Cómo utilizar Certificate Server 2.0 para configurar SSL en un entorno de prueba con IIS 5.0 y Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 290625 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe la forma de configurar con Nivel de socket seguro (SSL) en un entorno controlado de desarrollo de Servicios de Internet Information Server (IIS) 5.0 para Windows 2000. Microsoft Certificate Server 2.0 puede crear numerosos certificados diferentes; este artículo sólo trata la creación de un certificado Web estándar.

Crear una solicitud de certificado

Para crear un certificado de servidor Web, siga estos pasos:
  1. Abra el Administrador de servicios Internet en Microsoft Management Console (MMC). Para hacerlo, haga clic en Inicio, elija Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de servicios Internet.
  2. Haga doble clic en el nombre del servidor para ver todos los sitios Web.
  3. Haga clic con el botón secundario del mouse (ratón) en el sitio Web en el que desea instalar el certificado y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Seguridad de directorios.

    Verá tres métodos de seguridad. El método que utilizará para crear una solicitud de certificado es Comunicaciones seguras.
  5. Haga clic en Certificado de servidor. Se iniciará el Asistente para certificados. Haga clic en Siguiente para continuar.
  6. Seleccione Crear un certificado nuevo y, a continuación, haga clic en Siguiente.
  7. Haga clic en Preparar la petición ahora pero enviarla más tarde y, después, en Siguiente.
  8. Escriba un nombre para el certificado y, a continuación, seleccione una longitud en bits. A menos que sea necesario para su laboratorio, no active la casilla de verificación Certificado SGC. Para obtener más información acerca de los certificados SGC, consulte la nota que figura al final de esta sección. Haga clic en Siguiente para continuar.
  9. Escriba el nombre de su organización y la unidad organizativa (por ejemplo, nombre de la compañía y departamento de desarrollo). Haga clic en Siguiente.
  10. En Nombre común, escriba el nombre de dominio completo (FQDN) o el nombre del servidor. Si va a crear un certificado que se utilizará a través de Internet, es preferible utilizar un nombre FQDN. Haga clic en Siguiente.
  11. Escriba la información de la ubicación y, a continuación, haga clic en Siguiente.
  12. Escriba la ruta de acceso y el nombre de archivo donde desea guardar la información del certificado y, a continuación, haga clic en Siguiente.

    Nota
    Si la ubicación y el nombre de archivo que escribe no son los predeterminados, asegúrese de anotar el nombre y la ubicación que seleccione, porque debe conseguir acceso a este archivo en pasos posteriores.
  13. Compruebe la información que ha escrito y, a continuación, haga clic en Siguiente para completar el proceso y crear la solicitud de certificado.
  14. En el cuadro de diálogo Finalización del Asistente para certificados de servidor Web, haga clic en Finalizar.
  15. Haga clic en Aceptarpara cerrar las Propiedades de sitio Web.
Notas
Los certificados con criptografía activada por servidor (SGC) los utilizan con mucha frecuencia las instituciones financieras que requieren conexiones con cifrado de alto nivel aunque las conexiones se establezcan con exploradores o usuarios internacionales con cifrado limitado a 40 bits. Cuando la conexión se establece con un explorador internacional (40 bits), un certificado SGC crea un túnel de 128 bits para permitir una intensidad de cifrado de 128 bits. Cuando la sesión o conexión protegida finaliza, el túnel de certificado intermedio se cierra.

Además, el certificado SGC es específico del dominio en sentido estricto. Normalmente, si el nombre de dominio de un certificado no coincide con el dominio del sitio Web, recibirá una advertencia indicando este hecho y podrá elegir entre continuar o no. Un certificado SGC no proporciona advertencias ni ofrece opciones para elegir. La conexión no funciona, pero no se recibe una explicación.

Enviar una solicitud de certificado

Para enviar una solicitud de certificado, siga estos pasos:
  1. Abra un explorador y, a continuación, abra http://nombreDeSuServidorWeb/certsrv/.
  2. Seleccione Solicitar un certificado y, a continuación, haga clic en Siguiente.
  3. Seleccione Solicitud avanzada y, a continuación, haga clic en Siguiente.
  4. Seleccione la opción Enviar una solicitud de certificado utilizando un archivo de base64 y, a continuación, haga clic en Siguiente.
  5. En el Bloc de notas, abra el documento de solicitud que ha creado en la primera sección de procedimientos "Crear una solicitud de certificado".
  6. Copie el contenido del documento.

