GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Certificados Wildcard. Ejemplo práctico de solicitud e instalación de Certificados Wildcard en IIS6


Habitualmente, los certificados se expiden para un nombre (subject o CN) específico, como podría ser www.guillesql.es. En consecuencia, si deseamos tener múltiples servicios Web, deberíamos solicitar o comprar múltiples certificados (ej: correoweb.guillesql.es, extranet.guillesql.es, download.guillesql.es, etc.). Sin embargo, es posible solicitar un único Certificado para utilizarlo en múltiples Sitios Web, gracias a los Certificados Wildcard, pudiendo especificar un comodín en el subject o CN del certificado (ej: *.guillesql.es). Sin embargo, los certificados Wildcard, esconden otros detalles de interés.

La verdad, que no los conocía, y aunque para mí ha sido el descubrimiento de la semana, tengo que admitir que esto de los certificados Wildcard viene de hace tiempo. Pena no nacer sabiendo.

En el presente artículo, quiero aprovechar para mostrar como realizar una petición de solicitud de certificado Wildcard desde un IIS6. Seguidamente, esta petición la gestionaremos a través de una Certification Authority (CA), para lo cual hemos utilizado un Windows Server 2003 actuando como CA, aunque también podíamos haber utilizado una CA externa (ojo, que no todas las CA emiten certificados Wildcard). Por último, finalizaremos la solicitud de nuestro certificado Wildcard en IIS, importando el fichero CER descargado de la CA, y comprobaremos el funcionamiento de nuestro Sitio Web, a través de SSL, con nuestro certificado Wildcard recién generado.

Actualmente, no he podido trabajar demasiado con certificados Wildcard. Además de las pruebas que he realizado en el Laboratorio de GuilleSQL, he trabajado algo con ellos en entornos de producción, en particular para Publicar múltiples Sitios Web a través de un Array de ISA Server 2006 con el mismo Web Listener y misma IP, pudiendo de este modo utilizar un único Web Listener para múltiples Reglas de Publicación. Ta chulo, aunque tiene truco (esto queda fuera del alcance de este artículo).

Otro detalle de los certificados Wildcard, que he leído pero que no he probado, es que los certificados Wildcard permiten utilizar Host Headers con SSL, para lo cual, parece ser que es necesario modificar la Metabase del IIS (joder, dicho así, parece que estamos modificando los cromosomas del homo-sapiens ;-), debido a que la configuración de Host Headers con SSL a través del IIS Manager no funciona.

Este detalle de Host Headers, SSL y certificados Wildcard me ha parecido muy interesante, puesto que de funcionar (digo esto, porque no lo he probado, todavía) permitiría dar servicio a múltiples sitios SSL con una única dirección IP. Sin Host Headers, deberíamos utilizar diferentes direcciones IP (una para cada Sitio Web) o bien que los Sitios Web por SSL utilicen puertos TCP diferentes. Así, con Host Headers, SSL y certificados Wildcard, deberíamos poder poner en funcionamiento múltiples Sitios Web SSL sobre la misma dirección IP y mismo puerto (insisto en que no lo he probado aún).

Recordemos, que la utilización de direcciones IP públicas y de certificados emitidos por CA externas, suele implicar un coste económico. Por lo tanto, minimizar el número de certificados digitales y direcciones IP, puede significar un ligero ahorro de costes de IT.

Llegados a este punto, a provecho para colgar un par de enlaces de interés, relacionados con los certificados Wildcard:

Y dicho esto, continuamos con el correspondiente muestrario de pantallas capturadas (siempre he preferido los tebeos a los libros ;-)

Solicitar un Certificado Wildcard en IIS6

Para realizar una petición de un certificado en IIS6, se trate de un certificado normal de los de toda la vida (para un nombre DNS específico), o se trate de un certificado Wildcard, deberemos utilizar la herramienta administrativa Internet Information Services (IIS) Manager (IIS Manager para los amigos), y en las propiedades del Sitio Web para el cual deseemos realizar la solicitud del certificación, seleccionar la pestaña Directory Security, como se muestra a continuación.

