Despliegue de los certificados

Si vas a desplegar esto en dispositivos Windows, tendrás que convertir tus archivos PEM y CRT al formato PFX utilizando el siguiente comando, sustituyendo <CertificateAndKeyName> y <CertificateName> por los respectivos nombres de archivo:

openssl pkcs12 \
-inkey <CertificateAndKeyName>.pem \
-in <CertificateAndKeyName>.crt \
-export \
-out <CertificateName>.pfx

El certificado PFX resultante se puede implementar en el almacenamiento de certificados del equipo local de los dispositivos de destino mediante su solución de administración de endpoints o puntos finales. Tras la implementación, el certificado debería aparecer en el Administrador de Certificados del equipo local (busca Administrar certificados del equipo (Manage computer certificates)) dentro de la carpeta Personal Certificados.(Personal ➜ Certificates)

PowerShell llama a esta ubicación:

cert:\LocalMachine\My

Para minimizar el acceso a la clave privada, restringe los permisos a la cuenta SYSTEM y solo a las cuentas de administrador necesarias. Puedes verificarlo en el Administrador de Certificados del equipo local haciendo clic en el botón derecho del ratón, en el certificado, seleccionando Todas las Tareas (All tasks), luego Administrar Claves Privadas Manage Private Keys) ...., y confirmando que solo las cuentas requeridas tengan acceso.

Si estás implementando esto en dispositivos Linux, no es necesario realizar cambios. Debes colocar las claves privadas PEM en /etc/teamviewer/ssl/private y los certificados públicos CRT en /etc/teamviewer/ssl/certs. Asegúrate de que tanto el certificado público como la clave privada correspondiente tengan el mismo nombre de archivo base, por ejemplo, <CertificateAndKeyName>.pem y <CertificateAndKeyName>.crt. Asegúrate de que el usuario raíz (root) sea el propietario del archivo de clave privada. Se recomienda minimizar el acceso al usuario raíz.

Probar y aplicar la política

Dado que el proceso de configuración de esta función es complicado, la misma debe probarse antes de extenderla completamente a otros dispositivos. Esto se puede hacer instalando el certificado en un dispositivo local y aplicando la política al mismo dispositivo, iniciando una sesión de control remoto, iniciando una grabación y verificando que el archivo se carga correctamente en el servidor SFTP después de que la grabación se haya detenido. Esto confirma que el cifrado, el descifrado y la configuración SFTP, así como la conexión al servidor desde el dispositivo de carga, están funcionando.

Si una subida falla, la misma se reintentará después de un corto período de tiempo, aumentando con cada intento fallido posterior hasta una hora. El tiempo de espera reducirá el número de peticiones erróneas al servidor SFTP. Especialmente durante las pruebas, cuando la configuración todavía se está adaptando activamente, puede que el siguiente reintento no sea inmediatamente después de que se haya detenido una grabación. Para intentar otra subida inmediatamente, se puede realizar un reinicio completo de TeamViewer (por ejemplo, reiniciando el ordenador).

Una vez que la prueba se haya realizado correctamente, despliegua primero el certificado en todos los dispositivos de destino utilizando tu solución de gestión de endpoints y, a continuación, aplica la política a dichos dispositivos. Una vez que estos dispositivos registren cualquier sesión de control remoto, todas las grabaciones de estos dispositivos se cargarán automáticamente en tu servidor.