    El contenido es similar al siguiente:
    -----BEGIN NEW CERTIFICATE REQUEST----- 
    MIICcjCCAhwCAQAwYjETMBEGA1UEAxMKcm9ic3NlcnZlcjELMAkGA1UECxMCTVMx 
    CzAJBgNVBAoTAk1TMREwDwYDVQQHEwhCZWxsZXZ1ZTERMA8GA1UECBMIV2FzaGl0 
    b24xCzAJBgNVBAYTAlVTMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALYK4sYDNQ7h 
    LmSfL0qpIvUfY7Ddw7fNCvDp3rM7z4QqoLhA2c8TkyamqWTBsV0WRHIidf/J6mU4 
    wN4wrUzJTLUCAwEAAaCCAVMwGgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUG 
    CisGAQQBgjcCAQ4xJzAlMA4GA1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEF 
    BQcDATCB/QYKKwYBBAGCNw0CAjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0 
    ACAAUgBTAEEAIABTAEMAaABhAG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBw 
    AGgAaQBjACAAUAByAG8AdgBpAGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMU 
    K5Ms87Q+fjP1/pWN3PJnH7x8MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7Zo 
    D6YNfv/SfAvQmr90eGmKOFFiTD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6 
    wn0Z5yLOByPqblQZAAAAAAAAAAAwDQYJKoZIhvcNAQEFBQADQQCgRCWkaXlY2nVa 
    tbn6p5miPwWfrbViYo0B62wkuH0f7J0nSGcxMnn/6Q/iLEIsgHqFhox5PWCzIV0J 
    tXKPWrBL 
    -----END NEW CERTIFICATE REQUEST-------
    						
    Nota
    Si guarda el documento con la ubicación y el nombre de archivo predeterminados, quedará ubicado en C:\Certreq.txt.

    Nota
    Asegúrese de copiar todo el contenido como se muestra más arriba.
  7. Pegue el contenido del documento en el cuadro de texto Solicitud de certificado codificado de base64 del formulario Web Forms. Haga clic en Enviar.
  8. Si Certificate Server se establece en Emitir siempre el certificado, será dirigido inmediatamente a la página Certificado emitido. La barra de direcciones muestra:
    http://nombreDeSuServidorWeb/certsrv/certfnsh.asp
    En esta página, puede descargar inmediatamente el certificado de servidor Web. Para hacerlo, siga estos pasos en la página Certificado emitido:

    1. Haga clic en el vínculo superior, Descargar certificado de la entidad emisora de certificados (no haga clic en Ruta para descargar certificado de la entidad emisora de certificados).
    2. Cuando se le indique, seleccione Guardar este archivo en disco y guarde el certificado en el escritorio o en otra ubicación que recuerde fácilmente.
    3. A continuación, pase a la sección "Instalar el certificado".
  9. Si Certificate Server está establecido en Establecer el estado de la petición de certificados como pendiente, recibirá un mensaje de "certificado pendiente" similar al siguiente:
    Certificado pendiente. Se ha recibido la solicitud de certificado. Sin embargo, debe esperar a que un administrador emita el certificado solicitado. Vuelva a este sitio Web dentro de uno o dos días para recuperar el certificado. Nota<Br/> Con este explorador Web, debe volver dentro de 10 días para recuperar el certificado.
    						
    Para continuar, pase a la sección "Emitir un certificado".
Nota
Para obtener más información sobre la configuración de directivas de emisión de certificados, consulte el Apéndice A.

Emitir un certificado

Para emitir (es decir, autorizar) un certificado en Certificate Server, siga estos pasos:
  1. Abra el complemento Entidades emisoras de certificados de Microsoft Management Console (MMC). Para hacerlo, haga clic en Inicio, elija Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad emisora de certificados.
  2. Expanda Entidad emisora de certificados.
  3. Haga clic en la carpeta Peticiones pendientes. En el panel derecho aparecerán las solicitudes de certificados pendientes.
  4. Haga clic con el botón secundario del mouse en la solicitud de certificado pendiente (es decir, la solicitud enviada en el tercer procedimiento de este artículo), seleccione Todas las tareas y, a continuación, haga clic en Emitir.