Seguidamente, click en el botón Server Certificate, iniciando así el asistente para las administración de Certificados de nuestro Sitio Web.

En la página de bienvenida del asistente, click Next para continuar.

Seguidamente, seleccionaremos la opción Create a new certificate para preparar la solicitud de un nuevo certificado para nuestro Sitio Web. Click Next para continuar.

Seleccionar la opción Prepare the request now, but send it later. Si no recuerdo mal, la otra opción (Send the request immediately to an online certification authority) está disponible cuando se tiene una Entidad Certificadora (es decir, un CA) integrada en Directorio Activo. En cualquier caso, click Next para continuar.

Especificaremos un nombre para el certificado y el tamaño en bits deseado para la clave de encriptación. Click Next para continuar.

Rellenaremos los campos Organization y Organizational Unit. Click Next para continuar.

Rellenaremos el Common name o subject del certificado. Esta pantalla es la más importante, al menos, desde el punto de vista de los certificados Wildcard. Habitualmente, aquí especificaríamos un nombre DNS particular, como por ejemplo www.guillesql.es. Sin embargo, como deseamos solicitar un certificado Wildcard, utilizaremos un sufijo DNS con un comodín, como se muestra en el ejemplo (*.guillesql.local). Seguidamente, click Next para continuar.

Introducir la información geográfica pertinente. Click Next para continuar.

Especificar la ruta y nombre de archivo para almacenar la solicitud de nuestro certificado. Click Next para continuar.

Típica pantalla de resumen. Todo está bien. Click Next para continuar.

Por último, click Finish. Con esto, hemos generado por fin la solicitud para nuestro certificado Wildcard, que tendremos en el fichero que acabamos de crear a través del asistente del IIS.

Tramitar un Certificado Wildcard a través de una CA

Habitualmente, tramitaremos las solicitudes de certificados a través de Entidades Certificadoras (Certificacion Autority ó CA) externas o de confianza, al menos, para aquellos servicios públicos que necesitemos ofrecer. Las Entidades Certificadoras privadas, son más propias para entornos privados, esto es, para servicios disponibles sólo para los empleados, o empleados y terceros asociados a nuestra empresa, ya que una CA privada no viene de serie como CA en los navegadores convencionales (ej: Internet Explorer o FireFox), y por defecto, no suelen considerarse de confianza.

Para el caso de este artículo, he utilizado una Entidad Certificadora de pruebas.

Como usuarios que somos, vamos a enviar la petición de certificado a nuestra CA. En el caso de una CA basada en Windows Server 2003, se dispone de una Aplicación Web en dicha CA a través del directorio virtual CertSrv, que expone la aplicación que utilizaremos para enviar la solicitud de nuestro certificado Wildcard. Para ello, a través de un navegador (ej: Internet Explorer), accederemos a esta URL, en nuestro caso, http://VCA01/CertSrv, o bien, http://vca01.guillesql.local/CertSrv, la que más rabia nos de.

Seleccionaremos la opción Request a certificate.

Seguidamente, seleccionaremos la opción advanced certificate request.

A continuación, seleccionaremos la opción Submit a certificate request by using a base-64-encoded CMC or PKCS #10 fiel or submit a renewal request by using a base-64-encoded PKCS #7 file.

Copiar y pegar el contenido del fichero de solicitud de nuestro certificado Wildcard, y click en Submit para continuar.

Finalmente, se nos mostrará un mensaje indicándonos que la solicitud de certificado ha sido enviada, y que actualmente está en estado pendiente, de tal modo, que deberemos esperar a que un administrador de la Entidad Certificadora acepte nuestra solicitud de certificado, para poder volver a esta URL desde este mismo navegador, y recuperar nuestro certificado en formato CER.

