Uso del comando "certificate" de CLI

Utilice el comando certificate de CLI para crear un certificado firmado que coincida con el nombre del servidor o el nombre del sistema de nombres de dominio (DNS, por sus siglas en inglés) para una conexión SSL totalmente segura con FileMaker Server.

FileMaker Server incluye un certificado predeterminado instalado en el servidor con base de datos y un certificado raíz que se incluye con el software FileMaker Pro y FileMaker Go. Si utiliza este certificado, asegúrese de que el certificado del servidor esté instalado en el equipo que ejecuta el servidor de base de datos y que el certificado del cliente esté instalado en los equipos cliente de FileMaker Pro y FileMaker Go.

Puede utilizar el comando certificate y solicitar un certificado firmado desde una entidad emisora de certificados (CA, por sus siglas en inglés) que coincida con el nombre de servidor específico o el nombre de DNS. Una CA emite certificados digitales que contienen una clave pública y la identidad del propietario. Al crear la solicitud de certificado, se genera una clave privada que se corresponde con la clave pública.

  • Utilice el comando certificate create para crear el archivo de solicitud de certificado que enviará a la CA (serverRequest.pem), además de un archivo de clave privada cifrado que utilizará el comando certificate import (serverKey.pem).

  • Diagrama que muestre el comando "certificate create" que crea los archivos .pem serverRequest y serverKey

    El comando certificate create crea dos archivos de salida:

    • El archivo de clave privada cifrado: serverRequest.pem.

      Envíe el archivo serverRequest.pem a la entidad emisora de certificados mediante el proceso proporcionado por esta.

    • El archivo de clave privada cifrado: serverKey.pem

      El comando certificate import combina este archivo con el archivo de certificado devuelto por la entidad emisora de certificados.

    Nota  Utilice una contraseña de cifrado para una clave privada al crear una petición del servidor. Por ejemplo: certificate create --keyfilepass exampleSecretPassphrase.

  • Utilice el comando certificate import para crear un archivo .pem de servidor personalizado. Este archivo .pem de servidor personalizado combina el archivo de certificado que recibe de la CA con el archivo de clave privada cifrado creado por el comando certificate create.

  • Diagrama que muestra el comando "certificate import" que crea el archivo .pem serverCustom y los archivos .pem de certificado y serverKey

Nota  Para escribir información en el archivo serverkey.pem, debe disponer de privilegios de administrador. De lo contrario, Windows, macOS o Linux generan un error. Para impedir que se produzca este error:

  • Windows (solo FileMaker Server): abra la ventana de símbolo del sistema mediante Ejecutar como administrador.

  • macOS o Linux: autentíquese como sudo para ejecutar comandos como superusuario.

Formato

fmsadmin certificate create nombre_servidor

fmsadmin certificate create asunto

fmsadmin certificate import archivo_certificado

Opciones

nombre_servidor | asunto

nombre_servidor o asunto son necesarios para el comando certificate create.

nombre_servidor es el valor utilizado por los clientes para abrir los archivos alojados con el protocolo de red de FileMaker, fmnet.

Por ejemplo, si los clientes de FileMaker Pro utilizan fmnet:/salesdbs.mycompany.com/sales (solo FileMaker Server) o claris:/salesdbs.mycompany.com/sales (Claris Server) para abrir la base de datos alojada "Sales", utilice el siguiente comando con salesdbs.mycompany.com como nombre_servidor:

fmsadmin certificate create salesdbs.mycompany.com --keyfilepass exampleSecretPassphrase

El parámetro asunto se puede utilizar para proporcionar más información, además del nombre de servidor (algunas entidades emisoras de certificados requieren información adicional). El parámetro asunto utiliza la misma sintaxis que el argumento del comando openssl req [-subj arg]:

  • El parámetro asunto no distingue entre mayúsculas y minúsculas.

  • El asunto debe tener el formato /tipo0=valor0/tipo1=valor1/tipo2=..., donde cada par tipo=valor hace referencia a un tipo de atributo y un valor que especifica un nombre completo relativo.

  • Use el carácter de barra invertida (\) para aplicar escape a los caracteres especiales.

  • Utilice comillas dobles en la cadena de asunto si incluye caracteres de espacio.

Por ejemplo, para usar el nombre común de DNS salesdbs.mycompany.com y el valor de país US, utilice el siguiente comando:

fmsadmin certificate create /CN=salesdbs.mycompany.com/C=US --keyfilepass exampleSecretPassphrase

En el siguiente ejemplo, se muestran atributos adicionales que pueden especificarse mediante la opción de asunto:

fmsadmin certificate create "/CN=ets-srvr.filemaker.com/O=FileMaker DBS Test/C=US/ST=California/L=Santa Clara" --keyfilepass exampleSecretPassphrase

Opciones

archivo_certificado

El parámetro archivo_certificado es necesario para el comando certificate import.

El parámetro archivo_certificado es el nombre de ruta completo al archivo de certificado SSL personalizado que se ha recibido desde la entidad emisora de certificados. Puede utilizar un nombre de ruta absoluto o relativo.

Por ejemplo, si el archivo de certificado es c:\Documents\signedCertificate.crt, utilice el siguiente comando:

fmsadmin certificate import c:\Documents\signedCertificate.crt

El comando certificate import combina el archivo de certificado firmado con el archivo serverKey.pem y crea un archivo denominado serverCustom.pem. El archivo serverCustom.pem se crea en la carpeta CStore:

  • Windows (solo FileMaker Server): [unidad]:\Archivos de programa\FileMaker\FileMaker Server\CStore\serverCustom.pem

  • macOS (solo FileMaker Server): /Biblioteca/FileMaker Server/CStore/serverCustom.pem

  • Linux (solo FileMaker Server): /opt/FileMaker/FileMaker Server/CStore/serverCustom.pem

  • Linux (Claris Server): /opt/Claris/Server/CStore/serverCustom.pem

Para utilizar el comando certificate import:

  • Windows (solo FileMaker Server): debe disponer de permiso de administrador para la carpeta CStore.

  • macOS y Linux: debe disponer de permisos de acceso de lectura y escritura para la carpeta CStore.

Después de utilizar el comando certificate import, debe reiniciar el servidor de base de datos. Después de reiniciar, si el servidor de base de datos no puede encontrar serverCustom.pem, utilizará el archivo server.pem predeterminado.