Leer en inglés

Compartir a través de

ARR: compatibilidad agregada para WINHTTP_OPTION_SECURITY_FLAGS

  • Artículo

de Harsh Mittal

La actualización de ARR KB 2693489 agrega compatibilidad con WINHTTP_OPTION_SECURITY_FLAGS.

Comportamiento predeterminado:

Esto es lo mismo que antes de la actualización: ARR omitirá los errores de coincidencia de nombres comunes en la comunicación SSL. Con este cambio, ARR implementa SECURITY_FLAG_IGNORE_CERT_CN_INVALID como marca predeterminada.

Para cambiar la configuración, agregue la siguiente clave del Registro.

  1. Haga clic en Inicio, escriba regedit.exe en el cuadro Iniciar búsqueda y presione ENTRAR.

  2. Expanda la siguiente clave del Registro

    Consola 
    HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\IIS Extensions\Application Request Routing\Parameters

  3. Haga clic con el botón derecho en Parámetros. Haga clic en Nuevo y, luego, en el valor DWORD (32 bits).

  4. En el cuadro Nombre de valor, escriba SecureConnectionIgnoreFlags y presione ENTRAR.

  5. Haga doble clic en el valor del registro SecureConnectionIgnoreFlags y escriba 0.

  6. Cierre el Editor del registro.

La clave también se puede agregar desde la línea de comandos con el siguiente comando:

Consola 
reg.exe add "HKLM\SOFTWARE\Microsoft\IIS Extensions\Application Request Routing\Parameters" /v SecureConnectionIgnoreFlags /t REG_DWORD /d 0

Configuración de opciones adicionales

El valor predeterminado de 0 equivale a establecer la marca SECURITY_FLAG_IGNORE_CERT_CN_INVALID.

Para establecer opciones adicionales, puede combinar las siguientes opciones agregando los siguientes valores juntos.

Por ejemplo, para establecer SECURITY_FLAG_IGNORE_CERT_CN_INVALID y SECURITY_FLAG_IGNORE_CERT_DATE_INVALID, puede establecer el valor = 0x00003000.

Valor Descripción
0x00001000 SECURITY_FLAG_IGNORE_CERT_CN_INVALID (PREDETERMINADO)
0x00002000 SECURITY_FLAG_IGNORE_CERT_DATE_INVALID
0x00000100 SECURITY_FLAG_IGNORE_UNKNOWN_CA
0x00000200 SECURITY_FLAG_IGNORE_CERT_WRONG_USAGE

· SECURITY_FLAG_IGNORE_CERT_WRONG_USAGE

Permite establecer la identidad de un servidor con un certificado que no sea de servidor (por ejemplo, un certificado de cliente).

SECURITY_FLAG_IGNORE_CERT_WRONG_USAGE 0x00000200

Referencia

WINHTTP_OPTION_SECURITY_FLAGS

https://msdn.microsoft.com/library/windows/desktop/aa384066(v=vs.85).aspx