La verdad, que no los conocía, y aunque para mí ha sido el descubrimiento de la semana, tengo que admitir que esto de los certificados Wildcard viene de hace tiempo. Pena no nacer sabiendo.
En el presente artículo, quiero aprovechar para mostrar como realizar una petición de solicitud de certificado Wildcard desde un IIS6. Seguidamente, esta petición la gestionaremos a través de una Certification Authority (CA), para lo cual hemos utilizado un Windows Server 2003 actuando como CA, aunque también podíamos haber utilizado una CA externa (ojo, que no todas las CA emiten certificados Wildcard). Por último, finalizaremos la solicitud de nuestro certificado Wildcard en IIS, importando el fichero CER descargado de la CA, y comprobaremos el funcionamiento de nuestro Sitio Web, a través de SSL, con nuestro certificado Wildcard recién generado.
Actualmente, no he podido trabajar demasiado con certificados Wildcard. Además de las pruebas que he realizado en el Laboratorio de GuilleSQL, he trabajado algo con ellos en entornos de producción, en particular para Publicar múltiples Sitios Web a través de un Array de ISA Server 2006 con el mismo Web Listener y misma IP, pudiendo de este modo utilizar un único Web Listener para múltiples Reglas de Publicación. Ta chulo, aunque tiene truco (esto queda fuera del alcance de este artículo).
Otro detalle de los certificados Wildcard, que he leído pero que no he probado, es que los certificados Wildcard permiten utilizar Host Headers con SSL, para lo cual, parece ser que es necesario modificar la Metabase del IIS (joder, dicho así, parece que estamos modificando los cromosomas del homo-sapiens ;-), debido a que la configuración de Host Headers con SSL a través del IIS Manager no funciona.
Este detalle de Host Headers, SSL y certificados Wildcard me ha parecido muy interesante, puesto que de funcionar (digo esto, porque no lo he probado, todavía) permitiría dar servicio a múltiples sitios SSL con una única dirección IP. Sin Host Headers, deberíamos utilizar diferentes direcciones IP (una para cada Sitio Web) o bien que los Sitios Web por SSL utilicen puertos TCP diferentes. Así, con Host Headers, SSL y certificados Wildcard, deberíamos poder poner en funcionamiento múltiples Sitios Web SSL sobre la misma dirección IP y mismo puerto (insisto en que no lo he probado aún).
Recordemos, que la utilización de direcciones IP públicas y de certificados emitidos por CA externas, suele implicar un coste económico. Por lo tanto, minimizar el número de certificados digitales y direcciones IP, puede significar un ligero ahorro de costes de IT.
Llegados a este punto, a provecho para colgar un par de enlaces de interés, relacionados con los certificados Wildcard:
Y dicho esto, continuamos con el correspondiente muestrario de pantallas capturadas (siempre he preferido los tebeos a los libros ;-)
Solicitar un Certificado Wildcard en IIS6
Para realizar una petición de un certificado en IIS6, se trate de un certificado normal de los de toda la vida (para un nombre DNS específico), o se trate de un certificado Wildcard, deberemos utilizar la herramienta administrativa Internet Information Services (IIS) Manager (IIS Manager para los amigos), y en las propiedades del Sitio Web para el cual deseemos realizar la solicitud del certificación, seleccionar la pestaña Directory Security, como se muestra a continuación.
Seguidamente, click en el botón Server Certificate, iniciando así el asistente para las administración de Certificados de nuestro Sitio Web.
En la página de bienvenida del asistente, click Next para continuar.
Seguidamente, seleccionaremos la opción Create a new certificate para preparar la solicitud de un nuevo certificado para nuestro Sitio Web. Click Next para continuar.
Seleccionar la opción Prepare the request now, but send it later. Si no recuerdo mal, la otra opción (Send the request immediately to an online certification authority) está disponible cuando se tiene una Entidad Certificadora (es decir, un CA) integrada en Directorio Activo. En cualquier caso, click Next para continuar.
Especificaremos un nombre para el certificado y el tamaño en bits deseado para la clave de encriptación. Click Next para continuar.
Rellenaremos los campos Organization y Organizational Unit. Click Next para continuar.
Rellenaremos el Common name o subject del certificado. Esta pantalla es la más importante, al menos, desde el punto de vista de los certificados Wildcard. Habitualmente, aquí especificaríamos un nombre DNS particular, como por ejemplo www.guillesql.es. Sin embargo, como deseamos solicitar un certificado Wildcard, utilizaremos un sufijo DNS con un comodín, como se muestra en el ejemplo (*.guillesql.local). Seguidamente, click Next para continuar.
Introducir la información geográfica pertinente. Click Next para continuar.
Especificar la ruta y nombre de archivo para almacenar la solicitud de nuestro certificado. Click Next para continuar.
Típica pantalla de resumen. Todo está bien. Click Next para continuar.
Por último, click Finish. Con esto, hemos generado por fin la solicitud para nuestro certificado Wildcard, que tendremos en el fichero que acabamos de crear a través del asistente del IIS.
Tramitar un Certificado Wildcard a través de una CA
Habitualmente, tramitaremos las solicitudes de certificados a través de Entidades Certificadoras (Certificacion Autority ó CA) externas o de confianza, al menos, para aquellos servicios públicos que necesitemos ofrecer. Las Entidades Certificadoras privadas, son más propias para entornos privados, esto es, para servicios disponibles sólo para los empleados, o empleados y terceros asociados a nuestra empresa, ya que una CA privada no viene de serie como CA en los navegadores convencionales (ej: Internet Explorer o FireFox), y por defecto, no suelen considerarse de confianza.
Para el caso de este artículo, he utilizado una Entidad Certificadora de pruebas.
Como usuarios que somos, vamos a enviar la petición de certificado a nuestra CA. En el caso de una CA basada en Windows Server 2003, se dispone de una Aplicación Web en dicha CA a través del directorio virtual CertSrv, que expone la aplicación que utilizaremos para enviar la solicitud de nuestro certificado Wildcard. Para ello, a través de un navegador (ej: Internet Explorer), accederemos a esta URL, en nuestro caso, http://VCA01/CertSrv, o bien, http://vca01.guillesql.local/CertSrv, la que más rabia nos de.
Seleccionaremos la opción Request a certificate.
Seguidamente, seleccionaremos la opción advanced certificate request.
A continuación, seleccionaremos la opción Submit a certificate request by using a base-64-encoded CMC or PKCS #10 fiel or submit a renewal request by using a base-64-encoded PKCS #7 file.
Copiar y pegar el contenido del fichero de solicitud de nuestro certificado Wildcard, y click en Submit para continuar.
Finalmente, se nos mostrará un mensaje indicándonos que la solicitud de certificado ha sido enviada, y que actualmente está en estado pendiente, de tal modo, que deberemos esperar a que un administrador de la Entidad Certificadora acepte nuestra solicitud de certificado, para poder volver a esta URL desde este mismo navegador, y recuperar nuestro certificado en formato CER.
La CA debe aceptar la petición de nuestro Certificado
Ahora, nos vamos a poner la gorra de la Entidad Certificadora. Ahora no somos una empresa que solicita un certificado, sino que por el contrario, somos la empresa que gestiona certificados, lo cual lo hacemos con nuestra CA basada en Windows Server 2003.
En consecuencia, abrimos la herramienta administrativa Certification Authority, y seleccionamos el nodo Pending Request. Aquí encontraremos aquellas solicitudes de certificados pendientes de ser aprobadas o rechazadas. En consecuencia, aquí encontraremos la solicitud de certificado anterior. Seleccionaremos dicha solicitud de certificado con el botón derecho, seguidamente seleccionaremos la opción All Tasks del menú contextual, y finalmente click en Issue, como se muestra en la siguiente pantalla capturada.
Una vez que aceptamos el certificado, podremos comprobar en el nodo Issued Certificates, que aparece nuestro certificado recién aprobado.
Bueno, pues ya está. Ya nos podemos quitar la gorra de Entidad Certificadora, y seguir con el resto.
Recoger Certificado en formato CER
Como comentamos anteriormente, volveremos a la misma página en la que enviamos la solicitud de certificado, y desde el mismo navegador. En esta ocasión, click en View the status of a pending certificate request.
Seleccionaremos la solicitud de certificado sobre la cual deseamos información.
La solicitud de certificado ha sida aprobada, por lo tanto, podemos proceder a descarnos el certificado en el formato que más rabia nos de.
Finalizar la petición del Certificado Wildcard en IIS6
Certificado en mano, aún nos queda realizar la última parte, para dejar el Sitio Web de nuestro IIS funcionando con nuestro recién creado certificado Wildcard. Para ello, volveremos a abrir la herramienta administrativa IIS Manager, seleccionaremos las propiedades del Sitio Web, y mostraremos la pestaña Directory Security.
De nuevo, click en el botón Server Certificate.
Y de nuevo, click Next en la pantalla de bienvenida del asistente.
Ahora llega lo nuevo. Seleccionaremos la opción Process the pending request and install the certificate. Click Next para continuar.
Seleccionaremos la ruta y nombre de fichero del certificado en formato CER que obtuvimos de la Entidad Certificadoral. Click Next para continuar.
Especificaremos el puerto 443, como puerto TCP (o si queréis poner otro, el que os venga en gana, que funciona igual de bien... mientras no esté ocupado). Click Next para continuar.
Pantalla de resumen de turno. Click Next para continuar.
Y por fin, el botón de Finish. Click sin dolor. Y ya tá.
Aunque tenemos que tener un detalle en cuenta. Si tenemos una Granja Web con Balanceo de Carga NLB, u otro tipo de balanceo (ej: Round Robin, un tipo de balanceo basado en DNS), tendremos múltiples Sitios Web en múltiples servidores IIS. En consecuencia, ahora deberemos exportar el certificado con las Claves Pública y Privada en formato PFX, y seguidamente, importarlo en el resto de Sitios Web sobre el resto de servidores IIS, para que todos sean capaces de utilizar SSL.
Probar el Certificado Wildcard
Hecho esto, lo siguiente sería probar a acceder a nuestro Sitio Web por SSL. En este caso, se trata del único Sitio Web que escucha en la misma dirección IP y puerto, así abriendo un Internet Explorer, tan sólo queda escribir la URL, con https.
Sólo añadir un enlace, para quien quiera utilizar certificados Wildcard e ISA Server.
Y poco más. Hasta aquí hemos llegado.