jueves, 26 de febrero de 2009

Petición de Certificado servidor Web en Windows

SSL (Security Socket Layer)


Basado en la aplicación conjunta de criptografía, simétrica, asimétrica, certificados y firmas digitales para crear un canal seguro a través de Internet, implementa su negociación a nivel de socket (nombre de la maquina mas puerto) el puerto en el cual corre ese servicio es el 443

SSL se implementa en la aplicación ya que encripta los datos en esta capa antes de que sean segmentados en la capa de transporte


Que es un certificado ?


Un certificado es un documento emitido y firmado por una Autoridad Certificadora que identifica una clave pública con su propietario. Cada certificado está identificado de manera unívoca y tiene un período de validez consignado en el propio certificado.

Un certificado permite validar la identidad del otro extremo de una comunicación ya sea una persona o un dispositivo.

Qué es una CA (Autoridad Certificadora) ?

Es una entidad de confianza del emisor y del receptor de una comunicación. Esta confianza de ambos en una 'tercera parte confiable” permite que cualquiera de los dos confíe a su vez en los documentos firmados por la Autoridad Certificadora, en particular, en los certificados que identifican ambos extremos.

CONFIGURACION DE SSL2 EN WINDOWS


Primero que todo quiero contarles que debemos de tener instalados los siguientes servicios WEB, DNS, ACTIVE DIRECTORY y con su configuracion básica, no mostrare la configuración aqui ya que se ha mostrado en tutoriales pasados.


Despues te tener el DNS y el Web corriendo procedemos a instalar la Autoridad Certificadora CA.

Le damos click en inicio, Panel de control, Quitar y Agregar programas, Luego en Agregar y quitar componentes de Windows, seleccionamos la siguiente opción Servicios de Certificate Server


Luego le damos en siguiente y esperamos a que nos instale la Autoridad Certificadora.


A continuación vamos a la consola administrativa del IIS y en nuestro sitio web le damos click derecho, propiedades



Despues le damos en seguridad de directorios y luego en certificado de servidor


Despues nos abrira un asistente para crear la peticion del certificado, entonces iniciamos dandole click en siguiente


Lego empezara por crear un certificado de servidor para nuestro sitio web, escogemos crear un certificado nuevo


a continuacion le damos click en siguiente, despues preparamos la petición para enviarla de inmediato o enviarla despues, en este caso solo nos da la opción de enviarla mas tarde


Despues le damos un nombre y una configuracion de seguridad que es la longitud en bits que determina el nivel de cifrado de nuestro certificado


Despues le nos pide la información sobre la organización y la unidad organizativa, que en el caso nuestro se llamara redes


Siguiente de este paso nos pedira el nombre comun o el DNS de nuestro sitio web


Siguiente nos pedira la información geografica de donde nos encontramos, en nuestro caso estamos en el pais Colombia, departamento de Antioquia, y la ciudad es Medellín, estos datos deben de ser reales.


Ahora le damos la ruta y el nombre del archivo donde guardaremos la petición del certificado el cual utilizaremos mas adelante para que una autoridad certificadora lo firme


Ahora vemos una verificación de la configuración hecha anteriormente


Luego vamos en las propiedades del sitio web en seguridad de directorios, comunicaciones seguras damos click en modificar.


seleccionamos requerir canal seguro ssl y el cifrado de 128 bits.


El paso siguiente vamos a la entidad emisora de certificados, damos click en inicio, herramientas administrativas, entidad emisora de certificado


Nos despliega una ventana que es la consola administrativa de la entidad emisora, donde miraremos los certificados revocados, los certificados emitidos, las peticiones pendientes y el error en las peticiones de nuestro sitio web.



Realizado ya todos estos pasos, se puede decir que desde aqui desde esta consola tambien se pueden firmar peticiones que nos hagan a nuestra CA y de la misma manera revocar los certificad os.

