none
No puedo instalar Certificado Seguridad en IIS. RRS feed

  • Pregunta

  • Buenos días señores.

    Tengo algunos problemas con el certificado de seguridad y el iis para que por favor si alguien me puede apoyar, se lo agradecería mucho.

    Instale el certificado por medio de la Consola de Administración de Microsoft MMC, todo OK.

    Instale el certificado intermedio por medio de la misma consola, todo OK.

    Cuando trato de enlazar lo ya instalado en el IIS, en el servidor de certificados, seleccionando el servidor, me pide un archivo .cer que no encuentro por ninguna parte. Hice la busqueda por medio de *.cer y me arrojó solo unos de Java.

    Para mayor referencia, les envío los pasos que estoy siguiendo: https://www.godaddy.com/es/help/instalar-manualmente-un-certificado-ssl-en-mi-servidor-iis-10-27349?lang=en

    Alguien sería tan amable de ayudarme por favor?

    Gracias y saludos.


    • Editado gbalejandro lunes, 28 de octubre de 2019 13:04
    lunes, 28 de octubre de 2019 12:44

Respuestas

  • Pues RapidSSL si me pidió que creara una firma CSR

    No, esa no es la firma. Con eso lo que haces es generar la pareja de claves (privada y publica) del certificado, de forma que te guardas la privada y envias la publica para que te la firmen. Entonces la CA genera una firma con su clave privada (que tu no conoces) y te devuelve un certificado que contiene tus datos, mas tu clave publica, mas los datos y clave publica de la CA, mas una firma generada por la CA.

    Como resultado, al final tienes un par de archivos: uno acaba en .key y tiene tu clave privada. Otro es el que te devuelve la autoridad certificadora a cambio del .csr. Puede tener varios formatos, pero timicamente es un .crt. En principio, solo contiene la clave publica. La firma de la CA se encuentra dentro de este .crt.

    Para importarlo en IIS necesitas un unico fichero que contenga las dos claves. Eso implica que tienes que juntar el .key y el .crt en un unico archivo, que usualmente suele ser un .pfx. Esta conversion se hace con openssl mediante un comando parecido a este:

    openssl pkcs12 -export -out mifichero.pfx -inkey midfichero.key -in mifichero.crt

    Despues ya puedes importar el .pfx en tu servidor.

    Nada de todo esto es necesario si lo haces desde un servidor web que es miembro de una infraestructura de Directorio Activo en la que ya existe una CA. Simplemente en la MMC dices "obtener certificado" y si tienes los permisos necesarios ya hace todas las operaciones pertinentes y te deja el certificado instalado en la MMC.


    martes, 29 de octubre de 2019 13:29

Todas las respuestas

  • Instale el certificado por medio de la Consola de Administración de Microsoft MMC

    [...]

    Cuando trato de enlazar lo ya instalado en el IIS, en el servidor de certificados, seleccionando el servidor, me pide [...]

    Errr... Algo falla aquí. ¿Cómo que "en el servidor de certificados me pìde...? El servidor de certificados no hay que usarlo para nada una vez que ya has instalado el certificado por medio de la MMC. Simplemente usas el desplegabe en la administración de IIS para seleccionar el certificado que dices que ya has instalado con la MMC. El .cer solo se necesita como paso previo para instalar el certificado en la MMC en el caso de que tu MMC no lo esté obteniendo directamente desde el servidor de certificados. Pero si dices que ya lo instalaste con éxito en la MMC (del servidor IIS, no la MMC del servidor de certificados !!!), entonces ya no se necesita el .cer para nada.
    lunes, 28 de octubre de 2019 12:52
  • Muchas gracias por tu pronta respuesta mi buen Alberto.

    OK, hasta ahí todo bien pero cuando quiero crear el enlace al sitio web, con el puerto 443, nada mas me arroja los certificados que vienen por default en el IIS. Hay uno que como nombre descriptivo pone IIS Express Development Certificate pero yo nunca le puse un nomber descriptivo, uno se llama server.crt y el otro intermediate.crt.

    Ahí que pasa, es lo mismo, ya no es necesario?

    Disculpa la molestia.

    lunes, 28 de octubre de 2019 13:02
  • Muchas gracias por tu pronta respuesta mi buen Alberto.

    OK, hasta ahí todo bien pero cuando quiero crear el enlace al sitio web, con el puerto 443, nada mas me arroja los certificados que vienen por default en el IIS. Hay uno que como nombre descriptivo pone IIS Express Development Certificate pero yo nunca le puse un nomber descriptivo, uno se llama server.crt y el otro intermediate.crt.

    Ahí que pasa, es lo mismo, ya no es necesario?

    Disculpa la molestia.

    Si te das cuenta en las instrucciones, en el primer paso nada más habilité el complemento de certificados para el equipo local en el MMC y en el segundo paso importé el certificado intermedio únicamente. El tercer paso es el que me dice cómo instalar el certificado real sobre el servidor IIS con extension crt, no tengo ninguno con extensión cer.

