Cómo implementar SSL con un servidor de certificados independiente en Virtual Server 2005

Seleccione idioma Seleccione idioma
Id. de artículo: 887490 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Para ayudar a mejorar la seguridad, recomendamos que ejecute el sitio Web de administración de Microsoft Virtual Server 2005 a través de una conexión Secure Sockets Layer (SSL). En este artículo describe los pasos para configurar una conexión SSL en un entorno donde los certificados de servidor se basan una raíz independiente. Si utiliza una entidad emisora raíz de certificados de terceros o una entidad emisora raíz de certificados de empresa, todavía puede seguir estos pasos porque no supuestos se realizan en este proceso acerca de la ubicación o la propiedad de cada componente que se utiliza para configurar SSL para Virtual Server 2005.

Puede utilizar este proceso para configurar SSL para Virtual Server 2005 en un host Microsoft_Windows_XP-based o en un host Microsoft_Windows_Server_2003-based. En un host Windows_Server_2003-based, configure un certificado para el sitio que utiliza. En este caso, es el sitio de servidor virtual, no en el sitio Web predeterminado. En Windows XP, no hay un único sitio. Ese sitio es el sitio de Web predeterminado.

Más información

Parte 1: Instalar servicios de certificados

Si hay una entidad emisora de certificados para emitir certificados de la red, es posible que el siguiente procedimiento opcional. Puede utilizar cualquier producto de servidor actual de Microsoft para instalar la entidad emisora de certificados. Siga estos pasos para instalar servicios de Certificate Server en un equipo basado en Windows Server 2003:
  1. En el Panel de control , haga doble clic en Agregar o quitar programas y, a continuación, haga clic en Windows de agregar o quitar componentes .
  2. Haga clic en casilla de verificación Servicios de Certificate Server y, a continuación, haga clic en siguiente .
  3. Haga clic en entidad emisora raíz independiente y, a continuación, haga clic en siguiente .
  4. Escriba el nombre que desee utilizar en el cuadro nombre común para esta CA . Normalmente, esto es el nombre de equipo. Este nombre de equipo podría ser diferente del equipo que ejecuta Virtual Server 2005 en. Además, puede necesitar sólo un servidor de certificados para varios hosts de servidor virtual.
  5. Haga clic en siguiente para aceptar la configuración predeterminada para el recurso compartido que se crea y para los archivos de registro.
  6. Inserte los medios de instalación de Windows cuando se le solicite.
  7. Haga clic en cuando reciba el mensaje de advertencia de Active Server (ASP).
Nota Cuando realice este procedimiento detiene servicios de Internet Information Server (IIS), y se instalan las páginas ASP. A continuación, IIS se reiniciará para completar la instalación. No es necesario que reinicie el equipo.

Cómo tener en cuenta al instalar una entidad emisora de certificados

  • Problemas de entidad emisora (CA) de certificados pueden causar tener para reinstalar el sistema operativo en el equipo de CA y emitir nuevos certificados para todos los sitios Web. Piense esto cuando selecciona un servidor para la instalación de la entidad emisora raíz. Esto puede ser un equipo diferente que el equipo de host de Virtual Server.
  • Restaurar un estado del sistema anticuado puede causar problemas de CA.
  • Quitar el equipo desde el dominio interrumpe la entidad emisora.
  • La entidad emisora está vinculada a su nombre de usuario. Esto no es normalmente un problema, excepto durante la instalación si el cuadro Nombre completo está en blanco. Sin embargo, puede ser un problema si inicia sesión a la red utilizando su nombre de usuario de dominio aunque el equipo de host de servidor virtual ya esté en el dominio. El nombre completo debe ser un nombre de resolverse de Sistema de nombres de dominio (DNS) que está en la sintaxis del nombre completo. Por ejemplo: CN = Concours88, DN = Norteamérica, DN = corp, DC = Microsoft, DC = com.
  • Puede escribir manualmente la información necesaria en un campo en blanco cuando solicita un certificado.

