SSL es una parte esencial para proteger su sitio IIS 7.0 y crear un certificado autofirmado en IIS 7 es mucho más fácil de hacer que en versiones anteriores de IIS. Los certificados SSL permiten el cifrado de todo el tráfico enviado hacia y desde su sitio web IIS, evitando que otros vean información confidencial. Utiliza criptografía de clave pública para establecer una conexión segura. Esto significa que cualquier cosa cifrada con una clave pública (el certificado SSL) solo se puede descifrar con la clave privada y viceversa.
Cuándo usar un certificado autofirmado de IIS
Nunca use un certificado autofirmado en un sitio de comercio electrónico o cualquier sitio que transfiera información personal valiosa como tarjetas de crédito, números de seguro social, etc.
Un certificado SSL tiene múltiples propósitos: distribuir la clave pública y, cuando está firmado por un tercero de confianza, verificar la identidad del servidor para que los clientes sepan que no están enviando su información (cifrada o no) a la persona equivocada. Un certificado autofirmado es un certificado que está firmado por sí mismo en lugar de un tercero de confianza. Esto significa que no puede verificar que se está conectando al servidor correcto porque cualquier atacante puede crear un certificado autofirmado y lanzar un ataque man-in-the-middle. Debido a esto, casi nunca debería utilizar un certificado autofirmado en un servidor IIS público que requiere que visitantes anónimos se conecten a su sitio. Sin embargo, los certificados autofirmados pueden ser apropiados en determinadas situaciones:
- Los certificados autofirmados se pueden utilizar en una intranet. Cuando los clientes solo tienen para ir a través de una intranet local para llegar al servidor, prácticamente no hay posibilidad de un ataque man-in-the-middle.
- Los certificados autofirmados se pueden usar en un servidor de desarrollo IIS. necesita gastar dinero extra comprando un certificado de confianza cuando está desarrollando o probando una aplicación.
- Los certificados autofirmados se pueden utilizar en sitios personales con pocos visitantes. Si tiene un sitio personal pequeño que transfiere información crítica, hay muy pocos incentivos para alguien para atacar la conexión.
Solo tenga en cuenta que los visitantes verán una advertencia en sus navegadores (como la que se muestra a continuación) cuando se conecten a un sitio IIS que utilice un certificado autofirmado hasta que almacenados permanentemente en su almacén de certificados. Nunca use un certificado autofirmado en un sitio de comercio electrónico o cualquier sitio que transfiera información personal valiosa como tarjetas de crédito, números de seguridad social, etc.
Compare certificados SSL confiables
Genere su certificado autofirmado IIS
Ahora sabe cuándo utilizar un certificado autofirmado IIS y cuando no. Ahora creemos uno:
- Haga clic en el menú Inicio, vaya a Herramientas administrativas y haga clic en Administrador de servicios de información de Internet (IIS).
- Haga clic en el nombre del servidor en la columna Conexiones a la izquierda. Haga doble clic en Certificados de servidor.
- En la columna Acciones a la derecha, haga clic en Crear certificado autofirmado. .
- Ingrese cualquier nombre descriptivo y luego haga clic en Aceptar.
- Ahora tendrá un Certificado autofirmado de IIS válido por 1 año en la lista de Certificados de servidor. El nombre común del certificado (Emitido a) es el nombre del servidor. Ahora solo necesitamos vincular el certificado autofirmado al sitio de IIS.
Vincular el certificado autofirmado
- En la columna Conexiones de la izquierda, expanda la carpeta de sitios y haga clic en el sitio web al que desea vincular el certificado. Haga clic en Enlaces … en la columna de la derecha.
- Haga clic en el botón Agregar …
- Cambie el Tipo a https y luego seleccione el certificado SSL que acaba de instalar. Haga clic en Aceptar.
- Ahora verá el enlace para el puerto 443 en la lista. Haga clic en Cerrar.
- Ahora probemos el certificado autofirmado de IIS yendo al sitio con https en nuestro navegador ( por ejemplo, https://site1.mydomain.com). Cuando lo haga, debería ver la siguiente advertencia que indica que «El certificado de seguridad presentado por este sitio web se emitió para una dirección de sitio web diferente» (un error de no coincidencia de nombre ).
Esto se muestra porque IIS siempre usa el nombre del servidor (en este caso WIN-PABODPHV6W3) como nombre común cuando crea un certificado autofirmado. Normalmente, este no coincide con el nombre de host que utiliza para acceder al sitio en su navegador (sitio1.midominio.com). Para muchas situaciones en las que se utilizan certificados autofirmados de IIS, esto no es un problema.Simplemente haga clic en «Continuar a este sitio web» cada vez. Sin embargo, si desea deshacerse por completo de los mensajes de error, deberá seguir los siguientes dos pasos a continuación.
Genere un certificado autofirmado con los valores comunes correctos. Nombre
Este paso solo es necesario si desea deshacerse del mensaje de advertencia que se muestra porque el nombre común en el certificado autofirmado no coincide con el nombre de host del sitio web. Para resolver este problema, tendremos que crear el certificado autofirmado utilizando el mismo método que se utiliza para crear un certificado autofirmado en IIS 6.0 (con SelfSSL en lugar de a través de IIS).
- Descargue los servicios de información de Internet (IIS) 6.0 Resource Kit Tools e instale SelfSSL 1.0 (si realiza una instalación personalizada, puede desmarcar todo excepto SelfSSL). Una vez que esté instalado, haga clic en el menú Inicio, vaya a Recursos de IIS, luego a SelfSSL y ejecute SelfSSL.
- Pegar en el siguiente comando y reemplace site1.mydomain.com con el nombre de host de su sitio IIS. Si recibe el error «Error al abrir la metabase: 0x80040154», simplemente ignórelo. Vincularemos manualmente el certificado al sitio web.
SelfSSL /N:CN=site1.mydomain.com /V:1000
- Una vez finalizado el comando, tendrá un certificado autofirmado de IIS con el nombre común correcto en la sección Certificados de servidor de IIS. Ahora siga las instrucciones anteriores para vincular el certificado a su sitio web de IIS.
- Después de haber vinculado el nuevo certificado a su IIS sitio, visítelo con https en su navegador web y encontrará otro error: «El certificado de seguridad presentado por este sitio web no fue emitido por una autoridad de certificación confiable». (el error Certificado SSL no confiable)
No se preocupe, este es el último error que necesitaremos corregir. Este es un error normal certificados firmados porque el certificado está firmado por sí mismo en lugar de un proveedor SSL de confianza. Todos los visitantes del sitio verán ese error a menos que importen el certificado autofirmado en su tienda de Autoridades de certificación raíz de confianza (o en el almacén de certificados SSL apropiado para el navegador están usando). Puede agregar fácilmente el certificado autofirmado de IIS a la tienda en el servidor siguiendo las instrucciones a continuación. Si necesita importar el certificado en otra máquina con Windows, simplemente siga las instrucciones sobre cómo mover o copiar un Certificado SSL de un servidor Windows.
Agregue el certificado autofirmado a las autoridades de certificación raíz de confianza
- Haga clic en el menú Inicio y haga clic en Ejecutar.
- Escriba mmc y haga clic en Aceptar.
- Haga clic en el archivo y haga clic en Agregar / quitar complemento …
- Haga doble clic en Certificados.
- Haga clic en Cuenta de computadora y haga clic en Siguiente.
- Deje la Computadora local seleccionada y haga clic en Finalizar.
- Expanda el elemento Certificados a la izquierda y expanda la carpeta Personal . Haga clic en la carpeta Certificados y haga clic con el botón derecho en el certificado autofirmado que acaba de crear y seleccione Copiar.
- Expanda el Trusted Root Certification Authorities y haga clic en la carpeta Certificados que se encuentra debajo. Haga clic con el botón derecho en el área blanca debajo de los certificados y haga clic en Pegar.
- Ahora puede visitar su sitio con https en su navegador web y no debería recibir ningún error porque Windows ahora confiará automáticamente en su certificado autofirmado de IIS.
Para obtener más información sobre cómo generar un certificado autofirmado de IIS, consulte los siguientes enlaces:
- Instalación de un certificado SSL en Windows Server 2008 (IIS 7.0)
- Sugerencia / Truco : Habilitación de SSL en IIS 7.0 mediante certificados autofirmados
- Certificados autofirmados de IIS en IIS 7: la forma fácil y la forma más eficaz
Publicado originalmente el sábado de octubre 23 de 2010