPLJwiiW7CHyhhj3pH18dEIY1sLecmjgUn2yhSRhQBL0rgyxr-oHYivO8EUAjVnaL73IyhrislocgOw85lomigsKov0NUpqPfXgpNZNgZokfWEdtrqzYvTH3E8PZtZ5aiUQ?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Las renovaciones requieren volver a generar, reenviar y reinstalar en los clientes cada vez.
https://lh7-rt.googleusercontent.com/docsz/AD_4nXci1bGvOy3asinGq7IQOVMrncCscAdJeeXz6N6oV5mEjyLtTxqVfxRq9vyjnu8JShXwKhxn95i26W1trN6fPIhc_CCH3-XOMrljzyaGLGYPlJ_A29XsZ3T0xc1p2oV-xO9GGWTCMw?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Renovaciones sin intervención del cliente si se usan servidores conectados a un gestor de ciclo de vida de certificados y no se altera el dominio inicial.

Validación de nombre de dominio
https://lh7-rt.googleusercontent.com/docsz/AD_4nXfnkZqD5vAGQ9U_N4KGWVbS1vtfNg1GrgBdbivNsDTtqmzyUdYkh3X5NA967cTT8JG94sXG0jBAw8QVDMAq4rnY5cQGF8zS_4KwlY75sEp5mkhw2jDwwWn-cDAQlqAzd8iPwHeR_w?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Posible, pero depende de que el cliente configure el DNS y el CN/SAN coincidan.
https://lh7-rt.googleusercontent.com/docsz/AD_4nXeboB6JGN6LF1JyDbjTDshl2k2NuXlLqEzV5019etZGnmh2NsrrEqkgKIggsrBkLduXdw8LD65mA9WJKycBxt0MJ2wiHPGgROpgYo0OkyvKUUn0YPkb729VlC_wLgIOAphWKxJ__w?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Reforzada: la CA valida que el dominio le pertenece al cliente antes de emitirlo.

Seguridad
https://lh7-rt.googleusercontent.com/docsz/AD_4nXeY9c8oPTPg4DpHp0BvTiR_U4WSQzywTzaD615y_p_lP9QvbhGjtfNcqsSB2Wwpm73-3jai-xbyBUJwKhJIz_P7X-sTKoWlEu2tuoRcVnViQzGgVHLzXfiqsJqzDnC6RZ07N9RSqg?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Dependiente de las partes intervinientes.
https://lh7-rt.googleusercontent.com/docsz/AD_4nXdo0g-QSlPFmWRxfYUO7Se-_Knb9Lv5qWowj7px4426q6hUV0be1L-gh7n9MFafwxRN3NlhQMviMBFon7oTfyuiqY5ELBilmA19C7QDlph34ry27PNJ6CdjtotUhhEPX_Dj618FDA?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Validado por terceros automáticamente, reconocido y conforme a estándares de seguridad.

Proveedor
https://lh7-rt.googleusercontent.com/docsz/AD_4nXfDd9Rt-uQEGMOJSzsc3NHh3wBVqK4StVVlsn-_cYZ_KgkpVK1t5tWyWkdl1HQImIDYWWHf_H_yuJipgqIHGq70KwJPZ_sreI_XYQ_B4aKzaIul48_yzDIhxXZC8KXhoPX4HB_5?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Mayor complejidad para el proveedor: necesita importar, validar manualmente, seguir procesos de rotación.
https://lh7-rt.googleusercontent.com/docsz/AD_4nXcpo2SD2yhkvzIJus8k2T2n-P76SXDq_NQ9ZRyr6gaW-BDCk-M2W01U7T45M9XZ2_4qoe87n_dPfu5B12PGDdciRY_kXzu1iOQxk6O6O7aB-JrXFZMN5VgjLEf9aIq3_qJQz51KYQ?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Proveedor se conecta sin configuración adicional. Menor riesgo de errores y menor carga operativa.

Cumplimiento y auditoría
https://lh7-rt.googleusercontent.com/docsz/AD_4nXcLPbSH9UIpPc08R2vpAZ8rhX5z8p3oYiUmP4gFdgUA3h7S6bLHWEk72nRXsYx05YDcbffM0K56jt9g8KU5v0SgMivtmcXLIlJzUyxHPkLOhbruc-zkU2YKBTakOlUl8ujmH7CDvA?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Menor trazabilidad. Puede no cumplir con ciertas normativas o expectativas de seguridad. Es necesario ser auditado.
https://lh7-rt.googleusercontent.com/docsz/AD_4nXcAXbPxhamKE7n45mm3E2CdNdtV_04LMiLdCNbpVeP9-KjtLzgrQFyk65uAqNoQjXtHINfMdA-k3OYbcPCkVBnFTLK3fpcWW2XGmP7SySFshss7iRmXg1Y7g1mvx7i09ZDSF-keYQ?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Cumple requisitos de auditoría y compliance (ISO, SOC2, etc.) automáticamente. Las herramientas que administran el ciclo de vida tienen normalmente logs de auditoría y son monitorizadas de acuerdo a los estándares.

Coste
https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxTMtg0tfdtA7tGUJAj-ndpPwlnpN5C2ePDC1aAy944r0sDpnpBrSnNPvngxmWYoiF_GJfNW7rtT4HHl6e0oP6Y8asTON72DJAMjTcC6n5zgZMOHnfq6cTW7lhyStyuE18uk6o?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Gratuito
https://lh7-rt.googleusercontent.com/docsz/AD_4nXeZU3VJoG9n9c1-6QmHL1WpWiekJ2gprDeaAczOUCG679IO3i6URDEcOph07yTKseDxb6-qu6WNpkFgVJQbXcFm7A28EIHeKvrrlPgXsc4EGpezp9I__e_nYewoY2_it2JNtiaepg?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Gratuito si se usa Let’s Encrypt.

Uso recomendado
https://lh7-rt.googleusercontent.com/docsz/AD_4nXdLc53Oj4YZl4ja8fLXOzM6Jtf-Ps2P4eZVOMY5JSmNJ9rOIsmvmXBYv0hQfukZnrNy4YgkiTxM3F7B5X7FmhOLtY6eMBa1_446a6HD6e7Gvpf3dxKY9qGGpyHoafT9VRV9XM6Dgg?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Entornos de desarrollo, pruebas internas, sistemas no críticos.
https://lh7-rt.googleusercontent.com/docsz/AD_4nXexUPDBmaRqc5dAkJieYVYsvYWDiktoDEayrnZE5iPtYpoATZQxXZ55r6TrS_8VnhkoXBrtM0fu7qFZY90RFAr384xhJMXWNJelcAlUr3qbghOBGLJFMzhSA3wsyNwwEh2e3spm?key=AJhaCAVN2mgZ1sHcX8wCgnt7

Producción, entornos corporativos, comunicaciones inter-empresa.

Modelo Full SaaS

En los despliegues bajo el modelo SaaS, Anjana Data se encarga de forma íntegra de la gestión de los certificados utilizados para establecer conexiones seguras entre los distintos microservicios y componentes de la plataforma, incluyendo la conexión persistente entre el servidor de licencias y el cliente.

Estos certificados son firmados por una entidad certificadora reconocida bajo el dominio de Anjana Data: anjanadata.net

Responsabilidades de Anjana Data:

  • Gestión del ciclo de vida de los certificados.

  • Almacenamiento seguro de los certificados.

  • Integración transparente de los certificados en los componentes para asegurar una conexión segura.