Cómo crear un certificado de seguridad autofirmado (SSL) e implementarlo en las máquinas cliente
Los desarrolladores y administradores de TI tienen, sin duda, la necesidad de implementar algún sitio web a través de HTTPS utilizando un certificado SSL. Si bien este proceso es bastante sencillo para un sitio de producción, para los propósitos de desarrollo y pruebas, puede que también necesite usar un certificado SSL aquí..
Como alternativa a la compra y renovación de un certificado anual, puede aprovechar la capacidad de su Windows Server para generar un certificado autofirmado que sea conveniente, fácil y que satisfaga perfectamente estos tipos de necesidades.
Creación de un certificado autofirmado en IIS
Si bien hay varias formas de realizar la tarea de crear un certificado autofirmado, usaremos la utilidad SelfSSL de Microsoft. Desafortunadamente, esto no se incluye con IIS, pero está disponible de forma gratuita como parte del Kit de herramientas de recursos de IIS 6.0 (enlace provisto al final de este artículo). A pesar del nombre "IIS 6.0", esta utilidad funciona bien en IIS 7.
Todo lo que se requiere es extraer IIS6RT para obtener la utilidad selfssl.exe. Desde aquí, puede copiarlo en su directorio de Windows o en una ruta de red / unidad USB para uso futuro en otra máquina (para que no tenga que descargar y extraer el IIS6RT completo).
Una vez que tenga la utilidad SelfSSL en su lugar, ejecute el siguiente comando (como Administrador) reemplazando los valores según corresponda:
selfssl / N: CN = / V:
El siguiente ejemplo produce un certificado de comodín autofirmado contra "mydomain.com" y lo establece para que sea válido por 9,999 días. Además, al responder sí a la solicitud, este certificado se configura automáticamente para vincularse al puerto 443 dentro del sitio web predeterminado de IIS.
Si bien en este punto el certificado está listo para usar, se almacena solo en el almacén de certificados personales en el servidor. También es recomendable tener este certificado establecido en la raíz de confianza..
Vaya a Inicio> Ejecutar (o Windows Key + R) e ingrese “mmc”. Puede recibir una solicitud de UAC, aceptarla y se abrirá una Consola de administración vacía.
En la consola, vaya a Archivo> Agregar o quitar complemento.
Añadir certificados desde el lado izquierdo.
Seleccionar cuenta de computadora.
Seleccione equipo local.
Haga clic en Aceptar para ver el almacén de certificados local.
Navegue a Personal> Certificados y localice el certificado que configuró usando la utilidad SelfSSL. Haga clic derecho en el certificado y seleccione Copiar.
Vaya a Entidades de certificación de raíz de confianza> Certificados. Haga clic derecho en la carpeta Certificados y seleccione Pegar.
Una entrada para el certificado SSL debe aparecer en la lista.
En este punto, su servidor no debería tener problemas para trabajar con el certificado autofirmado.
Exportando el Certificado
Si va a acceder a un sitio que utiliza el certificado SSL autofirmado en cualquier equipo cliente (es decir, cualquier computadora que no sea el servidor), para evitar una posible avalancha de errores y advertencias, debe instalarse el certificado autofirmado en cada una de las máquinas cliente (que veremos en detalle más adelante). Para hacer esto, primero necesitamos exportar el certificado respectivo para que pueda instalarse en los clientes..
Dentro de la consola con la Administración de certificados cargada, navegue a Trusted Root Certification Authorities> Certificates. Localice el certificado, haga clic con el botón derecho y seleccione Todas las tareas> Exportar.
Cuando se le solicite que exporte la clave privada, seleccione Sí. Haga clic en Siguiente.
Deje las selecciones predeterminadas para el formato de archivo y haga clic en Siguiente.
Ingrese una contraseña. Esto se utilizará para proteger el certificado y los usuarios no podrán importarlo localmente sin ingresar esta contraseña.
Introduzca una ubicación para exportar el archivo de certificado. Estará en formato PFX..
