31Aug
y los administradores de TI tienen, sin duda, la necesidad de implementar algún sitio web a través de HTTPS utilizando un certificado SSL.Si bien este proceso es bastante sencillo para un sitio de producción, para fines de desarrollo y prueba, puede encontrar la necesidad de usar un certificado SSL aquí también.
Como alternativa a la compra y renovación de un certificado anual, puede aprovechar la capacidad de su servidor de Windows para generar un certificado autofirmado que sea conveniente, fácil y que cubra perfectamente este tipo de necesidades.
Creación de un certificado autofirmado en IIS
Si bien hay varias maneras de realizar la tarea de crear un certificado autofirmado, utilizaremos la utilidad SelfSSL de Microsoft. Desafortunadamente, esto no se incluye con IIS, pero está disponible gratuitamente como parte de IIS 6.0 Resource Toolkit( enlace proporcionado al final de este artículo).A pesar del nombre "IIS 6.0", esta utilidad funciona perfectamente en IIS 7.
Todo lo que se necesita es extraer el IIS6RT para obtener la utilidad selfssl.exe. Desde aquí, puede copiarlo en su directorio de Windows o en una ruta de red / unidad USB para su uso futuro en otra máquina( para que no tenga que descargar y extraer el IIS6RT completo).
Una vez que tenga la utilidad SelfSSL en su lugar, ejecute el siguiente comando( como Administrador) reemplazando los valores en & lt; & gt;según corresponda:
selfssl /N:CN=<your.domain.com>/ V: & lt; número de días válidos & gt;
El siguiente ejemplo produce un certificado de comodín autofirmado contra "midominio.com" y lo establece como válido por 9.999 días. Además, al responder afirmativamente al aviso, este certificado se configura automáticamente para vincularse al puerto 443 dentro del Sitio web predeterminado de IIS.
Mientras que en este punto el certificado está listo para usar, se almacena solo en el almacén de certificados personales en el servidor. También es una buena práctica tener este certificado en la raíz de confianza también.
Vaya a Inicio & gt;Ejecute( o Windows Key + R) e ingrese "mmc".Puede recibir un aviso de UAC, acéptelo y se abrirá una Management Console vacía.
En la consola, vaya a Archivo & gt;Agregar / Eliminar complemento.
Agregar Certificados desde el lado izquierdo.
Seleccione Cuenta de equipo.
Seleccione la computadora local.
Haga clic en Aceptar para ver el Almacén de certificados local.
Navega a Personal & gt;Certificados y localice el certificado que configuró utilizando la herramienta SelfSSL.Haga clic derecho en el certificado y seleccione Copiar.
Navegar a las Autoridades de certificación raíz de confianza & gt;Certificados. Haga clic derecho en la carpeta Certificados y seleccione Pegar.
Debe aparecer una entrada para el certificado SSL en la lista.
En este punto, su servidor no debería tener problemas para trabajar con el certificado autofirmado.
Exportación del certificado
Si va a acceder a un sitio que utiliza el certificado SSL autofirmado en cualquier máquina cliente( es decir, cualquier computadora que no sea el servidor), para evitar una avalancha potencial de errores y advertencias de certificados, el yoel certificado firmado debe instalarse en cada una de las máquinas cliente( que discutiremos en detalle a continuación).Para hacer esto, primero tenemos que exportar el certificado respectivo para que pueda instalarse en los clientes.
Dentro de la consola con la gestión de certificados cargada, vaya a Trusted Root Certification Authorities & gt;Certificados. Ubique el certificado, haga clic con el botón derecho y seleccione Todas las tareas & gt;Exportar.
Cuando se le solicite exportar la clave privada, seleccione Sí.Haga clic en Siguiente.
Deje las selecciones predeterminadas para el formato de archivo y haga clic en Siguiente.
Ingrese una contraseña. Esto se usará para proteger el certificado y los usuarios no podrán importarlo localmente sin ingresar esta contraseña.
Ingrese una ubicación para exportar el archivo de certificado. Estará en formato PFX.
Confirme su configuración y haga clic en Finalizar.
El archivo PFX resultante es lo que se instalará en las máquinas de sus clientes para indicarles que su certificado autofirmado es de una fuente confiable.
Despliegue en máquinas cliente
Una vez que haya creado el certificado en el lado del servidor y tenga todo funcionando, puede observar que cuando una máquina cliente se conecta a la URL respectiva, se muestra una advertencia de certificado. Esto sucede porque la autoridad de certificación( su servidor) no es una fuente confiable de certificados SSL en el cliente.
Puede hacer clic en las advertencias y acceder al sitio; sin embargo, puede recibir avisos reiterados en forma de una barra de URL resaltada o advertencias de certificados repetidos. Para evitar esta molestia, simplemente necesita instalar el certificado de seguridad SSL personalizado en la máquina del cliente.
Dependiendo del navegador que use, este proceso puede variar. IE y Chrome leen desde la tienda de certificados de Windows, sin embargo, Firefox tiene un método personalizado para manejar los certificados de seguridad.
Nota importante: Debe nunca instalar un certificado de seguridad de una fuente desconocida. En la práctica, solo debe instalar un certificado localmente si lo generó.Ningún sitio web legítimo requerirá que realice estos pasos.
Internet Explorer y amp;Google Chrome: instalación del certificado
localmente Nota: aunque Firefox no utiliza el almacén de certificados nativo de Windows, este sigue siendo un paso recomendado.
Copie el certificado que se exportó desde el servidor( el archivo PFX) a la máquina cliente o asegúrese de que esté disponible en una ruta de red.
Abra la administración del almacén de certificados local en la máquina del cliente usando los mismos pasos que se detallaron anteriormente. Eventualmente terminarás en una pantalla como la de abajo.
En el lado izquierdo, expanda Certificados & gt;Entidades de certificación de raíz de confianza. Haga clic con el botón derecho en la carpeta Certificados y seleccione Todas las tareas & gt;Importar.
Seleccione el certificado que se copió localmente en su máquina.
Introduzca la contraseña de seguridad asignada cuando el certificado se exportó desde el servidor.
Las "Autoridades de certificación de raíz de confianza" de la tienda deben prellenarse como destino. Haga clic en Siguiente.
Revise la configuración y haga clic en Finalizar.
Debería ver un mensaje de éxito.
Actualice su vista de las Autoridades de certificación de raíz de confianza & gt;Carpeta de certificados y debería ver el certificado autofirmado del servidor enumerado en la tienda.
Una vez hecho esto, debería poder navegar a un sitio HTTPS que use estos certificados y no reciba advertencias o solicitudes.
Firefox - Permitir excepciones
Firefox maneja este proceso de forma un poco diferente ya que no lee información de certificados de la tienda de Windows. En lugar de instalar certificados( per-se), le permite definir excepciones para certificados SSL en sitios particulares.
Cuando visita un sitio que tiene un error de certificado, recibirá una advertencia como la siguiente. El área en azul nombrará la URL respectiva a la que intenta acceder. Para crear una excepción para eludir esta advertencia en la URL respectiva, haga clic en el botón Agregar excepción.
En el cuadro de diálogo Agregar excepción de seguridad, haga clic en Confirmar excepción de seguridad para configurar esta excepción localmente.
Tenga en cuenta que si un sitio en particular redirecciona a los subdominios desde sí mismo, puede recibir múltiples avisos de advertencia de seguridad( con la URL siendo ligeramente diferente cada vez).Agregue excepciones para esas URL usando los mismos pasos que arriba.
Conclusión
Vale la pena repetir el aviso anterior para que nunca instale un certificado de seguridad de una fuente desconocida. En la práctica, solo debe instalar un certificado localmente si lo generó.Ningún sitio web legítimo requerirá que realice estos pasos.
Links
Descargar IIS 6.0 Resource Toolkit( incluye la herramienta SelfSSL) de Microsoft