Ejercicio_Configuracin de pginas seguras (HTTPS) en IIS (7.0) en Windo s !00" Ser#er.

1. Lee en los apuntes el punto referido a: Pginas seguras Ins$a%acin de% ser#icio de cer$ificados de ser#idor : Configuraremos el Servidor para que sea una CA de tipo E&presa que ser reconocida por los equipos y usuarios del dominio: asi!.ne$'. Sigue los pasos indicados en los apuntes para la instalacin de la CA. Accedemos a Herramientas Administrativas Administracin del servidor Agregar funciones !Servicios de Certificate Server de Active "irectory! Seguimos los muy #ien e$plicados pasos de los apuntes. %. &einicia el equipo. 'na ve( instalada la entidad certificadora disponemos del certificado de dic)a CA* su clave p+#lica y la privada asociada. ,n --S so#re Server! en la ventana central pulsamos so#re el icono !Cer$ificados de ser#idor!. Se )an creado en el proceso de instalacin: el propio certificado de la CA .asi!(SE)*E)(C+/ y otro certificado para el servidor: ser#er.asi!.ne$* firmado por la propia CA. 0isuali(a de cada uno de los % certificados* las 1 pesta2as de informacin: 3eneral* "etalles y &uta de certificacin. 456ate quien emite los certificados: .el de la CA es emitido por y para ella* es decir* autofirmado* con una vigencia de 7 a2os/ y el certificado del Server.asi%.net! es emitido por la CA* es decir* lo firma ella* con vigencia de 1 a2o. Accedemos al icono Certificados del servidor! en el men+ principal de Server y visuali(amos los dos certificados asi2-SERVER-CA y server.asi2.net. 8inc)amos so#re ellos y vemos las pesta2as de 3eneral* "etalles y &uta. 1. 0isuali(a desde: Herra&ien$as +d&inis$ra$i#as,Cer$ifica$ion +u$-ori$. informacin so#re la ,ntidad Certificadora que )emos creado .carpetas con solicitudes de certificados* pendientes* revocados* 9vac5as de momento/ -nicio Herramientas Administrativas Certification Aut)ority Solo contienen informacin las carpetas de Certificados emitidos y de 8lantillas de Certificados. :. ,l certificado e$pedido para el servidor nos puede servir para asegurar cualquier sitio ;e# del dominio asi%.net!. 0amos a asegurar el sitio predeterminado* para lo que tenemos que indicar que admite cone$iones seguras -$$ps al puerto //0 . esto se )ace enla(ando el sitio con alguno de los certificados que tengamos: So#re el sitio ;e#* #otn derec)o:12odificar en%aces'. <enemos que +gregar! para seleccionar el Tipo' de protocolo HTTPS .puerto //0/ y en Cer$ificado SS3' elegimos el certificado del servidor: ser#er.asi!.ne$. ,n --S* clicamos con el #otn derec)o so#re sitios* y marcamos modificar enlaces. ,n el tipo de protocolo escri#imos )ttps* y elegimos el certificado server.asi%.net

7. Ha#ilitar las carpetas que requieran cone$in segura mediante el protocolo SS3. 8odr5amos asegurar todo el sitio ;e# predeterminado .C45in$epu65 roo$/ o alguna de sus carpetas. 0amos a segurar la carpeta asociada a: e6asi!. 0isuali(a primero la pgina de ;e#asi%* mediante -$pp4 -ntroducimos en el navegador )ttp: server ;e#asi% =. So#re la carpeta: e6asi! . Accede al icono: Configuracin de SS3 y activa la opcin: )e7uerir SS3. Aplicar. "entro del sitio predeterminado* accedemos a ;e#asi%* y entramos en el icono >Configuracin de SSL?* marcamos la opcin >&equerir SSL? y le damos a aplicar. @. 8a#egadores4 Los navegadores ;e# generalmente son distri#uidos con los certificados ra5( firmados por la mayor5a de las Autoridades de Certificacin por lo que pueden verificar certificados firmados por dic)as Autoridades. Si el navegador no reconoce el certificado del sitio porque no pertenece a una de sus entidades de confian(a* preguntar al cliente si desea ir al sitio o no . Si estamos seguros podemos instalar el certificado en el propio navegador para que no pregunte en posteriores ocasiones. A. Accede desde el navegador E9p%orer' mediante H<<8S* indicando el nom#re de acceso al servidor que )emos asociado al certificado .-$$ps4,,ser#er.asi!.ne$ ;e#asi%/. 8ulsa so#re el icono del candado.

B. 0isuali(a los certificados rai( de confian(a que tienen instalados el navegador. ,n ,$plorer se ven desde: Herra&ien$as,:pciones de In$erne$,Con$enido,Cer$ificados,En$idades de cer$ificacin ra;< de confian<a. Locali(a el del Server. Seguimos la ruta Herramientas Cpciones de -nternet Contenido Certificados ,ntidades de certificacin ra5( de confian(a.

