Compartir a través de

Habilitar SSL para todos los clientes que interactúan con su sitio web en IIS

En este artículo se describe cómo habilitar capa de sockets seguros (SSL) para todos los clientes que interactúan con su sitio web en Microsoft Internet Information Services (IIS).

Versión del producto original: Internet Information Services
Número de KB original: 298805

Resumen

Ese artículo contiene los siguientes temas:

  • Cómo configurar y habilitar certificados de servidor para que los clientes puedan estar seguros de que su sitio web es válido y que cualquier información que le envíen permanezca privada y confidencial.
  • Cómo usar certificados de terceros para habilitar la capa de sockets seguros (SSL), así como una visión general del proceso que se usa para generar una solicitud de firma de certificado (CSR), que se usa para obtener un certificado de terceros.
  • Cómo habilitar la conectividad SSL para el sitio web.
  • Cómo aplicar SSL para todas las conexiones y establecer la longitud de cifrado necesaria entre los clientes y el sitio web.

Puede usar las características de seguridad SSL del servidor web para dos tipos de autenticación. Puede usar un certificado de servidor para permitir a los usuarios autenticar el sitio web antes de transmitir información personal, como un número de tarjeta de crédito. Además, puede usar certificados de cliente para autenticar a los usuarios que solicitan información en el sitio web.

En este artículo se supone que usará una entidad de certificación (CA) de terceros para proporcionar autenticación para el servidor web.

Para habilitar la comprobación de certificados de servidor SSL y proporcionar el nivel de seguridad que desean los clientes, debe obtener un certificado de una entidad de certificación de terceros. Los certificados emitidos a su organización por una entidad de certificación de terceros suelen estar vinculados al servidor web y, más específicamente, al sitio web al que se va a enlazar SSL. Puede crear su propio certificado con el servidor IIS, pero si lo hace, los clientes deben confiar implícitamente en usted como entidad de certificación.

En este artículo se da por hecho lo siguiente:

  • Ha instalado IIS.
  • Ha creado y publicado el sitio web que desea proteger con SSL.

Obtener un certificado

Para comenzar el proceso para obtener el certificado, debe generar una CSR. Lo hace a través de la consola de administración de IIS; Por lo tanto, IIS debe instalarse para poder generar una CSR. Un CSR es básicamente un certificado que se genera en el servidor que valida la información específica del equipo sobre el servidor al solicitar un certificado de una entidad de certificación de terceros. La CSR es simplemente un mensaje de texto cifrado que se cifra con un par de claves pública y privada.

Normalmente, la siguiente información sobre el equipo se incluye en la CSR que genera:

  • Organización
  • Unidad organizativa
  • País o región
  • Estado o provincia
  • Ciudad o situación
  • Nombre común

Nota:

El nombre común suele estar compuesto por el nombre del equipo host y el dominio al que pertenece, como xyz.com. En este caso, el equipo forma parte del dominio de .com y se denomina XYZ. Puede ser el servidor raíz del dominio corporativo o simplemente un sitio web.

Generación del CSR

  1. Acceda a microsoft Management Console (MMC) de IIS. Para ello, haga clic con el botón derecho en Mi equipo y seleccione Administrar. Se abrirá la Consola de administración de equipos. Expanda la sección Servicios y aplicación . Busque IIS y expanda la consola de IIS.

  2. Seleccione el sitio web específico en el que desea instalar un certificado de servidor. Haga clic con el botón derecho en el sitio y seleccione Propiedades.

  3. Seleccione la pestaña Seguridad del directorio. En la sección Comunicación segura, seleccione Certificado de servidor. Esto inicia el Asistente para certificados de servidor web. Seleccione Siguiente.

  4. Seleccione Crear un nuevo certificado y seleccione Siguiente.

  5. Seleccione Preparar la solicitud ahora, pero envíela más adelante y seleccione Siguiente.

  6. En el campo Nombre , escriba un nombre que pueda recordar. El valor predeterminado es el nombre del sitio web para el que va a generar la CSR.

    Nota:

    Al generar el CSR, debe especificar una longitud de bits. La longitud de bits de la clave de cifrado determina la intensidad del certificado cifrado que se envía a la entidad de certificación de terceros. Cuanto mayor sea la longitud del bit, mayor será el cifrado. La mayoría de las CA de terceros prefieren un mínimo de 1024 bits.

  7. En la sección Información de la organización, escriba la información de la organización y de la unidad organizativa. Esto debe ser preciso, ya que está presentando estas credenciales a una entidad de certificación de terceros y debe cumplir con sus licencias del certificado. Seleccione Siguiente para acceder a la sección Nombre común del sitio.

