15 - Servidor Seguro para Intranet en 10 pasos - 11/09/2005


Autor: ASS Eduardo Francisconi

http://www.ejaf.com.ar/

El siguiente tutorial describe los pasos necesarios para innstalar un Servidor Seguro en IIS sobre Windows, para un Website interno (Intranet) en una organización.

Nota 1: Si bien el presente artículo está desarrollado sobre IIS 6.0 en Windows Server 2003, el mismo puede realizarse igualmente en IIS 5.0 sobre Window Server 2000.

Nota 2: Se asume que tiene un IIS instalado en su servidor y corriendo un Website.

Entonces, los 10 pasos necesarios son:

  1. Loguearse con privilegios administrativos en el servidor Windows donde deseamos tener uestro sitio seguro.
  2. Verificar que el Servicio de "Certificate Server de Microsoft" esté instalado.
    Esto se puede verificar abriendo en "Herramientas Administrativas" la consola de "Entidad emisora de certificados". Si no está instalado se nos informará al intentar ingresar. En caso de estar instalado ir al paso 4 directamente.
  3. En el caso de no estar instalado, ir a "Agregar o quitar programas" e instalar el componente de Windows llamado "Servicios de Certificate Server" (Img_01). En el próximo paso seleccionar "Entidad emisora raíz independiente" (Img_02) ya que instalaremos un certificado raíz de primer nivel (similar a uno de Verisign por ejemplo en el caso de Internet). En la pantalla siguiente colocar el nombre de la entidad (Img_03). El nombre que coloquemos aquí será el que figurará como emisor del certificado, es representativo y no tiene ningún requisito en especial. En las dos pantallas siguientes pueden seleccionarse los algoritmos criptográficos que estarán disponibles para los certificados y su fortaleza. Estos pasos también pueden obviarse (dejando las opciones por defecto) y presionar "Siguiente" hasta finalizar la instalación.
  4. Ya tenemos funcionando la entidad emisora de certificados en nuestro equipo por lo que ahora ya podemos administrar las peticiones y entregas de certificados. Para ello, abrimos el IIS, en las Propiedades del Website elegimos la solapa de "Seguridad de directorios", y en la sección de "Comunicaciones Seguras" presionamos el botón de "Certificado de Servidor" (Img_04). Luego elegimos "Crear un certificado nuevo" (Img_05) y se nos pide el nombre del certificado y la longitud de la clave de cifrado. Debemos recordar que el tamaño de esta clave es directamente proporcional a su seguridad e inversamente proporcional a la velocidad de encripción/desencripción. Es aquí donde debemos evaluar el costo de la seguridad versus el costo de la información que protegemos. El asistente nos pedirá nombre de nuestra Organización y de la Unidad organizativa que podremos llenar con los datos que consideremos adecuados.
  5. Luego se nos solicita el nombre del sitio Web. Aquí es requisito fundamental colocar el nombre de nuestro servidor web o la dirección IP del mismo (Img_06). Con este nombre luego se formará la URL de nuestro sitio seguro.
    Por ejemplo si el servidor se llama "server" la URL será "https://server". Luego completamos los datos de la región que son necesarios para solicitar un certificado a una entidad certificadora internacional. En nuestro caso sólo serán datos que mostrará el explorador al momento de pedir los datos del certificado. Para finalizar se nos solicita el nombre de un archivo de texto que contendrá todos los datos para realizar la petición. Éste será el archivo que enviaremos a nuetra entidad emisora, que en nuestro caso somos nosotros mismos.
  6. Ahora comenzaremos con el trámite de solicitud del certificado. Al momento de instalar en nuestro equipo la entidad emisora de certificados se nos creó una aplicación web llamada "CertSrv". Así que ingresamos a la dirección http://server/CertSrv con nuestro explorador favorito y seleccionamos la tarea"Solicitar un certificado", luego seleccionamos "Solicitud avanzada de certificado" y luego "Enviar una solicitud de certificados usando un archivo cifrado de base64 CMC o PKCS #10 o una solicitud de renovación usando un archivo cifrado de base64 PKCS #7". Esto nos permitirá enviar nuestro archivo de texto a la entidad emisora que, como ya dijimos, en nuestro caso somos nosotros mismos.
  7. En la página web que estamos viendo (Img_07) podemos elegir nuestro archivo generado previamente, o bien podemos abrirlo con el Block de notas y pegar su contenido en el cuadro de texto. Ahora ya tenemos nuestro solicitud de certificado ingresada y deberemos aprobarla.
  8. En la consola de "Entidad emisora de certificados" en la sección de"Peticiones pendientes" veremos nuestra petición (Img_08). Presionamos botón derecho sobre el certificado, "Todas la tareas" y "Emitir" y ya tenemos nuestro certificado emitido. En la sección de "Certificados emitidos" presionamos botón derecho sobre el certificado, "Todas las tareas" y "Exportar datos binarios". Seleccionamos "Certificado Binario" y "Guardar datos binarios en un archivo" (Img_09). Esto nos permitirá tener disponible el certificado para importarlo desde IIS.
  9. Volvemos al IIS y en las Propiedades del Website elegimos la solapa de"Seguridad de directorios", presionamos "Certificado de servidor". Luego elegimos "Procesar la petición pendiente e instalar el certificado" y seleccionamos nuestro certificado (el archivo binario recién guardado) e ingresamos el puerto por el cual vamos a crear nuestro canal seguro, pudiendo dejar el puerto 443 que es el que se muestra por defecto.
  10. Felicidades ahora con solo tipear "https://server" en nuestro navegador y deberiamos acceder a nuestro sitio seguro y ver la información de nuestro certificado (Img_10). Esta información también está disponible al hacer click en el candado que aparece en la parte inferior del explorador en todo sitio seguro.

Paraná, Entre Ríos, 11 de septiembre de 2005

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto