Una configuración muy habitual en ISA Server, es la Publicación de Servidores, de tal modo que podamos exponer a Internet los servidores IIS de nuestra DMZ, por ejemplo, u otros servicios que nos puedan interesar exponer, como el servicio SMTP para el intercambio de correo electrónico, DNS (si deseamos hospedar nosotros mismos nuestras zonas DNS), etc.
Quizás, el caso más habitual, sea exponer nuestros servidores IIS, habitualmente a través de un Array de ISA Server que publica un Balanceo de Carga NLB sobre el que se ejecutan nuestros servicios IIS, o como es el caso de aplicaciones específicas como MOSS 2007, que también pueden correrse sobre un Balanceo de Carga NLB (sobre todo, porque es una Aplicación Web de IIS, claro). En este caso, al publicar Aplicaciones Web de IIS a Internet a través de ISA Server, es importante exponer estos servicios a través de SSL, con el objetivo de minimizar riesgos (la información entre el navegador del cliente y el ISA Server, será cifrada, evitando que la información viaje en texto claro). Esto se puede conseguir utilizando un Web Listener, configurado con SSL.
El escenario al que me refiero en este artículo es al siguiente. Tomando como punto de partida una instalación ISA Server 2004 (el caso de este artículo es un ISA Server 2004 Enterprise formando un array de un único nodo), al intentar crear un Web Listener utilizando SSL (en nuestro caso, al editar un Web Listener y habilitarlo para utilizar SSL), al seleccionar el certificado digital que se desea utilizar (click en el botón Select) se produce el error To select a certificate, you must install at least one identical certificate on each member server, como se muestra en la siguiente pantalla capturada.
¿Cómo solucionamos el error To select a certificate, you must install at least one identical certificate on each member server? ¿A qué se debe este error?
Principalmente, esto puede ocurrir por dos motivos:
- No haber instalado ningún certificado para SSL en el servidor. En consecuencia, al intentar seleccionar un certificado para SSL, como no encuentra ninguno, nos insulta.
- Haber instalado incorrectamente el certificado para SSL en el servidor. Aquí existen varios casos, como por ejemplo, importar (los certificado se importan, no se instalan) el certificado sobre el almacén de certificados del usuario.
Es importante, tener en cuenta el concepto de Almacén de Certificados. Un Almacén de Certificados es una ubicación en la cual se almacenan los certificados disponibles. Aquí lo importante, es entender que existen múltiples Almacenes de Certificados, como por ejemplo:
- Cada máquina (Servidor o Estación de Trabajo) tiene su Almacén de Certificados.
- Cada usuario, tiene su propio Almacén de Certificados.
- Cada cuenta de servicio, tiene su propio Almacén de Certificados.
Esto que acabamos de ver, ocasiona habitualmente, bastante confusión, debido a que siempre que se deba importar un certificado, debe tenerse muy claro sobre qué Almacén de Certificados debe realizarse la importación del mismo. Y por supuesto, se tiene que tener muy claro, como realizar la importación, siendo muy recomendable la utilización de la consola MMC de Services (al agregar el snapin Certificates en una consola MMC, se debe indicar el Almacén de Certificados sobre el cual se desea trabajar). Un error típico, es hacer click con el botón derecho sobre el correspondiente fichero de certificado (en formato CER, P7B o PFX), y seguidamente click en instalar. Sin embargo, esto podría importarnos el certificado en el Almacén de Certificados de la cuenta del usuario contextual, cuando quizás lo que deseamos es importar el certificado sobre el Almacén de Certificados de la cuenta de equipo.
Llegados a este punto, parece que ya está bastante claro el tema. Probablemente, el error se deba a que no se ha importado el certificado, o se ha importado incorrectamente dicho certificado (ej: sobre un Almacén de Certificados incorrecto).
Sin embargo, hay otro motivo más. Es importante el formato de fichero utilizado utilizado en la exportación e importación del certificado. Esto viene, de que los formatos CER (ya sea en condificación DER o Base64) y P7B sólo sirven para exportar la Clave Pública. Sin embargo, necesitamos exportar la Clave Pública y la Clave Privada, lo cual sólo lo conseguiremos con el formato PFX (Personal Information Exchange).
En consecuencia, si desde IIS realizamos una solicitud para un certificado de SSL, y al tramitarlo a través de la correspondiente CA (Certification Authority), recibimos el correspondiente certificado CER, deberemos importar dicho certificado en formato CER en el IIS en que generamos la petición del certificado, para seguidamente exportar Clave Pública y Privada en formato PFX, que será el que nos servirá para su importación en ISA Server. Es decir:
- Formato PFX. Puede almacenar Clave Pública y Clave Privada. Puede servir como copia de seguridad de nuestro certificado digital.
- Formatos CER y P7B. Sólo puede almacenar la Clave Pública.
Explicado todo esto, vamos a proceder a la recolección del correspondiente muestrario de pantallas capturadas, para su mejor entendimiento.
Exportar el Certificado SSL del IIS a formato PFX
Lo primero que deberemos realizar (si no lo hemos hecho antes) es la exportación del Certificado SSL del IIS a formato PFX. Doy por hecho, que existe en algún lugar un servidor IIS con el certificado SSL deseado.
Para ello, deberemos conectarnos al servidor IIS deseados (ej: a través de Terminal Services, esto es, Remote Desktop), y abrir la herramienta administrativa Internet Information Services (IIS) Manager (en adelante IIS Manager, para abreviar). Desde IIS Manager, abriremos el diálogo de propiedades del Sitio Web que contiene el Certificado SSL que deseamos exportar, y en el diálogo de propiedades del Sitio Web, seleccionaremos la pestaña Directory Security.
Click en el botón View Certificate, para así ver el certificado, como se muestra en la siguiente pantalla capturada, en la que podemos observar que tenemos también la Clave Privada.
El caso del ejemplo, y como se puede comprobar, se trata de un tipo de certificado especial, denominado certicado Wildcard, ya que sirve para cualquier nombre con el sufijo DNS guillesql.local (habitualmente, los certificados SSL, sólo sirven para un único nombre, ej: www.guillesql.local, especificándose dicho nombre en la petición del certificado que se realiza desde el IIS Manager). Sólo comentarlo, por cultura general. Seguimos.
En el diálogo del certificado, click sobre la pestaña Details.
Y por fin, llegamos al botón que andábamos buscando, jeje. Click sobre Copy to File. Con esto, iniciaremos el asistente de exportación de nuestro certificado.
En el diálogo de bienvenida, click Next para continuar.
Primera pregunta importante ¿Deseamos exportar la Clave Privada? Va a ser que sí, más que otra cosa, porque sino no podremos exportar a PFX, y en consecuencia, no podremos importar el certificado con éxito en ISA Server. Así, click en Yes, export the private key, y seguidamente, click en Next par continuar.
Como seleccionamos que deseábamos exportar la Clave Privada, tenemos ahora la posibilidad de utilizar el formato PFX para la exportación de nuestro certificado. Por el mismo motivo, no tenemos la posibilidad de utilizar los formatos CER ni P7B. Click Next para continuar.
Seguidamente, se nos solicitará una contraseña. Esta contraseña la deberemos de especificar posteriormente cuando deseemos importar el certificado en ISA Server, o donde sea (ej: si deseamos importar el certificado en múltiples servidores IIS de una Granja Web, también se nos pedirá dicha contraseña, obviamente). Click Next para continuar.
Deberemos especificar la ruta y nombre de archivo en la que deseamos generar el fichero PFX, fruto de nuestro deseo. La especificamos a nuestro antojo, y click Next para continuar.
Típico diálogo de Resumen. Vemos que está todo OK, y click Finish. Finalmente, obtendremos un diálogo indicando que las exportación se ejecutó con éxito.
Con todo esto, ya tendremos nuestro certificado SSL en formato PFX, con las Claves Pública y Privada. Ahora, llega el momento de copiar el fichero a los servidores ISA, para así poder iniciar la importación del certificado PFX, y conseguir crear con éxito nuestro Web Listener con SSL. Seguimos.
Importar el certificado SSL (en formato PFX) en ISA Server
Antes de nada, tener en cuenta que en el presente ejemplo, se dispone de una Array de ISA Server 2004 Enterprise formado por un único nodo. Si tuviésemos una Arraya de ISA Server 2004 Enterprise formado por cuatro nodos, deberíamos ejecutar este proceso cuatro veces, una vez en cada servidor ISA. Dicho esto, continuamos.
Lo primero, copiar el certificado SSL en formato PFX al servidor ISA, y conectarnos al servidor ISA por Terminal Server.
Para realizar correctamente la importación vamos a utilizar la herramienta administrativa Certificates. Para ello, click en Start, click en Run, escribimos MMC, y pulsamos intro. Con esto, se nos abrirá una consola MMC vacía, como se muestra en la siguiente pantalla capturada.
Seguidamente, click en el menú File, y seguidamente, click en Add/Remove Snap-in.
En el diálogo Add/Remove Snap-in, click Add.
En el diálogo Add Standalone Snap-in, seleccionaremos Certificates (por fin), y click en Add.
Ahora llega la pregunta del millón de céntimos. ¿Qué Almacén de Certificados deseamos utilizar? En nuestro caso, el de la cuenta de equipo (Computer account). Lo seleccionamos, y click en Finish.
Seguidamente, se nos solicitará la cuenta de equipo que deseamos gestionar. En nuestro caso es la cuenta local, ya que estamos conectados por Terminal Server al servidor ISA.
Ahora llega el momento de la importación. En la consola Certificates, seleccionaremos la carpeta Personal con el botón derecho del ratón, seguidamente seleccionaremos All Tasks, y finalmente click en Import. Con esto iniciaremos el Asistente de Importación de Certificados.
En el diálogo de bienvenida, click Next para continuar.
Seleccionaremos el fichero PFX que antes creamos (durante la exportación del certificado desde IIS Manager), y click Next para continuar.
Introduciremos la contraseña que indicamos durante la exportación del certificado PFX, y click Next para continuar.
Aparecerá seleccionado automáticamente la opción Place all certificates in the following store, y marcado Personal. Eso nos viene bien, así que, click Next para continuar.
Típica pantalla de resumen. Todo está muy bien. Click Finish. Vamos, vamos, que lo tengo de oferta ;-)
Aparecerá un diálogo indicando que la importación se realizó con éxito (como dios manda).
Ha costado pero lo hemos conseguido. Si tenéis un Array de cuatro servidores ISA, y este proceso os ha parecido difícil, no pasa nada. Ahora tendréis que repetirlos otras tres veces (una en cada servidor ISA restante). Así que, al final os parecerá facilísimo. Ya me contaréis ;-)
Seleccionar el Certificado SSL en el Web Listener de ISA Server
Realizado todos los pasos anteriores, ahora podremos seleccionar nuestro certificado SSL en nuestro Web Listener de ISA Server con éxito, pues por fin, ahora al hacer click sobre el botón Select para seleccionar el certificado SSL deseado, no aparecerá el error anterior (To select a certificate, you must install at least one identical certificate on each member Server), sino que por el contrario, aparecerá el diálogo Select Certificate, a través del cual podremos seleccionar el certificado deseado, como se muestra en la siguiente pantalla capturada.
Y hasta aquí, hemos llegado por hoy. Lo siento, pero tanta pantallita capturada, me ha dejado hecho polvo, uff. Espero que al menos os sea útil.