1D. Accede con el alias del servidor: )ttps: ;;;.asi%.net el navegador preguntar y proporciona un error que indica que el certificado no se emiti para ese nom#re de sitio ya que se emiti para ser#er.asi!.ne$. 8ulsa el icono de error. .podemos acceder igualmente/. &einicia el navegador y vuelve a acceder con el nom#re correcto. Al introducir la url con el alias del servidor nos sale un mensa6e ,$iste un pro#lema con el certificado de seguridad de este sitio ;e#.! &einiciamos el navegador y accedemos a )ttps: server.asi%.net 11. Accede desde el equipo E8* pulsa en continuar para ver la pgina segura. -nstala el certificado dentro del navegador para que lo acepte a partir de a)ora. 8ulsa en 0er! certificado e -nstalar! elige la u#icacin donde quieres que se almacene AlmacFn de certificados!* elige: ,ntidades emisoras ra5( de confian(a!. Sigue el asistente. Accedemos a E8* e introducimos en el e$plorer )ttps: server.asi%.net Cuando salga el mensa6e de alerta de seguridad seleccionamos >ver certificado? e >instalar?.

Al elegir la u#icacin* seleccionamos >Colocar todos los certificados en el siguiente almacen?* y como almacen de certificados seleccionamos >,ntidades emisoras ra5( de confian(a?. 4inali(amos y esperamos a que salga el mensa6e 1%. &einicia el navegador* accede a la pgina .8: P)E=>8T+) . 0isuali(a si se )a instalado. Se )a instalado correctamente. 11. Accede desde el equipo fedora con el protocolo -$$p* comprue#a la pgina de error 1:. Accede mediante -$$ps. Comprue#a que 4irefo$ avisa de que no puede verificar si la cone$in sea segura. Acepta y pulsa en el #otn de 0er el certificado!. "esactiva la casilla mantener esta e$cepcin de manera permanente! y Confirma la e$cepcin! se a2adir al navegador dic)o certificado de forma temporal . Al a#rirse la pgina f56ate en que aparecer el icono del candado que indica que a partir de ese momento la transmisin de informacin entre cliente y servidor se reali(a a travFs de un canal seguro .cifrado/. Clicamos so#re entiendo los riesgos* seguido de >A2adir e$cepcin de seguridad?. Aparece el candado en la parte inferior derec)a de la ventana del navegador. 17. Comprue#a que se )a a2adido en firefo9 el certificado del Server: Edi$ar,Preferencias,+#an<ado,Cifrado, #er cer$ificados,Ser#idores de manera temporal .columna 0ida +til!/. &einicia el navegador y accede de nuevo a la pgina.

1=. ,sta ve( activa la casilla Gantener esta e$cepcin de manera permanente!* reinicia el navegador y compruF#alo. 1@. Comprue#a cmo el certificado se )a a2adido de forma permanente* en el navegador. 1A. Accede .)ttps/ a la pgina utili(ando un nom#re de servidor diferente* .por e6emplo* ;;;.asi%.net/*al nom#re para el que se emiti el certificado .server.asi%.net/* comprue#a que el navegador avisa esta ve( de un error que indica que el certificado pertenece a un sitio diferente.

1B. Accede a otra pgina* por e6emplo* de la carpeta: misHpaginas!* del sitio predeterminado que no requiera SSL* comprue#a que puedes acceder mediante )ttp y tam#iFn mediante )ttps .el sitio ;e# tiene enla(ado el certificado de seguridad/. <anto con )ttp* como con )ttps de6a acceder. %D. Configura la carpeta: misHpaginas! para o#ligar a quF sea segura. Comprue#a que ya no puedes acceder mediante -$$p ,n Server %DDA* en el administrador de --S* seguimos la ruta Server Sitios "efault Ie# Site misHpaginas. ,ntramos a Configuracin de SSL y marcamos requerir SSL.

%1. Crear un certificado de dominio para

.&ie&presa.co&

Accedemos al administrador de --S* en el men+ principal accedemos a Certificados del servidor* seleccionamos Crear un certificado de dominio y rellenamos los campos. Como nom#re com+n ponemos ;;;.miempresa.com %%. Asegurar el sitio ;;;.miempresa.com utili(ando el certificado anterior. So#re el sitio* en Godificar enlaces!: seleccionar )ttps* puerto ///. Seleccionar el certificado creado en el punto anterior. .el puerto ::1 est ocupado en el sitio predeterminado* los servidores SSL solo pueden presentar estrictamente un certificado para una com#inacin de puerto -8* e$iste una solucin llamada Server Jame -ndication .SJ-/* es una e$tensin del protocolo T3S* sin em#argo muc)os navegadores antiguos no soportan esta e$tensin/. ,n sitios* pinc)amos con el #otn derec)o so#re Sitio ;e# de la empresa miempresa y seleccionamos >Godificar enlaces?. Le damos a agregar.

%1. So#re el sitio ;;;.miempresa.com requerir SSL. Seleccionamos el sitio miempresa.com* entramos en Configuracin de SSL y le damos a requerir SSL.

%:. Accede a la pgina indicando el puerto* en la peticin: -$$ps4,, .&ie&presa.co&4///.