Fallan las conexiones HTTPS y se eliminan los enlaces SSL para un sitio web en IIS 7.0 y 7.5

  • Artículo
  • Tiempo de lectura: 2 minutos

Este artículo le ayuda a resolver el problema en el que las conexiones HTTPS fallan y los enlaces SSL se eliminan para un sitio web en Internet Information Services (IIS) 7.0 y 7.5.

Versión del producto original:   Internet Information Services
Número KB original:   2025598

Síntomas

Imagine la siguiente situación:

  • Tiene una aplicación web que se ejecuta en Internet IIS 7.0 o posterior que está configurada con un enlace SSL.
  • De forma intermitente, las conexiones al sitio web a través de HTTPS fallan.
  • Los usuarios aún pueden tener acceso al sitio a través de HTTP, a menos que el sitio esté configurado para requerir conexiones SSL.

Cuando se produce el problema, los usuarios que intentan navegar al sitio web a través de HTTPS pueden ver mensajes de advertencia que indican que el certificado SSL ha expirado o que aún no es válido, o que el nombre del sitio web es incorrecto. Si un administrador del sitio abre el Administrador de IIS para ver la configuración de SSL del sitio, es posible que descubra que los enlaces SSL del sitio web se han eliminado o que se han reemplazado por información de enlace de certificado no válida. Por último, se registra un evento similar al siguiente en el registro de eventos del sistema:

Nombre de registro: Sistema
Origen: Microsoft-Windows-HttpEvent
Fecha: 3/31/2010 2:43:28 PM
Identificador de evento: 15300
Categoría de tarea: Ninguno
Nivel: advertencia
Palabras clave: Clásico
Usuario: N/A
Equipo: IISServer
Descripción:
Certificado SSL Configuración para port : x.x.x.x:443

Causa

El enlace SSL para el sitio web se ha eliminado y no se ha reemplazado, o se ha eliminado y reemplazado por información de certificado no válida. El problema se produce debido a una propiedad hash de certificado SSL heredada que interfiera con el enlace SSL actual, lo que da como resultado la eliminación del enlace correcto.

Solución

Busque la siguiente propiedad en la <CustomMetaData> sección del archivo applicationHost.config y elimínelo:

<key path="LM/W3SVC/X">
     <property id="**5506**" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />
</key>

Esta propiedad es una característica heredada de IIS 6.0 y ya no es necesaria.

Más información

La 5506 propiedad personalizada se usó en IIS 6.0 para almacenar un hash de certificado SSL. Cuando una aplicación o servicio, que depende del asignador de ABO en IIS 7.0 o IIS 7.5 intenta iniciarse, intenta inicializar la estructura de árbol de ABO, que incluye la generación de nodos y propiedades personalizados. Durante este proceso, se lee en la sección e <CustomMetaData> intenta asignar las propiedades de la estructura de árbol de ABO. Durante la asignación, elimina los enlaces SSL actuales en HTTP.SYS y vuelve a crear un nuevo enlace con el valor hash heredado anterior. Si este valor no es válido, no se puede agregar el nuevo enlace SSL en HTTP.sys. Esto provocará que el sitio web no tenga una IP válida: combinación de puertos correspondiente al enlace SSL en HTTP.sys. Con un enlace SSL en blanco o no válido, las conexiones HTTPS al sitio web fallan.

Pasos para reproducir

El problema se puede reproducir agregando lo siguiente en la <CustomMetadata> sección del applicationHost.config archivo:

<key path="LM/W3SVC/X">
    <property id="5506" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />
</key>

Una vez hecho esto, iniciar cualquier aplicación, que requiere el asignador de ABO, como iniciar el Administrador de IIS (Inetmgr6.exe) o enumerar la metabase mediante ADSUTIL.vbs dará como resultado el problema descrito en este artículo.