Confirme su configuración y haga clic en Finalizar.
El archivo PFX resultante es lo que se instalará en las máquinas de sus clientes para decirles que su certificado autofirmado es de una fuente confiable.
Implementación en máquinas cliente
Una vez que haya creado el certificado en el lado del servidor y tenga todo funcionando, puede notar que cuando una máquina cliente se conecta a la URL correspondiente, se muestra una advertencia de certificado. Esto sucede porque la autoridad de certificación (su servidor) no es una fuente confiable para los certificados SSL en el cliente.
Puede hacer clic en las advertencias y acceder al sitio; sin embargo, puede recibir avisos repetidos en forma de una barra de URL resaltada o repetidas advertencias de certificados. Para evitar esta molestia, simplemente necesita instalar el certificado de seguridad SSL personalizado en la máquina cliente.
Dependiendo del navegador que uses, este proceso puede variar. IE y Chrome se leen en el almacén de certificados de Windows, sin embargo, Firefox tiene un método personalizado para manejar los certificados de seguridad.
Nota IMPORTANTE: Debieras Nunca instalar un certificado de seguridad de una fuente desconocida. En la práctica, solo debe instalar un certificado localmente si lo generó. Ningún sitio web legítimo requiere que realices estos pasos.
Internet Explorer y Google Chrome - Instalar el certificado localmente
Nota: Aunque Firefox no usa el almacén de certificados nativo de Windows, este es un paso recomendado..
Copie el certificado que se exportó desde el servidor (el archivo PFX) a la máquina cliente o asegúrese de que esté disponible en una ruta de red.
Abra la administración del almacén de certificados local en la máquina cliente siguiendo exactamente los mismos pasos que anteriormente. Eventualmente terminarás en una pantalla como la de abajo..
En el lado izquierdo, expanda Certificados> Autoridades de certificación de raíz de confianza. Haga clic derecho en la carpeta Certificados y seleccione Todas las tareas> Importar.
Seleccione el certificado que se copió localmente en su máquina.
Ingrese la contraseña de seguridad asignada cuando el certificado fue exportado desde el servidor.
La tienda "Trusted Root Certification Authorities" debe ser precargada como destino. Haga clic en Siguiente.
Revise la configuración y haga clic en Finalizar.
Deberías ver un mensaje de éxito.
Actualice su vista de la carpeta Entidades de certificación de raíz de confianza> Certificados y verá el certificado autofirmado del servidor en la tienda.
Una vez hecho esto, debería poder navegar a un sitio HTTPS que use estos certificados y no recibir advertencias ni avisos..
Firefox - Permitiendo excepciones
Firefox maneja este proceso de manera un poco diferente, ya que no lee la información del certificado de la tienda de Windows. En lugar de instalar certificados (por sí mismo), le permite definir excepciones para certificados SSL en sitios particulares.
Cuando visita un sitio que tiene un error de certificado, recibirá una advertencia como la que se muestra a continuación. El área en azul nombrará la URL correspondiente a la que intenta acceder. Para crear una excepción para omitir esta advertencia en la URL correspondiente, haga clic en el botón Agregar excepción.
En el cuadro de diálogo Agregar excepción de seguridad, haga clic en Confirmar excepción de seguridad para configurar esta excepción localmente.
Tenga en cuenta que si un sitio en particular redirige a los subdominios desde dentro de sí mismo, puede recibir múltiples avisos de advertencia de seguridad (cada vez que la URL sea ligeramente diferente). Agregue excepciones para esas URL usando los mismos pasos que arriba.
Conclusión
Vale la pena repetir el aviso anterior que debe Nunca instalar un certificado de seguridad de una fuente desconocida. En la práctica, solo debe instalar un certificado localmente si lo generó. Ningún sitio web legítimo requiere que realices estos pasos.
Campo de golf
Descargue el Kit de herramientas de recursos de IIS 6.0 (incluye la utilidad SelfSSL) de Microsoft