Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configura el soporte de proxy y administra los almacenes de confianza para AWS IoT SiteWise Edge
En AWS IoT SiteWise Edge, configure y administre los almacenes de confianza para configurar el soporte de proxy para sus dispositivos perimetrales. En primer lugar, configure el proxy y, a continuación, configure los almacenes de confianza. Puede configurar los almacenes de confianza durante la instalación de la puerta de enlace o manualmente una vez establecida la puerta de enlace.
+ **Proxies**: facilitan la conectividad entre sus dispositivos y AWS servicios periféricos en varios entornos de red.
+ **Almacenes de confianza**: garantice la seguridad de las conexiones mediante la administración de certificados de confianza. Las configuraciones adecuadas le ayudan a cumplir con las políticas de seguridad de la red, permiten la comunicación en entornos de red restringidos y optimizan la transferencia de datos entre los dispositivos periféricos y los servicios en la nube.
SiteWise Edge utiliza varios almacenes de confianza para diferentes tipos de componentes, lo que garantiza un flujo de datos seguro y eficiente desde los dispositivos periféricos a la nube. Puede configurar los almacenes de confianza y los proxies en una puerta de enlace existente o durante el proceso de instalación al crear una nueva puerta de enlace.
## Requisitos para las configuraciones de almacenes de confianza y proxy
Antes de configurar un almacén de confianza o instalar SiteWise Edge con la configuración de proxy, asegúrese de cumplir los requisitos previos. Existen diversos requisitos de implementación según el uso de los componentes y los requisitos de funcionalidad.
**Requisitos de soporte de proxy**
+ La URL de su servidor proxy. La URL debe incluir la información del usuario y el número de puerto del host. Por ejemplo, `scheme://[userinfo@]host[:port]`.
+ `scheme`— Debe ser HTTP o HTTPS
+ (Opcional)`userinfo`: información de nombre de usuario y contraseña
+ `host`— El nombre de host o la dirección IP del servidor proxy
+ `port`— El número de puerto
+ Una lista de direcciones para evitar el proxy.
+ (Opcional) El archivo de certificado de CA del proxy si utiliza un proxy HTTPS con un certificado autofirmado.
**Requisitos del almacén de confianza**
+ Para que el paquete de procesamiento de datos funcione plenamente con el proxy HTTPS, debe actualizar los tres almacenes de confianza.
+ Si solo usa el recopilador SiteWise OPC UA de IoT y el SiteWise editor de IoT, actualice los almacenes de confianza AWS IoT Greengrass Core y Java de certificados a la última versión.
## Prácticas recomendadas para las configuraciones perimetrales de servidores proxy y almacenes fiduciarios
Para un mantenimiento continuo y para mantener el más alto nivel de seguridad en su entorno perimetral:
+ Revise y actualice periódicamente la configuración del proxy para adaptarla a los requisitos de seguridad de su red.
+ Supervise la conectividad de la puerta de enlace y el flujo de datos para garantizar una comunicación proxy adecuada
+ Mantenga y actualice los almacenes de confianza de acuerdo con las políticas de administración de certificados de su organización
+ Puede implementar y seguir nuestras prácticas recomendadas para una comunicación segura en entornos periféricos, como:
+ Documente las configuraciones de su proxy y almacén de confianza para obtener visibilidad operativa
+ Siga las prácticas de seguridad de su organización para la administración de credenciales
Estas prácticas ayudan a mantener las operaciones seguras y confiables de sus puertas de enlace SiteWise Edge y, al mismo tiempo, se mantienen alineadas con sus políticas de seguridad más amplias.
# Configure los ajustes del proxy durante la instalación de la puerta de enlace AWS IoT SiteWise Edge
Puede configurar AWS IoT SiteWise Edge para que funcione con un servidor proxy durante la instalación de la puerta de enlace. El script de instalación admite proxies HTTP y HTTPS y puede configurar automáticamente almacenes de confianza para conexiones proxy seguras.
Al ejecutar el script de instalación con la configuración del proxy, realiza varias tareas importantes:
+ Valida el formato y los parámetros de la URL del proxy para garantizar que estén correctamente especificados.
+ Descarga e instala las dependencias necesarias a través del proxy configurado.
+ Si se proporciona un certificado de CA proxy, se adjunta al certificado de CA AWS IoT Greengrass raíz y se importa a Java. KeyStore
+ Se configura AWS IoT Greengrass (lo que usa SiteWise Edge) para usar el proxy en todas las conexiones salientes.
+ Completa la instalación de SiteWise Edge con las configuraciones de proxy y almacén de confianza adecuadas.
**Para configurar los ajustes del proxy al instalar el software de puerta de enlace**
1. Cree una puerta de enlace SiteWise Edge. Para obtener más información, consulte [Cree una puerta de enlace SiteWise Edge autohospedada](create-gateway-ggv2.md) y [Instale el software AWS IoT SiteWise Edge Gateway en su dispositivo local](install-gateway-software-on-local-device.md).
