Certificados de IIS y de cliente

Seleccione idioma Seleccione idioma
Id. de artículo: 907274 - Ver los productos a los que se aplica este artículo
Columna de voz de soporte de IIS

Certificados de IIS y de cliente

para personalizar esta columna a sus necesidades, deseamos invitar a enviar sus ideas sobre temas que le interesen y resuelve los problemas que se desea ver artículos de Knowledge Base en el futuro y columnas de voz de soporte. Puede enviar sus ideas y comentarios mediante el formulario Ask For It. También es un vínculo al formulario en la parte inferior de esta columna.
Expandir todo | Contraer todo

En esta página

Introducción

Hola. Mi nombre es David Dietz y ha sido auxiliares servicios de Internet Information Server (IIS) para los últimos seis años. En el transcurso de este momento, un tema que ha sido un desafío para muchos administradores de Web es certificados de cliente. En este artículo, se vaya a través de algunos conceptos básicos de certificados de cliente e intente sentido algunos lo que son y qué pueden hacer.

Algunas de las creencias erróneas que nos encontramos con regularidad son:
  • Certificados de cliente son necesarios para que SSL funcione correctamente.
  • Cuando se utiliza certificados de cliente, no necesita un certificado en el servidor.
  • Un certificado de cliente emitido por cualquier entidad de certificación funcionará con cualquier servidor.
  • Si emite un certificado de cliente, el servidor Web aceptará automáticamente.
La primera y quizás la mayoría de los punto confuso es la diferencia entre los certificados de cliente y certificados de servidor de Secure Sockets Layer (SSL). Aunque los certificados de cliente y los certificados de servidor SSL usan certificados, no están relacionados directamente con ellos. Los certificados de servidor SSL proporcionan funcionalidad de cifrado y seguridad. Certificados de cliente proporcionan funcionalidad de autenticación de usuario. Si esto tiene sentido, el resto deben fácil.

Cliente de una entidad emisora de certificados emiten certificados a un usuario. Están formados por la parte del certificado y una clave privada que se mantiene sólo por la entidad a la que se emite el certificado de clave pública. La entidad emisora de certificados puede ser una organización pública conocida que proporciona servicios de certificate Server como parte de su negocio o podría ser un servidor interno que utiliza sólo para su compañía. En cualquier caso, el certificado de cliente tendrá cierta información que identifica al usuario individualmente o como parte de un grupo.

En IIS, tiene la opción de omitir, Aceptar o que requieren certificados de cliente cuando un usuario tiene acceso a recursos en el servidor. Simplemente se omitir certificados significa que no está utilizando, no solicitará al cliente de uno y descartará uno si se envía al servidor. Si elige Aceptar certificados, el servidor solicitará un certificado pero no necesariamente denegará acceso si no se proporciona un certificado. Si requerir certificados de cliente, el usuario debe suministrar un certificado válido o el usuario recibirá un mensaje de error.

Para que un certificado funcionar correctamente, deben cumplirse determinados requisitos en el servidor y el cliente. Cada lado tiene una lista de entidades emisoras de certificados raíz que confían. Cuando el servidor le solicite un certificado, la solicitud incluye una lista de las entidades emisoras de certificados confía en el servidor. El cliente compara entonces esta lista a la lista de entidades emisoras de certificados que el cliente confía y crea una lista de los que coinciden. A continuación, el cliente compara esa lista en los certificados de cliente tiene y determina que, si hay alguna, han emitido certificados por entidades emisoras de certificados que confían en el cliente y el servidor. En función del cliente, puede ver una lista de certificados para elegir si hay más de una entidad que confían en ambos lados. A continuación, el cliente envía la parte pública del certificado al servidor. En este momento, el servidor normalmente comprueba para asegurarse de que el certificado es válido y, si no se realiza ninguna asignación, las comunicaciones entre el cliente y el servidor pueden continuar.

Esta es la funcionalidad más básica de certificados de cliente. En este momento, el servidor sólo sabe que el cliente tiene un certificado válido.

Aquí es donde obtener interesantes cosas. El servidor puede configurarse para realizar una asignación del certificado a una cuenta de usuario. Esto puede ser una asignación uno a uno, donde en que el certificado específico se asigna a una cuenta de usuario único o una asignación varios a uno, donde el servidor utiliza determinados campos de la información del certificado para asignar cualquier certificado que coincida una cuenta de usuario designado. Cuando se utiliza una asignación, el certificado permite al usuario se concede o deniega el acceso a recursos como un usuario concreto. Cuando se utiliza certificados de cliente en este modo, no es necesario utilizar otro método de autenticación.

Mensajes de error comunes relacionados con los certificados de cliente

403.7 - Requerido certificado de cliente
Se recibe este mensaje de error si un cliente no proporciona un certificado de cliente cuando se requiere uno. En el cliente ha negado a enviar un certificado de cliente o el cliente no tiene un certificado emitido por una entidad de confianza mutua.
403.13 - Cliente certificado revocado
Este mensaje de error significa que el cliente envía un certificado, pero el certificado de cualquiera muestra como revocados en lista de revocación de la entidad emisora certificados o el servidor no pudo recuperar una CRL de la entidad emisora.
403.16 - El certificado de cliente no es de confianza o no es válido.
Este mensaje de error principalmente se genera cuando el certificado que proporciona el cliente está formado incorrectamente. También puede generarse si no hay entidades de certificación intermedias de la cadena de certificados que no son de confianza para el servidor Web.
403.17 - El certificado de cliente ha caducado o aún no es válido
Este mensaje de error es bastante fácil de entender. Esto significa que la fecha actual en el servidor no está dentro de los que se presentan en el certificado de cliente rangos de fecha válida.

Más información

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
252657HTTP de IIS 5.0: 403.16 prohibido: certificado de cliente que no son de confianza o no válido
248031Mensaje de error: HTTP 403.17 - prohibido: certificado de cliente ha caducado o aún no es válido
294305IIS devuelve HTTP "403.13 certificado de cliente revocado" mensaje de error aunque no se revoca el certificado
313070Cómo configurar asignaciones de certificados de cliente en Internet Information Services (IIS) 5.0
asignación de certificado de cliente (IIS 6.0)
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
teoría de certificado SPKI
http://www.ietf.org/rfc/rfc2693.txt
Como siempre, quieres enviar ideas sobre temas que desea dirigidos en futuras columnas o en Knowledge Base utilizando Ask For It.

Propiedades

Id. de artículo: 907274 - Última revisión: lunes, 03 de diciembre de 2007 - Versión: 1.3
La información de este artículo se refiere a:
  • Servicios de Microsoft Internet Information Server 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Palabras clave: 
kbmt kbiis kbinfo kbhowto KB907274 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 907274

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com