GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Instalar certificado SSL en ISA Server. Error To select a certificate, you must install at least one identical certificate on each member server


Un error relativamente típico al trabajar con ISA Server, es intentar crear un Web Listener utilizando SSL, pero sin haber instalado ningún certificado previamente, o bien, habiendo realizado una importación incorrecta del certificado SSL. En ambos casos, podemos encontrarnos con error To select a certificate, you must install at least one identical certificate on each member server. ¿Cómo solucionamos este error? ¿Cómo importar un certificado SSL en ISA Server para crear correctamente un Web Listener?

Una configuración muy habitual en ISA Server, es la Publicación de Servidores, de tal modo que podamos exponer a Internet los servidores IIS de nuestra DMZ, por ejemplo, u otros servicios que nos puedan interesar exponer, como el servicio SMTP para el intercambio de correo electrónico, DNS (si deseamos hospedar nosotros mismos nuestras zonas DNS), etc.

Quizás, el caso más habitual, sea exponer nuestros servidores IIS, habitualmente a través de un Array de ISA Server que publica un Balanceo de Carga NLB sobre el que se ejecutan nuestros servicios IIS, o como es el caso de aplicaciones específicas como MOSS 2007, que también pueden correrse sobre un Balanceo de Carga NLB (sobre todo, porque es una Aplicación Web de IIS, claro). En este caso, al publicar Aplicaciones Web de IIS a Internet a través de ISA Server, es importante exponer estos servicios a través de SSL, con el objetivo de minimizar riesgos (la información entre el navegador del cliente y el ISA Server, será cifrada, evitando que la información viaje en texto claro). Esto se puede conseguir utilizando un Web Listener, configurado con SSL.

El escenario al que me refiero en este artículo es al siguiente. Tomando como punto de partida una instalación ISA Server 2004 (el caso de este artículo es un ISA Server 2004 Enterprise formando un array de un único nodo), al intentar crear un Web Listener utilizando SSL (en nuestro caso, al editar un Web Listener y habilitarlo para utilizar SSL), al seleccionar el certificado digital que se desea utilizar (click en el botón Select) se produce el error To select a certificate, you must install at least one identical certificate on each member server, como se muestra en la siguiente pantalla capturada.

Error To select a certificate, you must install at least one identical certificate on each member server en ISA Server 2004

¿Cómo solucionamos el error To select a certificate, you must install at least one identical certificate on each member server? ¿A qué se debe este error?

Principalmente, esto puede ocurrir por dos motivos:

  • No haber instalado ningún certificado para SSL en el servidor. En consecuencia, al intentar seleccionar un certificado para SSL, como no encuentra ninguno, nos insulta.
  • Haber instalado incorrectamente el certificado para SSL en el servidor. Aquí existen varios casos, como por ejemplo, importar (los certificado se importan, no se instalan) el certificado sobre el almacén de certificados del usuario.

Es importante, tener en cuenta el concepto de Almacén de Certificados. Un Almacén de Certificados es una ubicación en la cual se almacenan los certificados disponibles. Aquí lo importante, es entender que existen múltiples Almacenes de Certificados, como por ejemplo:

  • Cada máquina (Servidor o Estación de Trabajo) tiene su Almacén de Certificados.
  • Cada usuario, tiene su propio Almacén de Certificados.
  • Cada cuenta de servicio, tiene su propio Almacén de Certificados.

Esto que acabamos de ver, ocasiona habitualmente, bastante confusión, debido a que siempre que se deba importar un certificado, debe tenerse muy claro sobre qué Almacén de Certificados debe realizarse la importación del mismo. Y por supuesto, se tiene que tener muy claro, como realizar la importación, siendo muy recomendable la utilización de la consola MMC de Services (al agregar el snapin Certificates en una consola MMC, se debe indicar el Almacén de Certificados sobre el cual se desea trabajar). Un error típico, es hacer click con el botón derecho sobre el correspondiente fichero de certificado (en formato CER, P7B o PFX), y seguidamente click en instalar. Sin embargo, esto podría importarnos el certificado en el Almacén de Certificados de la cuenta del usuario contextual, cuando quizás lo que deseamos es importar el certificado sobre el Almacén de Certificados de la cuenta de equipo.