1. Ejecute el script de instalación con la configuración de proxy adecuada para su entorno. Sustituya los marcadores de posición por su información de proxy específica
Sustituya cada uno de los siguientes elementos:
+ `-p`, `--proxy-url` — La URL del servidor proxy. La URL debe ser una de las dos `http``https`.
+ `-n`, `--no-proxy` — Una lista de direcciones separadas por comas para evitar el proxy.
+ (Opcional)`-c`, `--proxy-ca-cert` — Ruta al archivo de certificado de CA del proxy.
+ (Opcional)`-j`, `--javastorepass` — La KeyStore contraseña de Java. La contraseña predeterminada es `changeit`.
------
#### [ Linux ]
Para los sistemas Linux, utilice la siguiente estructura de comandos:
```
sudo ./install.sh -p proxy-url -n no-proxy-addresses [-c proxy-ca-cert-path] [-j javastorepass]
```
------
#### [ Windows ]
Para Microsoft Windows los sistemas que utilizan PowerShell, utilice esta estructura de comandos:
```
.\install.ps1 -ProxyUrl proxy-url -NoProxyAddresses no-proxy-addresses [-ProxyCaCertPath proxy-ca-cert-path] [-JavaStorePass javastorepass]
```
------
## Solución de problemas durante una instalación con proxy
Para obtener más información sobre cómo resolver los problemas del almacén de confianza relacionados con una puerta de enlace SiteWise Edge, consulte[Problemas de instalación con proxy](troubleshooting-gateway.md#troubleshoot-proxy-during-installation).
# Configure manualmente los almacenes de confianza para que sean compatibles con el proxy HTTPS en AWS IoT SiteWise Edge
Al configurar los componentes de AWS IoT SiteWise Edge para que se conecten a través de un proxy HTTPS, añada el certificado del servidor proxy a los almacenes de confianza correspondientes. SiteWise Edge usa varios almacenes de confianza para proteger las comunicaciones. Hay tres almacenes de confianza y el uso que haga de ellos depende del tipo de componente de SiteWise Edge que utilice en la implementación de la puerta de enlace.
Los almacenes de confianza se actualizan automáticamente durante el proceso de instalación cuando se proporciona la configuración del proxy.
+ [Configure un almacén de confianza de componentes AWS IoT Greengrass principales](#manage-trust-stores-proxy_greengrass-core-components)— El certificado AWS IoT Greengrass raíz de la CA se incluye en los almacenes de confianza para comprobar la autenticidad de AWS los servicios.
Este almacén de confianza ayuda a AWS IoT Greengrass los componentes a comunicarse de forma segura con AWS los servicios a través del proxy y, al mismo tiempo, verifica la autenticidad de esos servicios.
+ [Configure un almacén de confianza de componentes basado en Java](#manage-trust-stores-proxy_java-based-components)— Java KeyStore (JKS) es el principal almacén de confianza que utilizan los componentes basados en Java para las conexiones. SSL/TLS
Las aplicaciones Java se basan en el JKS para establecer conexiones seguras. Por ejemplo, si utilizas el SiteWise editor de IoT o el recopilador SiteWise OPC UA de IoT, que están basados en Java, tendrás que configurar este almacén de confianza. Esto garantiza que estos componentes puedan comunicarse de forma segura a través del proxy HTTPS al enviar datos a la nube o recopilar datos de los servidores OPC UA.
+ [Configuración del almacén de confianza de componentes a nivel del sistema](#manage-trust-stores-proxy_system-level-components)— Cuando se utilizan proxies HTTPS, sus certificados deben añadirse a los almacenes de confianza adecuados para permitir conexiones seguras.
Cuando se utilizan proxies HTTPS, sus certificados deben añadirse a los almacenes de confianza adecuados para permitir conexiones seguras. Esto es necesario porque los componentes a nivel del sistema, que suelen estar escritos en lenguajes como Rust o Go, se basan en el almacén de confianza del sistema y no en el JKS de Java. Por ejemplo, si utilizas utilidades del sistema que necesitan comunicarse a través del proxy (como las actualizaciones de software o la sincronización horaria), tendrás que configurar el almacén de confianza a nivel del sistema. Esto garantiza que estos componentes y utilidades puedan establecer conexiones seguras a través del proxy.