    Saludos.

    lunes, 28 de octubre de 2019 13:22
  • Lo que yo hago normalmente es que voy a la MMC en el servidor IIS, e instalo un certificado a nivel de máquina (¡no a nivel de usuario, si lo haces así IIS no lo encuentra!). El certificado en la MMC se puede obtener directamente desde el servidor de certificados, si la configuración es adecuada para ello, o sino se importa desde un fichero que te ha tenido que enviar previamente tu autoridad certificadora.

    El caso es que una vez que tienes ya el certificado instalado bajo machine -> Personal, entonces vas a la configuración de IIS y te aparece automáticamente en el desplegable cuando haces el binding de https.

    lunes, 28 de octubre de 2019 13:33
  • Muchas gracias nuevamente Alberto nuevamente.

    Yo creo que ya sé dónde está la falla:

    Esta aplicación originalmente fue desarrollada con Python, pero nunca se pudo instalar sobre de un servidor Apache en Windows; tomé la decisión de hacerla en ASP.NET pero la firma de este certificado, fue hecha con el OpenSSL de Apache y lo procesé en la entidad certificadora de la misma forma.

    Será que eso tenga que ver? Porque sigue sin aparecerme en el IIS, nada más en el MMC.

    Voy a ver si puedo cambiar los datos en donde lo compré porque inclusive me dijeron que era para 4 años y en el MMC dice expiración 2020.

    Gracias y saludos.

    lunes, 28 de octubre de 2019 14:17
  • [...] la firma de este certificado, fue hecha con el OpenSSL de Apache y lo procesé en la entidad certificadora de la misma forma.

    No me cuadra. Normalmente envías una petición (sin firmar) a la autoridad certificadora, y es ésta la que le aplica una firma antes de devolverte el certificado.

    Es cierto que puede estar firmado con un algoritmo que no sea compatible. Pero si te lo deja importar sin errores al almacén de certificados de Windows, entonces IIS te lo debería aceptar sin problemas. Otra cosa es que después ciertos navegadores lo rechacen si no les gusta el certificado. Pero a nivel de IIS lo único que hace falta es que se haya podido instalar en Windows.

    Si quieres practicar un poco con los certificados, puedes generarte un certificado auto-firmado. Esto se puede hacer con Powershell, o con Makecert o con OpenSsl u otras herramientas de terceros. Es algo corrientísimo; si haces una búsqueda encontrarás miles de artículos explicando cómo hacerlo. Este certificado autofirmado no sirve para usarlo en producción porque los navegadores dan un error diciendo que no conocen a la autoridad que lo emitió (como es lógico), pero sí que es útil para practicar cómo se instala en la MMC, cómo comprobar si está instalado, cómo se aplica en IIS, etc.

    lunes, 28 de octubre de 2019 20:23
  • Muchas gracias nuevamente por tu ayuda mi buen Alberto.

    Pues RapidSSL si me pidió que creara una firma CSR:

    Pero de cualquier forma, ahora que me dices que si es posible configurarla en mi IIS, voy a hacer varias pruebas gracias a las recomendaciones que me haces.

    Gracias y saludos.

    martes, 29 de octubre de 2019 13:00
  • Pues RapidSSL si me pidió que creara una firma CSR

    No, esa no es la firma. Con eso lo que haces es generar la pareja de claves (privada y publica) del certificado, de forma que te guardas la privada y envias la publica para que te la firmen. Entonces la CA genera una firma con su clave privada (que tu no conoces) y te devuelve un certificado que contiene tus datos, mas tu clave publica, mas los datos y clave publica de la CA, mas una firma generada por la CA.

    Como resultado, al final tienes un par de archivos: uno acaba en .key y tiene tu clave privada. Otro es el que te devuelve la autoridad certificadora a cambio del .csr. Puede tener varios formatos, pero timicamente es un .crt. En principio, solo contiene la clave publica. La firma de la CA se encuentra dentro de este .crt.

    Para importarlo en IIS necesitas un unico fichero que contenga las dos claves. Eso implica que tienes que juntar el .key y el .crt en un unico archivo, que usualmente suele ser un .pfx. Esta conversion se hace con openssl mediante un comando parecido a este:

    openssl pkcs12 -export -out mifichero.pfx -inkey midfichero.key -in mifichero.crt

    Despues ya puedes importar el .pfx en tu servidor.

    Nada de todo esto es necesario si lo haces desde un servidor web que es miembro de una infraestructura de Directorio Activo en la que ya existe una CA. Simplemente en la MMC dices "obtener certificado" y si tienes los permisos necesarios ya hace todas las operaciones pertinentes y te deja el certificado instalado en la MMC.


    martes, 29 de octubre de 2019 13:29
  • disculpa yo estoy presentando este inconveniente. tendrias alguna guia para dar solucion a este inconveniente.

    gracias de antemano

    viernes, 12 de junio de 2020 13:47