Parte 2: Preparar una solicitud de certificado

Preparar una solicitud de certificado para el sitio del servidor virtual en el complemento Administrador de servicios de Internet Information Server (IIS):
  1. En el equipo de host del servidor virtual, inicie el complemento Administrador de servicios de Internet Information Server (IIS)
  2. En el panel de exploración, expanda Server_Name, haga clic con el botón secundario en sitio Web predeterminado o el Servidor Virtual y, a continuación, haga clic en Propiedades .
  3. En la ficha Seguridad de directorios , haga clic en Certificados de servidor , bajo comunicaciones seguras .
  4. En el Asistente para certificados de IIS, haga clic en siguiente .
  5. Haga clic en crear un certificado nuevo y, a continuación, haga clic en siguiente .
  6. Haga clic en Preparar la petición ahora pero enviarla más tarde y, a continuación, haga clic en siguiente .
  7. Escriba el nombre que desea utilizar, o utilice el nombre predeterminado. El nombre predeterminado del certificado es el mismo que el nombre de sitio, por ejemplo, servidor virtual.
  8. En el cuadro longitud en bits , haga clic en una longitud de clave y, a continuación, haga clic en siguiente . Normalmente, se puede utilizar el valor de longitud de bits predeterminado.
  9. Para un certificado interno, escriba el nombre que desee utilizar en el cuadro organización y en el cuadro Unidad organizativa .

    Por ejemplo, escriba el nombre de la organización en el cuadro organización y, a continuación, escriba el nombre de su departamento en el cuadro Unidad organizativa . Certificados de terceros tienen requisitos de datos específico para estos campos. Esta información la proporciona la CA de terceros.
  10. En el campo nombre común , escriba el nombre NetBIOS o el nombre DNS.

    Nota El nombre común es importante porque tendrá que decidir el nombre completo del sitio. Puede elegir un nombre NetBIOS o el nombre DNS. Seleccionar uno permite emitir una conexión desde Microsoft Internet Explorer mediante cualquier nombre. Sin embargo, si utiliza un nombre que sea diferente del nombre común que se explicó anteriormente, recibirá un mensaje de advertencia sobre el nombre no coincide. Utilice la sintaxis utilizada con más frecuencia en su entorno para evitar el mensaje de advertencia. Este mensaje de advertencia aparece en una ventana, pero el mensaje no bloquea el acceso al sitio. No es importante si elige el nombre NetBIOS o el nombre DNS.
  11. Escriba el país correcto, estado y ciudad.
  12. Escriba un nombre de archivo para la solicitud de certificado que va a exportar.

Parte 3: Solicitar un certificado

  1. En Internet Explorer, abra la página Web de entidad emisora de certificados:
    http://localhost/certsrv
  2. En Elija una tarea , haga clic en Solicitar un certificado .
  3. En Solicitar un certificado , haga clic en solicitud avanzada de certificado y haga clic en Enviar una solicitud guardada .
  4. Configuración de seguridad puede impedir utilizando los vínculos de página Web desde aquí.

