Cómo implementar SSL en IIS


Resumen


Internet ha abierto nuevas maneras para que las organizaciones para comunicarse tanto interna como externamente. Mejorar la comunicación entre empleados, proveedores y clientes permite a una organización a reducir costos, Traer productos al mercado con mayor rapidez y construir relaciones más sólidas con clientes. A veces, se requiere mejorar la comunicación, transmitir información confidencial a través de Internet e intranets. Por lo tanto es imprescindible es llevar a cabo la comunicación privada, a prueba de manipulaciones con las partes conocidas. Para lograr esto, las organizaciones pueden crear una infraestructura segura basada en criptografía de claves públicas mediante el uso de certificados digitales con tecnologías como Secure Sockets Layer (SSL). Esta guía paso a paso describe cómo configurar SSL en un equipo de Information Services (IIS).

Requisitos

Los elementos siguientes describen el hardware recomendado, software, infraestructura de red, habilidades y conocimientos y service packs que necesita:
  • Windows 2000 Server, Advanced Server o Professional con servicios de Internet Information Server (IIS) versión 5.0 y Microsoft Certificate Server versión 2.0 instalado y configurado.
  • Equipo basado en Windows Server 2003 Web Edition con servicios de Internet Information Server (IIS) 6.0 y servicios de Certificate Server instalado, Windows Server 2003 Datacenter Edition, Windows Server 2003 Enterprise Edition o Windows Server 2003 Standard Edition y configurado.
Si el equipo que aloja el servidor de certificados no es el mismo equipo que tenga IIS, necesita una red válida o conexión a Internet para el servidor que aloja el servidor de certificados.

Crear una solicitud de certificado

En primer lugar, el servidor Web debe solicitar un certificado. Para ello, siga estos pasos:
  1. Inicie el Administrador de servicios Internet (ISM), que carga el complemento Internet Information Server de Microsoft Management Console (MMC). Para ello, haga clic en Inicio, seleccione programas, seleccione Herramientas administrativasy, a continuación, haga clic en Administrador de servicios Internet o el Administrador de servicios de Internet Information Server (IIS).
  2. Haga doble clic en el nombre del servidor para que vea todos los sitios Web. En IIS 6.0, expanda sitios Web.
  3. Clic botón derecho del ratón en el sitio Web en el que desea instalar el certificado y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Seguridad de directorios y, a continuación, haga clic en Certificado de servidor en Comunicaciones seguras para iniciar al Asistente para certificados de servidor Web.
  5. En IIS 6.0, haga clic en siguiente. Si está ejecutando IIS 5.0, vaya al paso 6.
  6. Seleccione crear un certificado nuevo y haga clic en siguiente.
  7. Seleccione Preparar la solicitud ahora, pero enviarla más tarde y haga clic en Siguiente.
  8. Escriba un nombre para el certificado. Puede que desee hacer coincidir el nombre de certificado en el nombre del sitio Web. Ahora, seleccione una longitud en bits; Cuanto mayor sea la longitud de bits, mayor será el cifrado del certificado. Si los usuarios pudieran provenir de países con restricciones de cifrado, seleccione Criptografía activada por servidor .
  9. Escriba el nombre de la organización y la unidad organizativa (por ejemplo, MiWeb y departamento de desarrollo). Haga clic en Siguiente.
  10. Escriba el nombre de dominio completo (FQDN) o el nombre del servidor como nombre común. Si va a crear un certificado que se utilizará a través de Internet, es preferible utilizar un FQDN (por ejemplo, www.MyWeb.com). Haga clic en siguiente.
  11. Introduzca su información de ubicación y, a continuación, haga clic en siguiente.
  12. Escriba la ruta y el nombre para guardar la información del certificado y haga clic en siguiente para continuar. Nota: Si escribe algo que no sea la ubicación predeterminada y el nombre de archivo, asegúrese de anote el nombre y la ubicación que elija, porque tienes acceso a este archivo en pasos posteriores.
  13. Compruebe la información que ha escrito y, a continuación, haga clic en siguiente para completar el proceso y crear la solicitud de certificado.