La CA debe aceptar la petición de nuestro Certificado

Ahora, nos vamos a poner la gorra de la Entidad Certificadora. Ahora no somos una empresa que solicita un certificado, sino que por el contrario, somos la empresa que gestiona certificados, lo cual lo hacemos con nuestra CA basada en Windows Server 2003.

En consecuencia, abrimos la herramienta administrativa Certification Authority, y seleccionamos el nodo Pending Request. Aquí encontraremos aquellas solicitudes de certificados pendientes de ser aprobadas o rechazadas. En consecuencia, aquí encontraremos la solicitud de certificado anterior. Seleccionaremos dicha solicitud de certificado con el botón derecho, seguidamente seleccionaremos la opción All Tasks del menú contextual, y finalmente click en Issue, como se muestra en la siguiente pantalla capturada.

Una vez que aceptamos el certificado, podremos comprobar en el nodo Issued Certificates, que aparece nuestro certificado recién aprobado.

Bueno, pues ya está. Ya nos podemos quitar la gorra de Entidad Certificadora, y seguir con el resto.

Recoger Certificado en formato CER

Como comentamos anteriormente, volveremos a la misma página en la que enviamos la solicitud de certificado, y desde el mismo navegador. En esta ocasión, click en View the status of a pending certificate request.

Seleccionaremos la solicitud de certificado sobre la cual deseamos información.

La solicitud de certificado ha sida aprobada, por lo tanto, podemos proceder a descarnos el certificado en el formato que más rabia nos de.

Finalizar la petición del Certificado Wildcard en IIS6

Certificado en mano, aún nos queda realizar la última parte, para dejar el Sitio Web de nuestro IIS funcionando con nuestro recién creado certificado Wildcard. Para ello, volveremos a abrir la herramienta administrativa IIS Manager, seleccionaremos las propiedades del Sitio Web, y mostraremos la pestaña Directory Security.

De nuevo, click en el botón Server Certificate.

Y de nuevo, click Next en la pantalla de bienvenida del asistente.

Ahora llega lo nuevo. Seleccionaremos la opción Process the pending request and install the certificate. Click Next para continuar.

Seleccionaremos la ruta y nombre de fichero del certificado en formato CER que obtuvimos de la Entidad Certificadoral. Click Next para continuar.

Especificaremos el puerto 443, como puerto TCP (o si queréis poner otro, el que os venga en gana, que funciona igual de bien... mientras no esté ocupado). Click Next para continuar.

Pantalla de resumen de turno. Click Next para continuar.

Y por fin, el botón de Finish. Click sin dolor. Y ya tá.

Aunque tenemos que tener un detalle en cuenta. Si tenemos una Granja Web con Balanceo de Carga NLB, u otro tipo de balanceo (ej: Round Robin, un tipo de balanceo basado en DNS), tendremos múltiples Sitios Web en múltiples servidores IIS. En consecuencia, ahora deberemos exportar el certificado con las Claves Pública y Privada en formato PFX, y seguidamente, importarlo en el resto de Sitios Web sobre el resto de servidores IIS, para que todos sean capaces de utilizar SSL.

Probar el Certificado Wildcard

Hecho esto, lo siguiente sería probar a acceder a nuestro Sitio Web por SSL. En este caso, se trata del único Sitio Web que escucha en la misma dirección IP y puerto, así abriendo un Internet Explorer, tan sólo queda escribir la URL, con https.

Sólo añadir un enlace, para quien quiera utilizar certificados Wildcard e ISA Server.

Y poco más. Hasta aquí hemos llegado.
Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!


Archivo

Octubre de 2018 (1)
Julio de 2018 (1)
Junio de 2018 (4)
Mayo de 2018 (5)
Abril de 2018 (3)
Marzo de 2018 (2)
Febrero de 2018 (7)
Enero de 2018 (1)
Diciembre de 2017 (15)
Noviembre de 2017 (7)
Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)



Copyright © 2007 GuilleSQL, todos los derechos reservados.