    Como alternativa, copie todo el texto desde el archivo C:\certreq.txt. A continuación, pegue el texto en el cuadro Guardar solicitud en la página Enviar una solicitud de certificado o una solicitud de renovación . La solicitud de certificado es un archivo de texto que contiene la información que escribió en el paso 1. The certificate request is encoded the same as the following sample.
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDTTCCArYCAQAwcjESMBAGA1UEAxMJZnVua3libHVlMRMwEQYDVQQLEwpEZXBh
    cnRtZW50MRkwFwYDVQQKHhAATwByAGcAXwBOAGEAbQBlMRIwEAYDVQQHEwlTdXF1
    YW1pc2gxCzAJBgNVBAgTAldhMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEF
    AAOBjQAwgYkCgYEApGI6rK3DjiUAfRYkqlw17AS1KGy15lg6X2miuEc6mz8aRLQ6
    cxnrIrXLMePT5rR5KhLw6TWO3HPfpIbqbgaN1FeAbLz0ByzX1P/nXee+zbSEn+4l
    1BTw4yfP4/0RySCqN5DwHNQD5zSpn9lGFs5UW0Tshr0/6zYRR6DbZgmfMMMCAwEA
    AaCCAZkwGgYKKwYBBAGCNw0CAzEMFgo1LjEuMjYwMC4yMHsGCisGAQQBgjcCAQ4x
    bTBrMA4GA1UdDwEB/wQEAwIE8DBEBgkqhkiG9w0BCQ8ENzA1MA4GCCqGSIb3DQMC
    AgIAgDAOBggqhkiG9w0DBAICAIAwBwYFKw4DAgcwCgYIKoZIhvcNAwcwEwYDVR0l
    BAwwCgYIKwYBBQUHAwEwgf0GCisGAQQBgjcNAgIxge4wgesCAQEeWgBNAGkAYwBy
    AG8AcwBvAGYAdAAgAFIAUwBBACAAUwBDAGgAYQBuAG4AZQBsACAAQwByAHkAcAB0
    AG8AZwByAGEAcABoAGkAYwAgAFAAcgBvAHYAaQBkAGUAcgOBiQCTSR8dKSviOwRX
    JreaBSjJpgw7jnoQI1mvgJv5aE+B7F+M47mrA4bWgM5NorJyuRzmkb4g8FCer7hy
    i1PyFYlDClz6oZvzFQROnEKiSGuE3nTv28Ver/l2weSa05PCRKpKfP3Ku5WjFh4N
    DyMjcobcdODHAW2jyhmeb4T5jiiyFQAAAAAAAAAAMA0GCSqGSIb3DQEBBQUAA4GB
    ACJ6OT9VeyKfPYFzkHATgGiJ8KVHGQuxE70r1W2wCvpWCLRfjhxzgoc3I84ddS2o
    9QQDoU4P4CIp9Lw89x0jJtI2PD+xVmRdz7Trkl0lKB17nfVcnDXXwygm6PUUy/52
    PXkXU6RggFy1m28khilKK8uXBfHLyRrK8W3zyygiJMgV
    -----END NEW CERTIFICATE REQUEST-----
  5. Haga clic en Enviar .

    importante Si desea realizar varias entregas, es una buena idea para documentar el orden exacto que envían las solicitudes en. No puede haber ninguna forma de identificar los certificados de la página de exportación de certificados cuando exporta el certificado más adelante en este procedimiento. Esto es porque el nombre para mostrar no está disponible en cualquier página Web de servicios de certificado de IIS o en el complemento entidad emisora de certificados.
  6. Abandonar abierto para la parte 5 el sitio de servicios de Certificate Server.

Parte 4: Emitir el certificado

  1. Inicie el complemento entidad emisora de certificados en Herramientas administrativas.
  2. En el panel izquierdo, expanda CA_name y, a continuación, haga clic en Peticiones pendientes .
  3. En el panel derecho, haga clic con el botón secundario en la solicitud, seleccione todas las tareas y, a continuación, haga clic en emitir .

    Esto aprueba la solicitud. El estado del certificado cambia de pendiente a emitido.

Parte 5: Exportar el certificado

Volver a la página Web de entidad emisora de certificados y, a continuación, exportar el certificado.
  1. En Elija una tarea , haga clic en Ver el estado de una solicitud de certificado pendiente .

    Nota Sólo tiene una oportunidad para ello. Si hace clic en descargar un certificado de entidad emisora de certificados , puede elegir entre los certificados que están instalados en el equipo, normalmente desde la entidad emisora raíz. No puede elegir desde los certificados que están aprobados y que se solicita. Además, si hay varios certificados, es posible que no pueda identificar un certificado. Incluso el complemento de entidad emisora de certificados no muestre información útil que permite determinar el certificado pertenece a una solicitud.
  2. En el Certificado emitido , haga clic en base 64 codificado .
  3. Haga clic en Descargar certificado y, a continuación, guarde el certificado localmente.

Parte 6: Importar el certificado

  1. En el equipo de host del servidor virtual, inicie el complemento Administrador de servicios de Internet Information Server (IIS).
  2. En el panel de exploración, expanda Server_Name y, a continuación, haga clic con el botón secundario en Servidor Virtual o sitio Web predeterminado . A continuación, haga clic en Propiedades .
  3. En la ficha Seguridad de directorios , haga clic en Certificados de servidor , bajo comunicaciones seguras .
  4. En la ficha Seguridad de directorios , haga clic en Certificado de servidor .
  5. Haga clic en procesar la petición pendiente e instalar el certificado . A continuación, haga clic en siguiente .
  6. Utilice las notas que ha realizado anteriormente para buscar y, a continuación, seleccione el certificado que coincida con la solicitud.
  7. Utilice el valor de puerto predeterminado de 443.
  8. Complete el asistente.
  9. Si son correctas, la opción Ver certificado aparece en el Certificado de servidor en la ficha Seguridad de directorios .

Parte 7: Pasos de post-certificate opcionales

  1. Deshabilitar acceso anónimo para el sitio del servidor virtual:
    1. Abra las propiedades de sitio del servidor virtual o las propiedades de sitio Web predeterminadas en el complemento Administrador de servicios de Internet Information Server (IIS).
    2. En la ficha Seguridad de directorios , haga clic en Editar bajo control de autenticación y acceso anónimo .
    3. Haga clic para desactivar la casilla de verificación acceso anónimo .
    4. Haga clic en Aceptar dos veces y salga del complemento Administrador de servicios de Internet Information Server (IIS).
  2. Requerir SSL y cifrado de 128 bits:
    1. Abra las propiedades de sitio del servidor virtual o las propiedades de sitio Web predeterminadas en el complemento Administrador de servicios de Internet Information Server (IIS).
    2. En la ficha Seguridad de directorios , haga clic en Edición , bajo comunicaciones seguras .
    3. Haga clic para seleccionar Requerir SSL y cifrado de 128 bits .
    4. Haga clic en Aceptar dos veces y salga del complemento Administrador de servicios de Internet Information Server (IIS).
  3. Agregue el puerto 443 en la ficha sitio Web en las propiedades de sitio del servidor virtual o en Propiedades de sitio Web predeterminado en el complemento Administrador de servicios de Internet Information Server (IIS).

Solución de problemas

  • Si no puede completar estos procedimientos, inicie de nuevo. Abra las propiedades de sitio del servidor virtual o las propiedades de sitio Web predeterminadas en el complemento Administrador de servicios de Internet Information Server (IIS), haga clic en la ficha Seguridad de directorios y vuelva a iniciar al asistente. Aparece una de dos páginas. Una página indica que un certificado ya está instalado. Esta página proporciona opciones para quitar o reemplazar el certificado. La otra página le permite importar un certificado de una solicitud pendiente. Esta página también permite cancelar la solicitud. Puede cancelar la solicitud y empezar de nuevo.
  • Si recibe un mensaje de error que indica que el certificado no coincide con la solicitud, esto puede indicar que ha olvidado hacer clic en la opción de que base 64 codificado cuando exportó el certificado de la página Web entidad emisora de certificados. Cancelar la solicitud y vuelva a enviar la solicitud.
  • Si recibe un mensaje de error que indica que el certificado ya está instalado, habría hecho clic en descargar un certificado de entidad emisora de certificados en lugar de Ver el estado de una solicitud de certificado pendiente .

Propiedades

Id. de artículo: 887490 - Última revisión: viernes, 2 de noviembre de 2007 - Versión: 1.2
La información de este artículo se refiere a:
  • Microsoft Virtual Server 2005 Standard Edition
Palabras clave: 
kbmt kbcertservices kbhowtomaster KB887490 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 887490

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com