Llegados a este punto, parece que ya está bastante claro el tema. Probablemente, el error se deba a que no se ha importado el certificado, o se ha importado incorrectamente dicho certificado (ej: sobre un Almacén de Certificados incorrecto).

Sin embargo, hay otro motivo más. Es importante el formato de fichero utilizado utilizado en la exportación e importación del certificado. Esto viene, de que los formatos CER (ya sea en condificación DER o Base64) y P7B sólo sirven para exportar la Clave Pública. Sin embargo, necesitamos exportar la Clave Pública y la Clave Privada, lo cual sólo lo conseguiremos con el formato PFX (Personal Information Exchange).

En consecuencia, si desde IIS realizamos una solicitud para un certificado de SSL, y al tramitarlo a través de la correspondiente CA (Certification Authority), recibimos el correspondiente certificado CER, deberemos importar dicho certificado en formato CER en el IIS en que generamos la petición del certificado, para seguidamente exportar Clave Pública y Privada en formato PFX, que será el que nos servirá para su importación en ISA Server. Es decir:

  • Formato PFX. Puede almacenar Clave Pública y Clave Privada. Puede servir como copia de seguridad de nuestro certificado digital.
  • Formatos CER y P7B. Sólo puede almacenar la Clave Pública.

Explicado todo esto, vamos a proceder a la recolección del correspondiente muestrario de pantallas capturadas, para su mejor entendimiento.

Exportar el Certificado SSL del IIS a formato PFX

Lo primero que deberemos realizar (si no lo hemos hecho antes) es la exportación del Certificado SSL del IIS a formato PFX. Doy por hecho, que existe en algún lugar un servidor IIS con el certificado SSL deseado.

Para ello, deberemos conectarnos al servidor IIS deseados (ej: a través de Terminal Services, esto es, Remote Desktop), y abrir la herramienta administrativa Internet Information Services (IIS) Manager (en adelante IIS Manager, para abreviar). Desde IIS Manager, abriremos el diálogo de propiedades del Sitio Web que contiene el Certificado SSL que deseamos exportar, y en el diálogo de propiedades del Sitio Web, seleccionaremos la pestaña Directory Security.

Pestaña Directory Security de IIS Manager

Click en el botón View Certificate, para así ver el certificado, como se muestra en la siguiente pantalla capturada, en la que podemos observar que tenemos también la Clave Privada.

El caso del ejemplo, y como se puede comprobar, se trata de un tipo de certificado especial, denominado certicado Wildcard, ya que sirve para cualquier nombre con el sufijo DNS guillesql.local (habitualmente, los certificados SSL, sólo sirven para un único nombre, ej: www.guillesql.local, especificándose dicho nombre en la petición del certificado que se realiza desde el IIS Manager). Sólo comentarlo, por cultura general. Seguimos.

En el diálogo del certificado, click sobre la pestaña Details.

Y por fin, llegamos al botón que andábamos buscando, jeje. Click sobre Copy to File. Con esto, iniciaremos el asistente de exportación de nuestro certificado.

En el diálogo de bienvenida, click Next para continuar.

Primera pregunta importante ¿Deseamos exportar la Clave Privada? Va a ser que sí, más que otra cosa, porque sino no podremos exportar a PFX, y en consecuencia, no podremos importar el certificado con éxito en ISA Server. Así, click en Yes, export the private key, y seguidamente, click en Next par continuar.

Como seleccionamos que deseábamos exportar la Clave Privada, tenemos ahora la posibilidad de utilizar el formato PFX para la exportación de nuestro certificado. Por el mismo motivo, no tenemos la posibilidad de utilizar los formatos CER ni P7B. Click Next para continuar.

Seguidamente, se nos solicitará una contraseña. Esta contraseña la deberemos de especificar posteriormente cuando deseemos importar el certificado en ISA Server, o donde sea (ej: si deseamos importar el certificado en múltiples servidores IIS de una Granja Web, también se nos pedirá dicha contraseña, obviamente). Click Next para continuar.

Deberemos especificar la ruta y nombre de archivo en la que deseamos generar el fichero PFX, fruto de nuestro deseo. La especificamos a nuestro antojo, y click Next para continuar.

