Unidad 6: Entidad certificadora: certificados en IIS

CERTIFICADOS

Básicamente cuando navegamos por Internet y dependiendo del tipo de información que vaya a manejar nuestro sitio, podemos requerir identificar de modo inequívoco el servidor al que nos estamos conectando ( es decir no ser víctimas de un “man in the middle” que falsee la identidad del servidor) y por otra parte, que la información confidencial que enviemos y recibamos no vaya en texto plano, especialmente cuando se trate de información sensible.

Una manera bastante sencilla de realizar ambas tareas es el uso de certificados digitales que por un lado permiten la identificación del servidor -usando entidades certificadoras- y por el otro permiten la encriptación de los datos enviados.

Para realizar la instalación de los certificados en un sitio Web mediante IIS se deben realizar, básicamente tres tareas: generar la información de nuestro servidor para la solicitud de un certificado, la generación o compra de un certitificado con la información generada y finalmente la instalación del certificado en nuestro servidor configurándolo para que haga uso del mismo y su aceptación por parte de los clientes.

Generación de la solicitud de certificado digital

Suponiendo que ya hemos instalado IIS y que hemos creado el sitio para el que usaremos el certificado – en mi caso lo voy a emplear en el sitio www.mczones.es – para que los usuarios se conecten verificando el origen y encriptando la información que se enviarán al servidor.

Para ello pulsamos con el botón derecho del ratón sobre el sitio creado y selecciono Propiedades → Seguridad de Directorios → Certificado de servidor lo que iniciará el asistente que nos guiará durante el proceso.

  Tras pulsar Siguiente nos aparecerán cuadros de diálogo pidiéndonos:

1. Si vamos a crear un certificado nuevo, asignar uno previamente creado, importarlo o copiarlo desde un servidor remoto. Seleccionamos Crear un certificado nuevo y pulsamos Siguiente

2. Se podría solicitar el certificado a una entidad certificadora pero como nosotros lo generaremos nosotros mismos (instalaremos posteriormente el servidor) seleccionamos Preparar la petición ahora pero enviarla más tarde y pulsamos Siguiente.

3. Introducimos un nombre descriptivo y la longitud de la clave (en caso de usar CA variará el precio y en cualquier caso a mayor longitud además de mayor seguridad significará mayor tiempo de proceso para encriptar y desencriptar la información)

4. Introducimos el nombre de la organización y el departamento o unidad organizativa que mostrará el certificado.

5. Introducimos el nombre de nuestro sitio -o el nombre NETBIOS de nuestro equipo en el caso de que lo vayamos a emplear para una intranet. En el caso de cambios deberemos generar un nuevo certificado. En mi caso www.mczones.es

6. Configuramos la información geográfica (España, España, Ourense)

7. Escribimos el nombre completo que le vamos a dar a nuestra petición y la ruta al fichero txt que se generará: c:\certreq_mczones.es

8. Finalmente nos aparecerá un resumen de los datos introcudidos (se puede ver en la imagen)

Instalación de la Entidad Certificadora (CA) en Windows

Hacemos clic en Inicio → Panel de control y Agregar o quitar programas.

1. En Agregar o quitar programas, clic en Agregar o quitar componentes de Windows.

2. En el Asistente para componentes de Windows, en la lista Componentes, seleccionamos Servicios de Certificate Server.

3. Leemos la advertencia sobre la pertenencia de dominio y clic en Sí.

4. Hacemos clic en Siguiente.

5. En la página Tipo de entidad emisora de certificados, clic en Entidad emisora raíz de la empresa y, a continuación, clic en Siguiente.

6. En la página Identificación de la entidad emisora de certificados, en el cuadro Nombre común para esta entidad emisora de certificados, escribimos CONT-CA01 y pulsamos Siguiente.

7. En la página Configuración de la base de datos de certificados, aceptamos los valores predeterminados que aparecen en los cuadros Base de datos de certificados y Registro de la base de datos de certificados (C:\WINDOWS\system32\CertLog) y hacemos clic en Siguiente.

8. Cuando nos pregunte si deseamos detener Servicios de Internet Information, seleccionamos Sí.

9. Cuando nos pregunte si deseamos habilitar Páginas Active Server (ASP), seleccionamos Sí.

10. Cuando el asistente complete la instalación, hacemos clic en Finalizar.

Generación del certificado

Para crear el certificado abrimos Internet Explorer y tecleamos “nombredelservidorCA/certsrv”

• Seleccionamos Solicitar un Certificado

• Seleccionamos Solicitud avanzada de certificado.

• Seleccionamos Enviar una solicitud de certificados usando un archivo cifrado de base 64 CMC o PKCS#10 o una solicitud de renovación usando un archivo cifrado de base 64 PKCS#7 y en plantilla de certificado seleccionamos Servidor Web

• Abrimos la solicitud de certificado que hemos creado previamente y copiamos y pegamos su contenido en el formulario que nos aparece pulsando posteriormente en Enviar.

• Pulsamos descargar el certificado (Codificación DER) y almacenamos el certificado.

A partir de este momento podremos administrar los certificados desde Herramientas Administrativas → Entidad Emisora de Certificados

Importar el certificado en IIS

Abrimos la consola de Administrador de Internet Information Services IIS:

• Pulsamos con el botón derecho sobre el sitio al que queramos aplicar el certificado y seleccionamos Propiedades.

• En la pestaña Seguridad de directorios pulsamos Certificado de Servidor.

• Seleccionamos Procesar la petición pendiente e instalar el certificado.

• Escribimos la ruta al lugar dónde hemos almacenado el certificado y pulsamos siguiente.

• Aceptamos el puerto que por defecto nos aparece 443.

• Verificamos la información y pulsamos siguiente y Finalizar:

• Siguiendo en la pestaña de Seguridad de directorios seleccionamos modificar:

  • Requerir canal seguro

  • Para seguridad adicional seleccionamos Requerir cifrado de 128 bits.

• En la pestaña de sitios web le indicamos que el puerto SSL es el 443.

Comprobando funcionamiento

En primer lugar debemos aceptar e instalar el certificado en nuestro equipo:

Una vez aceptado podemos usarlo para navegar por todo el sitio, también para los directorios virtuales que requieran contraseña.

Para ver el resto de manuales de servidores windows pulsar el enlace.

-próxima entrega WebDAV-