miércoles, 4 de diciembre de 2013

Servidor Web IIS, certificados y webdav en Windows Server 2012

Instalación de IIS y entidad certificadora

He decidido incorporar todo el material en una única práctica ya que lo podéis encontrar separada por partes en prácticas previas.
En primer lugar instalamos el servidor de aplicaciones, para ello, nos vamos a agregar roles e instalamos el servicios de certificados y el servidor web (IIS), Para el servidor Web añadimos (Publicación en WebDAV, Autenticación de Windows y Autorización para URL, en el caso del servidor de certificados, a la hora de configurar que funciones añadimos marcamos: Entidad de certificación e inscripción web de entidad de certificación. agregar roles
Captura1
Captura2
Captura3
Captura4
Captura5
Captura6
Captura7

Comprobación de red

Debemos comprobar que accedemos correctamente, al equipo que deseamos mediante un ping (indicando que tenemos bien configurado nuestro servidor de DNS o el ficheros hosts"):

ping a www.mczones.es

Si la dirección ip no es la correcta recordar que podemos borrar la caché de dns y mostrarla empleando respectivamente las opciones /flushdns y /displaydns como opciones del comando ipconfig

ipconfig displaydns

Configuración del servidor de certificados

Al finalizar la instalación se debe configurar el servidor de certificados, bien desde el enlace que nos aparece en el último cuadro de diálogo o desde el botón de notificaciones de Administre su Servidor pulsando sobre “Configurar Servicios de certificados,….”:
Captura8
En nuestro caso usamos las credenciales de administrador del dominio, marcamos los servicios “Entidad de certificación” e “Inscripción web,…”; realizamos una instalación de “CA independiente” y “CA raíz”, para lo que creamos una “Crear una clave privada nueva” usando los nombres que nos propone por defecto en todo momento. Finalmente pulsamos  “Configurar” y en el último cuadro “Cerrar”.
Captura9
Captura10


Clicamos en CA Empresarial

Captura12
Captura13
Captura14
Captura15
Captura16

Configuración de IIS

Vamos a crear un sitio web llamado mczones, al que se podrá acceder con certificados y dispondrá de una carpeta accesible mediante webdav dónde los usuarios autorizados podrán compartir documentos.
Para ello crearemos un nuevo sitio web que albergaremos en la carpeta c:\inetpub\wwwroot\mczones que habremos creado previamente. Dentro de ella crearemos una página web (index.htm) cuyo contenido será, únicamente “Página inicial mczones”
Para hacerlo abrimos la consola de IIS y pulsando sobre el botón derecho “Agregar Nuevo Sitio” y le llamamos mczones, en el campo “Nombre de host” introducimos www.mczones.es (con lo cual deberemos haber modificado nuestro servidor de dns o el fichero hosts para que apunte a nuestro servidor web):

Captura17
Captura18
Captura19
Captura20
Captura21
Captura22
Captura23

Generación y configuración del certificado

Comprobamos que funciona tanto el servidor de certificados como su interfaz web abriendo un navegador con la dirección “http://localhost/certserv
Captura24
A continuación pulsamos en el equipo que deseamos configurar y en el icono “Certificados de Servidor”