## Configure un almacén de confianza de componentes AWS IoT Greengrass principales
Para las funciones AWS IoT Greengrass principales que utilizan la CA raíz de Amazon:
1. Localice el archivo del certificado en `/greengrass/v2/AmazonRootCA1.pem`
1. Añada el certificado raíz del proxy HTTPS (autofirmado) a este archivo.
```
-----BEGIN CERTIFICATE-----
MIIEFTCCAv2gAwIQWgIVAMHSAzWG/5YVRYtRQOxXUTEpHuEmApzGCSqGSIb3DQEK
\nCwUAhuL9MQswCQwJVUzEPMAVUzEYMBYGA1UECgwP1hem9uLmNvbSBJbmMuMRww
... content of proxy CA certificate ...
+vHIRlt0e5JAm5\noTIZGoFbK82A0/nO7f/t5PSIDAim9V3Gc3pSXxCCAQoFYnui
GaPUlGk1gCE84a0X\n7Rp/lND/PuMZ/s8YjlkY2NmYmNjMCAXDTE5MTEyN2cM216
gJMIADggEPADf2/m45hzEXAMPLE=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDQTCCAimgF6AwIBAgITBmyfz/5mjAo54vB4ikPmljZKyjANJmApzyMZFo6qBg
ADA5MQswCQYDVQQGEwJVUzEPMA0tMVT8QtPHRh8jrdkGA1UEChMGDV3QQDExBBKW
... content of root CA certificate ...
o/ufQJQWUCyziar1hem9uMRkwFwYVPSHCb2XV4cdFyQzR1KldZwgJcIQ6XUDgHaa
5MsI+yMRQ+hDaXJiobldXgjUka642M4UwtBV8oK2xJNDd2ZhwLnoQdeXeGADKkpy
rqXRfKoQnoZsG4q5WTP46EXAMPLE
-----END CERTIFICATE-----
```
### Configure el proxy HTTPS en una puerta de enlace establecida
Puede agregar soporte de proxy a una puerta de enlace establecida conectándose al puerto 443 en lugar del puerto 8883. Para obtener más información sobre el uso de un servidor proxy, consulte [Conectarse en el puerto 443 o mediante un proxy de red](https://docs.aws.amazon.com/greengrass/v2/developerguide/configure-greengrass-core-v2.html#configure-alpn-network-proxy) en la *Guía para AWS IoT Greengrass Version 2 desarrolladores*. Si crea una nueva puerta de enlace, puede establecer la configuración del proxy durante la instalación de la puerta de enlace. Para obtener más información, consulte [Configure los ajustes del proxy durante la instalación de la puerta de enlace AWS IoT SiteWise Edge](manage-trust-stores-proxy_config.md).
Cuando utilizas un proxy HTTPS con AWS IoT Greengrass on SiteWise Edge, el software elige automáticamente entre HTTP y HTTPS para las conexiones proxy en función de la URL proporcionada.
**importante**
Actualiza todos los almacenes de confianza necesarios antes de intentar conectarte a través de un proxy HTTPS.
## Configure un almacén de confianza de componentes basado en Java
Para el SiteWise editor de IoT, el recopilador SiteWise OPC UA de IoT y los servicios Java del paquete de procesamiento de datos, la ubicación predeterminada del almacén de confianza de Java es `$JAVA_HOME/jre/lib/security/cacerts`
**Para añadir un certificado**
1. Cree un archivo para almacenar el certificado del servidor proxy, por ejemplo`proxy.crt`.
**nota**
Cree el archivo con antelación utilizando el certificado del servidor proxy.
1. Añada el archivo al almacén de confianza de Java mediante el siguiente comando:
```
sudo keytool -import -alias proxyCert -keystore /usr/lib/jvm/java-11-openjdk-amd64/lib/security/cacerts -file proxy.crt
```
1. Cuando se le pida, utilice la contraseña predeterminada: `changeit`
## Configuración del almacén de confianza de componentes a nivel del sistema
Para los componentes escritos en Rust, Go y otros lenguajes que utilizan el almacén de confianza del sistema:
------
#### [ Linux ]
Sistemas Linux: añada certificados a `/etc/ssl/certs/ca-certificates.crt`
------
#### [ Windows ]
Microsoft Windowssistemas: para configurar el almacén de confianza, siga el procedimiento del [almacén de certificados](https://learn.microsoft.com/en-us/windows-hardware/drivers/install/certificate-stores) de la documentación de *Microsoft Ignite*.
Windows ofrece varios almacenes de certificados, incluidos almacenes independientes para usuarios y ordenadores, cada uno con varios subalmacenes. Para la mayoría de las configuraciones de SiteWise Edge, recomendamos añadir certificados al almacén. `COMPUTER | Trusted Root Certification Authorities` Sin embargo, en función de sus requisitos específicos de configuración y seguridad, es posible que necesite utilizar un almacén diferente.
------
## Solución de problemas con los almacenes de confianza
Para obtener más información sobre cómo resolver los problemas del almacén de confianza relacionados con una puerta de enlace de SiteWise Edge, consulte[Problemas con el almacén de confianza](troubleshooting-gateway.md#troubleshoot-trust-stores).