  8. La sección Nombre común del sitio es responsable de enlazar el certificado a su sitio web. En Certificados SSL, escriba el nombre del equipo host con el nombre de dominio. En el caso de los servidores de intranet, puede usar el nombre NetBIOS del equipo que hospeda el sitio. Seleccione Siguiente para acceder a la información geográfica.

  9. Escriba su país o región, estado o provincia, y información de ciudad o localidad. Escriba completamente su estado o provincia y ciudad o localidad. Y no use abreviaturas. Seleccione Siguiente.

  10. Guarde el archivo como un archivo .txt.

  11. Confirme los detalles de la solicitud. Seleccione Siguiente para finalizar y salga del Asistente para certificados de servidor web.

Solicitud del certificado

Hay diferentes métodos para enviar la solicitud. Póngase en contacto con el proveedor de certificados que prefiera para que el método lo use y para determinar el mejor nivel de certificado para sus necesidades. Según el método elegido para enviar la solicitud a la CA, puede enviar el archivo CSR del paso 10 en la sección Generar la CSR , o puede que tenga que pegar el contenido de este archivo en la solicitud. Este archivo se cifrará y contendrá un encabezado y un pie de página para el contenido. Debe incluir tanto el encabezado como el pie de página al solicitar el certificado. La CSR debe ser similar a la siguiente:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Instalar el certificado

Una vez que la ENTIDAD de certificación de terceros haya completado la solicitud de un certificado de servidor, la recibirá por correo electrónico o sitio de descarga. El certificado debe instalarse en el sitio web en el que desea proporcionar comunicaciones seguras.

Para instalar el certificado, siga estos pasos:

  1. Descargue o copie el certificado que obtuvo de la ENTIDAD de certificación en el servidor web.
  2. Abra MMC de IIS como se describe en la sección Generación de la CSR .
  3. Acceda al cuadro de diálogo Propiedades del sitio web en el que va a instalar el certificado.
  4. Seleccione la pestaña Seguridad del directorio y, a continuación, seleccione Certificado de servidor. Esto inicia el Asistente para certificados de servidor web. Seleccione Siguiente.
  5. Seleccione Procesar la solicitud pendiente e instalar el certificado y, a continuación, seleccione Siguiente.
  6. Vaya a la ubicación del certificado que guardó en el paso 1. Seleccione Siguiente dos veces y, a continuación, seleccione Finalizar.

Aplicación de conexiones SSL

Ahora que el certificado de servidor está instalado, puede aplicar comunicaciones de canal seguro SSL con clientes del servidor web. En primer lugar, debe habilitar el puerto 443 para las comunicaciones seguras con el sitio web. Para ello, siga estos pasos:

  1. En la consola de administración de equipos, haga clic con el botón derecho en el sitio web en el que desea aplicar SSL y seleccione Propiedades.
  2. Seleccione la pestaña Sitio web. En la sección Identificación del sitio web, compruebe que el campo Puerto SSL se rellena con el valor numérico 443.
  3. Seleccione Advanced (Avanzadas). Debería ver dos campos. La dirección IP y el puerto del sitio web ya deben aparecer en el campo Varias identidades para este sitio web. En el campo Varias identidades SSL para este sitio web, seleccione Agregar si el puerto 443 aún no aparece en la lista. Seleccione la dirección IP del servidor y escriba el valor numérico 443 en el campo Puerto SSL. Seleccione Aceptar.

Ahora que el puerto 443 está habilitado, puede aplicar conexiones SSL. Para ello, siga estos pasos:

  1. Seleccione la pestaña Seguridad del directorio. En la sección Comunicación segura, Edit ya está disponible. Seleccione Editar.

  2. Seleccione Requerir canal seguro (SSL).

    Nota:

    Si especifica cifrado de 128 bits, los clientes que usan el explorador de seguridad de 40 o 56 bits no podrán comunicarse con el sitio a menos que actualicen su intensidad de cifrado.

  3. Abra el explorador e intente conectarse al servidor web mediante el protocolo estándar http:// . Si se aplica SSL, recibirá el siguiente mensaje de error:

    La página debe verse a través de un canal seguro.
    La página que intenta ver requiere el uso de "https" en la dirección.
    Pruebe lo siguiente: vuelva a intentarlo escribiendo https:// al principio de la dirección a la que intenta llegar. HTTP 403.4 - Prohibido: SSL requerido Internet Information Services
    Información técnica (para el personal de soporte técnico): este error indica que la página a la que intenta acceder está protegida con capa de sockets seguros (SSL).

Ahora solo puede conectarse al sitio web mediante el protocolo https:// .