Configuración de certificados intermedios en un equipo que ejecuta IIS para la autenticación del servidor

  • Artículo

En este artículo se describe cómo configurar certificados intermedios en un equipo que ejecuta IIS para la autenticación del servidor.

Versión del producto original: Internet Information Services
Número de KB original: 954755

Resumen

Cuando un equipo cliente intenta establecer conexiones ssl (Secure Sockets Layer) autenticadas por el servidor con un servidor web IIS, valida la cadena de certificados del servidor. Para completar esta validación de certificados correctamente, los certificados intermedios de la cadena de certificados del servidor deben configurarse correctamente en el servidor. De lo contrario, es posible que se produzca un error en la autenticación del servidor. También se aplica a cualquier programa que use SSL o Seguridad de la capa de transporte (TLS) para la autenticación.

Impacto

Los equipos cliente no pueden conectarse al servidor que ejecuta IIS. Dado que los servidores no tienen los certificados intermedios configurados correctamente, los equipos cliente no pueden autenticar estos servidores.

Se recomienda configurar correctamente los certificados intermedios en el servidor.

Detalles técnicos

La validación de certificados X.509 consta de varias fases, incluida la detección de rutas de acceso de certificado y la validación de rutas de acceso.

Como parte de la detección de rutas de acceso de certificado, los certificados intermedios deben encontrarse para compilar la ruta de acceso del certificado hasta un certificado raíz de confianza. Un certificado intermedio es útil para determinar si un certificado fue emitido en última instancia por una entidad de certificación raíz (CA) válida. Estos certificados se pueden obtener de la memoria caché o del almacén de certificados en el equipo cliente. Los servidores también pueden proporcionar la información al equipo cliente.

En la negociación SSL, el certificado de servidor se valida en el cliente. En este caso, el servidor proporciona los certificados al equipo cliente, junto con los certificados intermedios que el equipo cliente usa para compilar la ruta de acceso del certificado. La cadena de certificados completa, excepto el certificado raíz, se envía al equipo cliente.

Una cadena de certificados de un certificado de autenticación de servidor configurado se compila en el contexto del equipo local. De este modo, IIS determina el conjunto de certificados que envía a los clientes para TLS/SSL. Para configurar los certificados intermedios correctamente, agréguelos al almacén de certificados de CA intermedio en la cuenta de equipo local del servidor.

Supongamos que un operador de servidor instala un certificado SSL junto con los certificados de CA de emisión pertinentes. Cuando el certificado SSL se renueva más adelante, el operador de servidor debe asegurarse de que los certificados de emisión intermedios se actualizan al mismo tiempo.

Configuración de certificados intermedios

  1. Abra el complemento Certificados de Microsoft Management Console (MMC). Para ello, siga estos pasos:
    1. En un símbolo del sistema, escriba Mmc.exe.
    2. Si no ejecuta el programa como administrador integrado, se le pedirá permiso para ejecutar el programa. En el cuadro de diálogo Seguridad de Windows, haga clic en Permitir.
    3. En el menú Archivo, seleccione Agregar o quitar complemento.
    4. En el cuadro de diálogo Agregar o quitar complementos , seleccione el complemento Certificados en la lista Complementos disponibles . A continuación, seleccione Agregar>aceptar.
    5. En el cuadro de diálogo Complemento Certificados , seleccione Cuenta de equipo y, a continuación, seleccione Siguiente.
    6. En el cuadro de diálogo Seleccionar equipo , seleccione Finalizar.
    7. En el cuadro de diálogo Agregar o quitar complementos , seleccione Aceptar.
  2. Para agregar un certificado intermedio, siga estos pasos:
    1. En el complemento MMC Certificados, expanda Certificados, haga clic con el botón derecho en Entidades de certificación intermedias, seleccione Todas las tareas y, a continuación, seleccione Importar.
    2. En el Asistente para importación de certificados, seleccione Siguiente.
    3. En la página Archivo que se va a importar , escriba el nombre de archivo del certificado que desea importar en el cuadro Nombre de archivo . Después, seleccione Siguiente.
    4. Seleccione Siguiente y, a continuación, complete el Asistente para importación de certificados.

Referencias

Para obtener más información sobre cómo la CryptoAPI función compila cadenas de certificados y valida el estado de revocación, visite Solución de problemas de estado y revocación de certificados.