Enviar una solicitud de certificado

La solicitud de certificado que acaba de crear necesita ser enviada a una autoridad de certificación (CA). Esto puede ser su propio servidor con Certificate Server 2.0 instalado, o una CA en línea, como VeriSign. Póngase en contacto con el proveedor de certificados de su elección y determinar el mejor nivel de certificado para sus necesidades. Existen diferentes métodos de envío de su solicitud. Póngase en contacto con la entidad emisora de certificados de su elección para solicitar y recibir su certificado. Puede crear su propio certificado con Certificate Server 2.0, pero los clientes deben confiar en usted implícitamente como la entidad emisora de certificados. Los pasos siguientes se suponen que está utilizando Certificate Server 2.0 como proveedor de certificados. Nota: El Asistente para certificados de IIS sólo reconocerá la plantilla servidor Web predeterminado. Al seleccionar una CA de empresa en línea, la autoridad no se mostrarán a menos que la CA está usando la plantilla de servidor Web predeterminado.
  1. Abra un explorador y vaya a http://NombreDeSuSitioWeb/CertSrv /.
  2. En IIS 5.0, seleccione Solicitar un certificado y haga clic en siguiente. En IIS 6.0, haga clic en Solicitar un certificado.
  3. En IIS 5.0, seleccione Solicitud avanzada y haga clic en siguiente. En IIS 6.0, haga clic en solicitud avanzada de certificado.
  4. En IIS 5.0, seleccione Enviar una solicitud de certificado mediante un archivo de Base64 y haga clic en siguiente. En IIS 6.0, haga clic en Enviar una solicitud de certificado mediante un archivo CMC o PKCS #10 codificado en base-64 o enviar una solicitud de renovación usando un archivo PKCS #7 codificado en base-64.
  5. En Microsoft Notepad, abra el documento de petición que creó en la sección "Crear una solicitud de certificado". En IIS 6.0, puede hacer clic en Examinar insertar un archivo.
  6. Copie el contenido del documento. El contenido debería parecerse al siguiente:
    -----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST------- 
    Nota: Si guarda el documento con la ubicación y el nombre predeterminado, se encuentra en C:\Certreq.txt. Nota: Asegúrese de copiar todo el contenido tal como se muestra.
  7. Pegar el contenido del documento en el cuadro de texto Solicitud de certificado codificado de Base64 del formulario Web.
  8. En Plantilla de certificado, seleccione Servidor Web o el usuarioy, a continuación, haga clic en Enviar.
  9. Si Certificate Server está establecido para Emitir siempre el certificado, puede obtener acceso al certificado inmediatamente. Para ello, siga estos pasos:
    1. Haga clic en Descargar certificado de entidad emisora de certificados (no haga clic en ruta para descargar certificado de entidad emisora o Descargar cadena de certificados).
    2. Cuando se le pida, seleccione Guardar este archivo en disco y guarde el certificado en el escritorio u otra ubicación que pueda recordar. Ahora puede acudir directamente a la "instalar el certificado y configurar un sitio Web SSL" sección.

Emisión y descarga del certificado

Para emitir un certificado en Certificate Server, siga estos pasos:
  1. Abra el complemento MMC de entidad emisora de certificados. Para ello, haga clic en Inicio, seleccione programas, seleccione Herramientas administrativasy, a continuación, haga clic en Entidad emisora de certificados.
  2. En IIS 5.0, expanda Entidad emisora de certificados y haga clic en la carpeta Peticiones pendientes . Las solicitudes de certificado pendientes aparecen en el panel derecho. En IIS 6.0, expanda el nombre del servidor.
  3. Haga clic derecho en la solicitud de certificado pendiente que acaba de enviar, seleccione Todas las tareasy, a continuación, haga clic en emitir. Nota: Después de seleccionar emitir, el certificado ya no se muestra en esta ventana y carpeta. Ahora reside en la carpeta certificados emitidos.
  4. Una vez que haya emitido (y autorizado) el certificado, puede volver a la interfaz Web de Certificate Server para seleccionar y descargar el certificado. Para ello, siga estos pasos:
    1. Vaya a http://NombreDeSuSitioWeb/CertSrv /.
    2. En la página predeterminada, seleccione comprobar un certificado pendiente y haga clic en siguiente. En IIS 6.0, haga clic en Ver el estado de una solicitud de certificado pendiente.
    3. Seleccione el certificado pendiente, haga clic en siguiente para ir a la página de descarga.
    4. En la página de descarga, haga clic en Descargar certificado de entidad emisora de certificados (no haga clic en ruta para descargar certificado de entidad emisora o Descargar cadena de certificados).
    5. Cuando se le pida, seleccione Guardar este archivo en disco y guarde el certificado en el escritorio u otra ubicación que pueda recordar.