Captura25

Interfaz de usuario



Para usar la IU

  1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar. Para obtener información sobre cómo abrir el Administrador de IIS, vea Abrir el Administrador de IIS (IIS 7). Para obtener información sobre cómo navegar a las ubicaciones en la IU, veaNavegación en el Administrador de IIS (IIS 7).
  2. En Vista Características, haga doble clic en Certificados de servidor.
  3. En el panel Acciones, haga clic en Crear una solicitud de certificado.
  4. En la página Propiedades de nombre distintivo del asistente Solicitar certificado, escriba la información siguiente y, a continuación, haga clic en Siguiente.
    • En el cuadro de texto Nombre común, escriba un nombre para el certificado.
    • En el cuadro de texto Organización, escriba el nombre de la organización en la que se utilizará el certificado.
    • En el cuadro de texto Unidad organizativa, escriba el nombre de la unidad organizativa de la organización en la que se utilizará el certificado.
    • En el cuadro de texto Ciudad o localidad, escriba el nombre sin abreviar de la ciudad o localidad donde reside su organización o unidad organizativa.
    • En el cuadro de texto Estado o provincia, escriba el nombre sin abreviar del estado o provincia donde reside su organización o unidad organizativa.
    • En el cuadro de texto País o región, escriba el nombre del país o región donde reside su organización o unidad organizativa.
  5. En la página Propiedades de proveedor de servicios criptográficos seleccione Microsoft RSA SChannel Cryptographic Provider o Microsoft DH SChannel Cryptographic Provider en la lista desplegable Proveedor de servicios criptográficos. De forma predeterminada, IIS 7 utiliza Microsoft RSA SChannel Cryptographic Provider.
  6. En la lista desplegable Longitud en bits, seleccione una longitud en bits que puede utilizar el proveedor. De forma predeterminada, el proveedor RSA SChannel utiliza una longitud en bits de 1024. El proveedor DH SChannel utiliza una longitud en bits de 512. Una longitud en bits mayor es más segura, pero puede afectar al rendimiento.
  7. Haga clic en Siguiente.
  8. En la página Nombre de archivo, escriba un nombre de archivo en el cuadro de texto Especificar un nombre de archivo para la solicitud de certificado o haga clic en el botón de exploración (...) para buscar un archivo y, a continuación, haga clic en Finalizar.
  9. Envíe la solicitud de certificado a una entidad de certificación pública.
Ahora debemos hacer la solicitud de certificado a la entidad certificadora:
Para crear el certificado abrimos Internet Explorer y tecleamos “nombredelservidorCA/certsrv”image
  • Seleccionamos Solicitar un Certificado
  • Seleccionamos Solicitud avanzada de certificado.
  • Seleccionamos Enviar una solicitud de certificados usando un archivo cifrado de base 64 CMC o PKCS#10 o una solicitud de renovación usando un archivo cifrado de base 64 PKCS#7 y en plantilla de certificado seleccionamos Servidor Web

  • Abrimos la solicitud de certificado que hemos creado previamente y copiamos y pegamos su contenido en el formulario que nos aparece pulsando posteriormente en Enviar.
  • Pulsamos descargar el certificado (Codificación DER) y almacenamos el certificado.
Ahora debemos completar la solicitud de certificado:
  1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar. Para obtener información sobre cómo abrir el Administrador de IIS, vea Abrir el Administrador de IIS (IIS 7). Para obtener información sobre cómo navegar a las ubicaciones en la IU, veaNavegación en el Administrador de IIS (IIS 7).
  2. En Vista Características, haga doble clic en Certificados de servidor.
  3. En el panel Acciones, haga clic en Completar solicitud de certificado.
  4. En la página Completar solicitud de certificado, en el cuadro de texto Nombre del archivo que contiene la respuesta de la entidad de certificación, escriba la ruta de acceso del archivo que contiene la respuesta de la entidad de certificación o haga clic en el botón de exploración () para buscar el archivo.
  5. Escriba un nombre descriptivo para el certificado en el cuadro de texto Nombre descriptivo y, a continuación, haga clic en Aceptar.
Finalmente debemos configurar en nuestro sitio web la configuración del modo de acceso, para ello debemos permitir acceder mediante https añadiendo el enlace correspondiente con el número de puerto y finalmente configurar el ssl:

Pulsamos en nuestro sitio y con el botón dcho. Modificar Enlaces, o bien en el texto “Enlaces” que aparece en la columna derecha de la consola de IIS:

Captura26
en ella seleccionamos el tipo “https” y seleccionamos el certificado  que hemos generado previamente:
Captura27

Para configurar ssl pulsamos en nuestro sitio web (mczones en mi caso) -> Configuración de SSL (desde la vista características).



Marcamos Requerir SSL si queremos que los usuarios se conecten sólo mediante ssl.


Configuración de Webdav

Crearé una carpeta en el raíz llamada upload a la que tendrán acceso los usuarios del grupo contabilidad (en nuestro caso c1) y después habilitaremos webdav en dicha carpeta para que, mediante autorización puedan acceder los usuarios:

Captura28
Desde la consola de IIS pulsando con el botón derecho sobre el sitio mczones “Agregar un nuevo directorio virtual” al que llamo subida
Captura30
Seleccionamos el directorio virtual y en características “Reglas de creación WebDAV”
Captura31
Le damos permisos al usuario, en este caso sólo a c1 para leer, escribir, (más los permisos que ya tenga en origen) sobre dicha carpeta:
Captura32

Debemos habilitar WebDAV en el sitio raíz y deshabilitar autenticación anónima en mczones y habilitar la autenticación básica o en mi caso de Windows según deseemos:
Captura33

Captura34

Captura35
Para la carpeta permisos editamos los permisos y agregamos los permisos adicionales que queramos al usuario c1
Captura37.
Podemos añadir tammbién los datos que queramos mostrar al listar el directorio configurando desde “Examen de directorios”:

Captura38
Captura39

Enlaces:
https://technet.microsoft.com/es-es/library/cc732906(v=ws.10).aspx
https://technet.microsoft.com/es-es/library/cc771816(v=ws.10).aspx