Instalación de certificados de ejemplo de CardSpace
Para utilizar ejemplos de CardSpace, se deben instalar los certificados SSL, directorios Web virtuales y entradas de archivo de host. Este documento muestra cómo instalar los certificados necesarios y examina los pasos a seguir para instalar certificados alternativos.
Antes de empezar
La instalación de los ejemplos de CardSpace depende de la instalación correcta de One-Time Setup Procedure for the Windows Communication Foundation Samples.
Instalación rápida del ejemplo
Para instalar los certificados, cree los hosts virtuales para los sitios Web y cree todas las entradas de los hosts a la vez, ejecute el archivo por lotes Setup.bat en el directorio de ejemplo. Esto ejecuta de uno en uno cada uno de los scripts.
Para desinstalar todo, ejecute el archivo por lotes de Cleanup.bat en el directorio de ejemplo. Esto desinstala los scripts, el sitio Web, y las entradas de los hosts. No elimina ningún archivo.
Acerca de los certificados
Este documento muestra cómo instalar los certificados necesarios. Para obtener más información sobre los certificados, vea los documentos siguientes:
Cómo funcionan los certificados
Herramientas y configuración de certificados
Para obtener más información sobre los certificados CA, vea los documentos siguientes:
Cómo funcionan los certificados CA
Herramientas y configuración de certificados CA
Requisitos
Este tutorial está diseñado para Windows XP SP2, Windows Server 2003 SP1y Windows Vista. Se deben instalar los componentes siguientes:
Microsoft .NET Framework 3.0.
IIS 5.0 (Windows XP SP2), IIS 6.0 (Windows Server 2003), ó IIS 7.0 (Windows Vista).
Nota
Para Windows Vista, asegúrese de que el soporte de compatibilidad de IIS 6.0 está instalado con IIS 7.0.
Los certificados siguientes están en la carpeta de certificados:
Los archivos siguientes están en la carpeta de sitio Web:
images\adatum.gif
images\contoso.gif
images\fabrikam.gif
crldata\adatum.crl
CardSpace\default.html
Los archivos de script siguientes se encuentran en la carpeta de scripts:
Install-certificates.vbs
Remove-certificates.vbs
Install-website.vbs
Remove-website.vbs
Install-hosts.vbs
Remove-hosts.vbs
Acerca de estos certificados
Los certificados presentados aquí sólo son para fines de ejemplo. El certificado CA raíz está almacenado como un archivo .sst (Microsoft Serialized Certificate Store). Todos los certificados del sitio Web están almacenados como archivos .pfx. Los certificados se utilizan para dos categorías de escenarios: escenarios de explorador y escenarios Windows Communication Foundation (WCF).
Los certificados de ejemplo son certificados de alta seguridad que tienen imágenes de logotipo incrustadas en ellos. Los certificados de alta seguridad (HA) son emitidos por una CA que ha realizado los pasos adicionales para comprobar el sujeto para quien se ha emitido el certificado. En Internet Explorer 7.0, estos certificados HA hacen que la barra de direcciones cambie de color. Si el explorador puede comprobar los detalles y el certificado se verifica, la barra de direcciones se pone verde:
.gif "Instalación de certificados: ejemplo de CardSpace de Windows")
Si hay problemas al comprobar el certificado (HA o no), Internet Explorer 7.0 hace que la barra de direcciones se vuelva amarilla:
.gif "Instalación de certificados: ejemplo de CardSpace de Windows")
Asimismo, si Internet Explorer 7.0 sospecha un sitio de suplantación de identidad (phishing), la barra de direcciones se pone roja:
.gif "Instalación de certificados: ejemplo de CardSpace de Windows")
Los certificados SSL normales dejan la barra de direcciones blanca.
Las extensiones de logotipo permiten a CA incrustar una imagen gráfica en el certificado y proporcionar una dirección URL para comprobarla. Las direcciones URL para los gráficos del logotipo en los certificados de ejemplo se configuran como http://www.adatum.com/images/\<logo.gif,>donde <logo> es el nombre del logotipo.
Para los escenarios del explorador Internet Explorer 7.0 y escenarios WCF, los certificados se deben instalar en el servidor Web y deben tener los logotipos gráficos instalados bajo un directorio virtual en IIS, y el archivo de hosts se debe modificar para que incluya los nombres de dominio del ejemplo (Fabrikam, Contoso y Adatum).
Para todos los escenarios: Para utilizar los ejemplos entre varios equipos, cambie manualmente el archivo c:\windows\system32\drivers\etc\hosts utilizando el Bloc de notas para editar el archivo de hosts:
.gif "Abrir los archivos host con el bloc de notas.")
Agregue en las entradas siguientes (sustituir la dirección IP adecuada del servidor en lugar de 127.0.0.1):
127.0.0.1 www.adatum.com adatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
Sitios Web y direcciones URL de ejemplo
Las aplicaciones de ejemplo y sitios Web crean los directorios virtuales en IIS bajo la aplicación Web predeterminada, que se debería enlazar al puerto 80 y no debería utilizar un encabezado de host, permitiendo a www.fabrikam.com, www.adatum.com y www.contoso.com compartir el mismo servidor Web. El canal SSL está enlazado con el certificado para www.fabrikam.com y se utiliza para las conexiones HTTPS. Los ejemplos individuales crean los directorios virtuales en el sitio Web predeterminado para ilustrar los ejemplos.
Instalación de los certificados
El certificado CA raíz de nuestra CA ficticia (Adatum) se debe instalar en la ubicación "Entidades emisoras raíz de confianza" en el almacén del equipo local. (localMachine:root).
Los certificados de la compañía (Contoso y Fabrikam) se deben instalar en la ubicación "Personal" en el almacén del equipo local. (localMachine:My). Las contraseñas para todos los archivos .pfx están en blanco. Ejecute el script Install-certificates.vbs desde la carpeta de scripts. El script instala los certificados en los almacenes adecuados. Cuando se ha ejecutado el script, pide confirmación antes de continuar:
.gif "Instalación de certificados de ejemplo")
Como una precaución de seguridad adicional (de CAPICOM), el script podría mostrar una advertencia de que se está instalando un certificado CA. Acepte que el certificado continúe.
.gif "Instalación de certificados de ejemplo de CardSpace de Windows")
El script también admite dos parámetros de línea de comandos opcionales, DEBUG y VERBOSE, que proporcionan información adicional durante la ejecución.
Usuarios expertos: Instale manualmente los certificados a través de Microsoft Management Console.
Instalación de los logotipos gráficos y CRL
Las imágenes gráficas para las extensiones de logotipo dentro de los certificados deben estar disponibles para los clientes para comprobarlas.
| Compañía | URL | Imagen |
|---|---|---|
Adatum |
http://www.adatum.com/images/adatum.gif |
<Datum-Image> |
Contoso |
https://www.contoso.com/images/contoso.gif |
<Contoso-Image> |
Fabrikam |
http://www.fabrikam.com/images/fabrikam.gif |
<Fabrikam-Image> |
Ejecute el script Install-website.vbs desde la carpeta de scripts. El script crea los directorios virtuales para los logotipos del certificado y la lista de revocación de certificados (CRL).
.gif "Instalación de certificados: ejemplo de CardSpace de Windows")
Usuarios expertos: Cree manualmente los directorios virtuales a través del complemento IIS MMC. Se hace una lista de los tres directorios que señalan a las carpetas dentro de la carpeta de instalación en la tabla siguiente.
| Directorio virtual | Ruta de acceso |
|---|---|
crldata |
.\website\crldata |
CardSpace |
.\website\CardSpace |
images |
.\website\images |
Modificación del archivo de los hosts
El archivo c:\windows\system32\drivers\etc\hosts se modifica para obtener los ejemplos para que las direcciones URL resuelvan en el equipo local.
Ejecute el script Install-hosts.vbs desde la carpeta de scripts. El script crea las entradas en el archivo de hosts para los ejemplos.
Usuarios expertos: Cree manualmente las entradas editando el archivo c:\windows\system32\drivers\etc\hosts y agregando las líneas siguientes:
127.0.0.1 www.adatum.com atatum.com
127.0.0.1 www.contoso.com contoso.com
127.0.0.1 www.fabrikam.com fabrikam.com
Comprobar una correcta instalación
Para comprobar la instalación del archivo de hosts y del directorio Web virtual, utilice Internet Explorer y navegue a http://www.fabrikam.com/CardSpace. El explorador muestra la página predeterminada para el ejemplo.
IIS: ACL para las claves privadas del certificado
Para que IIS acceda a las claves privadas de los certificados, las ACL deben estar establecidas para la cuenta del servicio IIS (ASPNET en Windows XP y Windows Vistay NETWORK SERVICE en Windows Server 2003) para tener acceso de lectura a los archivos. El script de instalación del certificada se encarga de esto. Para establecer el permiso en claves privadas para otros certificados, utilice Findprivatekey.exe de Windows SDK y Cacls.exe, sustituyendo en la huella digital del otro certificado:
findprivatekey.exe my localmachine -t "d47de657fa4902555902cb7f0edd2ba9b05debb8" –a
ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120cacls
cacls C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120 /G ASPNET:R
Are you sure (Y/N)?y
processed file: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\6799c8288a6ee49d3fc35f2424524993_4872db96-95c8-43fa-8498-b2d31edcc120
Desinstalar
Para desinstalar los certificados del ejemplo, directorios virtuales y entradas de host, ejecute los scripts siguientes:
Remove-certificates.vbs
Remove-website.vbs
Remove-hosts.vbs
Se quita el registro de los certificados, sitio Web y hosts.
Nota
Los archivos no se eliminan del directorio de instalación.
Cuando el certificado CA se quita del sistema, el script podría mostrar el mensaje siguiente:
.gif "Instalación de certificados: ejemplo de CardSpace de Windows")
Haga clic en Sí para permitir quitar el certificado.
Solución de problemas
Valores de proxy de Internet Explorer: Para que los ejemplos de explorador funcionen correctamente, podría tener que agregar lo siguiente a sus valores de Internet Explorer para omitir el proxy:
www.fabrikam.com;fabrikam.com;www.contoso.com;contoso.com;adatum.com;
www.adatum.com;woodgrovebank.com;www.woodgrovebank.com
Si utiliza un proxy detectado automáticamente, desactive la detección automática y escriba manualmente la información del proxy. Pregunte a su administrador del sistema los detalles de configuración de su proxy.
Si está teniendo problemas para ver correctamente los cambios del certificado, borre su caché del certificado SSL en Internet Explorer. Desde Internet Explorer, haga clic en Herramientas y a continuación Opciones de Internety seleccione el botón Borrar estado SSL y, a continuación, cierre todas las instancias de Internet Explorer.
.gif "Establecer las opciones de Internet")
Los escenarios del explorador Internet Explorer 7.0 utilizan las conexiones SSL y requieren que instale el sitio Web predeterminado con un certificado SSL. Mientras que solucionar problemas de las conexiones SSL puede ser a menudo laborioso, con unas sugerencias rápidas, podrá resolver con facilidad la mayoría de sus problemas.
Para comenzar, descargue la Utilidad de diagnóstico SSL para IIS.
Nota
Todas las capturas de pantalla mostradas en este documento son de un equipo que se está ejecutando Windows Vista. Si está funcionando con un sistema operativo anterior, podría ver los diálogos ligeramente diferentes.
Consulte también
Otros recursos
Using CardSpace in Windows Communication Foundation
.gif "Footer image")
Enviar comentarios sobre este tema a Microsoft.
Copyright © 2007 Microsoft Corporation. Reservados todos los derechos.