Habilitar SSL para todos los clientes que interactúan con su sitio web en IIS

  • Artículo
  • Tiempo de lectura: 7 minutos

En este artículo se describe cómo habilitar la capa de sockets seguros (SSL) para todos los clientes que interactúan con su sitio web en Microsoft Internet Information Services (IIS).

Versión del producto original:   Internet Information Services
Número KB original:   298805

Resumen

Este artículo contiene los siguientes temas:

  • Cómo configurar y habilitar certificados de servidor para que los clientes puedan estar seguros de que su sitio web es válido y de que cualquier información que le envíen sea privada y confidencial.
  • Cómo usar certificados de terceros para habilitar la capa de sockets seguros (SSL), así como una introducción general del proceso que se usa para generar una solicitud de firma de certificado (CSR), que se usa para obtener un certificado de terceros.
  • Cómo habilitar la conectividad SSL para el sitio web.
  • Cómo aplicar SSL para todas las conexiones y establecer la longitud de cifrado necesaria entre los clientes y el sitio web.

Puede usar las características de seguridad SSL del servidor web para dos tipos de autenticación. Puede usar un certificado de servidor para permitir a los usuarios autenticar su sitio web antes de transmitir información personal, como un número de tarjeta de crédito. Además, puede usar certificados de cliente para autenticar a los usuarios que solicitan información en su sitio web.

En este artículo se supone que usará una entidad de certificación (CA) de terceros para proporcionar autenticación para el servidor web.

Para habilitar la comprobación de certificados de servidor SSL y proporcionar el nivel de seguridad que sus clientes desean, debe obtener un certificado de una CA de terceros. Los certificados emitidos a su organización por una CA de terceros suelen estar vinculados al servidor web y, más específicamente, al sitio web al que se va a enlazar SSL. Puede crear su propio certificado con el servidor IIS, pero si lo hace, los clientes deben confiar implícitamente en usted como entidad de certificación.

En este artículo, se presupone lo siguiente:

  • Ha instalado IIS.
  • Ha creado y publicado el sitio web que desea proteger con SSL.

Obtener un certificado

Para iniciar el proceso para obtener el certificado, debe generar una CSR. Esto se hace a través de la consola de administración de IIS; por lo tanto, IIS debe instalarse antes de poder generar una CSR. Una CSR es básicamente un certificado que se genera en el servidor que valida la información específica del equipo sobre el servidor cuando se solicita un certificado a una CA de terceros. La CSR es simplemente un mensaje de texto cifrado que se cifra con un par de claves público/privado.

Normalmente, la siguiente información sobre el equipo se incluye en la CSR que genera:

  • Organización
  • Unidad organizativa
  • País o región
  • Estado/provincia
  • Ciudad/localidad
  • Nombre común

Nota

El nombre común suele estar formado por el nombre del equipo host y el dominio al que pertenece, como xyz.com. En este caso, el equipo forma parte del dominio .com y se denomina XYZ. Puede ser el servidor raíz de su dominio corporativo o simplemente un sitio web.

Generar la CSR

  1. Obtenga acceso a IIS Microsoft Management Console (MMC). Para ello, haga clic con el botón secundario en Mi equipo y seleccione Administrar. Se abre la Consola de administración de equipos. Expanda la sección Servicios y aplicaciones. Busque IIS y expanda la consola de IIS.

  2. Seleccione el sitio web específico en el que desea instalar un certificado de servidor. Haga clic con el botón secundario en el sitio y seleccione Propiedades.

  3. Seleccione la pestaña Seguridad del directorio. En la sección Comunicación segura, seleccione Certificado de servidor. Esto inicia el Asistente para certificados de servidor web. Seleccione Siguiente.

  4. Seleccione Crear un nuevo certificado y seleccione Siguiente.

  5. Seleccione Preparar la solicitud ahora, pero envíela más tarde y seleccione Siguiente.

  6. En el campo Nombre, escriba un nombre que pueda recordar. El valor predeterminado será el nombre del sitio web para el que está generando la CSR.

    Nota

    Al generar la CSR, debe especificar una longitud de bits. La longitud de bits de la clave de cifrado determina la intensidad del certificado cifrado que se envía a la CA de terceros. Cuanto mayor sea la longitud de bits, más fuerte será el cifrado. La mayoría de las CA de terceros prefieren un mínimo de 1024 bits.

  7. En la sección Información de la organización, escriba la información de la organización y la unidad organizativa. Esto debe ser preciso, ya que está presentando estas credenciales a una CA de terceros y debe cumplir con las licencias del certificado. Seleccione Siguiente para obtener acceso a la sección Nombre común del sitio.

