Configurar certificados intermedios en un equipo que ejecuta IIS para la autenticación de servidor

  • Artículo
  • Tiempo de lectura: 3 minutos

En este artículo se describe cómo configurar certificados intermedios en un equipo que ejecuta IIS para la autenticación de servidor.

Versión del producto original:   Internet Information Services
Número KB original:   954755

Resumen

Cuando un equipo cliente intenta establecer conexiones ssl (capa de sockets seguros) autenticadas por el servidor con un servidor web iis, valida la cadena de certificados del servidor. Para completar correctamente esta validación de certificado, los certificados intermedios de la cadena de certificados de servidor deben configurarse correctamente en el servidor. De lo contrario, la autenticación del servidor puede producir un error. También se aplica a cualquier programa que use SSL o Seguridad de la capa de transporte (TLS) para la autenticación.

Impacto

Los equipos cliente no se pueden conectar al servidor que ejecuta IIS. Dado que los servidores no tienen los certificados intermedios configurados correctamente, los equipos cliente no pueden autenticar estos servidores.

Se recomienda configurar correctamente los certificados intermedios en el servidor.

Detalles técnicos

La validación de certificados X.509 consta de varias fases, incluida la detección de rutas de acceso de certificado y la validación de rutas de acceso.

Como parte de la detección de rutas de acceso de certificado, los certificados intermedios deben encontrarse para crear la ruta de acceso del certificado hasta un certificado raíz de confianza. Un certificado intermedio es útil para determinar si un certificado fue emitido en última instancia por una entidad de certificación raíz (CA) válida. Estos certificados se pueden obtener de la memoria caché o del almacén de certificados en el equipo cliente. Los servidores también pueden proporcionar la información al equipo cliente.

En la negociación SSL, el certificado de servidor se valida en el cliente. En este caso, el servidor proporciona los certificados al equipo cliente, junto con los certificados de emisión intermedios que el equipo cliente usa para crear la ruta de acceso del certificado. La cadena de certificados completa, excepto el certificado raíz, se envía al equipo cliente.

Una cadena de certificados de un certificado de autenticación de servidor configurado se basa en el contexto del equipo local. De este modo, IIS determina el conjunto de certificados que envía a los clientes para TLS/SSL. Para configurar correctamente los certificados intermedios, agrégrelos al almacén de certificados de CA intermedio en la cuenta de equipo local del servidor.

Suponga que un operador de servidor instala un certificado SSL junto con los certificados de CA emisores relevantes. Cuando el certificado SSL se renueva más adelante, el operador del servidor debe asegurarse de que los certificados de emisión intermedios se actualizan al mismo tiempo.

Configurar certificados intermedios

  1. Abra el complemento Certificados de Microsoft Management Console (MMC). Para ello, siga estos pasos:
    1. En un símbolo del sistema, escribaMmc.exe.
    2. Si no ejecuta el programa como administrador integrado, se le pedirá permiso para ejecutar el programa. En el cuadro Seguridad de Windows de diálogo, haga clic en Permitir.
    3. En el menú Archivo, seleccione Agregar o quitar complemento.
    4. En el cuadro de diálogo Agregar o quitar complementos, seleccione el complemento Certificados en la lista Complementos disponibles. A continuación, seleccione > Agregar aceptar.
    5. En el cuadro de diálogo Complemento Certificados, seleccione Cuenta de equipo y, a continuación, seleccione Siguiente.
    6. En el cuadro de diálogo Seleccionar equipo, seleccione Finalizar.
    7. En el cuadro de diálogo Agregar o quitar complementos, seleccione Aceptar.
  2. Para agregar un certificado intermedio, siga estos pasos:
    1. En el complemento CERTIFICADOS MMC, expanda Certificados , haga clic con el botón secundario en Autoridades de certificación intermedias , elija Todas las tareas y, a continuación, seleccione Importar.
    2. En el Asistente para importación de certificados, seleccione Siguiente.
    3. En la página Archivo para importar, escriba el nombre de archivo del certificado que desea importar en el cuadro Nombre de archivo. Después, seleccione Siguiente.
    4. Seleccione Siguiente y, a continuación, complete el Asistente para importación de certificados.

Referencias

Para obtener más información sobre cómo la función crea cadenas de certificados y valida el estado de CryptoAPI revocación, visite Troubleshooting Certificate Status and Revocation.