    Nota
    Después de seleccionar Emitir, el certificado deja de mostrarse en esta ventana y carpeta. Ahora reside en la carpeta de certificados emitidos. Nota
    Para obtener más información sobre la configuración de directivas de emisión de certificados, consulte el Apéndice A.

Descargar un certificado

Después de emitir y autorizar el certificado, puede volver a la interfaz de los certificados de servidor Web y seleccionar y descargar el certificado:
  1. Abra http://nombreDeSuServidorWeb/certsrv/.Nota
    Debe escribir certsrv con letras minúsculas. Si no lo hace, no podrá ver las solicitudes pendientes.

  2. En la página predeterminada, seleccione Comprobar un certificado pendiente y, a continuación, haga clic en Siguiente. Nota
    Si selecciona Recuperar el certificado de entidad emisora de certificados o la lista de revocaciones de certificados en la página de bienvenida, descargará el certificado de una entidad emisora de certificados raíz y no el certificado de servidor Web. Si intenta instalar un certificado de una entidad emisora de certificados raíz en un sitio Web, aparecerá un mensaje de error similar al siguiente:
    El certificado seleccionado ya se instaló en otro servidor. Elija otro archivo de respuesta.
  3. Seleccione el certificado pendiente y, a continuación, haga clic en Siguiente para abrir la página de descarga.
  4. En esta página, haga clic en el hipervínculo superior, Descargar certificado de la entidad emisora de certificados (no haga clic en Ruta para descargar certificado de la entidad emisora de certificados).
  5. Cuando se le indique, seleccione Guardar este archivo en disco y guarde el certificado en el escritorio o en otra ubicación que recuerde fácilmente.
Ha emitido y descargado su certificado.

El siguiente paso es instalar el certificado y configurar un sitio Web con cifrado con SSL.

Instalar el certificado

Hay varias formas de instalar y configurar un certificado con SSL: por ejemplo, puede hacer doble clic en el certificado y utilizar el Asistente para la instalación de certificados con el fin de preinstalar el certificado y enlazarlo después con el sitio. En este artículo se describe la forma de instalar el certificado utilizando MMC del Administrador de servicios Internet mediante el Asistente para certificados de servidor Web.

Para instalar un certificado en Certificate Server, siga estos pasos:
  1. Abra el Administrador de servicios Internet y, a continuación, expanda el nombre del servidor para poder ver los sitios Web.
  2. Haga clic con el botón secundario del mouse en el sitio Web para el que ha creado la solicitud de certificado y, a continuación, haga clic en Propiedades.
  3. Haga clic en la ficha Seguridad de directorios. En Comunicaciones seguras, haga clic en Certificado de servidor.

    De este modo se abre el Asistente para la instalación de certificados. Haga clic en Siguiente para continuar.
  4. Seleccione Procesar la petición pendiente e instalar el certificado y, a continuación, haga clic en Siguiente.
  5. Escriba la ubicación del certificado que ha descargado en la sección "Descargar un certificado" y, a continuación, haga clic en Siguiente.
  6. Cuando el Asistente muestre el resumen de certificados, compruebe que la información es correcta y, a continuación, haga clic en Siguiente para continuar.
  7. Haga clic en Finalizarpara completar el proceso.

Configurar y probar el certificado

Para configurar y probar el certificado, siga estos pasos:
  1. En la ficha Seguridad de directorios, en Comunicaciones seguras, observe que hay tres opciones disponibles. Con el fin de establecer el sitio Web en modo de solicitar conexiones seguras, haga clic en Modificar. Aparecerá el cuadro de diálogo Comunicaciones seguras.
  2. Seleccione Requerir canal seguro (SSL) y, a continuación, haga clic en Aceptar.
  3. Haga clic en Aplicar y en Aceptar para cerrar la ventana Propiedades.
  4. Busque el sitio y compruebe que funciona:
    1. Abra el sitio a través de http escribiendo http://localhost/Postinfo.html en el explorador. Aparecerá un mensaje de error similar al siguiente:
      HTTP 403.4 - Prohibido: se requiere SSL.
    2. Intente el acceso a la misma página Web con una conexión protegida (https) escribiendo https://localhost/postinfo.html en el explorador.Nota
      La página Postinfo.html es una página HTML estándar que se encuentra en la raíz del sitio Web predeterminado.