Típico diálogo de Resumen. Vemos que está todo OK, y click Finish. Finalmente, obtendremos un diálogo indicando que las exportación se ejecutó con éxito.

Con todo esto, ya tendremos nuestro certificado SSL en formato PFX, con las Claves Pública y Privada. Ahora, llega el momento de copiar el fichero a los servidores ISA, para así poder iniciar la importación del certificado PFX, y conseguir crear con éxito nuestro Web Listener con SSL. Seguimos.

Importar el certificado SSL (en formato PFX) en ISA Server

Antes de nada, tener en cuenta que en el presente ejemplo, se dispone de una Array de ISA Server 2004 Enterprise formado por un único nodo. Si tuviésemos una Arraya de ISA Server 2004 Enterprise formado por cuatro nodos, deberíamos ejecutar este proceso cuatro veces, una vez en cada servidor ISA. Dicho esto, continuamos.

Lo primero, copiar el certificado SSL en formato PFX al servidor ISA, y conectarnos al servidor ISA por Terminal Server.

Para realizar correctamente la importación vamos a utilizar la herramienta administrativa Certificates. Para ello, click en Start, click en Run, escribimos MMC, y pulsamos intro. Con esto, se nos abrirá una consola MMC vacía, como se muestra en la siguiente pantalla capturada.

Seguidamente, click en el menú File, y seguidamente, click en Add/Remove Snap-in.

En el diálogo Add/Remove Snap-in, click Add.

En el diálogo Add Standalone Snap-in, seleccionaremos Certificates (por fin), y click en Add.

Ahora llega la pregunta del millón de céntimos. ¿Qué Almacén de Certificados deseamos utilizar? En nuestro caso, el de la cuenta de equipo (Computer account). Lo seleccionamos, y click en Finish.

Seguidamente, se nos solicitará la cuenta de equipo que deseamos gestionar. En nuestro caso es la cuenta local, ya que estamos conectados por Terminal Server al servidor ISA.

Ahora llega el momento de la importación. En la consola Certificates, seleccionaremos la carpeta Personal con el botón derecho del ratón, seguidamente seleccionaremos All Tasks, y finalmente click en Import. Con esto iniciaremos el Asistente de Importación de Certificados.

En el diálogo de bienvenida, click Next para continuar.

Seleccionaremos el fichero PFX que antes creamos (durante la exportación del certificado desde IIS Manager), y click Next para continuar.

Introduciremos la contraseña que indicamos durante la exportación del certificado PFX, y click Next para continuar.

Aparecerá seleccionado automáticamente la opción Place all certificates in the following store, y marcado Personal. Eso nos viene bien, así que, click Next para continuar.

Típica pantalla de resumen. Todo está muy bien. Click Finish. Vamos, vamos, que lo tengo de oferta ;-)

Aparecerá un diálogo indicando que la importación se realizó con éxito (como dios manda).

Ha costado pero lo hemos conseguido. Si tenéis un Array de cuatro servidores ISA, y este proceso os ha parecido difícil, no pasa nada. Ahora tendréis que repetirlos otras tres veces (una en cada servidor ISA restante). Así que, al final os parecerá facilísimo. Ya me contaréis ;-)

Seleccionar el Certificado SSL en el Web Listener de ISA Server

Realizado todos los pasos anteriores, ahora podremos seleccionar nuestro certificado SSL en nuestro Web Listener de ISA Server con éxito, pues por fin, ahora al hacer click sobre el botón Select para seleccionar el certificado SSL deseado, no aparecerá el error anterior (To select a certificate, you must install at least one identical certificate on each member Server), sino que por el contrario, aparecerá el diálogo Select Certificate, a través del cual podremos seleccionar el certificado deseado, como se muestra en la siguiente pantalla capturada.

Y hasta aquí, hemos llegado por hoy. Lo siento, pero tanta pantallita capturada, me ha dejado hecho polvo, uff. Espero que al menos os sea útil.


[Fecha del Artículo (UTC): 16/07/2009]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Mayo de 2018 (4)
Abril de 2018 (3)
Marzo de 2018 (2)
Febrero de 2018 (7)
Enero de 2018 (1)
Diciembre de 2017 (15)
Noviembre de 2017 (7)
Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas