Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo configurar certificados intermedios en un equipo que ejecuta IIS para la autenticación del servidor.
Versión del producto original: Internet Information Services
Número de KB original: 954755
Resumen
Cuando un equipo cliente intenta establecer conexiones de capa de sockets seguros (SSL) autenticadas por el servidor con un servidor web de IIS, valida la cadena de certificados del servidor. Para completar correctamente esta validación de certificados, los certificados intermedios de la cadena de certificados de servidor deben configurarse correctamente en el servidor. De lo contrario, es posible que se produzca un error en la autenticación del servidor. También se aplica a cualquier programa que use SSL o Seguridad de la capa de transporte (TLS) para la autenticación.
Impacto
Los equipos cliente no se pueden conectar al servidor que ejecuta IIS. Dado que los servidores no tienen los certificados intermedios configurados correctamente, los equipos cliente no pueden autenticar estos servidores.
Se recomienda configurar correctamente los certificados intermedios en el servidor.
Detalles técnicos
La validación de certificados X.509 consta de varias fases, incluida la detección de rutas de acceso de certificado y la validación de rutas de acceso.
Como parte de la detección de rutas de acceso de certificado, los certificados intermedios deben encontrarse para compilar la ruta de acceso del certificado hasta un certificado raíz de confianza. Un certificado intermedio es útil para determinar si un certificado se emitió en última instancia por una entidad de certificación raíz (CA) válida. Estos certificados se pueden obtener de la memoria caché o del almacén de certificados en el equipo cliente. Los servidores también pueden proporcionar la información al equipo cliente.
En la negociación SSL, el certificado de servidor se valida en el cliente. En este caso, el servidor proporciona los certificados al equipo cliente, junto con los certificados de emisión intermedios que usa el equipo cliente para compilar la ruta de acceso del certificado. La cadena de certificados completa, excepto el certificado raíz, se envía al equipo cliente.
Se crea una cadena de certificados de un certificado de autenticación de servidor configurado en el contexto del equipo local. De este modo, IIS determina el conjunto de certificados que envía a los clientes para TLS/SSL. Para configurar correctamente los certificados intermedios, agréguelos al almacén de certificados de entidad de certificación intermedio en la cuenta de equipo local del servidor.
Supongamos que un operador de servidor instala un certificado SSL junto con los certificados de ENTIDAD de certificación emisora pertinentes. Cuando el certificado SSL se renueva más adelante, el operador de servidor debe asegurarse de que los certificados emisores intermedios se actualizan al mismo tiempo.
Configuración de certificados intermedios
- Abra el complemento Certificates Microsoft Management Console (MMC). Para ello, siga estos pasos:
- En un símbolo del sistema, escriba Mmc.exe.
- Si no ejecuta el programa como administrador integrado, se le pedirá permiso para ejecutar el programa. En el cuadro de diálogo Seguridad de Windows, haga clic en Permitir.
- En el menú Archivo, seleccione Agregar o quitar complemento.
- En el cuadro de diálogo Agregar o quitar complementos , seleccione el complemento Certificados en la lista Complementos disponibles. A continuación, seleccione Agregar>aceptar.
- En el cuadro de diálogo Complemento Certificados, seleccione Cuenta de equipo y, a continuación, seleccione Siguiente.
- En el cuadro de diálogo Seleccionar equipo , seleccione Finalizar.
- En el cuadro de diálogo Agregar o quitar complementos, seleccione Aceptar.
- Para agregar un certificado intermedio, siga estos pasos:
- En el complemento Certificados MMC, expanda Certificados, haga clic con el botón derecho en Entidades de certificación intermedias, seleccione Todas las tareas y, a continuación, seleccione Importar.
- En el Asistente para importación de certificados, seleccione Siguiente.
- En la página Archivo para importar , escriba el nombre de archivo del certificado que desea importar en el cuadro Nombre de archivo. Seleccione Siguiente.
- Seleccione Siguiente y, a continuación, complete el Asistente para importación de certificados.
Referencias
Para obtener más información sobre cómo la CryptoAPI función compila cadenas de certificados y valida el estado de revocación, visite Solución de problemas de estado y revocación de certificados.