Instalar el certificado y configurar un sitio Web SSL

Siga estos pasos para instalar el certificado:
  1. Abra el Administrador de servicios Internet y expanda el nombre del servidor para que pueda ver los sitios Web.
  2. Haga clic derecho en el sitio Web para el que creó la solicitud de certificado y haga clic en Propiedades.
  3. Haga clic en la ficha Seguridad de directorios. En Comunicaciones seguras, haga clic en Certificado de servidor. Esto inicia al Asistente para la instalación de certificados. Haga clic en siguiente para continuar.
  4. Seleccione procesar la petición pendiente e instalar el certificado y haga clic en siguiente.
  5. Escriba la ubicación del certificado que ha descargado en la sección "Emisión y descarga un certificado" y haga clic en siguiente. El asistente mostrará el resumen del certificado. Compruebe que la información es correcta y haga clic en siguiente para continuar.
  6. Haga clic en Finalizar para completar el proceso.

Configurar y probar el certificado

Para configurar y probar el certificado, siga estos pasos:
  1. En la ficha Seguridad de directorios , en Comunicaciones seguras, observe que ahora hay tres opciones disponibles. Para establecer el sitio Web para requerir conexiones seguras, haga clic en Editar. Aparecerá el cuadro de diálogo Comunicaciones seguras .
  2. Seleccione Requerir canal seguro (SSL) y haga clic en Aceptar.
  3. Haga clic en Aplicar y, a continuación, en Aceptar para cerrar la hoja de propiedades.
  4. Vaya al sitio y comprobar que funciona. Para ello, siga estos pasos:
    1. Acceso al sitio a través de HTTP escribiendo http://localhost/Postinfo.html en el explorador. Recibirá un mensaje de error similar al siguiente:
      HTTP 403.4 - prohibido: SSL requerido.
    2. Pruebe a examinar a la misma página Web mediante una conexión segura (HTTPS) escribiendo https://localhost/postinfo.html en el explorador. Puede recibir una alerta de seguridad que indica que el certificado no es de confianza raíz CA. Haga clic en continuar a la página Web. Si aparece la página, ha instalado correctamente el certificado.

Solución de problemas

  • El uso de SSL reduce el rendimiento entre exploradores y servidores HTTP. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    150031 uso de SSL crea el overhead del performance para exploradores
  • Cuando se utiliza Microsoft Visual InterDev 6.0 para crear sitios Web con SSL, hay varios problemas y limitaciones que deben considerarse. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    238662 using Visual InterDev and Secure Sockets Layer
  • Este artículo analiza sólo los certificados de servidor. Un certificado de servidor permite a los usuarios autenticar servidores, comprobar la validez del contenido Web y establecer una conexión segura. Si también desea autenticar a los usuarios que exploren el sitio Web, puede utilizar certificados de cliente. Un certificado de cliente típico contiene varios elementos de información: la identidad del usuario, la identidad de la entidad emisora de certificados, una clave pública que se utiliza para establecer comunicaciones seguras e información de validación, como una fecha de caducidad y número de serie.

REFERENCIAS

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
228991 cómo crear e instalar un certificado SSL en Internet Information Server 4.0
257591 descripción del protocolo de enlace de capa de Sockets seguros (SSL)
299525 cómo configurar SSL utilizando IIS 5.0 y Certificate Server 2.0
298805 cómo habilitar SSL para todos los clientes que interactúan con su sitio Web en servicios de Internet Information Server
Para obtener más información, consulte el siguiente sitio Web de Microsoft Developer Network (MSDN):