    3. Si aparece un mensaje de seguridad indicando que el certificado no procede de una entidad emisora de certificados raíz de confianza, haga clic en para continuar hasta la página Web.

      Nota
      Para obtener información sobre cómo se agrega la entidad emisora de certificados raíz a la lista Entidades emisoras raíz de confianza del explorador, consulte el Apéndice B.
Si puede ver la página, ha instalado correctamente el certificado.

Apéndice A: Cómo se cambian directivas de emisión de certificados

Puede seleccionar si desea emitir un certificado previa solicitud (sin autorización) o si desea que todas las solicitudes se envíen para autorización previa mediante el complemento Entidades emisoras de certificados de MMC. Para hacerlo, siga estos pasos:
  1. Abra la herramienta Entidad emisora de certificados. Para hacerlo, haga clic en Inicio, elija Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad emisora de certificados.
  2. Haga clic con el botón secundario del mouse en el nombre de la entidad emisora de certificados y, a continuación, haga clic en Propiedades.
  3. En la ventana Propiedades, haga clic en la ficha Módulo de directivas y, a continuación, en Configurar.
  4. En la ficha Acción predeterminada, seleccione una de las opciones siguientes:
    • Establecer el estado de la petición de certificados como pendiente: el administrador debe emitir explícitamente el certificado.
    • Emitir siempre el certificado: el certificado se emite inmediatamente, sin que se requiera autorización. Nota
      Si un certificado no se reconoce en la red, seleccione la segunda opción.

Apéndice B: Instalar un certificado de una entidad emisora de certificados raíz en la lista de entidades emisoras de certificados raíz de confianza de Internet Explorer 5.x

Puede entregar el certificado de una entidad emisora de certificados raíz a los usuarios del sitio Web de varias formas. Una es enviarlo por correo electrónico y que los usuarios lo instalen desde el mensaje de correo electrónico. Otra es incluir una página de descarga en el sitio Web con un vínculo al certificado. Una solución válida para toda la empresa es utilizar Internet Explorer Administration Kit (IEAK) a fin de insertar un explorador de Internet Explorer para clientes con el certificado de una entidad emisora de certificados raíz ya instalado en la lista Entidades emisoras raíz de confianza. Aunque el certificado queda disponible, hay algo que permanece igual: la instalación del certificado en la lista Entidades emisoras raíz de confianza en Internet Explorer, como muestra este apéndice.

Nota
El certificado debe instalarse para que Internet Explorer confíe en que el certificado del sitio no sea el certificado que acaba de crear sino el certificado de una entidad emisora de certificados raíz que se creó cuando instaló el certificado del servidor.

A efectos de este documento, descargue el certificado utilizando la interfaz Web de Certificate Server, que está ubicada en http://<nombreDeSuServidor>/certsrv/. Una vez abierta la página de bienvenida, seleccione Recuperar el certificado de entidad emisora de certificados o la lista de revocaciones de certificados y, a continuación, haga clic en Siguiente.

Ahora tiene dos opciones:
  • Ruta para instalar este certificado de la entidad emisora de certificados. Si va a instalar el certificado de una entidad emisora de certificados raíz en el explorador al que está conectado actualmente, haga clic en el vínculo Ruta para instalar este certificado de la entidad emisora de certificados, y el certificado se instalará automáticamente en la lista Entidades emisoras raíz de confianza de su explorador de Internet Explorer.

    Una vez completada la instalación, recibirá una página de confirmación. O bien

  • Descargar certificado de la entidad emisora de certificados. Si debe instalar el certificado de una entidad emisora de certificados raíz en la lista de entidades emisoras de certificados raíz en otro explorador de Internet Explorer, puede descargarlo e instalarlo del modo siguiente:
    1. Haga clic en Descargar certificado de la entidad emisora de certificados.
    2. Seleccione Guardar el archivo en disco.
    3. Vaya a la ubicación donde guardó el certificado de una entidad emisora de certificados raíz y, a continuación, haga doble clic en el certificado para abrir la ventana Propiedades de dicho certificado.
    4. Haga clic en Instalar certificado a fin de iniciar el Asistente para importación de certificados. Haga clic en Siguiente para continuar.
    5. Seleccione Colocar todos los certificados en el siguiente almacén.
    6. Haga clic en Examinar, seleccione Entidades emisoras raíz de confianza y, a continuación, haga clic en Siguiente.
    7. Compruebe la configuración y después haga clic en Finalizar.

      Aparecerá un mensaje similar al siguiente:
      La importación se realizó correctamente.
    8. Haga clic en Aceptar para omitir este mensaje y, a continuación, haga clic en Aceptar para cerrar la ventana Propiedades.
    Para comprobar si vuelve a recibir la advertencia de una entidad emisora de certificados raíz de confianza, cierre el explorador, vuelva a abrirlo y, a continuación, abra el siguiente sitio Web:
    https://<miSitioWebSeguro>/Postinfo.html
    Nota
    La página Postinfo.html es una página HTML estándar que se encuentra en la raíz del sitio Web predeterminado.

    Si puede abrir este sitio, ha agregado correctamente la entidad emisora de certificados raíz a la lista Entidades emisoras raíz de confianza en el explorador de Internet Explorer.

Referencias

Para obtener información adicional sobre el uso de certificados con IIS 5.0, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
232136 Cómo hacer copia de seguridad de un certificado de servidor de Servicios de Internet Information Server 5.0
Resumen: cuando utiliza IIS 5.0, es posible que desee realizar una copia de seguridad de los certificados de servidor. Windows 2000 facilita este proceso con el nuevo complemento Certificados.

232137 Cómo importar un certificado de servidor para utilizarlo en Servicios de Internet Information Server 5.0
Resumen: cuando utiliza IIS 5.0, es posible que desee restaurar un certificado de servidor (por ejemplo, si va a migrar un sitio Web a otro servidor de un conjunto de servidores Web). Esta tarea es muy fácil de realizar con el Asistente para certificados de servidor Web y el Asistente para importación del Administrador de certificados que se incluye con Windows 2000 e IIS 5.0.
248107 Crear certificados de servidor utilizando formularios Web de Servicios de Certificate Server
Resumen: cuando habilita el establecimiento de comunicaciones seguras, como SSL y TLS (Seguridad de la capa de transporte) en un equipo con IIS 5.0, primero debe obtener un certificado de servidor. La integración de certificados en Windows 2000 y las nuevas adiciones incorporadas a IIS 5.0 proporcionan varios métodos para obtener un certificado de servidor.
227888 Importar un archivo de copia de seguridad de claves para utilizarlo en Servicios de Internet Information Server 5.0
Resumen: después de instalar IIS 5.0, es posible que desee importar un archivo de copia de seguridad de claves desde una versión anterior de Internet Information Server (IIS). Para ello, puede utilizar la funcionalidad de SSL en el nuevo servidor (y reemplazar la anterior).
201255 Cómo habilitar SGC en Internet Information Server
Resumen: en este artículo se describe cómo solicitar y habilitar la criptografía activada por servidor (SGC) en un equipo que ejecuta Internet Information Server (IIS).
295298 INFO: IIS 5: qué hace la comprobación de solicitudes pendientes
Resumen: en este artículo se describe brevemente lo que sucede cuando una solicitud de certificados se envía a Certificate Services 2.0 a través de las páginas Web de Certificate Services y lo que sucede cuando se ve la solicitud pendiente en estas páginas Web.
323470 Cómo crear un directorio de publicación WebDAV seguro
Resumen: En este artículo paso a paso se describe cómo crear un directorio de publicación seguro de Creación y control de versiones distribuidos en Web (WebDAV).
313071 Cómo configurar listas de certificados de confianza en Servicios de Internet Information Server 5.0
Resumen: en este artículo paso a paso se describe cómo crear y configurar listas de certificados de confianza (CTL) mediante el Asistente para lista de confianza de certificados en IIS 5.0.

Propiedades

Id. de artículo: 290625 - Última revisión: viernes, 24 de marzo de 2006 - Versión: 2.1
La información de este artículo se refiere a:
  • Microsoft Internet Information Services 5.0
  • Microsoft Certificate Services 2.0
Palabras clave: 
kbhowto kbhowtomaster KB290625
Renuncia a responsabilidad de los contenidos de la KB sobre productos a los que ya no se ofrece asistencia alguna
El presente artículo se escribió para productos para los que Microsoft ya no ofrece soporte técnico. Por tanto, el presente artículo se ofrece "tal cual" y no será actualizado.

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com