Certificados de cliente y IIS

Columna de voz de soporte de IIS

Certificados de cliente y IIS

Para personalizar esta columna a sus necesidades, deseamos invitar a enviar sus ideas sobre temas que le interesan los problemas que desea ver y abordaron en próximas columnas de voz de soporte y artículos de Knowledge Base. Puede enviar sus ideas y comentarios mediante el Preguntar para el formulario. También hay un vínculo al formulario en la parte inferior de esta columna.

Introducción

Hola. Me llamo David Dietz y he estado apoyando Microsoft Internet Information Services (IIS) durante los últimos seis años. En el transcurso de este periodo, un tema desafiante para los administradores Web son los certificados de cliente. En este artículo, repasaré aspectos básicos de los certificados de cliente y trataré de dar algo de sentido sobre lo que son y qué pueden hacer.

Algunos de los conceptos erróneos que vemos en forma regular son:
  • Los certificados de cliente son necesarios para que SSL funcione correctamente.
  • Cuando se utilizan certificados de cliente, no es necesario un certificado en el servidor.
  • Un certificado de cliente emitido por cualquier autoridad de certificación funcionará con cualquier servidor.
  • Si usted emite un certificado de cliente, el servidor Web lo aceptará automáticamente.
El primer y quizás el más punto confuso es la diferencia entre los certificados de cliente y de servidor Secure Sockets Layer (SSL). Aunque los certificados de cliente y los certificados de servidor SSL utilizan certificados, no están relacionados directamente entre sí. Certificados de servidor SSL proporcionan funcionalidad de cifrado y seguridad. Los certificados de cliente ofrecen funciones de autenticación de usuario. Si esto tiene sentido, el resto debería ser fácil.

Una entidad emisora de certificados emite certificados de cliente a un usuario. Están formados por la parte de la clave pública del certificado y una clave privada que se mantiene sólo por la entidad a la que se emite el certificado. La entidad emisora de certificados puede ser una organización pública conocida que proporciona servicios de certificate Server como parte de su negocio, o podría ser un servidor interno que utiliza sólo su compañía. En cualquier caso, el certificado de cliente tendrá cierta información que identifica al usuario, ya sea individualmente o como parte de un grupo.

En IIS, tiene la opción de ignorar, Aceptar o requerir certificados de cliente cuando un usuario obtiene acceso a recursos en el servidor. Omitir certificados significa simplemente no los utiliza, no le pedirán al cliente uno y descartará uno si lo envía a su servidor. Si elige Aceptar certificados, el servidor solicitará un certificado, pero no necesariamente denegará acceso si no se proporciona un certificado. Si requiere certificados de cliente, el usuario debe suministrar un certificado válido o el usuario recibirá un mensaje de error.

Para que un certificado funcione correctamente, deben cumplirse determinados requisitos en el servidor y el cliente. Cada lado tiene una lista de entidades emisoras raíz de confianza. Cuando el servidor pide un certificado, la solicitud incluye una lista de entidades emisoras de certificados confía en el servidor. El cliente compara entonces esta lista a la lista de entidades emisoras de certificados que el cliente confía y crea una lista de todos los que coinciden. A continuación, el cliente compara dicha lista con los certificados de cliente que tiene y determina qué certificados, si los hay, han sido emitidos por entidades emisoras de certificados en los que confían el cliente y el servidor. Dependiendo del cliente, puede ver una lista de certificados que puede elegir si hay más de una entidad emisora de certificados que confían en ambos lados. A continuación, el cliente envía la parte pública del certificado en el servidor. En este punto, el servidor normalmente se comprueba para asegurarse de que el certificado es válido y, si no se realiza ninguna asignación, pueden continuar las comunicaciones entre el cliente y el servidor.

Esta es la funcionalidad más básica de certificados de cliente. En este punto, el servidor sólo sabe que el cliente tiene un certificado válido.

Aquí es donde esto se pone interesante. El servidor puede configurarse para realizar una asignación del certificado a una cuenta de usuario. Esto puede ser una asignación uno a uno, donde se asigna el certificado específico para una única cuenta de usuario o una asignación varios a uno, donde el servidor utiliza determinados campos de la información del certificado para asignar cualquier certificado correspondiente a una cuenta de usuario designada. Cuando se utiliza una asignación, el certificado permite al usuario conceder o denegar el acceso a los recursos como un usuario concreto. Cuando se utilizan certificados de cliente de esta manera, no es necesario utilizar otro método de autenticación.

Mensajes de error comunes que están relacionados con los certificados de cliente

403.7 - requerida certificado de cliente
Se recibe este mensaje de error si un cliente no proporciona un certificado de cliente cuando se requiere. El cliente rechazado el envío de un certificado de cliente o el cliente no tiene un certificado emitido por una entidad de certificación de confianza mutua.
403.13 certificado de cliente revocado
Este mensaje de error significa que el cliente envía un certificado, pero el certificado se muestra como tal en la lista de revocación de la entidad emisora certificados o el servidor no pudo recuperar una CRL de la entidad emisora.
403.16 - El certificado de cliente no es de confianza o no es válido.
Principalmente, este mensaje de error se genera cuando el certificado de cliente proporcionado es incorrecto. También puede producirse si no hay entidades emisoras de certificados intermedias de la cadena de certificados que no son de confianza para el servidor Web.
403.17 - el certificado de cliente ha caducado o aún no es válido
Este mensaje de error es bastante fácil de entender. Esto significa que la fecha actual en el servidor no está dentro de los rangos de fecha válidos que se presentan en el certificado de cliente.

Más información

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

252657 IIS 5.0: HTTP 403.16 prohibido: certificado de cliente no válido o que no se confía

248031 mensaje de error: HTTP 403.17 - Prohibido: certificado de cliente ha caducado o aún no es válido

294305 IIS devuelve HTTP "403.13 certificado de cliente revocado" error mensaje aunque el certificado no está revocado

313070 cómo configurar asignaciones de certificados de cliente en servicios de Internet Information Server (IIS) 5.0

Asignación de certificado de cliente (IIS 6.0)Teoría de certificado SPKIComo siempre, no dude en enviar ideas sobre temas que desea examinarse en futuras columnas o en la Base de conocimientos mediante la
Preguntar para el formulario.
Propiedades

Id. de artículo: 907274 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios