Información sobre la herramienta de diagnóstico SSL de IIS para SDP

Artículo
03/28/2022
Tiempo de lectura: 4 minutos

En este artículo se describe la información recopilada de un equipo cuando se ejecuta el diagnóstico de capa de sockets seguros (SSL) de Microsoft Internet Information Services (IIS) en un equipo que experimenta problemas al navegar por sitios web que ejecutan SSL.

Versión del producto original: Internet Information Services
Número KB original: 2753695

Resumen

La herramienta de diagnóstico SSL de IIS para la Plataforma de diagnóstico de soporte técnico (SDP) está diseñada para solucionar problemas SSL en IIS y recopila información usada para solucionar problemas SSL comunes. Este diagnóstico también permite al usuario capturar un registro de seguimiento de eventos para Windows (ETW) para los proveedores de IIS y canal seguro (Schannel).

Sistema operativo

Descripción
Nombre de máquina
OS Name
Compilar
Zona horaria/desplazamiento
Último reinicio/tiempo de actividad
Control de cuentas de usuario
Nombre de usuario

Sistema informático

Descripción
Modelo de equipo
Procesadores
Dominio de máquina
Role
RAM (física)

Salida certutil

Descripción	Nombre de archivo
Este archivo contendrá el resultado de ejecutar el comando certutil -verify store en la huella digital del certificado asignado a cada enlace en el sitio web	{NombreDeUsuario}_CERTUTIL_VERFIYSTORE_CERT(n).TXT
Este archivo contiene volcados de la memoria caché url crl del sistema operativo (obtenido mediante la ejecución del comando certutil -url cache CRL)	{NombreDeUsuario}_CERTUTIL_CRL_CACHE.TXT

Archivos de registro de eventos

Descripción	Nombre de archivo
Registro de eventos de aplicación	{Computername}_evt_Application.evtx
Registro de eventos del sistema	{Computername}_evt_System.evtx
Registro de eventos de seguridad	{Computername}_evt_Security.evtx

Configuración de IIS

Descripción	Nombre de archivo
Archivos de configuración ASP.NET IIS/ASP.NET	{NombreDeUsuario}_IISConfiguration.zip

Archivos de registro de IIS

Descripción	Nombre de archivo
Si durante la ejecución se selecciona la opción para recopilar seguimientos etw, este archivo contendrá el seguimiento ETW, que permite a varios proveedores de IIS y SCHANNEL	{NombreDeUsuario}_IISSSLETWLOGFILES.zip

Descripción	Nombre de archivo
`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP`	{NombreDeUsuario}_REG_SERVICES_HTTP.TXT
`HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL`	{NombreDeUsuario}_REG_SCHANNEL.TXT
`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults`	{NombreDeUsuario}_REG_CRYPTOGRAPHY.TXT

Actualizaciones/revisiones instaladas

Descripción	Nombre de archivo
Historial de actualizaciones y revisiones	{NombreDeUsuario}_Hotfixes.CSV
Historial de actualizaciones y revisiones	{NombreDeUsuario}_Hotfixes.htm
Historial de actualizaciones y revisiones	{NombreDeUsuario}_Hotfixes.TXT

Información de redes

Descripción	Nombre de archivo
Información básica de TCP/IP	{NombreDeUsuario}_TcpIp-Info.txt
Información básica de SMB	{NombreDeUsuario}_SMB-Info.txt

Informe de configuración de SSL

Descripción	Nombre de archivo
Este archivo contiene información sobre diversas opciones de configuración de metabase que son relevantes para solucionar problemas SSL, por ejemplo, AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, Asignación de certificados de cliente de IIS, Autenticación de certificados de cliente de AD. También enumera el estado de los servicios IIS y proporciona detalles de cada enlace seguro configurado en el sitio web que muestra los detalles del certificado enlazado a él. Además, si alguno de los protocolos relacionados con SSL está deshabilitado en el servidor, este archivo contendrá información sobre ellos. Si la directiva para cambiar el orden de conjuntos de cifrado, el orden especificado también se mostrará en este archivo.	{NombreDeUsuario}_SSLReport.htm

Descripción

Nombre de archivo

Este archivo contiene información sobre diversas opciones de configuración de metabase que son relevantes para solucionar problemas SSL, por ejemplo, AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, Asignación de certificados de cliente de IIS, Autenticación de certificados de cliente de AD.

También enumera el estado de los servicios IIS y proporciona detalles de cada enlace seguro configurado en el sitio web que muestra los detalles del certificado enlazado a él.

Además, si alguno de los protocolos relacionados con SSL está deshabilitado en el servidor, este archivo contendrá información sobre ellos.

Si la directiva para cambiar el orden de conjuntos de cifrado, el orden especificado también se mostrará en este archivo.

{NombreDeUsuario}_SSLReport.htm

Información de virtualización

Descripción	Nombre de archivo
Información de virtualización de máquinas en formato HTM	{NombreDeUsuario}_Virtualization.htm
Información de virtualización de máquinas en formato TXT	{NombreDeUsuario}_Virtualization.txt

Más información

Si el usuario selecciona recopilar un registro ETW de IIS, el diagnóstico habilitará el seguimiento ETW de IIS denominado Seguimiento SDP de ETW de IIS. El diagnóstico detendrá automáticamente este seguimiento cuando el usuario haga clic en siguiente mientras se ejecuta el seguimiento. Si el usuario hace clic en Cancelar, debe detener el seguimiento con el siguiente comando desde un símbolo del sistema administrativo:

logman.exe stop "IIS ETW SDP Trace" -ets

Además de la información recopilada que se muestra en estas tablas, este solucionador de problemas puede detectar una o varias de las siguientes situaciones:

Servicios relacionados con IIS en estado en ejecución o no.
Si el sitio contiene un enlace SSL o no.
Si HTTP.SYS escucha en el puerto de enlace SSL o si el puerto está ocupado por otro ejecutable.
Si el sitio web tiene un certificado asignado al enlace seguro.
Si el sitio web está en un estado iniciado o no.
Si la autenticación de certificados de cliente de Active Directory está habilitada y DsMapperUsage si la configuración del enlace coincide con la del sitio.
Si la autenticación de certificados de cliente de Active Directory está habilitada pero en el sitio web, no se requieren ni se aceptan los certificados de cliente.
Permisos en la carpeta de claves de máquina.
Si el formato de enlace especificado en los enlaces de sitio web es correcto o no.
Si la lista de inclusión de Protocolo de Internet (IP) está configurada en el servidor y si la dirección IP configurada en el enlace del sitio web no está presente en la lista de inclusión de IP.
Si el tipo de certificado es correcto o no (es decir, Intended Purposes indica Autenticación de servidor).
Si el certificado está archivado.
Si el certificado no tiene la clave privada.
Incorrecto Key-Spec (es decir, si el certificado tiene otra definición KEYSPEC que no sea AT_EXCHANGE).
Si el certificado tiene un nombre alternativo de sujeto, se muestra un mensaje de información.
Si el certificado tiene un nombre alternativo de sujeto, se comprueban todos los enlaces de otros sitios web para ver si coinciden o no con la combinación de enlaces y puertos y, si lo hacen, si el enlace tiene el mismo certificado o no y si los encabezados de host no coinciden.
Si el certificado tiene comodín, se muestra un mensaje de información.
Si el certificado tiene comodín, se comprueban todos los enlaces de otros sitios web para ver si coinciden o no con la combinación de enlaces y puertos y, si lo hacen, se comprueba si el enlace tiene el mismo certificado o no y si los encabezados de host no coinciden.
Si la validación del certificado de servidor se realiza correctamente.
Comprueba si el certificado ha expirado.
Si alguno de los protocolos SSL está deshabilitado en el servidor.
Si se ha cambiado el orden de los conjuntos de cifrado en el servidor.
Compruebe si alguna de las claves del certificado tiene una longitud inferior a 1024 bits.
Si MS12-006 está instalado en el equipo.