  8. La sección Nombre común del sitio es responsable de enlazar el certificado al sitio web. Para los certificados SSL, escriba el nombre del equipo host con el nombre de dominio. Para los servidores intranet, puede usar el nombre NetBIOS del equipo que hospeda el sitio. Seleccione Siguiente para obtener acceso a la información geográfica.

  9. Escribe tu país o región, estado o provincia, e información de ciudad o localidad. Deletree completamente el estado o la provincia y la ciudad o la localidad. Y no use abreviaturas. Seleccione Siguiente.

  10. Guarde el archivo como un .txt archivo.

  11. Confirme los detalles de la solicitud. Seleccione Siguiente para finalizar y salga del Asistente para certificados de servidor web.

Solicitar el certificado

Existen diferentes métodos para enviar la solicitud. Póngase en contacto con el proveedor de certificados de su elección para el método que se usará y para determinar el mejor nivel de certificado para sus necesidades. Según el método elegido para enviar la solicitud a la CA, puede enviar el archivo CSR desde el paso 10 en la sección Generar la CSR, o puede que tenga que pegar el contenido de este archivo en la solicitud. Este archivo se cifrará y contendrá un encabezado y un pie de página para el contenido. Debe incluir el encabezado y el pie de página cuando solicite el certificado. La CSR debe ser similar a la siguiente:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Instalar el certificado

Una vez que la CA de terceros haya completado la solicitud de un certificado de servidor, la recibirá por correo electrónico o por el sitio de descarga. El certificado debe instalarse en el sitio web en el que desea proporcionar comunicaciones seguras.

Para instalar el certificado, siga estos pasos:

  1. Descargue o copie el certificado que obtuvo de la CA en el servidor web.
  2. Abra el MMC de IIS tal como se describe en la sección Generar la CSR.
  3. Acceda al cuadro de diálogo Propiedades del sitio web en el que va a instalar el certificado.
  4. Seleccione la pestaña Seguridad del directorio y, a continuación, seleccione Certificado de servidor. Esto inicia el Asistente para certificados de servidor web. Seleccione Siguiente.
  5. Seleccione Procesar la solicitud pendiente e instalar el certificado y, a continuación, seleccione Siguiente.
  6. Vaya a la ubicación del certificado que guardó en el paso 1. Seleccione Siguiente dos veces y, a continuación, seleccione Finalizar.

Exigir conexiones SSL

Ahora que el certificado de servidor está instalado, puede aplicar comunicaciones de canal seguro SSL con clientes del servidor web. En primer lugar, debe habilitar el puerto 443 para comunicaciones seguras con el sitio web. Para ello, siga estos pasos:

  1. En la consola de administración de equipos, haga clic con el botón secundario en el sitio web en el que desea aplicar SSL y seleccione Propiedades.
  2. Seleccione la pestaña Sitio web. En la sección Identificación del sitio web, compruebe que el campo Puerto SSL está rellenado con el valor numérico 443.
  3. Seleccione Opciones avanzadas. Debería ver dos campos. La dirección IP y el puerto del sitio web ya deben aparecer en el campo Identidades múltiples para este sitio web. En el campo Varias identidades SSL para este sitio web, seleccione Agregar si el puerto 443 aún no aparece. Seleccione la dirección IP del servidor y escriba el valor numérico 443 en el campo Puerto SSL. Seleccione Aceptar.

Ahora que el puerto 443 está habilitado, puede aplicar conexiones SSL. Para ello, siga estos pasos:

  1. Seleccione la pestaña Seguridad del directorio. En la sección Comunicación segura, Edit ya está disponible. Seleccione Editar.

  2. Seleccione Requerir canal seguro (SSL).

    Nota

    Si especifica el cifrado de 128 bits, los clientes que usen un explorador de resistencia de 40 o 56 bits no podrán comunicarse con su sitio a menos que actualicen su nivel de cifrado.

  3. Abra el explorador e intente conectarse al servidor web mediante el protocolo http:// estándar. Si se aplica SSL, recibirá el siguiente mensaje de error:

    La página debe visualizarse a través de un canal seguro
    La página que intenta ver requiere el uso de 'https' en la dirección.
    Intente lo siguiente: vuelva a intentarlo escribiendo https:// al principio de la dirección a la que está intentando llegar. HTTP 403.4: prohibido: ssl obligatorio Internet Information Services
    Información técnica (para el personal de soporte técnico): este error indica que la página a la que está intentando acceder está protegida con capa de sockets seguros (SSL).

Ahora solo puede conectarse a su sitio web mediante el protocolo https:// web.