Habilitación de SSL para todos los clientes que interactúan con el sitio web en IIS

  • Artículo

En este artículo se describe cómo habilitar capa de sockets seguros (SSL) para todos los clientes que interactúan con el sitio web en Microsoft Internet Information Services (IIS).

Versión del producto original: Internet Information Services
Número de KB original: 298805

Resumen

Este artículo contiene los temas siguientes:

  • Cómo configurar y habilitar certificados de servidor para que los clientes puedan estar seguros de que el sitio web es válido y de que cualquier información que le envíen permanece privada y confidencial.
  • Cómo usar certificados de terceros para habilitar capa de sockets seguros (SSL), así como una introducción general del proceso que se usa para generar una solicitud de firma de certificado (CSR), que se usa para obtener un certificado de terceros.
  • Habilitación de la conectividad SSL para el sitio web.
  • Cómo aplicar SSL para todas las conexiones y establecer la longitud de cifrado necesaria entre los clientes y el sitio web.

Puede usar las características de seguridad SSL del servidor web para dos tipos de autenticación. Puede usar un certificado de servidor para permitir que los usuarios autentiquen el sitio web antes de que transmitan información personal, como un número de tarjeta de crédito. Además, puede usar certificados de cliente para autenticar a los usuarios que solicitan información en el sitio web.

En este artículo se supone que usará una entidad de certificación (CA) de terceros para proporcionar autenticación para el servidor web.

Para habilitar la verificación de certificados de servidor SSL y proporcionar el nivel de seguridad que los clientes desean, debe obtener un certificado de una ENTIDAD de certificación de terceros. Los certificados emitidos a su organización por una entidad de certificación de terceros suelen estar asociados al servidor web y, más específicamente, al sitio web al que se va a enlazar SSL. Puede crear su propio certificado con el servidor IIS, pero si lo hace, los clientes deben confiar implícitamente en usted como entidad de certificación.

En este artículo, se presupone lo siguiente:

  • Ha instalado IIS.
  • Ha creado y publicado el sitio web que desea proteger con SSL.

Obtención de un certificado

Para comenzar el proceso para obtener el certificado, debe generar una CSR. Esto se hace a través de la consola de administración de IIS; por lo tanto, IIS debe instalarse para poder generar una CSR. Una CSR es básicamente un certificado que se genera en el servidor que valida la información específica del equipo sobre el servidor al solicitar un certificado a una entidad de certificación de terceros. La CSR es simplemente un mensaje de texto cifrado que se cifra con un par de claves pública y privada.

Normalmente, la siguiente información sobre el equipo se incluye en la CSR que genera:

  • Organización
  • Unidad organizativa
  • País o región
  • Estado o provincia
  • Ciudad o localidad
  • Nombre común

Nota:

El nombre común suele estar compuesto por el nombre del equipo host y el dominio al que pertenece, como xyz.com. En este caso, el equipo forma parte del dominio .com y se denomina XYZ. Puede ser el servidor raíz del dominio corporativo o simplemente un sitio web.

Generación de la CSR

  1. Acceda a Microsoft Management Console (MMC) de IIS. Para ello, haga clic con el botón derecho en Mi equipo y seleccione Administrar. Se abrirá la consola de administración de equipos. Expanda la sección Servicios y aplicación . Busque IIS y expanda la consola de IIS.

  2. Seleccione el sitio web específico en el que desea instalar un certificado de servidor. Haga clic con el botón derecho en el sitio y seleccione Propiedades.

  3. Seleccione la pestaña Seguridad del directorio . En la sección Comunicación segura , seleccione Certificado de servidor. Esto inicia el Asistente para certificados de servidor web. Seleccione Siguiente.

  4. Seleccione Crear un nuevo certificado y seleccione Siguiente.

  5. Seleccione Preparar la solicitud ahora, pero envíela más adelante y seleccione Siguiente.

  6. En el campo Nombre , escriba un nombre que pueda recordar. De forma predeterminada, se usará el nombre del sitio web para el que se va a generar la CSR.

    Nota:

    Al generar la CSR, debe especificar una longitud de bits. La longitud de bits de la clave de cifrado determina la solidez del certificado cifrado que se envía a la ca de terceros. Cuanto mayor sea la longitud de bits, más fuerte será el cifrado. La mayoría de las ENTIDADes de certificación de terceros prefieren un mínimo de 1024 bits.

  7. En la sección Información de la organización, escriba la información de la organización y la unidad organizativa. Esto debe ser preciso, ya que presenta estas credenciales a una entidad de certificación de terceros y debe cumplir con sus licencias del certificado. Seleccione Siguiente para acceder a la sección Nombre común del sitio .

  8. La sección Nombre común del sitio es responsable de enlazar el certificado al sitio web. En Certificados SSL, escriba el nombre del equipo host con el nombre de dominio. En el caso de los servidores de intranet, puede usar el nombre NetBIOS del equipo que hospeda el sitio. Seleccione Siguiente para acceder a la información geográfica.

  9. Escriba su país o región, estado o provincia, y la información de ciudad o localidad. Deletree completamente su estado, provincia y ciudad o localidad. Y no use abreviaturas. Seleccione Siguiente.

  10. Guarde el archivo como un archivo .txt.

  11. Confirme los detalles de la solicitud. Seleccione Siguiente para finalizar y salga del Asistente para certificados de servidor web.

Solicitud del certificado

Hay diferentes métodos para enviar la solicitud. Póngase en contacto con el proveedor de certificados que prefiera para que el método use y determine el mejor nivel de certificado para sus necesidades. Dependiendo del método elegido para enviar la solicitud a la CA, puede enviar el archivo CSR desde el paso 10 de la sección Generar la CSR , o bien puede que tenga que pegar el contenido de este archivo en la solicitud. Este archivo se cifrará y contendrá un encabezado y un pie de página para el contenido. Debe incluir tanto el encabezado como el pie de página al solicitar el certificado. La CSR debe ser similar a la siguiente:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Instalación del certificado

Una vez que la entidad de certificación de terceros haya completado la solicitud de un certificado de servidor, lo recibirá por correo electrónico o sitio de descarga. El certificado debe instalarse en el sitio web en el que desea proporcionar comunicaciones seguras.

Para instalar el certificado, siga estos pasos:

  1. Descargue o copie el certificado que obtuvo de la entidad de certificación en el servidor web.
  2. Abra la MMC de IIS como se describe en la sección Generación de la CSR .
  3. Acceda al cuadro de diálogo Propiedades del sitio web en el que va a instalar el certificado.
  4. Seleccione la pestaña Seguridad del directorio y, a continuación, seleccione Certificado de servidor. Esto inicia el Asistente para certificados de servidor web. Seleccione Siguiente.
  5. Seleccione Procesar la solicitud pendiente e instale el certificado y, a continuación, seleccione Siguiente.
  6. Vaya a la ubicación del certificado que guardó en el paso 1. Seleccione Siguiente dos veces y, a continuación, seleccione Finalizar.

Aplicación de conexiones SSL

Ahora que el certificado de servidor está instalado, puede aplicar las comunicaciones de canal seguro SSL con los clientes del servidor web. En primer lugar, debe habilitar el puerto 443 para las comunicaciones seguras con el sitio web. Para ello, siga estos pasos:

  1. En la consola administración de equipos, haga clic con el botón derecho en el sitio web en el que desea aplicar SSL y seleccione Propiedades.
  2. Seleccione la pestaña Sitio web . En la sección Identificación del sitio web, compruebe que el campo Puerto SSL se rellena con el valor numérico 443.
  3. Seleccione Opciones avanzadas. Debería ver dos campos. La dirección IP y el puerto del sitio web ya deben aparecer en el campo Varias identidades para este sitio web. En el campo Varias identidades SSL para este sitio web, seleccione Agregar si el puerto 443 aún no aparece. Seleccione la dirección IP del servidor y escriba el valor numérico 443 en el campo Puerto SSL. Seleccione Aceptar.

Ahora que el puerto 443 está habilitado, puede aplicar conexiones SSL. Para ello, siga estos pasos:

  1. Seleccione la pestaña Seguridad del directorio . En la sección Comunicación segura , Editar ya está disponible. Seleccione Editar.

  2. Seleccione Requerir canal seguro (SSL).

    Nota:

    Si especifica el cifrado de 128 bits, los clientes que usen el explorador de 40 o 56 bits no podrán comunicarse con el sitio a menos que actualicen su nivel de cifrado.

  3. Abra el explorador e intente conectarse al servidor web mediante el protocolo de http:// estándar. Si se aplica SSL, recibirá el siguiente mensaje de error:

    La página debe verse a través de un canal seguro
    La página que intenta ver requiere el uso de "https" en la dirección.
    Pruebe lo siguiente: Vuelva a intentarlo escribiendo https:// al principio de la dirección a la que intenta llegar. HTTP 403.4- Prohibido: SSL requerido Internet Information Services
    Información técnica (para el personal de soporte técnico) Fondo: este error indica que la página a la que intenta acceder está protegida con capa de sockets seguros (SSL).

Ahora solo puede conectarse a su sitio web mediante el protocolo de https:// .