Lo siguiente que realizaremos sera mandar nuestra petición a una CA, en este caso sera desde una CA que esta previamente instalada en un sistema Linux/GNU, la forma en la cual enviaremos nuestra petición sera por SSH y el comando a utilizar es SCP, existen multiples formas de hacerlo como por correo, por usb, etc. Pero este no sea nuestro caso.

NOTA: El servicio SSH ya lo hemos estudiado y en este blog tenemos los manuales de instalacion y configuraciñon del servicio SSH

Empezamos abriendo el simbolo del sistema, damos click en Inicio, Simbolo del Sistema

Una vez abierta la ventana del simbolo del sistema ingresamos el siguiente comando.

"SCP que es el que nos permitira la conexion con el servidor, luego la ruta de la peticion, despues el usuario, @, la IP del servidor, :/ la ruta donde almacenara la peticion"


Teniendo ya la peticion enviada y por ende firmada de la CA de Linux, nosotros lo que vamos a hacer es importarla a nuestro sitio web así:

Vamos a la consola del IIS y ahi le damos click derecho a nuestro sitio web, propiedades, seguridad de directorios, certificado del servidor.


Seleccionamos procesar una peticion pendiente


Ahora indicamos la ruta donde se encuentra guadada la petición firmada por el servidor Linix


Luego especificamos el puerto pora el sitio web, en este caso dejaremos el puerto por defecto pero se puede cambiar de puerto.


Luego hace una verificación del certificado a instalado




Ya teniendo nuestro certificado instalado lo verificamos en

Miraremos el certificado

Ahora mostrare como firmar las peticiones de certificados generadas desde un cliente a nuestro servidor SSL de windows.

Damos click en inicio, Herramientas Administrativas, Entidad Emisora de Certificados


Seleccionamos el archivo de peticion que nos envio el cliente Linux, en nuestro caso lo almacenamos en esta ruta


inmediatamente aloja la peticion en certificados pendientes, que es donde lo podemos firmar


Lo unico que nos queda por hacer seria firmarlos y lo hacemos de la siguiente manera, en la peticion le damos click derecho, todas las tareas, emitir.


El certificado se envia a la carpeta de certificados emitidos


Lego de tener el certificado firmado lo copiamos de la siguiente manera, nos paramos en la carpeta de certificados emitidos, le damos click derecho al certificado, abrir


vamos a la pestaña detalles y ahi en la parte inferior le damos click en el boton copiar en archivo


Nos despliega una ventana sobre el asistente de exportacion de certificados, le damos click en siguiente


Ahora indicamos el formato que llevara el archivo de exportacion


Luego la ruta donde vamos a guardar el archivo en el nuevo formato


Finalizamos con el asistente de exportacion de certificados


Ya teniendo la petición de certificado firmada y guardada en la ruta anterior, lo que hacemos es enviársela al cliente Linux, de la misma forma como enviamos nuestra petición cuando solicitamos que la firmaran Linux


Ahora abrimos nuestro browser y realizar la prueba, nuestra url es www.redes.com


Nos sale un error y nos dice que añadir una excepción


Le damos click en añadir excepción


Ahora en obtener certificado y lego en confirmar el certificado, y ya tenemos nuestro sitio web seguro.

Este manual fue realizado con la colaboración de Mauricio Ortiz, Tutor Administración de Redes sena Regional Antioquia

3 comentarios:

Fernando Herrera dijo...

jhola mira yo estoy teniendo un problema :
cuando instalo la entidad emisora de certificados no aparece en la opcion certificados emiidos el certificado emitido.
y nop se cual seria el problema.

Fernando Herrera dijo...

espero me respondas a mi correo drac_31@hot.
espero me respondas gracias

Unknown dijo...

Oi ... Eu admiro as valiosas informações que você oferece em seus artigos. Vou marcar o seu blog e tenho certeza que eles vão aprender muitas coisas novas aqui do que ninguém!
Certificado e-cnpj