Cómo configurar los certificados de prueba para el desarrollo de aplicaciones de SSL/TLS

Resumen

Debe disponer de certificados para poder desarrollar y probar aplicaciones de cliente y servidor de Secure Socket Layer (SSL) o seguridad de capa de transporte (TLS). Puede obtener certificados adecuados de ambos proveedores de certificados de terceros o a través de Microsoft Certificate Server.

Más información

Los protocolos de capa de sockets seguros y seguridad de la capa de transporte requieren que los clientes SSL o TLS y servidores que se conectan intercambian certificados. Normalmente, los certificados para las conexiones de Secure Socket Layer o Transport Layer Security instale y obtenidos antes de la creación de las conexiones. En equipos basados en Windows, normalmente se instalan certificados en un almacén de certificados"" que está asociado con una cuenta de usuario o con el equipo local. Cada cuenta de usuario, así como el equipo local, mantiene un almacén de certificados. Secure Socket Layer y Transport Layer Security procesos cliente y servidor cada uno ejecutan en un contexto de seguridad especificado y que tienen un almacén de certificados asociado.

Por ejemplo, servidores de nivel de Socket seguro a menudo se ejecutan como un servicio en el contexto de seguridad "LocalSystem", pero los clientes de nivel de Socket seguro se ejecutan normalmente en el contexto de seguridad del usuario que inició el proceso de cliente. El contexto de seguridad que utiliza un certificado necesario "confiar en" la entidad emisora de certificados (CA) que emitió el certificado. Una entidad emisora de certificados es de confianza en un contexto de seguridad cuando se instala un certificado emitido por la entidad emisora de certificados en esa cuenta de usuario o en el almacén de certificados raíz de confianza para el contexto de seguridad en que del servidor se ejecuta.


Capa de sockets seguros y servidores de seguridad de la capa de transporte deben presentar el certificado de autenticación de un servidor a los clientes, que deben ser emitidos por una entidad emisora de certificados es de confianza para el cliente. Normalmente este certificado se almacena en el almacén "My" (también denominado "Personal") certificado del servidor y se recupera antes de la autenticación de capa de sockets seguros o la seguridad de la capa de transporte. Si el proceso del servidor se ejecuta en el contexto de LocalSystem, debe colocar el certificado de autenticación del servidor en el mi o almacén Personal del equipo local.

Si se requiere autenticación de cliente Secure Socket Layer o Transport Layer Security, entonces el cliente Secure Socket Layer o Transport Layer Security debe presentar a un cliente certificado de autenticación al servidor que se ha emitido desde una entidad emisora de certificados es de confianza para el servidor. El certificado de autenticación de cliente se almacena normalmente en el mi o el almacén de certificados personales del contexto de seguridad que se ejecutará en el proceso del cliente y que se recupera antes de la conexión de Secure Socket Layer o Transport Layer Security.

Utilizar Certificate Server

Microsoft Windows 2000 Server incluye Microsoft Certificate Server. Para instalar el servidor de certificados, vaya a Panel de Control, inicie la utilidad Agregar o quitar programas y, a continuación, haga clic en Agregar o quitar componentes de Windows. Después de la instalación, Certificate Server puede actuar como una autoridad y emitir certificados para la autenticación de cliente y servidor mediante Microsoft Internet Explorer y el Control de inscripción de certificados.

Certificate Server también está disponible para Microsoft Windows NT 4.0 Server. Puede instalarlo desde el Windows NT Server 4.0 Option Pack, que está disponible desde el siguiente sitio Web de Microsoft:

Después de instalar el paquete de opciones, debe reinstalar el Service Pack más reciente para Windows NT 4.0. Después de instalar Certificate Server (Certsrv), clientes y servidores Secure Socket Layer y Transport Layer Security pueden solicitar certificados mediante el formato de dirección Web: http:///certsrv deservidor(donde servidor es el nombre del equipo que Certificate Server se instala en).

El Control de inscripción de certificados necesita Internet Explorer 5.0 o posterior para funcionar correctamente. Para configurar el cliente de Secure Socket Layer o Transport Layer Security y el servidor para Certificate Server como una entidad emisora de certificados de confianza, recuperar el certificado de entidad emisora de Certsrv a través de la interfaz de http://servidor/certsrv. La página principal de Certsrv proporciona una opción para recuperar el certificado de entidad emisora. Seleccione esta opción, haga clic en siguientey, a continuación, haga clic en Descargar certificado CA. Siga las instrucciones del Asistente para descargar e instalar el certificado. Un administrador local debe instalar el certificado de entidad emisora en el sistema cliente de Secure Socket Layer o Transport Layer Security y el sistema del servidor.

Después de instalar el certificado de entidad emisora en ambos el nivel de Socket seguro o Transport Layer Security sistemas cliente y servidor, utilice el sistema de servidor de Secure Socket Layer o Transport Layer Security para volver a la página principal de Certsrv:
  1. Haga clic en Solicitar un certificadoy, a continuación, haga clic en Solicitud avanzada.
  2. Haga clic en Solicitar un certificado mediante un formulario.
  3. Rellene los campos de identificación del certificado y asegúrese de que el propósito del certificado"pensado" se establece en la Autenticación del servidor.
  4. Haga clic en Enviar.
Nota: Para Windows 95, Windows 98, Windows Millennium Edition y Windows NT 4.0, debe seleccionar también Marcar claves como exportables. Si el servidor de nivel de Socket seguro o Transport Layer Security se ejecuta como un servicio de LocalSystem o de un contexto de seguridad que no tendrán un perfil personal de usuario, seleccione Usar almacén del equipo local, haga clic en siguientey, a continuación, siga las instrucciones del Asistente para instalar el certificado.

Si se requiere autenticación de cliente Secure Socket Layer o Transport Layer Security, debe tener un certificado de autenticación de cliente instalado en el sistema cliente. Para instalar un certificado de autenticación de cliente: desde el cliente de Secure Socket Layer o Transport Layer Security, vaya a la página principal de Certsrv y solicitar un certificado de autenticación de cliente. Utilice el mismo proceso como antes, excepto en el certificado de solicitud formulario asegúrese de que el "propósito" del certificado se establece en La autenticación del cliente. Además, no seleccione Usar almacén del equipo local si debe colocar el certificado en el usuario actual mi o el almacén de certificados personales.

Uso de certificados de terceros

Además, los certificados de prueba pueden estar disponibles en proveedores de certificados de terceros. Para obtener información sobre la compra y uso de certificados de prueba, póngase en contacto con proveedores de certificado específico.

Certificados de pruebas

Puede utilizar la Webclient y Webserver Secure Socket Layer y los ejemplos de seguridad de la capa de transporte en el SDK de la plataforma de Microsoft para comprobar la instalación de Secure Socket Layer o certificados de seguridad de la capa de transporte. Estos ejemplos de crean una conexión Secure Socket Layer o Transport Layer Security para probar si los certificados se crearon y se ha instalado correctamente.

Para obtener más información, consulte el archivo Léame.txt que está disponible con estos ejemplos. Puede descargar el Platform SDK desde el siguiente sitio Web de Microsoft:
Nota: Si desea utilizar los ejemplos de Webclient y Webserver para comprobar los certificados, cuando se crea el certificado de autenticación de servidor que debe asegurarse de que el nombre del certificado coincide con el nombre del servidor de nivel de Socket seguro o Transport Layer Security que se conectará el cliente Web.
Propiedades

Id. de artículo: 288897 - Última revisión: 21 ene. 2017 - Revisión: 1

Comentarios