Soy un integrador de sistemas que utiliza un sistema diseñado para llevar los datos HVAC a una interfaz común. Esta plataforma de sistema / software se llama Niagara AX. La combinación de la configuración de red del cliente y los requisitos para un proyecto han reunido el siguiente escenario:
- Todos los sistemas que proporcionen dichos datos deben comunicarse al consumidor de dichos datos a través de un navegador web con HTTPS
- Hay un servidor virtual centralizado que debe ser el punto de acceso a través del cual se accede a otros sistemas, y el acceso al subsistema debe ser a través de HTTPS
- El cliente ha proporcionado una autoridad de certificación de Microsoft Active Directory y una herramienta de firma de certificados
- Los certificados generados por los sistemas HVAC son firmados por la herramienta de firma del cliente y son aceptados por los sistemas HVAC y funcionan correctamente en los navegadores web para conexiones directas a todos los sistemas, incluido el servidor central y todos los subsistemas
- La plataforma de software HVAC proporciona opciones integradas solo para el túnel HTTP y el uso de HTTPS
He logrado que mi sistema funcione correctamente en todos los puntos, excepto donde se debe acceder a los subsistemas a través del servidor centralizado. El acceso directo a HTTPS funciona correctamente en todas las instancias. Por lo que puedo ver, mi única opción dada la configuración y los requisitos del cliente es usar la tunelización HTTPS que utiliza una sintaxis especializada específica para este sistema HVAC (por ejemplo, enlace ). En este punto, suele suceder cualquier cantidad de cosas, incluidos los 404 con redireccionamiento silencioso a una página sin sentido, o la "espera de cent-server" que acaba por expirar.
Me han dicho que la solución implica "combinar" mis certificados SSL en un solo certificado grande y tener este certificado "común" en todos los sistemas involucrados. Mi pregunta es la siguiente: ¿cómo puedo lograr esto?
Permita que mis sistemas se etiqueten como C - servidor centralizado, A - subsistema A, B - subsistema B, R - autoridad certificadora raíz (altamente simplificada). El intento de combinar las partes del certificado firmado de los certificados A y B en el PEM público + privado para el certificado C y luego la importación en el administrador de certificados en C genera un error CertPathValidatorException que reclama "El certificado intermedio carece de restricciones básicas". No estoy seguro de qué otras opciones de combinación tengo disponibles cuando armo mi PEM, aunque sé que no tiene sentido simplemente insertar el lado público de los certs A y B en la sección donde este sistema espera la cadena de certificados. piezas para ser.